Gerenciar autenticadores de login

Os autenticadores de login controlam como os usuários fazem login CXone. CXone suporta autenticação interna e externa com base no autenticador de login atribuído ao usuário e no tipo e configuração desse autenticador de login.

Para obter mais informações sobre autenticação e autorização em CXone, clique aqui .

Configurar um autenticador de login do sistema

Permissoes necessárias: Pode gerenciar senhas, ativo

CXone inclui um autenticador de login do sistema padrão, mas você também pode criar o seu próprio. Depois de configurar um autenticador de login para uma função específica, o campo de senha exibe as regras do autenticador de login configuradas quando um usuário tenta definir ou alterar a senha.

  1. Clique no seletor de aplicativo e selecione Admin.
  2. Vá para Autenticador de login.

  3. Clique em Criar Novo.

  4. Insira um exclusivo Nome para o autenticador de login.

  5. Introduzir um Descrição se você quiser.

  6. Selecione Sistema como o Tipo de Autenticação.

    Campo

    Detalhes
    Sistema O autenticador de login usa o processo de login embutido de CXone. Ele não autentica usando um provedor de identidade de logon único (SSO) externo.
    SAML O SAML 2.0 permite configurar o logon único por meio de um provedor de identidade externo. O CXone suporta várias instâncias de SAML 2.0. Você pode atribuir diferentes instâncias a diferentes usuários.
  7. Defina a complexidade da senha.

    A senha de cada usuário é verificada de acordo com um repositório de senhas comumente usadas. Se a senha deles for igual a uma das senhas comumente usadas, eles serão forçados a criar uma nova senha. Algumas senhas rejeitadas são:

    • Qualquer senha que inclua a palavra “senha”. Por exemplo, Senha@1234.

    • Qualquer senha que inclua o endereço de e-mail, nome de usuário, nome, sobrenome ou nome do sistema do usuário.

    As senhas são verificadas de acordo com esse repositório sempre que:

    • Um novo usuário é ativado.

    • A senha de um usuário expira.

    • Um usuário redefine a senha.

    CampoDetalhes
    Exigir minúsculas (a-z)Requer que os usuários usem pelo menos uma letra minúscula em suas senhas.
    Exigir maiúsculas (A-Z)Requer que os usuários usem pelo menos uma letra maiúscula em suas senhas.
    Exigir numérico (0-9)Requer que os usuários usem pelo menos um número em suas senhas.
    Requer não alfanumérico (!, @, #, etc.)Requer que os usuários usem pelo menos um caractere não alfanumérico em suas senhas.

  8. Se você quiser habilitar a autenticação multifator, selecione Exigir autenticação multifator. Defina seu Tipo MFA como HOTP e TOTP.

    Campo Detalhes
    Exige Autenticação Multi-Fator

    Requer que os usuários insiram um token de autenticação multifator (MFA), além de uma senha para efetuar login no CXone. Um token MFA é uma senha descartável gerada por um token de hardware ou dispositivo MFA virtual (por exemplo, um aplicativo como o Google Authenticator) que você fornece. Quando você ativa o MFA, os usuários com o perfil afetado devem configurar uma chave secreta do MFA na próxima vez que fizerem login.

    Você não deve ativar o MFA para o administrador principal em sua organização. Se o dispositivo ou segredo for perdido, a única maneira de redefinir o Segredo MFA é registrar um ticket com NICE CXone.
    Tipo MFA Especifica se você deseja ativar o MFA TOTP ou HOTP.

  9. Defina sua política de senha.

    Campo Detalhes
    Comprimento da senha Insira o número mínimo de caracteres totais que os usuários devem incluir em suas senhas. Por exemplo, se você digitar 12, os usuários deverão incluir pelo menos 12 caracteres no total em cada senha. Os caracteres necessários nas configurações de Complexidade da senha contam para a contagem total de caracteres. Você pode definir o comprimento da senha em qualquer número entre 12 e 24.
    Habilitar Idade da Senha Ativa uma caixa de texto onde você pode inserir o número máximo de dias que um usuário pode manter uma senha. Após o número de dias especificado, o usuário deve alterar sua senha. Você pode definir a idade da senha entre 14 e 365 dias.
    Habilitar histórico de senha Insira o número de senhas exclusivas que um usuário deve definir antes de poder reutilizar uma senha antiga. Você pode definir o histórico de senhas entre 4 e 50 dias. Por exemplo, se você definir 10, os usuários atribuídos ao autenticador de login não poderão usar nenhuma de suas últimas 10 senhas como sua nova senha.

