Inlogauthenticators beheren

Inlogauthenticators bepalen hoe gebruikers inloggen bij CXone. CXone ondersteunt zowel interne als externe authenticatie op basis van de inlogauthenticator die aan de gebruiker is toegewezen en het type en de configuratie van die inlogauthenticator.

Voor meer informatie over authenticatie en autorisatie in CXone, klikt u hier.

Een systeeminlogauthenticator configureren

Vereiste machtigingen: Kan wachtwoorden beheren, Aan.

CXone bevat een standaard systeeminlogauthenticator, maar u kunt ook uw eigen inlogauthenticator maken. Nadat u een inlogauthenticator voor een bepaalde rol hebt geconfigureerd, worden bij het wachtwoordveld de geldende wachtwoordregels weergegeven wanneer een gebruiker probeert het wachtwoord in te stellen of te wijzigen.

  1. Klik op de app-kiezer en selecteer Admin.
  2. Ga naar Inlogauthenticator.
  3. Klik op Nieuwe maken.

  4. Voer een unieke Naam in voor de inlogauthenticator.

  5. Voer eventueel een Beschrijving in.

  6. Selecteer Systeem als het Authenticatietype.

  7. Stel uw wachtwoordcomplexiteit in.

    Elk gebruikerswachtwoord wordt gecontroleerd op basis van een opslagbibliotheek van veelgebruikte wachtwoorden. Als een gebruikerswachtwoord overeenkomt met een van de veelgebruikte wachtwoorden, wordt de betreffende gebruiker gedwongen om een nieuw wachtwoord te maken. Bepaalde wachtwoorden worden geweigerd, zoals:

    • Wachtwoorden die het woord "wachtwoord" bevatten. Bijvoorbeeld wachtwoord@1234.

    • Wachtwoorden die het e-mailadres, de gebruikersnaam, de voornaam, de achternaam of de systeemnaam van de gebruiker bevatten.

    In de volgende omstandigheden worden wachtwoorden gecontroleerd ten opzichte van deze opslagbibliotheek:

    • Een nieuwe gebruiker wordt geactiveerd.

    • Het wachtwoord van een gebruiker verloopt.

    • Een gebruiker reset het wachtwoord.

  8. Selecteer Multi-factor authenticatie vereisen als u multi-factor authenticatie wilt inschakelen. Stel uw MFA-type in als HOTP en TOTP.

  9. Stel uw wachtwoordbeleid in.

  10. Klik op Inlogauthenticator maken.

Een externe inlogauthenticator configureren met SAML 2.0

U kunt externe authenticatie gebruiken als u het wachtwoord van een gebruiker door een ander systeem of een andere identiteitsprovider wilt laten beheren. CXone ondersteunt momenteel de federatieprotocollen SAML 2.0 en OpenID Connect.

U kunt de door IdP-geïnitieerde authenticatie of de door SP-geïnitieerde authenticatie instellen met aan de hand van het stappenplan in deze sectie.

IdP-geïnitieerde authenticatie: IdP staat voor identiteitsprovider. de authenticatie (het inlogproces) wordt door de externe identiteitsprovider (IdP) gestart.

SP-geïnitieerde authenticatie: SP staat voor serviceprovider. de authenticatie (het inlogproces) wordt gestart door CXone (de SP, serviceprovider).

Als u Salesforce Agent gebruikt, moet de externe identiteitsprovider (IdP) worden geconfigureerd voor SP-geïnitieerde authenticatie.

