Microsoft Azureを外部IDプロバイダーとして使用するCXone Mpower認証のセットアップ

このページでは、外部IDプロバイダー(IdP)としてMicrosoft Azureを使用したCXone Mpowerシステムの認証設定をステップバイステップで説明します。 既存のCXone MpowerシステムのIdPとしてAzureをセットアップする場合は、ここで説明するタスクの一部を実行する必要はありません。 代わりに、Azureヘルプページを使用してフェデレーションを管理するを参照してください。

始める前に

  • 以前のようなプロセスを設定したことがなければ、認証と認可のコンセプトと用語の基本理解を取得します。
  • CXone Mpowerで初めて認証を使用する場合は、CXone Mpower固有のプロセスを確認してください。
  • 人間のユーザーと彼らが必要とするアクセスレベルを考慮してください。 アクセスが多い人ほど、セキュリティレベルを高くするべきかどうかを決定します。
  • カスタムパスワードの要求、多要素認証(MFA)、またはその両方を使用して実施するかどうかを決定します。
  • 決定した内容をもとに、ログイン認証のリストを作成します。 このリストには、各ログイン認証コードで使用するパスワードの要件とMFAステータスが含まれている必要があります。
  • ボットやインテリジェントバーチャルアシスタント(IVA)のようなアプリケーションの認証と認可を含める必要があるかどうかを検討してください。 その場合、アクセスキーを作成する必要があります。
  • SAML 2.0認証プロトコルについて理解します。 CXone MpowerAzure統合のためにSAML 2.0をサポートします。
  • IdPとプロトコルの組合せを評価し、ユースケースとユーザーフローが確実にサポートされ、潜在的な問題を確実に特定できるようになります。 これは、実際の試験を含みます。

CXone Mpowerチームは、この計画プロセスをサポートし、ガイドすることができます。 計画をうまく立てると、実施がよりスムーズになります。 目先のニーズで認証・認可を導入すると、問題が発生する可能性が高くなります。

これらの各タスクを指定された順序で実行します。

始める前に、 Microsoft AzureID管理コンソールにアクセスできることを確認します。 アプリケーションを作成する必要があります。

SAML 2.0でAzureとのフェデレーションを管理します

これらの各タスクを指定された順序で実行します。

SAML 2.0によりAzureアプリケーションを作成および構成する

  1. AzureAD管理アカウントにログインします。
  2. アプリケーションを作成します。
    1. エンタープライズアプリケーション>新規アプリケーションの順にクリックします。
    2. 独自アプリケーションの作成をクリックします。
    3. 名前(例: CXone Mpower)を入力します。
    4. ギャラリーにない他のアプリケーション(ノンギャラリー) を統合するを選択します。
    5. 作成をクリックします。
  3. 適切なユーザーとグループを割り当てる。
  4. シングルサインオンの設定で、はじめるをクリックし、SAMLを選択します。
  5. ベーシックSAML設定パネルで、 編集 をクリックし、SAML を構成します:
    1. 識別子(エンティティID)の下で、識別子の追加をクリックし、 https://cxone.niceincontact.com/need_to_changeを入力します。 この値は、後で受け取ったURLに変更します。
    2. 返信URLの下で、返信URLの追加をクリックし、オーディエンスURIフィールドに、 https://cxone.niceincontact.com/need_to_changeを入力します。 この値は、後で受け取ったURIに変更します。
  6. 保存をクリックし、ベーシックSAML設定パネルを閉じます。
  7. 属性とクレームのセクションで、正しい一意のユーザー識別子を選択します。 選択する値は、 CXone Mpowerフェデレーションアイデンティティになります。
  8. AzureADは自動的にSAML署名証明書を作成するはずです。 証明書(Base64)という名前の証明書をダウンロードします。
  9. SAML署名証明書パネルで、 編集をクリックし、次に、
    1. 署名オプションSAML返答の署名に変更します。
    2. 保存をクリックし、SAML署名証明書パネルを閉じます。 このファイルは、 CXone Mpowerの設定用に保管します。
  10. <application name>セットアップパネルで、 ログインURL の値をコピーします。 これをCXone Mpowerの設定として保管します。
  11. ウインドウを開けたままにします。 次のタスクで受け取る値に基づいて、 Azureのアプリケーション設定を変更します。