  10. Clique em Criar Autenticador de Login.

Configurar um autenticador de login externo

Você pode usar a autenticação externa quando quiser que a senha de um usuário seja gerenciada por outro sistema ou provedor de identidade. O CXone atualmente tem suporte para os protocolos de federação SAML 2.0 e OpenID Connect.

Você pode configurar a autenticação iniciada por IdP ou a autenticação iniciada por SP com as etapas nesta seção.

Autenticação iniciada por IdP: IdP é a sigla de provedor de identidade em inglês. A autenticação iniciada pelo IdP significa que o provedor de identidade externo inicia o processo de login.

Autenticação iniciada por SP: SP é a sigla de provedor de serviços em inglês. A autenticação iniciada por SP significa que CXone inicia o processo de login.

Se você estiver usando o Salesforce Agent, o provedor de identidade externo (IdP) deverá ser configurado para autenticação iniciada por SP. O certificado fornecido pelo IdP deve ser iniciado pelo SP com um URL de terminal distinto. Qualquer certificado com URL de ponto final Nenhum - apenas iniciado por IdP não funcionará.

Configurar um autenticador de login externo com SAML 2.0

  1. Certifique-se de ter acesso ao provedor de identidade externo. Você precisará criar uma integração específica para CXone.
  2. Crie a integração no provedor de identidade externo. Diferentes sistemas usam nomes diferentes para essas integrações, veja instruções específicas para Okta ou Azure.
    1. Você precisará fornecer um ID de entidade que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.
    2. Você precisará fornecer um URL ACS que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.
    3. O provedor de identidade gerará uma URL específica para onde as solicitações SAML devem ser enviadas. Copie e salve este URL em um local onde você possa encontrá-lo. Você precisará inserir esse valor em etapas posteriores.
    4. O provedor de identidade gerará um certificado de assinatura público para a integração. Baixe o certificado. Você precisará usá-lo em etapas posteriores.
  3. Crie um autenticador de login externo em CXone.
    1. Clique no seletor de aplicativo e selecioneAdmin.
    2. Clique em Segurança > Autenticador de Login.
    3. Digite o Nome e a Descrição do autenticador de login.
    4. Selecione SAML como o Tipo de Autentiucação.
    5. Se você selecionar FICAM, a resposta SAML deve ter uma única entrada AuthnContextClassRef. Além disso, o NamespaceURI do assunto da declaração deve ser: urn:oasis:names:tc:SAML:2.0:assertion. Os campos AuthnContextClassRef e NamespaceURI são controlados pelo provedor de identidade.
    6. Insira o Endpoint de solicitação SAML que voce recebeu do provedor acima como a URL do endpoint.
    7. Clique em escolher arquivo e selecione o certificado de assinatura pública que você recebeu do seu provedor. Este arquivo deve estar no formato PEM. Será um arquivo de texto e a primeira linha conterá BEGIN CERTIFICATE com algum outro texto.
    8. Clique em Salvar e Ativar.
    9. Abra o autenticador de login.

    10. Anote o ID da entidade e o URL do ACS. Você precisará deles quando for atualizar as configurações do seu provedor de identidade.

  4. Atualize as configurações do seu provedor de identidade, substituindo os espaços reservados usados acima pelos valores que você acabou de anotar.

  5. Associe o autenticador de login a um usuário por meio da função desse usuário.

  6. Certifique-se de que a Identidade Externa de cada usuário que usa o autenticador de login esteja configurada com o valor correto.

    Seu provedor de identidade determina o valor que deve ser usado. O valor deve corresponder exatamente ao que você colocou no campo Identidade Externa em CXone.

  7. Faça com que o usuário faça login. Ele deve usar o URL de login mais recente. Depois de inserir seu nome de usuário, eles serão direcionados para o provedor de identidade externo, se necessário.

