管理登录身份验证程序

登录身份验证程序控制用户如何登录到 CXone。根据分配给用户的登录身份验证程序以及该登录身份验证程序的类型和配置,CXone 支持内部和外部身份验证。

有关 CXone 中的身份验证和授权的更多信息,请单击此处

配置系统登录身份验证程序

所需权限:可以管理密码,开启。

CXone 包括默认的系统登录身份验证程序,但您也可以创建自己的登录身份验证程序。为特定角色配置登录验证程序后,当用户尝试设置或更改密码时,密码字段会显示配置的登录验证程序规则。

  1. 单击应用程序选择器 并选择 Admin
  2. 转至登录身份验证程序
  3. 单击新建

  4. 输入登录验证器的唯一名称

  5. 如果需要,请输入描述

  6. 选择系统作为身份验证类型

  7. 设置密码复杂性。

    每个用户的密码都会对照常用密码存储库进行检查。如果他们的密码与一个常用密码匹配,则会强制他们创建一个新密码。一些被拒绝的密码包括:

    • 任何包含单词“password”的密码。例如,Password@1234。

    • 任何包含用户的电子邮件地址、用户名、名字、姓氏或系统名称的密码。

    每当为以下情况时,都会对照此存储库检查密码:

    • 激活新用户。

    • 用户的密码过期。

    • 用户重置密码。

  8. 如果要启用多因素身份验证,请选择要求多因素身份验证。将 MFA 类型 设为 HOTPTOTP

  9. 设置密码策略。

  10. 单击创建登录身份验证程序

通过 SAML 2.0 设置外部登录身份验证程序

如果您希望用户的密码由另一个系统或身份提供程序管理,则可以使用外部身份验证。CXone 目前支持 SAML 2.0OpenID 连接 联合协议。

您可以使用本节中的步骤设置 IdP 发起的身份验证或 SP 发起的身份验证。

IdP 发起的身份验证:IdP 代表身份提供程序。IdP 发起的身份验证意味着外部身份验证程序启动了登录流程。

SP 发起的身份验证:SP 代表服务提供商。SP 发起的身份验证意味着 CXone 启动了登录流程。

如果使用 Salesforce Agent,则必须为 SP 发起的身份验证配置外部身份提供程序 (IdP)。

  1. 确保您拥有访问外部身份提供程序的权限。您需要创建特定于 CXone 的集成。
  2. 在外部身份提供程序中创建集成。不同的系统使用不同的集成名称,请参阅 OktaAzure的具体说明。
    1. 您需要提供一个此时不知道的实体 ID。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    2. 您需要提供一个此时不知道的 ACS URL。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    3. 身份提供程序将生成必须发送 SAML 请求的特定 URL。复制此 URL 并将其保存到您可以找到的位置。您需要在后面的步骤中输入该值。
    4. 身份提供程序将为该集成生成公共签名证书。下载该证书。您需要在后面的步骤中使用它。
  3. CXone 中创建外部登录身份验证程序。
    1. 单击应用程序选择器 并选择管理员
    2. 单击安全 > 登录验证程序
    3. 输入登录身份验证程序的名称描述
    4. 选择 SAML 作为 身份验证类型
    5. 如果选择FICAM,则 SAML 响应必须具有单个 AuthnContextClassRef 条目。此外,断言主题的 NamespaceURI 必须为:urn:oasis:names:tc:SAML:2.0:assertionAuthnContextClassRefNamespaceURI 字段由身份提供程序控制。
    6. 输入您从上述提供程序收到的 SAML 请求端点作为端点 URL
    7. 单击选择文件,然后选择从提供程序收到的公共签名证书。该文件必须为 PEM 文件。它将是一个文本文件,第一行将包含 BEGIN CERTIFICATE 和一些其他类型的文本。
    8. 单击保存并激活
    9. 打开登录身份验证程序。
    10. 记下实体 IDACS URL。更新 IdP 设置时您将需要它们。

