Oktaを使用したCXone認証の設定

このページでは、外部IDプロバイダー(IdP)としてOktaを使用したCXoneシステムの認証設定をステップバイステップで説明します。

これらの各タスクを指定された順序で実行します。

始める前に

  • 以前のようなプロセスを設定したことがなければ、認証と認可のコンセプトと用語の基本理解を取得します。
  • CXoneで初めて認証を使用する場合は、CXone固有のプロセスを確認してください。
  • 人間のユーザーと彼らが必要とするアクセスレベルを考慮してください。アクセスが多い人ほど、セキュリティレベルを高くするべきかどうかを決定します。
  • カスタムパスワードの要求、多要素認証(MFA)、またはその両方を使用して実施するかどうかを決定します。
  • 決定した内容をもとに、ログイン認証のリストを作成します。このリストには、各ログイン認証コードで使用するパスワードの要件とMFAステータスが含まれている必要があります。
  • ボットやインテリジェントバーチャルアシスタント(IVA)のようなアプリケーションの認証と認可を含める必要があるかどうかを検討してください。その場合、アクセスキーを作成する必要があります。
  • あなたの認証プロトコルについて理解します。CXoneOkta統合のためにSAML 2.0をサポートします。
  • IdPとプロトコルの組合せを評価し、ユースケースとユーザーフローが確実にサポートされ、潜在的な問題を確実に特定できるようになります。これは、実際の試験を含みます。

NICE CXoneチームは、この計画プロセスをサポートし、ガイドすることができます。計画をうまく立てると、実施がよりスムーズになります。目先のニーズで認証・認可を導入すると、問題が発生する可能性が高くなります。

これらの各タスクを指定された順序で実行します。

始める前に、Oktaにアクセスできることを確認します。アプリケーションを作成する必要があります。

SAML 2.0によりOktaアプリケーションを作成および構成する

  1. Okta管理アカウントにログインします。
  2. アプリケーションメニュー>アプリ統合の作成をクリックします。
  3. 方法としてSAML 2.0を選択し、次へをクリックします。
  4. この統合を識別するために使用する名前を入力し、をクリックします。
  5. SAMLを設定する:
    1. シングルサインオンURLフィールドに、https://cxone.niceincontact.com/need_to_changeのようなプレースホルダーURLを入力します。この値は、後で受け取ったURLと変更します。
    2. Audience URIフィールドに、https://cxone.niceincontact.com/need_to_changeのようなプレースホルダーURLを入力します。この値は、後で受け取ったURIと変更します。
    3. 名前ID形式およびアプリケーションユーザー名を指定して、CXoneに対してユーザーを識別する方法と照応させます。
    4. 詳細設定の表示をクリックします。
    5. アサーション署名未署名に変更します。応答署名済みのままにします。
    6. アサーション暗号化未署名であることを確認します。
  6. をクリックし、フィードバックを完了させ、フィードバックタブの終了 をクリックします。
  7. SAMLセットアップ指示をクリックして、新しいタブを開き、次に:
    1. 証明書のダウンロードをクリックし、署名証明書をダウンロードします。このファイルは、 CXoneの設定用に保管します。
    2. アイデンティティプロバイダーのシングルサインオンURLをコピーします。このURLを CXoneの設定用に保管します。
    3. SAML設定指示のタブを閉じます。SAMLの設定タブは開いたままにしておきます。次に取得するCXoneの設定に基づいて、設定を変更します。

SAML 2.0CXoneログイン認証コードを設定します

必須の権限ログイン認証機能の作成

  1. アプリセレクターをクリックして、選択管理者
  2. ログイン認証機能システムをクリックします。
  3. 新規作成をクリックします。
  4. ログイン認証機能システムの名前説明を入力します。
  5. SAML 2 認証タイプとして選択します。
  6. Oktaから受信したアイデンティティプロバイダーのシングルサインオンURLをエンドポイントURLとして入力します。詳しくは前のタスクの最後のステップを参照してください。
  7. ファイルの選択をクリックし、前の作業でOktaからダウンロードした公開署名証明書を選択します。この証明書は、PEMファイルでなければなりません。それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他の追加テキストが含まれることになります。
  8. 保存してアクティブ化をクリックします。
  9. ログインオーセンティケーターを開きます。
  10. エンティティIDACS URLの2つの読み取り専用フィールドが追加で表示されていることに気がつくでしょう。この値をメモしておきます。それらはCXone値をOktaに追加するタスクで必要になります。