Configurar um autenticador de login externo com OpenID Connect

Se você ainda não tem o OpenID Connect habilitado em seu sistema, entre em contato com seu Representante de Contas do CXone. Ele pode habilitá-lo para você e ajudar a configurar um nome de host personalizado para o seu login.

Captura de tela da guia OpenID Connect de uma unidade de negócios no modo de edição

  1. Se você ainda não o fez, configure seu IdP. Anote o identificador do cliente e o segredo do cliente. Configure um URI de redirecionamento específico para o seu sistema. Esse URI é baseado no nome do host personalizado que você configurou com o seu representante de conta NICE CXone.

  2. Clique no seletor de aplicativo e selecioneAdmin

  3. Clique em Autenticador de login.

  4. Clique em Criar Novo ou selecione o autenticador de login que você quer editar.
  5. Digite o Nome e a Descrição do autenticador de login.
  6. Selecione OIDC como o Tipo de Autenticação.
  7. Se você tiver um terminal de descoberta para seu IdP, clique em Configurações de descoberta. Digite seu terminal de descoberta e clique em Descobrir. Os campos restantes são preenchidos para você.
  8. Insira o seu Identificador do cliente e Senha do Cliente. Digite novamente a senha em Senha de confirmação do cliente. O Identificador de cliente é o ID de login atribuído à sua conta pelo seu IdP.

  9. Se você não possui um terminal de descoberta para seu IdP, insira o Emitente, Terminal JsonWebKeySet, Terminal de autorização , Terminal de token, Terminal UserInfo e Terminal de revogação fornecidos pelo seu IdP.

    Campo

    Detalhes
    Emitente

    O URL do seu IdP sem qualquer parâmetro.
    Terminal JsonWebKeySet O URL do JWK Set do seu IdP.
    Terminal de Autorização O URL do Terminal de Autorização OAuth 2.0 do seu IdP.
    Terminal de Token O URL do Terminal de Token OAuth 2.0 do seu IdP.
    Terminal UserInfo O URL do Terminal UserInfo do seu IdP.
    Terminal de Revogação O URL do Terminal de Revogação do seu IdP.
  10. Selecione um Método de Autenticação de Cliente. O método selecionado deve ser um método de autenticação com suporte pelo seu IdP. Se você selecionar private_key_jwt, deverá selecionar Habilitar Criptografia e digite a Chave de verificação de declaração do cliente.
  11. Você pode selecionar Ativar perfil FICAM para ativar as configurações específicas do governo dos EUA.
  12. Clique em Criar Autenticador de Login para validar as informações fornecidas e vincular sua conta do CXone à sua conta do IdP.
  13. Quando seu IdP pedir para você se autenticar, faça isso como o usuário do IdP que você deseja associar à sua conta do CXone conectada atualmente.
  14. Se seu OpenID Connect configurações em CXone não mostrar como validado, use seus logs de IdP para diagnosticar o problema.

Vinculando novos usuários com base em declarações OpenID Connect

CXone pode usar um valor de declaração diferente, como um endereço de e-mail, para estabelecer a identidade do usuário no primeiro login. CXone em seguida, alterna automaticamente para o identificador de assunto exclusivo OpenID Connect . Isso permite pré-configurar a identidade federada de um usuário .

PKCE para autenticação front-end

Você pode ter dificuldade para usar o fluxo de código de autorização do OpenID Connect. Esse fluxo requer um client_secret como parte da troca de token. Codificar o client_secret em um aplicativo da web é um risco de segurança. O OpenID Connect permite um fluxo alternativo chamado PKCE (Proof Key for Code Exchange). O PKCE usa um método de autenticação diferente. O NICE CXone suporta fluxos do PKCE para integrações front-end.

Atribuir usuários ao autenticador de login

  1. Clique no seletor de aplicativo e selecioneAdmin.

  2. Clique em Usuários.

  3. Selecione o usuário que você quer atribuir ao autenticador de login ou clique em Criar Novo para criar um novo usuário.

  4. No guia Geral, clique em Editar.

  5. Na seção Segurança, selecione o autenticador de login que você criou anteriormente na lista suspensa Autenticador de login.

  6. Clique em Feito.