Gerenciar Federação com Azure

Azure é apenas um dos provedores de identidade externa (IdPs) com suporte que você pode usar com CXone Mpower. Esta página orienta você, passo a passo, na configuração da autenticação para seu sistema CXone Mpower usando Azure.

Se você estiver fazendo a implementação inicial do seu sistema CXone Mpower, há etapas adicionais a serem consideradas. Recomendamos a leitura das seguintes páginas de ajuda online que incluem estas considerações:

Antes de começar, certifique-se de ter acesso ao console de gerenciamento de ID do Microsoft Azure. Você precisará criar um aplicativo.

Gerenciar federação com o Azure com SAML 2.0

Complete cada uma dessas tarefas na ordem indicada.

Criar e configurar um aplicativo Azure com SAML 2.0

  1. Faça login na sua conta de gerenciamento do Azure AD com sua conta de administrador do Azure AD.
  2. Crie um aplicativo:
    1. Clique em Aplicativos corporativos > Novo aplicativo.
    2. Clique em Criar seu próprio aplicativo.
    3. Digite um Nome (por exemplo, CXone Mpower).
    4. Selecione Integre qualquer outro aplicativo que você não encontre na galeria (sem galeria).
    5. Clique em Criar.
  3. Atribua usuários e grupos ao aplicativo conforme apropriado. Vá para a guia Usuários e Grupos e clique em Adicionar usuário/grupo.
  4. Na página de gerenciamento do aplicativo, localize a seção Gerenciar. Em Configurar logon único, clique em Introdução e selecione SAML.
  5. No painel Configuração básica do SAML, clique em Editar e configure o SAML:
    1. Digite um Nome do aplicativo.
    2. Em Identificador (ID Entidade), clique em Adicionar Identificador e digite https://need_to_change. Em uma etapa posterior, você substituirá o espaço reservado pelo ID de Entidade do autenticador de loginCXone Mpower.
    3. Em URL de resposta, clique em Adicionar URL de resposta e, no campo URI de público, insira https://need_to_change. Você obterá o URI real do Assertion Consumer Service (ACS) do autenticador de login do CXone Mpower em uma etapa posterior.
  6. Clique em Salvar e feche o painel Configuração básica do SAML.
  7. Na seção Atributos e Declarações, selecione o Identificador Único de Usuário correto. O valor que você escolher será a Identidade Externa de Federada em CXone Mpower.
  8. Azure O AD deve criar automaticamente um certificado de assinatura SAML. Baixe o certificado chamado Certificate (Base64). Você carregará esse certificado para seu autenticador de login em CXone Mpower em uma etapa posterior.
  9. No painel Certificado de Assinatura SAML, clique em Editar e, em seguida:
    1. Escolha um Opção de assinatura.
    2. Clique em Salvar e feche o painel Certificado de assinatura SAML Mantenha esse arquivo para sua configuração CXone Mpower em uma etapa posterior.
  10. Na seção Configurar <nome do aplicativo>, copie o valor Login URL. Guarde isso para sua configuração CXone Mpower.
  11. Mantenha a janela aberta. Você fará alterações nas configurações do aplicativo Azure com base nos valores recebidos na próxima tarefa.

Configurar um autenticador de login com SAML 2.0 no CXone Mpower

Permissões necessárias: Criar autenticador de login

  1. Clique no seletor de aplicativo ícone do seletor de aplicativos e selecioneAdmin.
  2. Vá para Configurações de Segurança > Autenticador de login.
  3. Clique em Criar Novo.
  4. Digite o Nome e a Descrição do autenticador de login. Para a descrição, use apenas texto simples. URLs ou marcações como HTML não serão salvas.
  5. Selecione SAML2 como o Tipo de Autenticação.
  6. Clique em Escolher arquivo e selecione o certificado de assinatura público do qual você baixou de Azure na tarefa anterior. Este arquivo deve estar no formato PEM. Será um arquivo de texto e a primeira linha conterá BEGIN CERTIFICATE com algum texto adicional.
  7. Clique em Criar Autenticador de Login.
  8. Abra o autenticador de login.

  9. Você notará dois campos adicionais somente leitura exibidos, ID da entidade e URL de afirmação. Anote esses valores. Você precisará deles na Adicionar valores de CXone Mpower à Azure tarefa.

Configurar usuários CXone Mpower

Conclua esta tarefa em CXone Mpower para todos os usuários CXone Mpower que precisam de logon único comAzure. Você também pode concluir esta etapa usando o modelo de upload em massa.

  1. No CXone Mpower, clique no seletor de aplicativos e selecioneAdmin.

  2. Clique em Funcionários.

  3. Selecione o perfil do funcionário a ser modificado e clique em Editar.

  4. Se ainda não tiver feito isso, vá para a guia Segurança e selecione o autenticador de login que você criou anteriormente.