OpenID ConnectOktaアプリケーションを設定します。

  1. Okta管理アカウントにログインします。
  2. アプリケーションメニュー>アプリ統合の作成をクリックします。
  3. サインイン方法としてOIDC - OpenID Connectを選択します。
  4. Webアプリケーションアプリケーションタイプとして選択し、次へをクリックします。
  5. アプリ統合名フィールドに、この統合を識別するために使用する名前を入力します。
  6. この時点ではわからないサインインリダイレクトURIを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。この値は、後で受け取ったURIと変更します。
  7. この時点ではわからないサインアウトリダイレクトURIを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。この値は、後で受け取ったURIと変更します。
  8. 制御されたアクセスドロップダウンで、今はグループ割り当てをスキップを選択します。
  9. 保存をクリックします。
  10. 一般タブのクライアント資格情報の下にあるクライアント認証を選択します。
  11. 次のいずれかの認証方法を選択します:
    1. client_secret_basic:クライアント資格情報は、認証時に基本ヘッダーで渡されます。この方法を選択したら、以下のように設定します:
      1. クライアントシークレットとして、クライアント認証を選択します。
      2. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。CXoneでログイン認証コードを設定する際に、これらを使用する必要があります。
    2. client_secret_post:認証時にクライアント資格情報は本文で渡されます。この方法を選択したら、以下のように設定します:
      1. クライアントシークレットとして、クライアント認証を選択します。
      2. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。CXoneでログイン認証コードを設定する際に、これらを使用する必要があります。
    3. client_secret_jwt:JWTベアラートークンはクライアント認証に使われます。この方法を選択したら、以下のように設定します:
      1. クライアントシークレットとして、クライアント認証を選択します。
      2. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。CXoneでログイン認証コードを設定する際に、これらを使用する必要があります。
    4. private_key_jwt:JWTベアラートークンはクライアント認証に使われます。JWTは、後のステップで提供するクライアント秘密キーによって署名されます。この方法を選択したら、以下のように設定します:
      1. 公開キー/秘密キーとして、クライアント認証を選択します。
      2. 公開キーの追加フィールドにプレースホルダー公開キーを入力します。ログイン認証コードを設定する際に、プレースホルダをCXoneから提供されるキーで置き換える必要があります。
  12. 割り当てタブで、割り当てをクリックし、社員に割り当てをクリックします。
  13. このアプリケーションにユーザーを割り当てます。

CXoneOpenID Connectでのログイン認証コードを設定します

  1. アプリセレクターをクリックして、選択Admin

  2. ログイン認証コードをクリックします。

  3. 新規作成をクリックするか、編集するログイン認証コードを選択します。
  4. ログイン認証コードの名前説明を入力します。
  5. OIDC認証タイプとして選択します。
  6. ユーザーが特定のIPアドレスからログインすることを要求する場合は、前のセクションで設定した場所を選択します。

  7. Oktaのディスカバリーエンドポイントがある場合は、ディスカバー設定をクリックします。検出エンドポイントを入力し、検出をクリックします。残りのフィールドは自動的に入力されます。ディスカバー設定Salesforceディスカバリーエンドポイントでは動作しません。
  8. クライアントIDクライアントパスワードを入力します。クライアントの確認パスワードにパスワードを再入力します。クライアント識別子は、Oktaによってアカウントに割り当てたログインIDです。
  9. Oktaのディスカバリーエンドポイントがない場合は、Okta提供の発行者JsonWebKeySetエンドポイント認証エンドポイントトークンエンドポイントユーザー情報エンドポイントおよび失効エンドポイントを入力します。

  10. クライアント認証方式を選択します。選択する方法は、前のタスクで設定したものと一致していなければなりません。これは、Oktaがサポートしている認証方法でなければなりません。private_key_jwtを選択した場合、 暗号化の有効化選択し、 お客様のクライアントアサーション検証キーを入力し
  11. FICAMプロフィールを有効にするを選択して、米国政府固有の設定をオンにすることができます。このステップはFedRAMPユーザーだけが対象です。
  12. ログイン認証コード作成 をクリックして、提供された情報を検証し、CXoneアカウントをOktaアカウントにリンクします。
  13. ログインオーセンティケーターを開きます。
  14. サインインリダイレクトURIサインアウトリダイレクトURI。それらはOkta設定を更新するために必要です。

  15. Okta設定を更新し、前のタスクで使用したプレースホルダーを、先ほど説明した値に置き換えます。

  16. ログイン認証コードを使用する各ユーザーのCXone外部アイデンティティが正しい値に設定されていることを確認します。

    Oktaは、使用しなければならない値を決定します。これは、Oktaのユーザープロファイルで確認できます。この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。このフィールドの値は次の形式でなければなりません:claim(email):{email configured by your IdP}。たとえば、IdPにあるユーザーのEメールがnick.carraway@classics.com の場合、 claim(email):nickcarraway@classics.comと入力するはずです。

