Inlogauthenticators beheren

Inlogauthenticators bepalen hoe gebruikers inloggen bij CXone. CXone ondersteunt zowel interne als externe authenticatie op basis van de inlogauthenticator die aan de gebruiker is toegewezen en het type en de configuratie van die inlogauthenticator.

Voor meer informatie over authenticatie en autorisatie in CXone, klikt u hier.

Een systeeminlogauthenticator configureren

Vereiste machtigingen: Kan wachtwoorden beheren, Aan.

CXone bevat een standaard systeeminlogauthenticator, maar u kunt ook uw eigen inlogauthenticator maken. Nadat u een inlogauthenticator voor een bepaalde rol hebt geconfigureerd, worden bij het wachtwoordveld de geldende wachtwoordregels weergegeven wanneer een gebruiker probeert het wachtwoord in te stellen of te wijzigen.

  1. Klik op de app-kiezer en selecteer Admin.
  2. Ga naar Inlogauthenticator.

  3. Klik op Nieuwe maken.

  4. Voer een unieke Naam in voor de inlogauthenticator.

  5. Voer eventueel een Beschrijving in.

  6. Selecteer Systeem als het Authenticatietype.

    Veld

    Eigenschap
    Systeem Deze inlogauthenticator maakt gebruik van het ingebouwde inlogproces van CXone. Er wordt niet geauthenticeerd met behulp van een externe single sign-on (SSO) identiteitsprovider.
    SAML Met SAML 2.0 kunt u single sign-on instellen via een externe identiteitsprovider. CXone ondersteunt meerdere instanties van SAML 2.0. U kunt verschillende instanties toewijzen aan verschillende gebruikers.
  7. Stel uw wachtwoordcomplexiteit in.

    Elk gebruikerswachtwoord wordt gecontroleerd op basis van een opslagbibliotheek van veelgebruikte wachtwoorden. Als een gebruikerswachtwoord overeenkomt met een van de veelgebruikte wachtwoorden, wordt de betreffende gebruiker gedwongen om een nieuw wachtwoord te maken. Bepaalde wachtwoorden worden geweigerd, zoals:

    • Wachtwoorden die het woord "wachtwoord" bevatten. Bijvoorbeeld wachtwoord@1234.

    • Wachtwoorden die het e-mailadres, de gebruikersnaam, de voornaam, de achternaam of de systeemnaam van de gebruiker bevatten.

    In de volgende omstandigheden worden wachtwoorden gecontroleerd ten opzichte van deze opslagbibliotheek:

    • Een nieuwe gebruiker wordt geactiveerd.

    • Het wachtwoord van een gebruiker verloopt.

    • Een gebruiker reset het wachtwoord.

    VeldDetails
    Kleine letters (a-z) vereisenVereist dat gebruikers ten minste één kleine letter in hun wachtwoorden gebruiken.
    Hoofdletters (A-Z) vereisenVereist dat gebruikers ten minste één hoofdletter in hun wachtwoorden gebruiken.
    Cijfers (0-9) vereisenVereist dat gebruikers ten minste één cijfer in hun wachtwoorden gebruiken.
    Speciale tekens vereisen (! @ # enzovoort)Vereist dat gebruikers ten minste één niet-alfanumeriek teken in hun wachtwoorden gebruiken.

  8. Selecteer Multi-factor authenticatie vereisen als u multi-factor authenticatie wilt inschakelen. Stel uw MFA-type in als HOTP en TOTP.

    Veld Eigenschap
    Multi-factor authenticatie vereisen

    Vereist dat gebruikers naast hun wachtwoord ook een MFA-token (Multi-factor authenticatie) invoeren om in te loggen bij CXone. Een MFA-token is een eenmalig wachtwoord dat wordt gegenereerd met behulp van een hardwaretoken of een virtueel MFA-apparaat (bijvoorbeeld een app zoals Google Authenticator) dat door u beschikbaar wordt gesteld. Als u MFA inschakelt moeten gebruikers met een betreffend profiel bij hun volgende inlogsessie een geheime MFA-sleutel configureren.

    Schakel MFA niet in voor de hoofdbeheerder in uw organisatie. Als het apparaat of het geheim verloren is gegaan, kunt u het MFA-geheim alleen nog resetten door een supportticket in te dienen bij NICE CXone.
    MFA-type Geeft aan of u een TOTP- of HOTP-MFA wilt inschakelen.