CXone MpowerSAML 2.0でのログイン認証コードを設定します

必須の権限ログイン認証機能の作成

  1. アプリセレクターアプリセレクターのアイコンをクリックして、次を選択します:管理者
  2. セキュリティ設定>ログイン認証コードの順にアクセスします。
  3. 新規作成をクリックします。
  4. ログイン認証機能システムの名前説明を入力します。
  5. SAML 2 認証タイプとして選択します。
  6. エンドポイントURLとしてAzureから受け取ったSAMLリクエストエンドポイントURLを入力します。

    Entra ID(Azure)を使用している場合は、 リクエスト済認証コンテキストフィールドに入力されている文字列を削除します。 そうでない場合、CXone Mpowerにログインしようとするユーザーは、MicrosoftエラーAADSTS75011が表示され、ログインできないことがあります。

  7. ファイルの選択をクリックし、前の作業でAzureからダウンロードした公開署名証明書を選択します。 このファイルは、PEMファイルでなければなりません。 それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他の追加テキストが含まれることになります。
  8. ログイン認証コード作成をクリックします。
  9. ログインオーセンティケーターを開きます。
  10. エンティティIDアサーションURLの2つの読み取り専用フィールドが追加で表示されていることが見られます。 この値をメモしておきます。 それらはCXone Mpower値をAzureに追加するタスクで必要になります。

ログイン認証コードにユーザーを割り当てる

  1. アプリセレクターアプリセレクターのアイコンをクリックして、次を選択します:Admin
  2. ユーザーをクリックします。

  3. ログイン認証機能に割り当てるユーザーを選択するか、新規作成をクリックして、 新規ユーザーを作成します

  4. 全般タブで、編集をクリックします。

  5. セキュリティセクションで、ログイン認証機能ドロップダウンから、以前に作成したログイン認証機能を選択します。

  6. [完了]をクリックします。

CXone Mpower値をAzureに追加する

  1. Azureアプリケーションに戻り、ベーシックSAML設定パネルパネルで編集をクリックします。
  2. 識別子(エンティティID)には、 CXone Mpowerログイン認証で取得したエンティティID値を入力します。
  3. 返答URLには、CXone Mpowerログイン認証のアサーションURL値を入力します。
  4. 保存をクリックし、ベーシックSAML設定パネルを閉じます。
  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    1. IDプロバイダーが、使用しなければならない値を決定します。 この値は、 Azure一意のユーザー識別子およびCXone Mpower外部アイデンティティと正確に一致する必要があります。

  6. ユーザーにCXone Mpowerにログインしてもらいます。 最新のCXone MpowerログインURLを使用する必要があります。 ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。 CXone Mpower は、Azure経由でIdP開始の処理をサポートしません。

Azureシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各ユーザー外部アイデンティティが正しい値に設定されていることを確認します。 この値は、 Azure一意のユーザー識別子およびCXone Mpowerフェデレーションアイデンティティと正確に一致する必要があります。

  2. 1人以上のテストユーザーに、最新のCXone MpowerログインURLでログインしてもらう。 ユーザー名を入力後、必要に応じて Azureに誘導されます。

  3. 準備ができたら、Azureシングルサインオンをすべてのユーザーに展開します。

OpenID ConnectでAzureとのフェデレーションを管理します

これらの各タスクを指定された順序で実行します。

OpenID ConnectAzureアプリケーションを設定します。

  1. Azure管理アカウントにログインします。

  2. アプリ登録の下で、新規登録をクリックします。

  3. 認証>ウェブに移動します。

  4. この時点ではわからないリダイレクトURIを入力する必要があります。 https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。

  5. 証明書とシークレットをクリックします。

  6. 認証方法として、client_secret_basicまたはclient_secret_postを選択します。 認証方法であるprivate_key_jwtは、現在CXone Mpowerではサポートされていません。

  7. クライアントシークレットフィールドで、新規クライアントシークレットを選択します。

  8. 説明を追加し、期限切れを選択します。

  9. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。 CXone Mpowerでログイン認証コードを設定する際に、これらを使用する必要があります。