  5. Certifique-se de que o Identidade Externa esteja definido com o valor correto. O valor deve corresponder exatamente ao Identificador Exclusivo de Usuário em Azure. Se um ID de e-mail tiver sido configurado como o ID externo, certifique-se de formatá-lo corretamente. No Azure, o formato de ID de e-mail é firstname.lastname@domain.com e diferencia maiúsculas de minúsculas.

  6. Salve suas alterações.

Atribuir usuários ao autenticador de login

  1. Clique no seletor de aplicativo ícone do seletor de aplicativos e selecioneAdmin.

  2. Clique em Usuários.

  3. Selecione o usuário que você quer atribuir ao autenticador de login ou clique em Criar Novo para criar um novo usuário.

  4. No guia Geral, clique em Editar.

  5. Na seção Segurança, selecione o autenticador de login que você criou anteriormente na lista suspensa Autenticador de login.

  6. Clique em Feito.

Adicionar CXone Mpower valores a Azure

  1. Retorne ao seu aplicativo Azure e no painel Basic SAML Configuration, clique em Edit.
  2. Para Identificador (ID da Entidade), insira o valor da ID da Entidade do seu autenticador de login CXone Mpower.
  3. Para URL de resposta, insira o valor de URL de afirmação do seu autenticador de login do CXone Mpower.
  4. Clique em Salvar e feche o painel Configuração básica do SAML.

Testar a integração com o SAML

Antes de atribuir o autenticador de login SAML aos usuários no CXone Mpower, você deve testar a integração SAML. Se o teste falhar, revise suas configurações e faça alterações nas configurações.

  1. Inicie um login no painel do Azure.
  2. Verifique se o fluxo de autenticação SAML funciona conforme o esperado.

Verificar o acesso do usuário com logon único Azure

  1. Certifique-se de que a Identidade Externa de cada do usuário que usa o autenticador de login esteja definida com o valor correto. O valor deve corresponder exatamente ao Identificador Único de Usuário em Azure e à Identidade Externa de em CXone Mpower.

  2. Peça para um ou mais usuários de teste efetuarem login usando o URL de login mais recente do CXone Mpower. Depois de inserir seu nome de usuário, eles serão direcionados para Azure, se necessário.

  3. Quando estiver pronto, implemente o logon único Azure para todos os usuários.

Gerenciar federação com o Azure com OpenID Connect

Complete cada uma dessas tarefas na ordem indicada.

Configurar um aplicativo Azure com OpenID Connect

  1. Faça login na sua conta de gerenciamento do Azure.

  2. Em Registros de aplicativos, clique em Novo registro.

  3. Vá para Autenticação > Web.

  4. Você precisará fornecer URIs de redirecionamento, que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.

  5. Clique em Certificados e segredos.

  6. Selecione client_secret_basic ou client_secret_post como seu método de autenticação. O método de autenticação, private_key_jwt, não é aceito atualmente no CXone Mpower.

  7. No campo Segredos do cliente, selecione Novo segredo do cliente.

  8. Adicione uma descrição e selecione Expira.

  9. Copie o ID do cliente e o Segredo do cliente e cole-os em um local seguro no seu dispositivo. Você precisará usá-los quando configurar um autenticador de login no CXone Mpower.

  10. Vá para Configuração de token > Reivindicações adicionais.

  11. Clique em Adicionar reivindicação opcional.

  12. Selecione ID como o Tipo de token.

  13. Selecione e-mail e adicione seu endereço de e-mail.

  14. Clique em Save.

Configurar um autenticador de login externo do CXone Mpower com OpenID Connect

  1. Clique no seletor de aplicativo ícone do seletor de aplicativos e selecioneAdmin.

  2. Clique em Autenticador de login.

  3. Clique em Criar Novo ou selecione o autenticador de login que você quer editar.
  4. Digite o Nome e a Descrição do autenticador de login.
  5. Selecione OIDC como o Tipo de Autenticação.
  6. Se você tiver um terminal de descoberta do Azure, clique em Configurações de descoberta. Digite seu terminal de descoberta e clique em Descobrir. Os campos restantes são preenchidos para você. Descobrir Configurações não funciona com os terminais de descoberta do Salesforce.
  7. Insira o seu Identificador do cliente e Senha do Cliente. Digite novamente a senha em Senha de confirmação do cliente. O Identificador de cliente é o ID de login atribuído à sua conta pelo Azure.

  8. Se você não possui um terminal de descoberta do Azure, insira seu Emissor fornecido pelo Azure, Terminal JsonWebKeySet, Terminal de Autorização, Terminal de Token, Terminal UserInfo, Terminal de Revogação e Terminal de encerramento de sessão.

    campo

    Detalhes
    Emitente

    URL do Azure sem qualquer parâmetro.
    Terminal JsonWebKeySet O URL do JWK Set do Azure
    Terminal de autorização O URL do Terminal de Autorização OAuth 2.0 do Azure.
    Terminal de token O URL do Terminal de Token OAuth 2.0 do Azure.
    Terminal UserInfo O URL do Terminal UserInfo do Azure.
    Terminal de revogação O URL do Terminal de Revogação do Azure.
    Terminal de encerramento de sessão

    O URL do Terminal de encerramento de sessão do Azure. Este campo permite criar uma experiência de logout única para seus usuários. Se configurado, quando eles fizerem logout do CXone Mpower, eles também serão desconectados de suas contas do Azure. Para o logout único funcionar, você precisa incluir o URI de redirecionamento para logout na lista de permissões do Azure.