  9. Stel uw wachtwoordbeleid in.

    Veld Eigenschap
    Wachtwoordlengte Geeft het minimum aantal tekens in dat gebruikers in hun wachtwoorden moeten opnemen. Als u dit bijvoorbeeld instelt op 12, moeten gebruikers ten minste 12 tekens invoeren voor elk wachtwoord. De tekens die worden vereist door de instellingen voor Wachtwoordcomplexiteit tellen mee voor het totale aantal tekens. U kunt de wachtwoordlengte instellen op een getal tussen 12 en 24.
    Wachtwoordleeftijd inschakelen Schakelt een tekstvak in waarin u kunt invoeren hoeveel dagen een gebruiker zijn/haar wachtwoord maximaal kan blijven gebruiken. Na dat specifieke aantal dagen moet de gebruiker zijn/haar wachtwoord veranderen. U kunt de wachtwoordleeftijd instellen tussen 14 en 365 dagen.
    Wachtwoordgeschiedenis inschakelen Voer het aantal unieke wachtwoorden in die een gebruiker moet instellen voordat hij/zij een nieuwe kan hergebruiken. U kunt het maximaal aantal unieke wachtwoorden instellen tussen 4 en 50. Als u bijvoorbeeld 10 ingeeft, kunnen gebruikers die zijn toegewezen aan de inlogauthenticator hun afgelopen 10 wachtwoorden niet hergebruiken als nieuw wachtwoord.

  10. Klik op Inlogauthenticator maken.

Een externe inlogauthenticator configureren

U kunt externe authenticatie gebruiken als u het wachtwoord van een gebruiker door een ander systeem of een andere identiteitsprovider wilt laten beheren. CXone ondersteunt momenteel de federatieprotocollen SAML 2.0 en OpenID Connect.

U kunt de door IdP-geïnitieerde authenticatie of de door SP-geïnitieerde authenticatie instellen met aan de hand van het stappenplan in deze sectie.

IdP-geïnitieerde authenticatie: IdP staat voor identiteitsprovider. de authenticatie (het inlogproces) wordt door de externe identiteitsprovider (IdP) gestart.

SP-geïnitieerde authenticatie: SP staat voor serviceprovider. de authenticatie (het inlogproces) wordt gestart door CXone (de SP, serviceprovider).

Als u Salesforce Agent gebruikt, moet de externe identiteitsprovider (IdP) worden geconfigureerd voor SP-geïnitieerde authenticatie. Het certificaat dat door de IdP wordt aangeleverd, moet SP-geïnitieerd zijn met een afzonderlijke eindpunt-URL. Een certificaat met Eindpunt-URL Geen - Alleen door IdP geïnitieerd zal niet werken.

Een inlogauthenticator instellen met SAML 2.0

  1. Zorg dat u toegang hebt tot de externe identiteitsprovider. U moet een integratie maken die specifiek is voor CXone.
  2. Creëer de integratie in de externe identiteitsprovider. Verschillende systemen gebruiken verschillende namen voor deze integraties; zie de specifieke instructies voor Okta of Azure.
    1. U moet een Entiteit-ID opgeven, die u op dit moment nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder.
    2. U moet een ACS URL opgeven, die u nu nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder.
    3. De identiteitsprovider genereert een specifieke URL waar SAML-verzoeken naartoe moeten worden gestuurd. Kopieer en bewaar deze URL op een plaats op waar u deze kunt terugvinden. U moet deze waarde in latere stappen invoeren.
    4. De identiteitsprovider genereert een openbaar ondertekeningscertificaat voor de integratie. Download het certificaat. U hebt het in latere stappen nodig.
  3. Maak een externe inlogauthenticator in CXone.
    1. Klik op de app-kiezer en selecteerAdmin.
    2. Klik op Beveiliging > Inlogauthenticator.
    3. Voer de Naam en de Beschrijving voor de inlogauthenticator in.
    4. Selecteer SAML als Authenticatietype.
    5. Als u FICAM selecteert, moet de SAML-reactie over een enkel AuthnContextClassRef-item beschikken. Daarnaast moet de NamespaceURI van het bevestigingsonderwerp het volgende zijn: urn:oasis:names:tc:SAML:2.0:assertion. De velden AuthnContextClassRef en NamespaceURI worden gecontroleerd door de identiteitsprovider.
    6. Voer het Eindpunt SAML-verzoek (dat u van uw provider hebt ontvangen) in bij Eindpunt-URL.
    7. Klik op Bestand kiezen en selecteer het openbare ondertekeningscertificaat dat u van uw provider hebt ontvangen. Dit bestand moet een PEM-bestand zijn. Het is een tekstbestand. De eerste regel begint met BEGIN CERTIFICATE.
    8. Klik op Opslaan en activeren.
    9. Open de inlogauthenticator.

    10. Noteer de Entiteit-ID en ACS URL. U hebt deze informatie nodig wanneer u uw IdP-instellingen wijzigt.

  4. Werk de instellingen voor uw identiteitsprovider bij en vervang de tijdelijke plaatshouders die u eerder had gebruikt door de waarden die u zojuist hebt genoteerd.

  5. Koppel de inlogauthenticator aan een gebruiker via de rol van die gebruiker.

  6. Zorg dat de Externe identiteit voor elke gebruiker die de inlogauthenticator gebruikt, op de juiste waarde is ingesteld.

    Uw identiteitsprovider bepaalt de waarde die moet worden gebruikt. De waarde moet exact overeenkomen met wat u hebt ingevoerd in het veld Externe identiteit in CXone.

  7. Laat de gebruiker inloggen met de laatste inlog-URL. Na het invoeren van de gebruikersnaam wordt de gebruiker zo nodig doorgestuurd naar de externe identiteitsprovider.

