本页将逐步指导您使用外部身份提供程序 (IdP) 为 CXone 系统设置身份验证。
按照给定的顺序完成以下每一个任务。
在您开始之前
- 如果您以前从未设置过这样的过程,那么您应该对身份验证和授权的概念和术语进行基本的了解。
- 如果这是您首次在 CXone 中使用身份验证,请查看CXone-特定流程。
- 考虑您的真人用户及其需要的访问级别。决定是否应该为有更多访问的人提供更高级别的安全保障。
- 决定是使用自定义密码要求、多因素身份验证 (MFA),还是同时执行两者。
- 根据您的决定,制定一个身份验证程序列表。该列表应该包括您希望用于每个登录验证程序的密码要求和 MFA 状态。如果默认的登录身份验证程序满足您的密码管理需求,则不必创建自定义登录身份验证程序。
- 考虑是否需要为机器人或智能虚拟助手 (IVA) 等应用程序加入身份验证和授权。如果需要,您将需要创建访问密钥。
- 识别您的外部 IdP。CXone 支持托管和云服务 IdP。如果需要,请让贵公司的身份验证专家参与此流程。可能已经建立了系统集成流程,比如 CXone 与外部 IdP 的集成。遵循这些流程并满足特定的安全需求最终是您的责任。
- 定义您的身份验证协议。CXone 支持 SAML 2.0 和 OpenID 连接。
- 评估 IdP 和协议的组合可确保您的用例和用户流得到支持,并识别潜在的问题。这应该包括实际的测试。
您的 NICE CXone 团队可以在此规划流程中对您提供支持和指导。合理的规划将会让实施工作更加顺畅。在出现紧急需求时实施身份验证和授权更有可能导致问题。
使用 SAML 2.0 创建外部登录身份验证程序
所需权限:登录身份验证程序创建
登录身份验证程序用于管理密码条件。您可以为不同的
如果您希望用户的密码由另一个系统或身份提供程序管理,则可以使用外部身份验证。CXone 目前支持 SAML 2.0 和 OpenID 连接 联合协议。
您可以使用本节中的步骤设置 IdP 发起的身份验证或 SP 发起的身份验证。
IdP 发起的身份验证:IdP 代表身份提供程序。IdP 发起的身份验证意味着外部身份验证程序启动了登录流程。
SP 发起的身份验证:SP 代表服务提供商。SP 发起的身份验证意味着 CXone 启动了登录流程。
如果使用 Salesforce Agent,则必须为 SP 发起的身份验证配置外部身份提供程序 (IdP)。IdP 提供的证书必须由 SP 使用不同的端点 URL 发起。任何具有 Endpoint URL None - IdP-initiated only 的证书均不起作用。
使用 SAML 2.0 设置登录身份验证程序
- 确保您拥有访问外部身份提供程序的权限。您需要创建特定于 CXone 的集成。
- 在外部身份提供程序中创建集成。不同的系统使用不同的集成名称,请参阅 Okta 或 Azure的具体说明。
- 您需要提供一个此时不知道的实体 ID。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
- 您需要提供一个此时不知道的 ACS URL。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
- 身份提供程序将生成必须发送 SAML 请求的特定 URL。复制此 URL 并将其保存到您可以找到的位置。您需要在后面的步骤中输入该值。
- 身份提供程序将为该集成生成公共签名证书。下载该证书。您需要在后面的步骤中使用它。
- 在 CXone 中创建外部登录身份验证程序。
- 单击应用程序选择器
并选择管理员。 - 单击安全 > 登录验证程序。
- 输入登录身份验证程序的名称和描述。
- 选择 SAML 作为 身份验证类型。