  10. トークン設定>オプション申請に移動します。

  11. オプション申請の追加をクリックします。

  12. トークンタイプとしてIDを選択します。

  13. Eメールを選択し、メールアドレスを追加します。

  14. [保存]をクリックします。

OpenID ConnectCXone Mpowerログイン認証コードを設定します

  1. アプリセレクターアプリセレクターのアイコンをクリックして、次を選択します:Admin

  2. ログイン認証コードをクリックします。

  3. 新規作成をクリックするか、編集するログイン認証コードを選択します。
  4. ログイン認証コードの名前説明を入力します。
  5. OIDC認証タイプとして選択します。
  6. Azureのディスカバリーエンドポイントがある場合は、ディスカバー設定をクリックします。 検出エンドポイントを入力し、検出をクリックします。 残りのフィールドは自動的に入力されます。 ディスカバー設定Salesforceディスカバリーエンドポイントでは動作しません。
  7. クライアントIDクライアントパスワードを入力します。 クライアントの確認パスワードにパスワードを再入力します。 クライアント識別子は、Azureによってアカウントに割り当てたログインIDです。
  8. Azureからのディスカバリーエンドポイントがない場合は、Azure提供の発行者JsonWebKeySetエンドポイント認証エンドポイントトークンエンドポイントユーザー情報エンドポイントおよび失効エンドポイントおよびセッション終了エンドポイントを入力します。

  9. クライアント認証方式を選択します。 選択する方法は、前のタスクで設定したものと一致していなければなりません。 これは、Azureがサポートしている認証方法でなければなりません。
  10. FICAMプロフィールを有効にするを選択して、米国政府固有の設定をオンにすることができます。 このステップはFedRAMPユーザー専用です。
  11. ログイン認証コード作成 をクリックして、提供された情報を検証し、CXone MpowerアカウントをAzureアカウントにリンクします。
  12. ログインオーセンティケーターを開きます。
  13. サインインリダイレクトURIサインアウトリダイレクトURI。 それらはAzure設定を更新するために必要です。

  14. Azure設定を更新し、前のタスクで使用したプレースホルダーを、先ほど説明した値に置き換えます。

  15. ログイン認証コードを使用する各ユーザーのCXone Mpower外部アイデンティティが正しい値に設定されていることを確認します。

    Azureは、使用しなければならない値を決定します。 これは、Azureのユーザープロファイルで確認できます。 この値は、 CXone Mpower外部アイデンティティフィールドに入力したものと正確に一致する必要があります。 このフィールドの値は次の形式でなければなりません:claim(email):{email configured by your IdP}。 たとえば、IdPにあるユーザーのEメールがnick.carraway@classics.com の場合、 claim(email):nickcarraway@classics.comと入力するはずです。

  16. ユーザーにCXone Mpowerにログインしてもらいます。 最新のログインURLを使用する必要があります。 ユーザー名を入力後、必要に応じてAzureに転送されます。

  17. Azureに自分のアカウントを認証するよう求められたら、現在にログインしているCXone Mpowerアカウントに関連付けたいAzureのユーザーとして認証します。
  18. CXone MpowerOpenID Connect設定が検証済みとして表示されない場合、Azureのログを使用して問題を診断してください。

ログイン認証コードにユーザーを割り当てる

  1. アプリセレクターアプリセレクターのアイコンをクリックして、次を選択します:Admin
  2. ユーザーをクリックします。

  3. ログイン認証機能に割り当てるユーザーを選択するか、新規作成をクリックして、 新規ユーザーを作成します

  4. 全般タブで、編集をクリックします。

  5. セキュリティセクションで、ログイン認証機能ドロップダウンから、以前に作成したログイン認証機能を選択します。

  6. [完了]をクリックします。

CXone Mpower値をAzureに追加する

  1. Azureアプリケーションに戻り、ベーシックSAML設定パネルパネルで編集をクリックします。
  2. 識別子(エンティティID)には、 CXone Mpowerログイン認証で取得したエンティティID値を入力します。
  3. 返答URLには、CXone Mpowerログイン認証のアサーションURL値を入力します。
  4. 保存をクリックし、ベーシックSAML設定パネルを閉じます。
  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    1. IDプロバイダーが、使用しなければならない値を決定します。 この値は、 Azure一意のユーザー識別子およびCXone Mpower外部アイデンティティと正確に一致する必要があります。

