CXone-authenticatie configureren met Okta als externe identiteitsprovider

Deze pagina begeleidt u stap voor stap bij het configureren van authenticatie voor uw CXone-systeem met behulp van Okta als uw externe identiteitsprovider (IdP).

Voer de onderstaande taken in de aangegeven volgorde uit.

Voordat u begint

  • Lees eerst de algemene informatie over concepten en begrippen op het gebied van authenticatie en autorisatie, als u nog nooit een dergelijke procedure hebt uitgevoerd.
  • Lees het specifieke proces voor CXone als dit de eerste keer is dat u met authenticatie werkt in CXone.
  • Denk na over uw menselijke gebruikers en de toegangsniveaus die ze nodig hebben. Beslis of mensen met meer toegangsrechten ook een hoger beveiligingsniveau moeten krijgen.
  • Bepaal of u aangepaste wachtwoordvereisten en/of multi-factor authenticatie (MFA) wilt gebruiken om dit af te dwingen.
  • Maak een lijst van de inlogauthenticators die u nodig hebt naar aanleiding van uw beslissingen. De lijst moet de wachtwoordvereisten en de MFA-status bevatten voor elke inlogauthenticator.
  • Overweeg of u authenticatie en autorisatie moet toevoegen voor applicaties zoals bots of intelligente virtuele assistenten (IVA's). In dat geval moet u toegangssleutels genereren.
  • Maak u vertrouwd met uw authenticatieprotocol. CXone ondersteunt SAML 2.0 voor integratie met Okta.
  • Analyseer de combinatie van IdP en protocol om er zeker van te zijn dat uw gebruiksscenario's en gebruikersworkflows worden ondersteund en om eventuele problemen in kaart te brengen. Voer hierbij ook praktische tests uit.

Uw NICE CXone-team kan u ondersteunen en begeleiden bij dit planningsproces. Een goede planning zorgt voor een vlotte implementatie. Als u authenticatie en autorisatie pas implementeert wanneer zich specifieke behoeften aandienen, zal dit eerder tot problemen leiden.

Voer de onderstaande taken in de aangegeven volgorde uit.

Controleer voordat u begint of u toegang hebt tot Okta. U moet een applicatie maken.

Een Okta-applicatie maken en configureren met SAML 2.0

  1. Log in bij uw Okta-beheeraccount.
  2. Klik op het menu Applicaties > App-integratie maken.
  3. Selecteer SAML 2.0 als de methode en klik op Volgende.
  4. Voer de naam in waarmee u deze integratie wilt identificeren en klik op Volgende.
  5. SAML configureren:
    1. Voer een plaatshouder-URL in zoals https://cxone.niceincontact.com/need_to_change in het veld URL Single sign-on. U wijzigt deze tijdelijke waarde later in de URL die u nog krijgt.
    2. Voer een plaatshouder-URL in zoals https://cxone.niceincontact.com/need_to_change in het veld Publiek-URI. U wijzigt deze tijdelijke waarde later in de URI die u nog krijgt.
    3. Stel de indeling van de naam-ID en Applicatie-gebruikersnaam in zoals u uw gebruikers wilt identificeren in CXone.
    4. Klik op Geavanceerde instellingen tonen.
    5. Wijzig Bevestigingshandtekening in Niet-ondertekend. Laat Respons ingesteld op Ondertekend.
    6. Zorg dat Bevestigingsversleuteling is ingesteld op Niet versleuteld.
  6. Klik op Volgende, voltooi de feedback en klik daarna op Voltooien in het tabblad Feedback.
  7. Klik op Instructies voor SAML-configuratie weergeven om een nieuw tabblad te openen en doe daarna het volgende:
    1. Klik op Certificaat downloaden om het ondertekeningscertificaat te downloaden. Bewaar dit bestand voor uw CXone-configuratie.
    2. Kopieer de Identiteitsprovider single sign-on URL. Bewaar deze URL voor uw CXone-configuratie.
    3. Sluit het tabblad SAML-configuratie. Laat het tabblad SAML configureren open. U zult nog wijzigingen in de configuratie aanbrengen op basis van de CXone-instellingen die u hierna krijgt.