- 如果选择FICAM,则 SAML 响应必须具有单个 AuthnContextClassRef 条目。此外,断言主题的 NamespaceURI 必须为:urn:oasis:names:tc:SAML:2.0:assertion。AuthnContextClassRef 和 NamespaceURI 字段由身份提供程序控制。
- 输入您从上述提供程序收到的 SAML 请求端点作为端点 URL。
- 单击选择文件,然后选择从提供程序收到的公共签名证书。该文件必须为 PEM 文件。它将是一个文本文件,第一行将包含 BEGIN CERTIFICATE 和一些其他类型的文本。
- 单击保存并激活。
- 打开登录身份验证程序。
记下实体 ID 和 ACS URL。更新 IdP 设置时您将需要它们。
- 单击应用程序选择器
-
更新您的身份提供程序设置,将上面使用的占位符替换为您刚刚记下的值。
-
通过用户角色将登录身份验证程序与用户相关联。
-
确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。
您的身份提供程序确定必须使用的值。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。
-
让用户登录。他们必须使用最新的登录 URL。如有需要,在输入用户名后会将他们引导至外部身份提供程序。
使用 OpenID 连接 设置登录身份验证程序
如果在您的系统中尚未启用 OpenID 连接,请联系您的 CXone 客户代表。他们可以为您启用它并帮助您为您的登录设置自定义主机名。
- 如果您尚未如此操作,请配置 IdP。记下您的客户端标识符和客户端密钥。配置特定于您系统的重定向 URI。此 URL 基于您与 NICE CXone 客户代表一起配置的自定义主机名。
-
单击应用程序选择器
并选择Admin -
单击登录身份验证程序。
- 单击
- 输入登录身份验证程序的名称和描述。
- 选择 OIDC 作为身份验证类型。
- 如果您具有用于 IdP 的发现端点,请单击发现设置。输入您的发现端点,然后单击发现。系统会为您填充其余字段。
- 输入客户端标识符和客户端密码。在客户端确认密码字段中再次键入该密码。客户端标识符是您的 IdP 分配给您帐户的登录 ID。
-
如果您没有用于 IdP 的发现端点,请输入 IdP 提供的签发方、Json Web 密钥设置端点、授权端点、令牌端点、用户信息端点和撤销端点。
在此步骤中了解有关字段的更多信息
字段
详细信息
签发者 您 IdP 的 URL,不带任何参数。
JsonWebKeySet 端点 您 IdP 的 JWK 集的 URL。 授权端点 您 IdP OAuth 2.0 授权端点的 URL。 令牌端点 您 IdP OAuth 2.0 令牌端点的 URL。 用户信息端点 您 IdP 的 UserInfo 端点的 URL。 撤销端点 您 IdP 撤销端点的 URL。 - 选择客户端身份验证方法。您选择的方法必须是您 IdP 支持的身份验证方法。如果您选择 private_key_jwt,则必须
- 您可以选择启用 FICAM 配置文件来打开美国政府特定设置。
- 单击
- 当 IdP 要求您进行身份验证时,请以您希望与您当前所登录之 CXone 帐户相关联的 IdP 上的用户身份进行身份验证。
- 如果您在 CXone 中的 OpenID 连接 设置没有显示为已验证,请使用 IdP 日志诊断问题。
使用基于声明的 OpenID 连接 链接新用户
CXone 可以使用不同的声明值,如电子邮件地址,以在用户首次登录时建立用户身份。然后,CXone 自动切换至唯一 的 OpenID 连接 主题标识符。这允许您预先配置用户的联合身份。
用于前端身份验证的 PKCE
您可能在使用 OpenID 连接 授权代码流程时遇到困难。此流程需要 client_secret 作为令牌交换的一部分。将 client_secret 编码到 Web 应用程序中存在安全风险。OpenID 连接 允许进行称为 PKCE(代码交换证明密钥)的替代流程。PKCE 使用不同的身份验证方法。NICE CXone 支持用于前端集成的 PKCE 流程。