  17. ユーザーにCXoneにログインしてもらいます。最新のログインURLを使用する必要があります。ユーザー名を入力後、必要に応じて Oktaに誘導されます。

  18. Oktaに自分のアカウントを認証するよう求められたら、現在ログインしているCXoneアカウントに関連付けたいユーザーとして認証します。
  19. CXoneOpenID Connect設定が検証済みとして表示されない場合、Oktaのログを使用して問題を診断してください。

ログイン認証機能にユーザーを割り当てる

  1. アプリセレクターをクリックして、選択Admin.
  2. ユーザーをクリックします。

  3. ログイン認証機能に割り当てるユーザーを選択するか、新規作成をクリックして、 新規ユーザーを作成します

  4. 全般タブで、編集をクリックします。

  5. セキュリティセクションで、ログイン認証機能ドロップダウンから、以前に作成したログイン認証機能を選択します。

  6. 完了をクリックします。

CXone値をOktaに追加する

  1. Oktaアプリケーションに戻り、一般タブに移動します。
  2. SAML設定ウィンドウで編集 をクリックし、 をクリックします。
  3. シングルサインオンURLには、CXoneログイン認証コードのACS URL値を入力します。
  4. オーディエンスURI(SPエンティティID)には、 CXoneログイン認証コードで取得したエンティティID値を入力します。
  5. をクリックし、 終了をクリックして、変更を完了します。

Oktaシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各ユーザー外部アイデンティティが正しい値に設定されていることを確認します。この値はCXoneフェデレーションアイデンティティに正確に一致する必要があります。外部アイデンティティフィールドは、大文字と小文字を区別します。

  2. 1人以上のテストユーザーに、最新のログインURL、https://cxone.niceincontact.comでログインしてもらう。FedRAMPの場合は、https://cxone-gov.niceincontact.com。ユーザー名を入力後、必要に応じて Oktaに誘導されます。

  3. 準備ができたら、Oktaシングルサインオンをすべてのユーザーに展開します。

セキュリティプロファイルを作成

必須の権限: セキュリティプロファイルの作成

  1. 次のいずれかの方法を使用して、セキュリティプロファイルを作成し、名前を付けます。

    • 新しい空白のセキュリティプロファイルを作成するには:

      1. アプリセレクターをクリックして、選択Admin
      2. セキュリティプロファイルに移動します。
      3. 新規作成をクリックします。

      4. セキュリティプロファイルの一意の名前を入力します。

      5. 必要に応じて説明を入力します。

      6. 作成で、空白のセキュリティプロファイルを選択します。

    • 既存のセキュリティプロファイルをコピーする新しいセキュリティプロファイルをすばやく作成するには、次の手順に従います。

      1. アプリセレクターをクリックして、選択Admin
      2. セキュリティプロファイルに移動します。
      3. コピーするセキュリティプロファイルを開きます。

      4. コピーをクリックします。

      5. セキュリティプロファイルの一意の名前を入力します。

      6. 必要に応じて説明を入力します。

  2. 次へをクリックします。

  3. ユーザーに付与する各製品と機能の権限を有効にします。ユーザー設定やセキュリティなど、一部の権限はグループ化されています。グループ内の権限を表示するには、グループ名の横にある個別をクリックします。

  4. 次へをクリックします。

  5. ユーザーに付与する各レポートの権限を有効にします。

  6. 次へをクリックします。

  7. キャンペーン閉じた レポートの実行に使用されるスキルのグループ。、チーム、割り当て可能なプロファイル、グループ、および事業単位閉じた テクニカルサポート、請求、およびCXone環境のグローバル設定の管理に使用される高レベルの組織グループによるデータアクセスを制限します。データタイプごとに、ユーザーにそのタイプのすべてのデータと将来のデータにアクセスさせるか、なしカスタムのいずれかを選択します。

  8. データ型にカスタムを選択した場合は、ポップアップウィンドウを使用して、ユーザーがアクセスできるそのデータ型のエンティティを指定します。完了をクリックします。

    新しいキャンペーン、チーム、セキュリティプロファイル、グループ、および事業単位は、作成時にカスタムリストに自動的に追加されません。ユーザーに新しいデータへのアクセスを許可する場合は、カスタムリストを更新する必要があります。

  9. 次へをクリックします。
  10. セキュリティプロファイルの作成をクリックします。

ユーザーの作成または編集

必須の権限: ユーザーの作成

既存のCXone事業単位に対して外部IdPによる認証を設定する場合、新しいユーザーアカウントを作成する必要はありません。ユーザーアカウントを編集し、外部ID タイプ統合ID フィールドを設定する必要があります。これは、外部IdPを経由して認証する各ユーザーに対して行う必要があります。フィールドについては、このタスクのステップ4で説明しています。