Een CXone-inlogauthenticator instellen met SAML 2.0

Vereiste machtigingen: Inlogauthenticator Maken

  1. Klik op de app-kiezer en selecteerAdmin.
  2. Klik op Inlogauthenticator.
  3. Klik op Nieuwe maken.
  4. Voer de Naam en de Beschrijving voor de inlogauthenticator in.
  5. Selecteer SAML2 als Authenticatietype.
  6. Voer de Identiteitsprovider single sign-on URL die u van Okta hebt gekregen, in als Eindpunt-URL. Raadpleeg de laatste stap van de voorafgaande taak voor meer informatie.
  7. Klik op Bestand kiezen en selecteer het openbare ondertekeningscertificaat dat u bij Okta hebt gedownload in de vorige taak. Dit certificaat moet een PEM-bestand zijn. Het is een tekstbestand. De eerste regel begint met BEGIN CERTIFICATE met wat extra tekst.
  8. Klik op Opslaan en activeren.
  9. Open de inlogauthenticator.
  10. U zult zien dat er twee extra alleen-lezen velden worden weergegeven: Entiteit-ID en ACS URL. Noteer deze waarden. U hebt ze nodig bij de taak CXone-waarden toevoegen aan Okta.

Een Okta-applicatie configureren met OpenID Connect

  1. Log in bij uw Okta-beheeraccount.
  2. Klik op het menu Applicaties > App-integratie maken.
  3. Selecteer OIDC - OpenID Connect als de Inlogmethode.
  4. Selecteer Webapplicatie als het Applicatietype en klik op Volgende.
  5. Voer in het veld Naam app-integratie de naam in die u wilt gebruiken om deze integratie mee te identificeren.
  6. U moet een omleidings-URI voor inloggen opgeven, die u op dit moment nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder. U wijzigt deze tijdelijke waarde later in de URI die u nog krijgt.
  7. U moet een omleidings-URI voor inloggen opgeven, die u op dit moment nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder. U wijzigt deze tijdelijke waarde later in de URI die u nog krijgt.
  8. Selecteer in de vervolgkeuzelijst Gecontroleerde toegang Groeptoewijzing voor nu overslaan.
  9. Klik op Opslaan.
  10. Selecteer op het tabblad Algemeen onder Client Credentials Clientauthenticatie.
  11. Selecteer een van de volgende authenticatiemethoden:
    1. client_secret_basic: client credentials worden doorgegeven in een basisheader gedurende authenticatie. Configureer het volgende nadat u de methode heeft gekozen:
      1. Selecteer Clientauthenticatie als het Klantgeheim.
      2. Kopieer de client-ID en het Klantgeheim en plak deze op een veilige plaats op uw apparaat. U moet ze gebruiken wanneer u een inlogauthenticator configureert in CXone.
    2. client_secret_post: client credentials worden doorgegeven in een body gedurende authenticatie. Configureer het volgende nadat u de methode heeft gekozen:
      1. Selecteer Clientauthenticatie als het Klantgeheim.
      2. Kopieer de client-ID en het Klantgeheim en plak deze op een veilige plaats op uw apparaat. U moet ze gebruiken wanneer u een inlogauthenticator configureert in CXone.
    3. client_scret_jwt: JWT bearer-tokens worden gebruikt voor clientauthenticatie. Configureer het volgende nadat u de methode heeft gekozen:
      1. Selecteer Clientauthenticatie als het Klantgeheim.
      2. Kopieer de client-ID en het Klantgeheim en plak deze op een veilige plaats op uw apparaat. U moet ze gebruiken wanneer u een inlogauthenticator configureert in CXone.
    4. private_key_jwt: JWT bearer-tokens worden gebruikt voor clientauthenticatie. Het JWT is ondertekend door de Persoonlijke sleutel van de klant die u in latere stappen zult leveren. Configureer het volgende nadat u de methode heeft gekozen:
      1. Selecteer Clientauthenticatie als de Openbare sleutel/Persoonlijke sleutel.
      2. Voer een plaatshoudende openbare sleutel in in het veld Openbare sleutel toevoegen. U moet de plaatshouder vervangen met de sleutel die wordt aangeboden door CXone wanneer u uw inlogauthenticator configureert.
  12. Klik op het tabblad toewijzingen op Toewijzen en vervolgens op Toewijzen aan personen.
  13. Wijs gebruikers toe aan deze applicatie.