  1. Zorg dat u toegang hebt tot de externe identiteitsprovider. U moet een integratie maken die specifiek is voor CXone.
  2. Creëer de integratie in de externe identiteitsprovider. Verschillende systemen gebruiken verschillende namen voor deze integraties; zie de specifieke instructies voor Okta of Azure.
    1. U moet een Entiteit-ID opgeven, die u op dit moment nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder.
    2. U moet een ACS URL opgeven, die u nu nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder.
    3. De identiteitsprovider genereert een specifieke URL waar SAML-verzoeken naartoe moeten worden gestuurd. Kopieer en bewaar deze URL op een plaats op waar u deze kunt terugvinden. U moet deze waarde in latere stappen invoeren.
    4. De identiteitsprovider genereert een openbaar ondertekeningscertificaat voor de integratie. Download het certificaat. U hebt het in latere stappen nodig.
  3. Maak een externe inlogauthenticator in CXone.
    1. Klik op de app-kiezer en selecteerAdmin.
    2. Klik op Beveiliging > Inlogauthenticator.
    3. Voer de Naam en de Beschrijving voor de inlogauthenticator in.
    4. Selecteer SAML als Authenticatietype.
    5. Als u FICAM selecteert, moet de SAML-reactie over een enkel AuthnContextClassRef-item beschikken. Daarnaast moet de NamespaceURI van het bevestigingsonderwerp het volgende zijn: urn:oasis:names:tc:SAML:2.0:assertion. De velden AuthnContextClassRef en NamespaceURI worden gecontroleerd door de identiteitsprovider.
    6. Voer het Eindpunt SAML-verzoek (dat u van uw provider hebt ontvangen) in bij Eindpunt-URL.
    7. Klik op Bestand kiezen en selecteer het openbare ondertekeningscertificaat dat u van uw provider hebt ontvangen. Dit bestand moet een PEM-bestand zijn. Het is een tekstbestand. De eerste regel begint met BEGIN CERTIFICATE.
    8. Klik op Opslaan en activeren.
    9. Open de inlogauthenticator.
    10. Noteer de Entiteit-ID en ACS URL. U hebt deze informatie nodig wanneer u uw IdP-instellingen wijzigt.

  4. Werk de instellingen voor uw identiteitsprovider bij en vervang de tijdelijke plaatshouders die u eerder had gebruikt door de waarden die u zojuist hebt genoteerd.

  5. Zorg dat de Externe identiteit voor elke gebruiker die de inlogauthenticator gebruikt, op de juiste waarde is ingesteld.

    Uw identiteitsprovider bepaalt de waarde die moet worden gebruikt. De waarde moet exact overeenkomen met wat u hebt ingevoerd in het veld Externe identiteit in CXone.

  6. Laat de gebruiker inloggen met de laatste inlog-URL. Na het invoeren van de gebruikersnaam wordt de gebruiker zo nodig doorgestuurd naar de externe identiteitsprovider.

Externe inlogauthenticators maken met OpenID Connect

Vereiste machtigingen: Inlogauthenticator Maken

U kunt externe authenticatie gebruiken als u het wachtwoord van een gebruiker door een ander systeem of een andere identiteitsprovider wilt laten beheren. CXone ondersteunt momenteel de federatieprotocollen SAML 2.0 en OpenID Connect.

U kunt de door IdP-geïnitieerde authenticatie of de door SP-geïnitieerde authenticatie instellen met aan de hand van het stappenplan in deze sectie.

IdP-geïnitieerde authenticatie: IdP staat voor identiteitsprovider. de authenticatie (het inlogproces) wordt door de externe identiteitsprovider (IdP) gestart.

SP-geïnitieerde authenticatie: SP staat voor serviceprovider. de authenticatie (het inlogproces) wordt gestart door CXone (de SP, serviceprovider).

Als u Salesforce Agent gebruikt, moet de externe identiteitsprovider (IdP) worden geconfigureerd voor SP-geïnitieerde authenticatie.

  1. Zorg dat u toegang hebt tot de externe identiteitsprovider. U moet een integratie maken die specifiek is voor CXone.
  2. Creëer de integratie in de externe identiteitsprovider.
    1. U moet een omleidings-URI voor inloggen opgeven, die u op dit moment nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder.
    2. U moet een omleidings-URI voor inloggen opgeven, die u op dit moment nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder.
    3. De Identiteitsprovider genereert een client-ID en Klantgeheim. Kopieer deze waarden en sla ze op waar u ze gemakkelijk kunt terugvinden. U moet deze in latere stappen invoeren.
  3. Maak een externe inlogauthenticator in CXone.
    1. Klik op de app-kiezer en selecteerAdmin.