新しいユーザーを作成する場合、新しい個別ユーザーを作成するか、同時に複数の新しいユーザーアカウントをアップロードするかを選択できます。ここでは、Adminアプリケーションで単一のユーザを作成する手順について説明します。複数のユーザーを同時に作成または編集する手順については、複数のユーザーを一度に管理をご覧ください。

CXoneには多くのオプションと設定が用意されており、ユーザをカスタマイズすることができます。開始する前に、このタスク全体に目を通して、構成する必要がある設定を確認しておくことをお勧めします。

  1. アプリセレクターをクリックして、選択Admin.
  2. ユーザーをクリックします。

  3. 次のいずれかの方法で新しいユーザー作成フォームを開きます。

    • 空白のフォームで新しいユーザーを作成する場合は、新規作成をクリックし、シングルユーザーを選択します。
    • 既存のユーザーのプロファイルに基づいて新しいユーザーを作成する場合は、そのユーザーのプロファイルを開いてコピーをクリックします。
  4. ユーザーのメールアドレスユーザー名(メールアドレスの形式)、セキュリティプロファイルチームユーザーが使用する(タイムゾーン)、を入力します。フィールドが利用可能な場合は、パスワードおよびパスワードの確認フィールドを使用してパスワードを設定します。ユーザープロファイルに追加するその他の情報を入力します。

  5. ログイン認証コード(LA)を選択します。

    すべてのユーザーをログイン認証コードに割り当てなければ、彼らはCXoneにログインできません。

    LAの種類によって、CXoneへユーザーののログイン方法が決まります。ログイン認証コードは2タイプ設定できます。

    システムLAシステムLAに割り当てられたユーザーは、CXoneが管理する資格情報を使ってログインします。

    外部LA外部LAに割り当てられたユーザーは、外部アイデンティティープロバイダー(IdP)を通じてログインを完了します。外部LAはSAML 2.0またはOpenID Connectのいずれかで構成されます。

  6. 統合ソフトフォン(WebRTC)カスタムURLを有効にしている場合は、必要に応じて統合ソフトフォンのURLURLの重みを構成します。

  7. 保存して続行をクリックします。
  8. 各チャネルのユーザーの拒否タイムアウト、デフォルトのダイヤルパターン、およびエージェントの音声しきい値を設定します。必要に応じて、[呼び出し音の抑制]を選択します- Personal Connection

  9. 環境が静的配信用に有効になっている場合、同時チャット数自動パーク済Eメールのデフォルト数を設定します。ユーザーがコンタクトをリクエストできるかどうかを指定します。

  10. お客様の環境が動的配信用に有効になっている場合、ユーザーがチャネルごとに処理できる同時コンタクトの最大数を設定します。詳細な動的配信設定を有効にしている場合は、ユーザーの配信モード合計連絡先数を設定します。

  11. WFOCXone以外に(Uptivity WFOなど)WFO統合を有効にしていて、記録を設定する場合は、 システムドメインシステムユーザー名および電話を入力します。

  12. MAXバージョンセクションでは、このユーザーに使用させるMAXのバージョンを指定することができます。
  13. CXone WFMを有効にしている場合は、エージェントの通知を設定します。

  14. あなたが持っている場合NICE CXone WFOをCRMと統合する場合は、エージェントのCRMユーザー名をユーザーに関連付けます。

  15. 保存をクリックします。

アプリケーションの認証

ユーザーとアプリケーションは、非常によく似た方法で認証されます。主な違いは、アプリケーションはアクセスキーで認証されるのに対し、ユーザーはユーザー名とパスワードで認証されることです。ユーザーと違って、アプリケーションはブラウザーを通してやりとりする必要はありません。アプリケーションは通常、バックオフィス機能またはインテリジェントバーチャルエージェント閉じた 人工知能に基づいてユーザーと対話するチャットボットまたは類似のアプリケーション(IVA)です。

CXoneとやり取りするアプリケーションを設定するには、ユーザープロファイルとを作成し、アプリケーションにちなんでプロファイルに名前を付けます。次に、アプリケーションユーザーのアクセスキーを以下のように作成します。

CXoneでの認可

認可は、ユーザーがどのリソースへのアクセスを許可されているかを確認するプロセスです。リソースには、アプリケーション、ファイル、データが含まれます。ロールベースのアクセスコントロールにより、ユーザーのリソースへのアクセスを定義できます。CXoneは、認証時に自動的に認可を管理します。ユーザーが認証されると、認可されたリソースへのアクセスのみが許可されます。

ユーザーの認証方法は、認可に影響を与えません。CXoneは、全てのユーザーに対して同じ認可プロセスを使用します。アクセスキーで認証されるか、パスワードで認証されるかは問題ではありません。