创建安全配置文件
需要的权限:安全配置文件创建
-
使用以下方法之一创建安全配置文件并为其命名:
-
要创建新的空白安全配置文件:
- 单击应用程序选择器 并选择Admin。
- 转至安全配置文件。
-
单击新建。
-
输入安全配置文件的唯一名称。
-
如果需要,请输入描述。
-
对于创建,选择一个空白的安全配置文件。
- 单击应用程序选择器
-
要快速创建复制现有安全配置文件的新安全配置文件:
- 单击应用程序选择器 并选择Admin。
- 转至安全配置文件。
-
打开要复制的安全配置文件。
-
单击复制。
-
输入安全配置文件的唯一名称。
-
如果需要,请输入描述。
- 单击应用程序选择器
-
-
单击下一步。
-
为您希望用户拥有的每个产品和功能启用权限。某些权限(如用户设置和安全性)已被分组。要查看组内的权限,请单击组名称旁边的个人。
-
单击下一步。
-
为您希望用户拥有的每个报告启用权限。
-
单击下一步。
-
限制营销活动
用于运行报告的技能分组。、团队、可分配配置文件、组和业务单位 用于管理 CXone环境的技术支持、计费和全局设置的高级组织分组的数据访问。对于每种数据类型,选择您想要用户访问该类型的所有和未来数据、 无还是自定义。 -
如果您为数据类型选择自定义,请使用弹出窗口指定用户可以访问该数据类型的哪些实体。单击完成。
新的营销活动、团队、安全配置文件、组和业务单位在创建时不会自动添加到自定义列表中。如果想要用户访问新数据,则必须更新自定义列表。
- 单击下一步。
- 单击创建安全配置文件。
创建或编辑用户
所需权限:用户创建
如果使用外部 IdP 为现有 CXone 业务单位设置身份验证,则不需要创建新的用户帐户。您将需要编辑用户帐户,并配置外部身份类型和联合身份字段。对于通过外部 IdP 进行身份验证的每个用户都必须这样操作。该任务的第 4 步已经解释了这些字段。
当您创建新用户时,您可以选择同时创建新的个人用户或上传多个新的用户帐户。这些说明用于在 Admin 应用程序中创建单个用户。有关同时创建或编辑多个用户的说明,请参阅 一次管理多个用户
CXone 提供许多选项和设置,以便您可以自定义您的用户。最好通读整个任务,确保在开始之前知道需要配置哪些设置。
- 单击应用程序选择器 并选择Admin。
-
单击用户。
-
使用以下其中一种方式打开新用户创建表单:
- 如果您想用一张空白表单创建新用户,单击新建和选择单个用户。
- 如果您想基于一个现有的用户配置文件,打开用户的配置文件并单击复制。
-
输入用户的名字、姓氏、电子邮件、用户名(以电子邮件地址的形式)、安全配置文件、团队、用户将使用(时区)、城市和国家/地区。如果字段可用,使用密码和确认密码字段设置密码。输入您要添加到用户配置文件的任何其他信息。
在此步骤中了解有关字段的更多信息
字段
详细信息
内部 ID 分配给用户的内部 ID。这不是系统分配的 ID,可以是您选择的任何数字。 用户类型 仅当您的系统包括NICE CXone WFO 或 NICE CXone WFMv2 且用户已分配给一个启用 NICE CXone WFO 或 NICE CXone WFM 的团队时可见并且为必需项。两个应用程序采取不同的方式对待来自其他用户的坐席。虽然您可以根据组织的需要将用户指定为主管或管理员,但是为 NICE CXone WFO 和 WFMv2 应用程序中所有应被视为坐席的用户正确选择坐席至关重要。 电话 1
仅当您的系统包括 NICE CXone WFMv2 且用户已分配给一个启用 NICE CXone WFM 的团队时可见。其允许您在用户记录中添加一个电话号码,而非其NICE CXone PBX
