登录身份验证程序控制用户如何登录到 CXone。根据分配给用户的登录身份验证程序以及该登录身份验证程序的类型和配置,CXone 支持内部和外部身份验证。
有关 CXone 中的身份验证和授权的更多信息,请单击此处。
配置系统登录身份验证程序
所需权限:可以管理密码,开启。
CXone 包括默认的系统登录身份验证程序,但您也可以创建自己的登录身份验证程序。为特定角色配置登录验证程序后,当用户尝试设置或更改密码时,密码字段会显示配置的登录验证程序规则。
- 单击应用程序选择器
并选择 Admin。 - 转至登录身份验证程序。
-
单击新建。
-
输入登录验证器的唯一名称。
-
如果需要,请输入描述。
-
选择系统作为身份验证类型。
了解有关身份验证类型的更多信息
字段
详细信息
系统 登录验证器使用内置的登录过程CXone .它不使用外部单点登录 (SSO) 身份提供程序进行身份验证。 SAML SAML 2.0SAML 允许通过外部身份提供程序设置单点登录。CXone 支持 SAML 2.0 的多个实例。您可以为不同的用户分配不同的实例。 - 设置密码复杂性。
每个用户的密码都会对照常用密码存储库进行检查。如果他们的密码与一个常用密码匹配,则会强制他们创建一个新密码。一些被拒绝的密码包括:
任何包含单词“password”的密码。例如,Password@1234。
任何包含用户的电子邮件地址、用户名、名字、姓氏或系统名称的密码。
每当为以下情况时,都会对照此存储库检查密码:
激活新用户。
用户的密码过期。
用户重置密码。
在此步骤中了解有关字段的更多信息字段 详细信息 要求小写 (a-z) 要求用户在密码中至少使用一个小写字母。 要求大写 (A-Z) 要求用户在密码中至少使用一个大写字母。 要求数字 (0-9) 要求用户在密码中至少使用一个数字。 要求非字母数字(!、@、# 等) 要求用户在密码中至少使用一个非字母数字字符。 -
如果要启用多因素身份验证,请选择要求多因素身份验证。将 MFA 类型 设为 HOTP 和 TOTP。
-
设置密码策略。
在此步骤中了解有关字段的更多信息
字段 详细信息 密码长度 输入用户必须在其密码中包含的全部字符的最小数量。例如,如果输入 12,则用户在每个密码中必须至少包含 12 个字符。“密码复杂性”设置中所需的字符计入总字符数。您可以将密码长度设置为 12 到 24 之间的任意数字。 启用密码期限 启用一个文本框,您可以在其中输入用户可以保留密码的最大天数。在指定的天数后,用户必须更改其密码。您可以将密码期限设置为 14 到 365 天之间的任意天数。 启用密码历史记录 输入用户在重新使用旧密码之前必须设置的唯一密码数。您可以将密码历史记录设置为 4 到 50 天之间的任意数字。例如,如果输入 10,则分配给登录身份验证程序的用户不能使用其最近 10 个密码中的任何一个作为新密码。 -
单击创建登录身份验证程序。
设置外部登录身份验证程序
如果您希望用户的密码由另一个系统或身份提供程序管理,则可以使用外部身份验证。CXone 目前支持 SAML 2.0 和 OpenID 连接 联合协议。
您可以使用本节中的步骤设置 IdP 发起的身份验证或 SP 发起的身份验证。
IdP 发起的身份验证:IdP 代表身份提供程序。IdP 发起的身份验证意味着外部身份验证程序启动了登录流程。
SP 发起的身份验证:SP 代表服务提供商。SP 发起的身份验证意味着 CXone 启动了登录流程。
如果使用 Salesforce Agent,则必须为 SP 发起的身份验证配置外部身份提供程序 (IdP)。IdP 提供的证书必须由 SP 使用不同的端点 URL 发起。任何具有 Endpoint URL None - IdP-initiated only 的证书均不起作用。
使用 SAML 2.0 设置登录身份验证程序
- 确保您拥有访问外部身份提供程序的权限。您需要创建特定于 CXone 的集成。
- 在外部身份提供程序中创建集成。不同的系统使用不同的集成名称,请参阅 Okta 或 Azure的具体说明。
- 您需要提供一个此时不知道的实体 ID。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
- 您需要提供一个此时不知道的 ACS URL。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
- 身份提供程序将生成必须发送 SAML 请求的特定 URL。复制此 URL 并将其保存到您可以找到的位置。您需要在后面的步骤中输入该值。
- 身份提供程序将为该集成生成公共签名证书。下载该证书。您需要在后面的步骤中使用它。
- 在 CXone 中创建外部登录身份验证程序。