  6. ユーザーにCXone Mpowerにログインしてもらいます。 最新のCXone MpowerログインURLを使用する必要があります。 ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。 CXone Mpower は、Azure経由でIdP開始の処理をサポートしません。

Azureシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各ユーザー外部アイデンティティが正しい値に設定されていることを確認します。 この値は、 Azure一意のユーザー識別子およびCXone Mpowerフェデレーションアイデンティティと正確に一致する必要があります。

  2. 1人以上のテストユーザーに、最新のCXone MpowerログインURLでログインしてもらう。 ユーザー名を入力後、必要に応じて Azureに誘導されます。

  3. 準備ができたら、Azureシングルサインオンをすべてのユーザーに展開します。

セキュリティプロファイルを作成

必須の権限: セキュリティプロファイルの作成

  1. 次のいずれかの方法を使用して、セキュリティプロファイルを作成し、名前を付けます。

    • 新しい空白のセキュリティプロファイルを作成するには:

      1. アプリセレクターアプリセレクターのアイコンをクリックして、次を選択します:Admin
      2. セキュリティプロファイルに移動します。
      3. [新規作成]をクリックします。

      4. セキュリティプロファイルの一意の名前を入力します。

      5. 必要に応じて説明を入力します。

      6. 作成で、空白のセキュリティプロファイルを選択します。

    • 既存のセキュリティプロファイルをコピーする新しいセキュリティプロファイルをすばやく作成するには、次の手順に従います。

      1. アプリセレクターアプリセレクターのアイコンをクリックして、次を選択します:Admin
      2. セキュリティプロファイルに移動します。
      3. コピーするセキュリティプロファイルを開きます。

      4. [コピー]をクリックします。

      5. セキュリティプロファイルの一意の名前を入力します。

      6. 必要に応じて説明を入力します。

  2. [次へ]をクリックします。

  3. ユーザーに付与する各製品と機能の権限を有効にします。 ユーザー設定やセキュリティなど、一部の権限はグループ化されています。 グループ内の権限を表示するには、グループ名の横にある個別をクリックします。

  4. [次へ]をクリックします。

  5. ユーザーに付与する各レポートの権限を有効にします。

  6. [次へ]をクリックします。

  7. キャンペーン閉じた レポートを作成するために使用されるスキルのグループ。、チーム、割り当て可能なプロファイル、グループ、および事業単位閉じた CXone Mpowerシステムにおけるテクニカルサポート、請求、およびグローバル設定を管理するために使用される上位レベルの組織グループ。によるデータアクセスを制限します。 データタイプごとに、ユーザーにそのタイプのすべてのデータと将来のデータにアクセスさせるか、なしカスタムのいずれかを選択します。

  8. データ型にカスタムを選択した場合は、ポップアップウィンドウを使用して、ユーザーがアクセスできるそのデータ型のエンティティを指定します。 [完了]をクリックします。

    新しいキャンペーン、チーム、セキュリティプロファイル、グループ、および事業単位は、作成時にカスタムリストに自動的に追加されません。 ユーザーに新しいデータへのアクセスを許可する場合は、カスタムリストを更新する必要があります。

  9. [次へ]をクリックします。
  10. セキュリティプロファイルの作成をクリックします。

ユーザーの作成または編集

必須の権限: ユーザーの作成

既存のCXone Mpower事業単位に対して外部IdPによる認証を設定する場合、新しいユーザーアカウントを作成する必要はありません。 ユーザーアカウントを編集し、外部ID タイプ統合ID フィールドを設定する必要があります。 これは、外部IdPを経由して認証する各ユーザーに対して行う必要があります。 フィールドについては、このタスクのステップ4で説明しています。

新しいユーザーを作成する場合、新しい個別ユーザーを作成するか、同時に複数の新規ユーザーアカウントをアップロードするかを選択できます。 ここでは、Adminアプリケーションで単一のユーザを作成する手順について説明します。 複数のユーザーを同時に作成または編集する手順については、複数のユーザーを一度に管理するをご覧ください。

CXone Mpowerには多くのオプションと設定が用意されており、ユーザをカスタマイズすることができます。 開始する前に、このタスク全体に目を通して、構成する必要がある設定を確認しておくことをお勧めします。