Een inlogauthenticator configureren met OpenID Connect in CXone

  1. Klik op de app-kiezer en selecteerAdmin

  2. Klik op Inlogauthenticator.

  3. Klik op Nieuwe maken of selecteer de inlogauthenticator die u wilt bewerken.
  4. Voer de Naam en een Beschrijving voor de inlogauthenticator in.
  5. Selecteer OIDC als Authenticatietype.
  6. Als u gebruikers wilt verplichten om vanaf een bepaald IP-adres in te loggen, selecteert u de Locatie die u in het vorige gedeelte hebt ingesteld.

  7. Als u een detectie-eindpunt hebt uit Okta, klik dan op Instellingen detecteren. Voer het detectie-eindpunt in en klik op Detecteren. De overige velden worden nu voor u ingevuld. Instellingen detecteren werkt niet met detectie-eindpunten van Salesforce.
  8. Voer uw Client-identificatie en Client-wachtwoord in. Typ het wachtwoord opnieuw bij Client-wachtwoord bevestigen. De Client-identificatie is de Inlog-ID die aan uw account is toegewezen door Okta.
  9. Als u geen detectie-eindpunt hebt uit Okta, voer dan de volgende, door uw Okta verstrekte gegevens in: Uitgever, JsonWebKeySet Endpoint, Autorisatie-eindpunt, Token-eindpunt, UserInfo-eindpunt en Intrekkingseindpunt.

  10. Selecteer een Client-authenticatiemethode. De methode die u selecteert moet overeenkomen met de methode die u in de vorige taak hebt ingesteld. Deze moet een authenticatiemethode zijn die Okta ondersteunt. Als u private_key_jwt selecteert, moet u Versleuteling inschakelen selecteren en uw Sleutel voor clientassertie-verificatie invoeren.
  11. U kunt FICAM-profiel inschakelen selecteren om instellingen in te schakelen die specifiek conformeren aan richtlijnen opgesteld door de VS. Deze stap is alleen voor FedRAMP-gebruikers.
  12. Klik op Inlogauthenticator maken om de opgegeven informatie te valideren en om uw CXone-account aan uw Okta-account te koppelen.
  13. Open de inlogauthenticator.
  14. Noteer de Omleidings-URI Inloggen en de Omleidings-URI Uitloggen. Deze hebt u nodig om uw Okta-instellingen bij te werken.

  15. Werk uw Okta-instellingen bij en vervang de plaatshouder die u in de vorige taak hebt gebruikt met de waarden die u zojuist hebt genoteerd.

  16. Zorg dat de CXone Externe identiteit voor elke gebruiker die de inlogauthenticator gebruikt, op de juiste waarde is ingesteld.

    Okta bepaalt de waarde die gebruikt moet worden. Deze kan teruggevonden worden in het profiel van de gebruiker in Okta. De waarde moet exact overeenkomen met wat u hebt ingevoerd in het veld Externe identiteit in CXone. De waarde van dit veld moet de volgende indeling hebben: claim(email):{e-mail dat door uw IdP geconfigureerd is}. Als het e-mailadres van de gebruiker in de IdP bijvoorbeeld nick.carraway@classics.com is, voert u claim(email):nickcarraway@classics.com in.