  4. 更新您的身份提供程序设置,将上面使用的占位符替换为您刚刚记下的值。

  5. 确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。

    您的身份提供程序确定必须使用的值。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。

  6. 让用户登录。他们必须使用最新的登录 URL。如有需要,在输入用户名后会将他们引导至外部身份提供程序。

使用 OpenID 连接 创建外部登录身份验证程序

所需权限登录身份验证程序创建

如果您希望用户的密码由另一个系统或身份提供程序管理,则可以使用外部身份验证。CXone 目前支持 SAML 2.0OpenID 连接 联合协议。

您可以使用本节中的步骤设置 IdP 发起的身份验证或 SP 发起的身份验证。

IdP 发起的身份验证:IdP 代表身份提供程序。IdP 发起的身份验证意味着外部身份验证程序启动了登录流程。

SP 发起的身份验证:SP 代表服务提供商。SP 发起的身份验证意味着 CXone 启动了登录流程。

如果使用 Salesforce Agent,则必须为 SP 发起的身份验证配置外部身份提供程序 (IdP)。

  1. 确保您拥有访问外部身份提供程序的权限。您需要创建特定于 CXone 的集成。
  2. 在外部身份提供程序中创建集成。
    1. 您需要提供一个此时不知道的登录重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    2. 您可能需要提供一个此时不知道的注销重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    3. 身份提供程序将生成一个客户端 ID 和一个客户端密钥。复制这些值并将其保存在您可以找到的位置。您将需要在后续步骤中输入它们。
  3. CXone 中创建外部登录身份验证程序。
    1. 单击应用程序选择器 并选择Admin

    2. 单击登录身份验证程序

    3. 单击新建或选择您要编辑的登录身份验证程序。
    4. 输入登录身份验证程序的名称描述
    5. 选择 OIDC 作为 身份验证类型
    6. 如果您具有用于 IdP 的发现端点,请单击发现设置。输入您的发现端点,然后单击发现。系统会为您填充其余字段。发现设置不可与 Salesforce 发现端点共同使用。
    7. 输入客户端标识符客户端密码。在客户端确认密码字段中再次键入该密码。客户端标识符是您的 IdP 分配给您帐户的登录 ID。
    8. 如果您没有用于 IdP 的发现端点,请输入 IdP 提供的签发方Json Web 密钥设置端点授权端点令牌端点UserInfo 端点撤销端点结束会话端点

    9. 选择客户端身份验证方法。您选择的方法必须是您 IdP 支持的身份验证方法。如果您选择 private_key_jwt,则必须选择启用加密,然后输入您的客户端断言验证密钥
    10. 您可以选择启用 FICAM 配置文件来打开美国政府特定设置。
    11. 单击创建登录身份验证程序,以验证提供的信息并将您的 CXone 帐户链接到您的 IdP 帐户。
    12. 打开登录身份验证程序。
    13. 记下登录重定向 URI注销重定向 URI。更新 IdP 设置时您将需要它们。

  4. 更新您的身份提供程序设置,将上面使用的占位符替换为您刚刚记下的值。

  5. 确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。

    您的身份提供程序确定必须使用的值。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。此字段的值必须采用以下格式:claim(email):{您 IdP 配置的电子邮件}。例如,如果 IdP 中用户的电子邮件为 nick.carraway@classics.com,您将输入 claim(email):nickcarraway@classics.com

  6. 让用户登录。他们必须使用最新的登录 URL。如有需要,在输入用户名后会将他们引导至外部身份提供程序。

  7. 当 IdP 要求您进行身份验证时,请以您希望与您当前所登录之 CXone 帐户相关联的 IdP 上的用户身份进行身份验证。
  8. 如果您在 CXone 中的 OpenID 连接 设置没有显示为已验证,请使用 IdP 日志诊断问题。

使用基于声明的 OpenID 连接 链接新用户

CXone 可以使用不同的声明值,如电子邮件地址,以在用户首次登录时建立用户身份。然后,CXone 自动切换至唯一 的 OpenID 连接 主题标识符。这允许您预先配置用户的联合身份

用于前端身份验证的 PKCE

您可能在使用 OpenID 连接 授权代码流程时遇到困难。此流程需要 client_secret 作为令牌交换的一部分。将 client_secret 编码到 Web 应用程序中存在安全风险。OpenID 连接 允许进行称为 PKCE(代码交换证明密钥)的替代流程。PKCE 使用不同的身份验证方法。NICE CXone 支持用于前端集成的 PKCE 流程。

将用户分配给登录身份验证程序

  1. 单击应用程序选择器 并选择Admin
  2. 单击用户

  3. 选择要分配给登录身份验证程序的用户,或单击新建创建一个新用户

  4. 在“常规”选项卡中,单击编辑

  5. 在安全部分中,从登录身份验证程序下拉列表中选择之前创建的登录身份验证程序。

  6. 单击完成