Een inlogauthenticator instellen met OpenID Connect

Als OpenID Connect nog niet is ingeschakeld in uw systeem, neem dan contact op met uw CXone-accountmanager. Deze kan OpenID Connect inschakelen en u helpen bij het instellen van een aangepaste hostnaam voor het inloggen.

Schermafbeelding van het tabblad OpenID Connect van een bedrijfseenheid in de bewerkingsmodus

  1. Als u dit nog niet hebt gedaan, configureer dan nu uw identiteitsprovider (IdP). Noteer uw Client-identificatie en uw Client-geheim. Configureer een omleidings-URI die specifiek is voor uw systeem. Deze URI is gebaseerd op de aangepaste hostnaam die u hebt geconfigureerd met uw NICE CXone accountvertegenwoordiger.

  2. Klik op de app-kiezer en selecteerAdmin

  3. Klik op Inlogauthenticator.

  4. Klik op Nieuwe maken of selecteer de inlogauthenticator die u wilt bewerken.
  5. Voer de Naam en een Beschrijving voor de inlogauthenticator in.
  6. Selecteer OIDC als Authenticatietype.
  7. Als u een detectie-eindpunt hebt voor uw IdP, klikt u op Instellingen detecteren. Voer het detectie-eindpunt in en klik op Detecteren. De overige velden worden nu voor u ingevuld.
  8. Voer uw Client-identificatie en Client-wachtwoord in. Typ het wachtwoord opnieuw bij Client-wachtwoord bevestigen. De Client-identificatie is de inlog-ID die door de IdP aan uw account is toegewezen.

  9. Als u geen detectie-eindpunt voor uw IdP hebt, voert u de volgende, door uw IdP verstrekte gegevens in: Uitgever, JsonWebKeySet-eindpunt, Autorisatie-eindpunt, Token-eindpunt, UserInfo-eindpunt en Intrekkingseindpunt.

    Veld

    Eigenschap
    Uitgever

    De URL van uw IdP zonder parameters.
    JsonWebKeySet-eindpunt De URL van de JWK-set van uw IdP.
    Autorisatie-eindpunt De URL van het OAuth 2.0-autorisatie-eindpunt van uw IdP.
    Token-eindpunt De URL van het OAuth 2.0-token-eindpunt van uw IdP.
    UserInfo-eindpunt De URL van het UserInfo-eindpunt van uw IdP.
    Intrekkingseindpunt De URL van het intrekkingseindpunt van uw IdP.
  10. Selecteer een Client-authenticatiemethode. U moet een authenticatiemethode selecteren die door uw IdP wordt ondersteund. Als u private_key_jwt selecteert, moet u Versleuteling inschakelen selecteren en uw Sleutel voor clientassertie-verificatie invoeren.
  11. U kunt FICAM-profiel inschakelen selecteren als u gebruik wilt maken van instellingen die op de Amerikaanse overheid zijn toegespitst.
  12. Klik op Inlogauthenticator maken om de opgegeven informatie te valideren en uw CXone-account aan uw IdP-account te koppelen.
  13. Wanneer uw IdP u vraagt om authenticatie, authenticeert u zich als de IdP-gebruiker die u wilt koppelen aan uw momenteel ingelogde CXone-account.
  14. Als uw OpenID Connect-instellingen in CXone iet worden weergegeven als gevalideerd, gebruikt u uw IdP-logboeken om een diagnose te stellen van het probleem.

Nieuwe gebruikers koppelen met op claim gebaseerde OpenID Connect

CXone Kan een verschillende claimwaarde gebruiken, zoals een e-mailadres, om de gebruikersidentiteit te maken bij hun eerste aanmelding. CXone schakelt vervolgens automatisch naar de unieke OpenID Connect-onderwerp-id. Hiermee kunt u de gefedereerde identiteit van een gebruiker vooraf configureren.

PKCE voor frontend-authenticatie

Misschien vindt u het lastig de autorisatiecode-flow van OpenID Connect te gebruiken. Deze flow vereist een client_secret (clientgeheim) als onderdeel van de tokenuitwisseling. Vanuit beveiligingsopzicht is het niet raadzaam het client_secret in een webapplicatie te coderen. Met OpenID Connect kan een andere flow worden gebruikt: PKCE (Proof Key for Code Exchange). PKCE gebruikt een andere authenticatiemethode. NICE CXone ondersteunt PKCE-flows voor frontend-integraties.

Gebruikers toewijzen aan de inlogauthenticator

  1. Klik op de app-kiezer en selecteerAdmin.

  2. Klik op Gebruikers.

  3. Selecteer de gebruiker die u aan de inlogauthenticator wilt toewijzen of klik op Nieuwe maken om een nieuwe gebruiker te maken.

  4. Klik in het tabblad Algemeen op Bewerken.

  5. Selecteer de zojuist gemaakte inlogauthenticator in de vervolgkeuzelijst Inlogauthenticator in de sectie Beveiliging.

  6. Klik op Gereed.