内部电话网络,用于管理企业的呼入、呼出和内部语音呼叫。 关联号码。这些字段是信息性的,并且 NICE CXone WFMv2 应用程序本身不使用这些值。电话 2 仅当您的系统包括 NICE CXone WFMv2 a且用户已分配给一个启用 NICE CXone WFM 的团队时可见。其允许您在用户记录中添加第二个电话号码,而非其 NICE CXone PBX 关联号码。这些字段是信息性的,并且 NICE CXone WFMv2 应用程序本身不使用这些值。 外部身份类型 仅当您在自己的业务单位 用于管理 CXone环境的技术支持、计费和全局设置的高级组织分组中启用 SAML2 或 OpenID Connect 时可见。用于指定此用户的凭据是由 SAML2 还是 OpenID Connect 管理。联合身份 作为身份验证断言的一部分传递给 IdP 的唯一值。该值与请求 NICE CXone 身份验证的用户相关联。
当您的 IdP 向 NICE CXone 平台进行身份验证断言时,它必须包含一个 LDAP 声明,其中具有为用户配置的相同联合身份值。声明值是:
- Name ID(必填)—(必填):与用户的已配置联合身份完全匹配。名称 ID 区分大小写。
要配置签名消息,请仅对消息(“响应”)而非声明签名。
SIP 用户 如果您在自己的环境中配置了 SIP 用于对多媒体通信会话(如语音和视频通话)发出信号和进行控制的协议。,则该用户的 SIP 用户名格式为 sip:user@domain.com。登录身份验证程序 如果您想要分配自定义登录身份验证程序给此用户,从此下拉菜单中进行选择。
主题 只有在使用外部 IdP 和 OpenID Connect 时才可见。它是这个用户的 IdP 帐户名。 地址行 1
地址行 2
州/省/地区
邮编/邮政编码
用户的可选完整地址详细信息。这些字段用于设置紧急拨号。
无固定地址 表示用户的地址不是永久地址且不应用于紧急拨号。 位置 用户的可自定义位置。这可以是用户工作的大楼、大楼的楼层,或者您选择的任何其他位置。此值不影响紧急呼叫。 雇用日期 雇用用户的日期。 终止日期 解雇用户的日期。 重新雇用状态 用户有资格或无资格在未来重新雇用。 每小时成本 用户的时薪。 NT 登录名 用户的 NT 登录名。 雇佣类型 用户当前的雇佣类型。它可以是全职、兼职、临时、外包或其他。 推荐 有关用户的推荐信息。 在家工作 选择后,表示用户远程工作。 雇工来源 雇佣用户的方式。单击新雇工来源,以向下拉列表添加自定义选项。例如,内部招聘、员工推荐、招聘人员。 自定义属性 这五个字段默认称为自定义 1、自定义 2、自定义 3、自定义 4 和自定义 5。然而,您可以在您的业务单位 用于管理 CXone环境的技术支持、计费和全局设置的高级组织分组设置中自定义字段的名称。您可以使用这些属性来满足您的特定组织的需求,例如列出您的坐席最喜欢的冰淇淋口味或最喜欢的超级英雄。因为这些字段因组织而异,请联系您的联络中心经理,以了解如何在您的业务单位中使用这些字段。所有五个字段的字符限制均为 40。 -
如果您启用了集成软件电话 (WebRTC) 的自定义 URL,请根据需要配置I集成软件电话 URL 和 URL 权重。
在此步骤中了解有关字段的更多信息
字段
详细信息
集成软电话 URL 1-2 仅当您的业务单位启用了自定义集成软件电话 (WebRTC) URL 时可见。指定哪些集成软件电话 URL 要应用到用户配置文件。自定义 URL 会覆盖默认 URL。对于在某些情况下工作的某些坐席而言,默认 URL 会导致出现呼叫质量问题。有关更多信息或需要启用此功能,请联系您的 CXone 客户代表。 URL 1-2 权重 仅当您的业务单位启用了自定义集成软件电话 (WebRTC) URL 时可见。如果您为用户配置文件指定了两个集成软件电话 (WebRTC) URL,则 URL 权重指定相互比较后 URL 的优先级。权重较高的 URL 将在权重较低的 URL 之前尝试。如果 URL 设置为默认,则对应字段将被禁用并且为空白值。 下表中详细说明了每个配置选项的结果:
集成软件电话 URL 1
集成软件电话 URL 2
URL 1 权重
URL 2 权重
产生的行为
Default Default 空白 空白 使用默认 URL。 活动 URL A 活动 URL B 高 Lower 使用自定义 URL。首先尝试 URL A,然后尝试 URL B。 活动 URL A 活动 URL B Lower 高 使用自定义 URL。首先尝试 URL B,然后尝试 URL A。 活动 URL A 活动 URL B 等于 等于 使用自定义 URL。首先随机尝试 URL A 或 URL B,然后尝试另一个。 活动 URL A 活动 URL A 任何 任何 无效配置。 非活动 URL A 非活动 URL B 任何 任何 使用默认 URL。 非活动 URL A 非活动 URL A 任何 任何 无效配置。 活动 URL A 非活动 URL B 任何 任何 使用自定义 URL。首先尝试 URL A,然后尝试权重相等的默认 URL。 非活动 URL A 活动 URL B 任何 任何 使用自定义 URL。首先尝试 URL B,然后尝试权重相等的默认 URL。 Default 活动 URL B 任何 任何 无效配置。 活动 URL A Default 任何 任何 使用自定义 URL。首先尝试 URL A,然后尝试权重相等的默认 URL。 Default 非活动 URL B 任何 任何 无效配置。 非活动 URL A Default 任何 任何 使用默认 URL。 - 单击保存并继续。
-
设置用户的每个渠道的拒绝超时、默认拨号模式以及坐席语音阈值。如需要,选择抑制振铃 — Personal Connection。
在此步骤中了解有关字段的更多信息
字段
详细信息
电话、语音邮件、聊天、SMS、电子邮件、工作项 坐席可以在个人队列中收到请求而不响应的秒数。达到时间限制后,交互将转移至另一名坐席。如果将该字段留空,系统将使用业务单位默认值,通常为 45 秒。拒绝超时的值必须介于 15 到 300 秒之间。
WebRTC 的硬编码值是 30 秒,不能在用户或台站级别进行更改。
拨号模式
分配给用户的默认拨号模式。拨号模式指定每个呼叫的拨号方式。例如,拨号模式可以指定每个呼叫必须以“1”开头。坐席不需要在每次呼叫前都拨“1”,因为系统会将其添加到拨打的号码前。
电话号码超时 坐席的语音路径保持连接的时间长度。此字段设置为使用业务单位设置中所指定的值的默认值。更改此值会覆盖该用户的业务单位级别设置。 坐席语音阈值 坐席声音的音量大小。此设置有助于准确区分坐席的声音和背景噪音。阈值范围基于频率分析仪计算的自定义音量单位。
具有适当权限的用户可以通过 中的语音阈值调节设置MAX自行更改该值。
抑制振铃 — Personal Connection 当坐席使用 Personal Connection 技能时,此设置不允许坐席在系统应答前听到振铃声音。相反,当坐席从网络上收到应答的呼叫时,他们首先会听到音频。此设置将覆盖将进度视为铃声的技能设置。 -
如果已为静态交付启用了您的环境,则设置默认的并发聊天数和自动驻留的电邮数量。指定用户是否可以请求联系。
在此步骤中了解有关字段的更多信息
字段
详细信息
并发聊天 用户可同时参与的最大聊天数。它是团队默认值,或者用户所属团队允许的最大聊天数,或者是 1 到 12 之间的数字。 自动驻留的电子邮件
用户收件箱内一次性可容纳的最大电子邮件数量。它是团队默认值,或者用户所属团队允许的最大电子邮件数量,或者是 1 到 25 之间的数字。
请求通话 选择时,允许坐席请求下一可用联系,而非使其自动路由。 -
如果已为动态交付启用了您的环境,则设置用户可以处理的每个信道的最大同时联系数量。如果您启用了具体的 动态交付 设置,为用户设置传递模式和联系总计数。