    Se o Salesforce for seu IdP, você precisará configurar um URL de logout no Salesforce. Para fazer isso, vá para Configurações > Segurança > Configurações de Sessão > Configurações da Página de Logout. Atualize o campo URL de Logout. Você usará esse URL como seu Terminal de encerramento de sessão.
  9. Selecione um Método de Autenticação de Cliente. O método selecionado deve corresponder ao que você configurou na tarefa anterior. Deve ser um método de autenticação aceito pelo Azure.
  10. Você pode selecionar Ativar perfil FICAM para ativar as configurações específicas do governo dos Estados Unidos. Esta etapa é apenas para usuários do FedRAMP.
  11. Clique em Criar Autenticador de Login para validar as informações fornecidas e vincular sua conta do CXone Mpower à sua conta do Azure.
  12. Abra o autenticador de login.

  13. Anote o URI de redirecionamento para login e o URI de redirecionamento para logout. Você precisará deles para atualizar as configurações do Azure.

  14. Atualize as configurações do seu Azure, substituindo os espaços reservados usados na tarefa anterior pelos valores que você acabou de anotar.

  15. Certifique-se de que a Identidade Externa do CXone Mpower de cada usuário que usa o autenticador de login esteja configurada com o valor correto.

    O Azure determina o valor que deve ser usado. Ele pode ser encontrado no perfil do usuário no Azure. O valor deve corresponder exatamente ao que você colocou no campo Identidade Externa em CXone Mpower. O valor desse campo deve estar neste formato: claim(email):{e-mail configurado por seu IdP}. Por exemplo, se o e-mail do usuário no IdP for nick.carraway@classics.com, você digitaria claim(email):nickcarraway@classics.com.

  16. Peça para o usuário fazer login no CXone Mpower. Ele deve usar o URL de login mais recente. Depois de inserir o nome de usuário, eles serão direcionados para o Azure, se necessário.

  17. Quando o Azure pedir para você autenticar sua própria conta, faça isso como o usuário no Azure que você quer associar à sua conta do CXone Mpower conectada atualmente.
  18. Se as configurações do OpenID Connect no CXone Mpower não aparecerem como validadas, use os logs do Azure para diagnosticar o problema.

Atribuir usuários ao autenticador de login

  1. Clique no seletor de aplicativo ícone do seletor de aplicativos e selecioneAdmin.

  2. Clique em Usuários.

  3. Selecione o usuário que você quer atribuir ao autenticador de login ou clique em Criar Novo para criar um novo usuário.

  4. No guia Geral, clique em Editar.

  5. Na seção Segurança, selecione o autenticador de login que você criou anteriormente na lista suspensa Autenticador de login.

  6. Clique em Feito.

Adicionar CXone Mpower valores a Azure

  1. Retorne ao seu aplicativo Azure e no painel Basic SAML Configuration, clique em Edit.
  2. Para Identificador (ID da Entidade), insira o valor da ID da Entidade do seu autenticador de login CXone Mpower.
  3. Para URL de resposta, insira o valor de URL de afirmação do seu autenticador de login do CXone Mpower.
  4. Clique em Salvar e feche o painel Configuração básica do SAML.

  5. Certifique-se de que a Identidade Externa de cada usuário que usa o autenticador de login esteja configurada com o valor correto.

    1. Seu provedor de identidade determina o valor que deve ser usado. O valor deve corresponder exatamente ao Identificador Único de Usuário em Azure e à Identidade Externa em CXone Mpower.

  6. Peça para o usuário fazer login no para CXone Mpower. Ele deve usar o URL de login mais recente do CXone Mpower. Depois de inserir seu nome de usuário, eles serão direcionados para o provedor de identidade externo, se necessário. O CXone Mpower não aceita um processo iniciado por IdP pelo Azure.

Verificar o acesso do usuário com logon único Azure

  1. Certifique-se de que a Identidade Externa de cada do usuário que usa o autenticador de login esteja definida com o valor correto. O valor deve corresponder exatamente ao Identificador Único de Usuário em Azure e à Identidade Externa de em CXone Mpower.

  2. Peça para um ou mais usuários de teste efetuarem login usando o URL de login mais recente do CXone Mpower. Depois de inserir seu nome de usuário, eles serão direcionados para Azure, se necessário.

  3. Quando estiver pronto, implemente o logon único Azure para todos os usuários.