  17. Laat de gebruiker inloggen bij CXone. Hiervoor moet de meest recente inlog-URL gebruikt worden. Na het invoeren van de gebruikersnaam worden ze zo nodig doorgestuurd naar Okta.

  18. Wanneer Okta u vraagt om authenticatie, authenticeert u zich als de gebruiker in die u wilt koppelen aan uw momenteel ingelogde CXone-account.
  19. Als uw OpenID Connect-instellingen in CXone niet worden weergegeven als gevalideerd, dan moet u de logboeken van Okta gebruiken om een diagnose te stellen van het probleem.

Gebruikers toewijzen aan de inlogauthenticator

  1. Klik op de app-kiezer en selecteerAdmin.
  2. Klik op Gebruikers.

  3. Selecteer de gebruiker die u aan de inlogauthenticator wilt toewijzen of klik op Nieuwe maken om een nieuwe gebruiker te maken.

  4. Klik in het tabblad Algemeen op Bewerken.

  5. Selecteer de zojuist gemaakte inlogauthenticator in de vervolgkeuzelijst Inlogauthenticator in de sectie Beveiliging.

  6. Klik op Gereed.

CXone-waarden toevoegen aan Okta

  1. Ga terug naar uw Okta-applicatie en open het tabblad Algemeen.
  2. Klik op Bewerken in het venster SAML-instellingen en klik op Volgende.
  3. Typ bij Single sign-on URL de ACS URL van uw CXone-inlogauthenticator.
  4. Voer bij Audience URI (SP Entiteit-ID) de Entiteit-ID in van uw CXone-inlogauthenticator.
  5. Klik op Volgende en klik vervolgens op Voltooien om de wijziging door te voeren.

Gebruikerstoegang verifiëren met Okta Single Sign-on

  1. Zorg dat de Externe identiteit op de juiste waarde is ingesteld voor elke gebruiker die de inlogauthenticator gebruikt. De waarde moet exact overeenkomen met de Federatieve identiteit in CXone. Het veld Externe identiteit is hoofdlettergevoelig.

  2. Laat een of meer testgebruikers inloggen met de laatste Login-URL, https://cxone.niceincontact.com. Gebruik voor FedRAMP https://cxone-gov.niceincontact.com. Na het invoeren van de gebruikersnaam worden ze zo nodig doorgestuurd naar Okta.

  3. Wanneer u klaar bent, rolt u Okta single sign-on uit naar alle gebruikers.

Beveiligingsprofielen maken

Vereiste machtigingen: Beveiligingsprofiel maken

  1. Gebruik een van de volgende methoden om het beveiligingsprofiel aan te maken en geef het een naam:

    • Zo maakt u een nieuw, blanco beveiligingsprofiel:

      1. Klik op de app-kiezer en selecteerAdmin.
      2. Ga naar Beveiligingsprofielen.
      3. Klik op Nieuwe maken.

      4. Voer een unieke Naam in voor het beveiligingsprofiel.

      5. Voer eventueel een Beschrijving in.

      6. Selecteer bij Maken een blanco beveiligingsprofiel.

    • Zo kunt u snel een nieuw beveiligingsprofiel maken door een bestaand profiel te kopiëren:

      1. Klik op de app-kiezer en selecteerAdmin.
      2. Ga naar Beveiligingsprofielen.
      3. Open het beveiligingsprofiel dat u wilt kopiëren.

      4. Klik op Kopiëren.

      5. Voer een unieke Naam in voor het beveiligingsprofiel.

      6. Voer eventueel een Beschrijving in.

  2. Klik op Volgende.

  3. Schakel machtigingen in voor de producten en functies die uw gebruikers moeten kunnen gebruiken. Sommige machtigingen, zoals Gebruikersinstellingen en Beveiliging, zijn gegroepeerd. Als u de machtigingen binnen de groepen wilt bekijken, klikt u op Individueel naast de groepsnaam.