在此步骤中了解有关字段的更多信息
字段
详细信息
语音、聊天、电子邮件、SMS、工作项 用户可以处理的最大联系数。语音同时包括电话呼叫和语音邮件。将语音设置为关闭会对用户禁用语音。SMS 适用于 CXone SMS 消息传递。 传递模式 仅当您的 NICE CXone 帐户代表启用具体的 动态交付 设置时可用,其指定您是否希望团队中的坐席使用全渠道或单渠道处理。有关更多信息,请参阅 管理 动态交付 的联系人传递设置。
全渠道传递模式允许坐席同时使用多个渠道处理多个联系。坐席还可以将联系升级到其他渠道。
单联系传递模式仅允许坐席一次使用一个渠道处理一个联系。坐席也能够将联系升级至其他渠道。
联系总计数
仅当您的 NICE CXone 帐户代表启用具体的 动态交付 设置时可用,指定坐席一次可以处理的最大联系总数。例如,如果您将聊天设置为 5,将电子邮件设置为 5,将联系总数设置为 7,则坐席在任何给定时间最多会收到七个联系人。这七个联系人中,聊天联系人的数量最多为五个,电子邮件联系人的数量最多为五个。有关更多信息,请参阅 管理 动态交付 的联系人传递设置。
-
如果您启用了 WFO 集成而未启用 CXone WFO(例如 Uptivity WFO),并且想设置录制,输入系统域、系统用户名和电话。
在此步骤中了解有关字段的更多信息
字段
详细信息
系统域 与系统用户名关联的域。 系统用户名
将 Windows 用户名添加到用户帐户(即用户登录到您的网络使用的名称)。如果您的组织使用 NICE CXone 屏幕录制,则此字段为必填字段。NICE CXone WFO 使用它来通过屏幕录制客户端定位用户的台式电脑。每个用户必须有一个唯一的系统用户名,而不论 Windows 域如何,并且必须使用该系统用户名登录到他们的台式电脑。例如,如果您的组织有两个 Elizabeth Bennet,那么即使她们在不同的 Windows 域上,也无法同时使用“ebennet”作为其 Windows 用户名。
电话 与将被录制的用户关联的 CXone 电话 ID。在向电话字段添加信息时,请考虑以下几点:
- 您不能将一个分机分配给多个用户。例如,不能将分机 1234 分配给 Elizabeth Bennet 和 Charlotte Lucas,即使她们在同一个分机上轮班。
- 您可以给同一个用户分配多个分机。例如,Elizabeth Bennet 可以在分机上 1234 接听来电,在分机 4321 上拨打呼出呼叫。
- 在 MAX 版本部分中,您可以确定您希望此用户使用 MAX 的哪一版本。
-
如果您启用了 CXone WFM,请配置坐席的通知设置。
在此步骤中了解有关字段的更多信息
字段
详细信息
WFM 通知分钟数 在坐席计划表中的事件发生前坐席收到提醒耗费的分钟数。此设置仅适用于包括 NICE CXone CXone WFM 的系统。 -
如果您有 NICE CXone WFO 并且希望与 CRM 集成,输入坐席的 CRM 用户名,将其与用户相关联。
- 单击保存。
身份验证应用程序
用户和应用程序的身份验证方式非常相似。主要的区别是,应用程序使用访问密钥进行身份验证,而用户则使用用户名和密码进行身份验证。与用户不同,应用程序不需要通过浏览器进行交互。应用程序通常是后台功能或智能虚拟坐席 聊天机器人或基于人工智能与用户交互的类似应用程序 (IVA)。
要设置要与 CXone 交互的应用程序,请创建
CXone 中的授权
授权指验证用户可以访问哪些资源的过程。资源包括应用程序、文件和数据。您可根据基于角色的访问控制定义用户对资源的访问权限。CXone 在身份验证期间自动管理授权。当用户通过身份验证时,他们仅能访问获得授权的资源。
用户的身份验证方法不会影响授权。CXone 对所有用户采用相同的授权流程。无论是通过访问密钥还是密码进行身份验证都无关紧要。