- 单击应用程序选择器 并选择管理员。
- 单击安全 > 登录验证程序。
- 输入登录身份验证程序的名称和描述。
- 选择 SAML 作为 身份验证类型。
- 如果选择FICAM,则 SAML 响应必须具有单个 AuthnContextClassRef 条目。此外,断言主题的 NamespaceURI 必须为:urn:oasis:names:tc:SAML:2.0:assertion。AuthnContextClassRef 和 NamespaceURI 字段由身份提供程序控制。
- 输入您从上述提供程序收到的 SAML 请求端点作为端点 URL。
- 单击选择文件,然后选择从提供程序收到的公共签名证书。该文件必须为 PEM 文件。它将是一个文本文件,第一行将包含 BEGIN CERTIFICATE 和一些其他类型的文本。
- 单击保存并激活。
- 打开登录身份验证程序。
记下实体 ID 和 ACS URL。更新 IdP 设置时您将需要它们。
- 单击应用程序选择器
-
更新您的身份提供程序设置,将上面使用的占位符替换为您刚刚记下的值。
-
通过用户角色将登录身份验证程序与用户相关联。
-
确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。
您的身份提供程序确定必须使用的值。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。
-
让用户登录。他们必须使用最新的登录 URL。如有需要,在输入用户名后会将他们引导至外部身份提供程序。
使用 OpenID 连接 设置登录身份验证程序
如果在您的系统中尚未启用 OpenID 连接,请联系您的 CXone 客户代表。他们可以为您启用它并帮助您为您的登录设置自定义主机名。
- 如果您尚未如此操作,请配置 IdP。记下您的客户端标识符和客户端密钥。配置特定于您系统的重定向 URI。此 URL 基于您与 NICE CXone 客户代表一起配置的自定义主机名。
-
单击应用程序选择器
并选择Admin -
单击登录身份验证程序。
- 单击
- 输入登录身份验证程序的名称和描述。
- 选择 OIDC 作为身份验证类型。
- 如果您具有用于 IdP 的发现端点,请单击发现设置。输入您的发现端点,然后单击发现。系统会为您填充其余字段。
- 输入客户端标识符和客户端密码。在客户端确认密码字段中再次键入该密码。客户端标识符是您的 IdP 分配给您帐户的登录 ID。
-
如果您没有用于 IdP 的发现端点,请输入 IdP 提供的签发方、Json Web 密钥设置端点、授权端点、令牌端点、用户信息端点和撤销端点。
在此步骤中了解有关字段的更多信息
字段
详细信息
签发者 您 IdP 的 URL,不带任何参数。
JsonWebKeySet 端点 您 IdP 的 JWK 集的 URL。 授权端点 您 IdP OAuth 2.0 授权端点的 URL。 令牌端点 您 IdP OAuth 2.0 令牌端点的 URL。 用户信息端点 您 IdP 的 UserInfo 端点的 URL。 撤销端点 您 IdP 撤销端点的 URL。 - 选择客户端身份验证方法。您选择的方法必须是您 IdP 支持的身份验证方法。如果您选择 private_key_jwt,则必须
- 您可以选择启用 FICAM 配置文件来打开美国政府特定设置。
- 单击
- 当 IdP 要求您进行身份验证时,请以您希望与您当前所登录之 CXone 帐户相关联的 IdP 上的用户身份进行身份验证。
- 如果您在 CXone 中的 OpenID 连接 设置没有显示为已验证,请使用 IdP 日志诊断问题。
使用基于声明的 OpenID 连接 链接新用户
CXone 可以使用不同的声明值,如电子邮件地址,以在用户首次登录时建立用户身份。然后,CXone 自动切换至唯一 的 OpenID 连接 主题标识符。这允许您预先配置用户的联合身份。
用于前端身份验证的 PKCE
您可能在使用 OpenID 连接 授权代码流程时遇到困难。此流程需要 client_secret 作为令牌交换的一部分。将 client_secret 编码到 Web 应用程序中存在安全风险。OpenID 连接 允许进行称为 PKCE(代码交换证明密钥)的替代流程。PKCE 使用不同的身份验证方法。NICE CXone 支持用于前端集成的 PKCE 流程。
将用户分配给登录身份验证程序
- 单击应用程序选择器 并选择Admin。
-
单击用户。
-
选择要分配给登录身份验证程序的用户,或单击新建,创建一个新用户。
-
在“常规”选项卡中,单击编辑。
-
在安全部分中,从登录身份验证程序下拉列表中选择之前创建的登录身份验证程序。
-
单击完成。