  4. Klik op Volgende.

  5. Schakel machtigingen in voor alle rapporten die de gebruikers moeten kunnen gebruiken.

  6. Klik op Volgende.

  7. Beperk de gegevenstoegang voor campagnesGesloten Een groep van skills die wordt gebruikt voor trendrapporten., teams, toewijsbare profielen, groepen en bedrijfseenhedenGesloten Een organisatorische eenheid die wordt gebruikt om technische ondersteuning, facturering en globale instellingen voor uw CXone-omgeving te beheren. Selecteer voor elk gegevenstype het welke vorm van gegevenstoegang u aan uw gebruikers wilt geven: toegang tot Alle en toekomstige gegevens van dit type, Geen toegang, of Aangepaste toegang.

  8. Als u Aangepast hebt geselecteerd voor een gegevenstype, gebruikt u het popup-venster om in te stellen tot welke entiteiten van dat gegevenstype de gebruikers toegang moeten krijgen. Klik op Gereed.

    Nieuwe campagnes, teams, beveiligingsprofielen, groepen en bedrijfseenheden worden niet automatisch aan aangepaste lijsten toegevoegd tijdens het aanmaken. U moet de aangepaste lijst zelf bijwerken als u wilt dat gebruikers toegang krijgen tot de nieuwe gegevens.

  9. Klik op Volgende.
  10. Klik op Beveiligingsprofiel maken.

Gebruikers maken of bewerken

Vereiste machtigingen: Gebruikers maken

Als u authenticatie met een externe IdP configureert voor een bestaande CXone-bedrijfseenheid, hoeft u geen nieuwe gebruikersaccounts aan te maken. U moet wel de gebruikersaccounts bewerken en de velden Type externe identiteit en Federatieve identiteit instellen. Dit moet u doen voor elke gebruiker die zich gaat authenticeren via de externe IdP. De velden worden toegelicht in stap 4 van deze taak.

Wanneer u nieuwe gebruikers aanmaakt, hebt u de mogelijkheid om afzonderlijk nieuwe gebruikers aan te maken of om meerdere nieuwe gebruikersaccounts gelijktijdig te uploaden. Deze instructies zijn bedoeld voor het maken van afzonderlijke gebruikers in de Admin-applicatie. Zie Meerdere gebruikers tegelijk beheren voor instructies over het maken of bewerken van meerdere gebruikers tegelijk.

CXone biedt een groot aantal opties en instellingen waarmee u uw gebruikers kunt aanpassen. Het is een goed idee om deze hele taak van tevoren door te lezen en ervoor te zorgen dat u weet welke instellingen u moet configureren.

  1. Klik op de app-kiezer en selecteerAdmin.
  2. Klik op Gebruikers.

  3. Open het formulier om nieuwe gebruikers te maken, op een van de volgende manieren:

    • Als u een nieuwe gebruiker wilt maken vanuit een leeg formulier, klikt u op Nieuwe maken en selecteert u Eén gebruiker.
    • Als u een nieuwe gebruiker wilt maken op basis van het profiel van een bestaande gebruiker, opent u het profiel van die gebruiker en klikt u op Kopiëren.
  4. Voer deze velden in: Voornaam, Achternaam, E-mailadres, Gebruikersnaam (in de vorm van een e-mailadres), Beveiligingsprofiel, Team, Gebruiker zal gebruik maken van (tijdzone), Plaats en Land. Als deze velden beschikbaar zijn, stelt u ook het wachtwoord in met behulp van de velden Wachtwoord en Wachtwoord bevestigen. Voer alle overige informatie in die u aan het gebruikersprofiel wilt toevoegen.

  5. Selecteer een inlogauthenticator.

    Alle gebruikers moeten toegewezen worden aan een inlogauthenticator, anders kunnen ze niet inloggen bij CXone.

    Het type inlogauthenticator bepaalt hoe de gebruiker moet inloggen bij CXone. U kunt de volgende twee typen inlogauthenticators instellen.