    2. Klik op Inlogauthenticator.

    3. Klik op Nieuwe maken of selecteer de inlogauthenticator die u wilt bewerken.
    4. Voer de Naam en een Beschrijving van de inlogauthenticator in.
    5. Selecteer OIDC als het Authenticatietype.
    6. Als u een detectie-eindpunt hebt voor uw IdP, klik dan op Instellingen detecteren. Voer het detectie-eindpunt in en klik op Detecteren. De overige velden worden nu voor u ingevuld. Instellingen detecteren werkt niet met detectie-eindpunten van Salesforce.
    7. Voer uw Client-identificatie en Client-wachtwoord in. Typ het wachtwoord opnieuw bij Client-wachtwoord bevestigen. De Client-identificatie is de inlog-ID die door de IdP aan uw account is toegewezen.
    8. Als u geen detectie-eindpunt voor uw IdP hebt, voert u de volgende, door uw IdP verstrekte gegevens in: Uitgever, JsonWebKeySet-eindpunt, Autorisatie-eindpunt, Token-eindpunt, UserInfo-eindpunt, Intrekkingseindpunt en Einde eindpunt sessie.

    9. Selecteer een Client-authenticatiemethode. U moet een authenticatiemethode selecteren die door uw IdP wordt ondersteund. Als u private_key_jwt selecteert, moet u Versleuteling inschakelen selecteren en uw Sleutel voor clientassertie-verificatie invoeren.
    10. U kunt FICAM-profiel inschakelen selecteren als u gebruik wilt maken van instellingen die op de Amerikaanse overheid zijn toegespitst.
    11. Klik op Inlogauthenticator maken om de opgegeven informatie te valideren en uw CXone-account aan uw IdP-account te koppelen.
    12. Open de inlogauthenticator.
    13. Noteer de Omleidings-URI Inloggen en de Omleidings-URI Uitloggen. U hebt deze informatie nodig wanneer u uw IdP-instellingen wijzigt.

  4. Werk de instellingen voor uw identiteitsprovider bij en vervang de tijdelijke plaatshouders die u eerder had gebruikt door de waarden die u zojuist hebt genoteerd.

  5. Zorg dat de Externe identiteit voor elke gebruiker die de inlogauthenticator gebruikt, op de juiste waarde is ingesteld.

    Uw identiteitsprovider bepaalt de waarde die moet worden gebruikt. De waarde moet exact overeenkomen met wat u hebt ingevoerd in het veld Externe identiteit in CXone. De waarde van dit veld moet de volgende indeling hebben: claim(email):{e-mail dat door uw IdP geconfigureerd is}. Als het e-mailadres van de gebruiker in de IdP bijvoorbeeld nick.carraway@classics.com is, voert u claim(email):nickcarraway@classics.com in.

  6. Laat de gebruiker inloggen met de laatste inlog-URL. Na het invoeren van de gebruikersnaam wordt de gebruiker zo nodig doorgestuurd naar de externe identiteitsprovider.

  7. Wanneer uw IdP u vraagt om authenticatie, authenticeert u zich als de IdP-gebruiker die u wilt koppelen aan uw momenteel ingelogde CXone-account.
  8. Als uw OpenID Connect-instellingen in CXone iet worden weergegeven als gevalideerd, gebruikt u uw IdP-logboeken om een diagnose te stellen van het probleem.

Nieuwe gebruikers koppelen met op claim gebaseerde OpenID Connect

CXone Kan een verschillende claimwaarde gebruiken, zoals een e-mailadres, om de gebruikersidentiteit te maken bij hun eerste aanmelding. CXone schakelt vervolgens automatisch naar de unieke OpenID Connect-onderwerp-id. Hiermee kunt u de gefedereerde identiteit van een gebruiker vooraf configureren.

PKCE voor frontend-authenticatie

Misschien vindt u het lastig de autorisatiecode-flow van OpenID Connect te gebruiken. Deze flow vereist een client_secret (clientgeheim) als onderdeel van de tokenuitwisseling. Vanuit beveiligingsopzicht is het niet raadzaam het client_secret in een webapplicatie te coderen. Met OpenID Connect kan een andere flow worden gebruikt: PKCE (Proof Key for Code Exchange). PKCE gebruikt een andere authenticatiemethode. NICE CXone ondersteunt PKCE-flows voor frontend-integraties.

Gebruikers toewijzen aan de inlogauthenticator

  1. Klik op de app-kiezer en selecteerAdmin.
  2. Klik op Gebruikers.

  3. Selecteer de gebruiker die u aan de inlogauthenticator wilt toewijzen of klik op Nieuwe maken om een nieuwe gebruiker te maken.

  4. Klik in het tabblad Algemeen op Bewerken.

  5. Selecteer de zojuist gemaakte inlogauthenticator in de vervolgkeuzelijst Inlogauthenticator in de sectie Beveiliging.

  6. Klik op Gereed.