  1. アプリセレクターアプリセレクターのアイコンをクリックして、次を選択します:Admin
  2. ユーザーをクリックします。

  3. 次のいずれかの方法で新規ユーザー作成フォームを開きます。

    • 空白のフォームで新しいユーザーを作成する場合は、新規作成をクリックし、シングルユーザーを選択します。
    • 既存のユーザーのプロファイルに基づいて新しいユーザーを作成する場合は、そのユーザーのプロファイルを開いてコピーをクリックします。
  4. ユーザーのメールアドレスユーザー名(メールアドレスの形式)、セキュリティプロファイルチームユーザーが使用する(タイムゾーン)、を入力します。 フィールドが利用可能な場合は、パスワードおよびパスワードの確認フィールドを使用してパスワードを設定します。 ユーザープロファイルに追加するその他の情報を入力します。

  5. ログイン認証コード(LA)を選択します。

    すべてのユーザーをログイン認証コードに割り当てなければ、彼らはCXone Mpowerにログインできません。

    LAのタイプによって、ユーザーがCXone Mpowerにログインする方法が決まります。 ログイン認証コードは2タイプ設定できます。

    システムLAシステムLAに割り当てられたユーザーは、CXone Mpowerが管理する資格情報を使ってログインします。

    外部LA外部LAに割り当てられたユーザーは、外部アイデンティティープロバイダー(IdP)を通じてログインを完了します。 外部LAはSAML 2.0またはOpenID Connectのいずれかで構成されます。

  6. 統合ソフトフォン(WebRTC)カスタムURLを有効にしている場合は、必要に応じて統合ソフトフォンのURLURLの重みを構成します。

  7. 保存して続行をクリックします。
  8. 各チャネルのユーザーの拒否タイムアウト、デフォルトのダイヤルパターン、およびエージェントの音声しきい値を設定します。 必要に応じて、[呼び出し音の抑制]を選択します- Personal Connection

  9. 環境が静的配信用に有効になっている場合、同時チャット数自動パーク済Eメールのデフォルト数を設定します。 ユーザーがコンタクトをリクエストできるかどうかを指定します。

  10. お客様の環境が動的配信用に有効になっている場合、ユーザーがチャネルごとに処理できる同時コンタクトの最大数を設定します。 詳細な動的配信設定が有効になっている場合は、ユーザーの合計コンタクト数を設定します。

  11. WFOCXone Mpower以外に(Uptivity WFOなど)WFO統合を有効にしていて、記録を設定する場合は、 システムドメインシステムユーザー名および電話を入力します。

  12. MAXバージョンセクションでは、このユーザーに使用させるMAXのバージョンを指定することができます。
  13. WFMを有効にしている場合は、エージェントの通知を設定します。

  14. あなたが持っている場合CXone Mpower WFOをCRMと統合する場合は、エージェントのCRMユーザー名をユーザーに関連付けます。

  15. [保存]をクリックします。

アプリケーションの認証

ユーザーとアプリケーションは、非常によく似た方法で認証されます。 主な違いは、アプリケーションはアクセスキーで認証されるのに対し、ユーザーはユーザー名とパスワードで認証されることです。 ユーザーと違って、アプリケーションはブラウザーを通してやりとりする必要はありません。 アプリケーションは通常、バックオフィス機能またはインテリジェントバーチャルエージェント閉じた 人工知能に基づいてユーザーとやり取りするチャットボットや類似のアプリケーション。(IVA)です。

CXone Mpowerとやり取りするアプリケーションを設定するには、ユーザープロファイルとを作成し、アプリケーションにちなんでプロファイルに名前を付けます。 次に、アプリケーションユーザーのアクセスキーを以下のように作成します。

CXone Mpowerでの認可

認可は、ユーザーがどのリソースへのアクセスを許可されているかを確認するプロセスです。 リソースには、アプリケーション、ファイル、データが含まれます。 ロールベースのアクセスコントロールにより、ユーザーのリソースへのアクセスを定義できます。 CXone Mpowerは、認証時に自動的に認可を管理します。 ユーザーが認証されると、認可されたリソースへのアクセスのみが許可されます。

ユーザーの認証方法は、認可に影響を与えません。 CXone Mpowerは、全てのユーザーに対して同じ認可プロセスを使用します。 アクセスキーで認証されるか、パスワードで認証されるかは問題ではありません。