    Systeeminlogauthenticators: gebruikers die toegewezen zijn aan een systeeminlogauthenticators moeten inloggen met gegevens die beheerd zijn door CXone.

    Externe inlogauthenticators: gebruikers die toegewezen zijn aan een externe inlogauthenticator moeten inloggen via een externe identiteitsprovider (IdP). Externe inlogauthenticators worden geconfigureerd met SAML 2.0 of OpenID Connect.

  6. Als aangepaste URL's voor Integrated Softphone (WebRTC) zijn ingeschakeld, stelt u de opties Geïntegreerde softphone-URL en Gewicht URL in.

  7. Klik op Opslaan en doorgaan.
  8. Stel de Weigeringstimeouts van de gebruiker in voor elk kanaal, het standaard Nummerpatroon en de Drempelwaarde voor agentstem. Als u wilt, selecteert u Overgaan onderdrukken -Personal Connection.

  9. Als uw omgeving ingeschakeld is voor statische levering, stel dan het standaard aantal Gelijktijdige chats en Automatisch geparkeerde e-mails in. Geef aan of Contact aanvragen mogelijk is voor de gebruiker.

  10. Als uw omgeving beschikt over dynamische levering (), stelt u het maximum aantal gelijktijdige contacten in dat de gebruiker per kanaal kan verwerken. Als de gedetailleerde dynamische levering instellingen zijn ingeschakeld, stelt u de Aanleveringswijze en het Totaal aantal contacten voor de gebruiker in.

  11. Als u beschikt over een andere WFO-integratie dan CXone WFO (bijvoorbeeld Uptivity WFO) en u de opnamefunctie wilt configureren, stelt u de opties Systeemdomein, Gebruikersnaam systeem en Telefoons in.

  12. In het gedeelte MAX-versie kunt u bepalen welke versie van MAX deze gebruiker moet gebruiken.
  13. Als CXone WFM is ingeschakeld, configureert u de meldingsinstellingen voor de agent.

  14. Als u over NICE CXone WFO beschikt en u dit wilt integreren met een CRM-systeem, voert u de CRM-gebruikersnaam van de agent in om deze aan de gebruiker te koppelen.

  15. Klik op Opslaan.

Applicaties authenticeren

Gebruikers en applicaties worden op vergelijkbare manieren geauthenticeerd. Het belangrijkste verschil is dat applicaties worden geauthenticeerd met een toegangssleutel, terwijl gebruikers worden geauthenticeerd met een gebruikersnaam en wachtwoord. In tegenstelling tot gebruikers zijn applicaties niet verplicht om via een browser te communiceren. Applicaties in deze context zijn vaak backoffice-systemen of intelligente virtuele agentsGesloten Chatbot of soortgelijke applicatie die met een gebruiker communiceert op basis van kunstmatige intelligentie (IVA's).

Als u een applicatie wilt configureren voor interactie met CXone, maakt u een gebruikersprofiel en geeft u het profiel een naam die verwijst naar de applicatie. Maak vervolgens als volgt een toegangssleutel voor de applicatiegebruiker:

Autorisatie in CXone

Autorisatie is het proces om te bepalen tot welke bronnen een gebruiker toegang heeft. Bronnen zijn bijvoorbeeld applicaties, bestanden en gegevens. U kunt de toegang van gebruikers tot bronnen regelen door middel van rolgebaseerd toegangsbeheer. CXone regelt de autorisatie automatisch tijdens authenticatie. Nadat gebruikers zijn geauthenticeerd, krijgen ze alleen toegang tot de bronnen waarvoor ze zijn geautoriseerd.

De authenticatiemethode van een gebruiker heeft geen gevolgen voor de autorisatie. CXone gebruikt hetzelfde autorisatieproces voor alle gebruikers. Het maakt niet uit of ze zijn geauthenticeerd met behulp van toegangssleutels of wachtwoorden.