使用外部身份提供程序来设置 CXone 身份验证

本页将逐步指导您使用外部身份提供程序 (IdP) 为 CXone 系统设置身份验证。

按照给定的顺序完成以下每一个任务。

在您开始之前

  • 如果您以前从未设置过这样的过程,那么您应该对身份验证和授权的概念和术语进行基本的了解
  • 如果这是您首次在 CXone 中使用身份验证,请查看CXone-特定流程
  • 考虑您的真人用户及其需要的访问级别。决定是否应该为有更多访问的人提供更高级别的安全保障。
  • 决定是使用自定义密码要求、多因素身份验证 (MFA),还是同时执行两者。
  • 根据您的决定,制定一个身份验证程序列表。该列表应该包括您希望用于每个登录验证程序的密码要求和 MFA 状态。如果默认的登录身份验证程序满足您的密码管理需求,则不必创建自定义登录身份验证程序。
  • 考虑是否需要为机器人或智能虚拟助手 (IVA) 等应用程序加入身份验证和授权。如果需要,您将需要创建访问密钥。
  • 识别您的外部 IdPCXone 支持托管和云服务 IdP。如果需要,请让贵公司的身份验证专家参与此流程。可能已经建立了系统集成流程,比如 CXone 与外部 IdP 的集成。遵循这些流程并满足特定的安全需求最终是您的责任。
  • 定义您的身份验证协议CXone 支持 SAML 2.0OpenID 连接
  • 评估 IdP 和协议的组合可确保您的用例和用户流得到支持,并识别潜在的问题。这应该包括实际的测试。

您的 NICE CXone 团队可以在此规划流程中对您提供支持和指导。合理的规划将会让实施工作更加顺畅。在出现紧急需求时实施身份验证和授权更有可能导致问题。

设置位置

所需权限:位置管理创建

如果您想要求用户从特定 IP 地址登录,请使用您想要允许的 IP 地址、IP 地址范围或 IP 地址子网创建一个位置。当对于某个用户您需要一个已配置的位置时,该用户必须拥有正确的凭据和 IP 地址才能登录。否则,他们的登录尝试将失败并收到错误。您一次最多可以有 20 个位置,每个位置最多有 10 条规则。

  1. 单击应用程序选择器 并选择Admin
  2. 转到位置 > 位置定义
  3. 单击新位置
  4. 为此位置提供描述性名称。如果您想添加有关该位置的更多详情,请输入描述
  5. 您可以选择设置为默认位置远程位置来指示位置类型。您只能有一个默认位置。这些字段目前不会影响任何功能,选择它们仅供您自己参考。
  6. 使用其余字段添加您想要的任何其他信息,包括实际地址、国家/地区、GPS 坐标、时区或已分配的组。这些字段目前不会影响任何内容,其中输入的信息仅供您参考。

    如果将组添加到已分配的组字段,属于这些组的用户将显示在“已分配的用户”选项卡上。但是,位置设置将不适用于它们。如果您为登录身份验证程序分配位置,则该位置适用于分配给该登录身份验证程序的用户,并根据其 IP 地址限制他们的登录能力。但是,这些用户不会出现在“已分配的用户”选项卡上。

  7. 单击保存

  8. 返回“位置定义”页面,单击您刚刚创建的位置将其打开。

  9. 单击“自动检测规则”选项卡。

  10. 创建一条新规则。为此:

    1. 单击新规则

    2. 为规则提供描述性名称

    3. 从以下选项中选择规则类型

      • 列表:允许用于此位置的特定 IP 地址的列表。例如,100.0.1.100100.0.1.101100.0.1.102

      • 范围:允许用于此位置的 IP 地址范围。例如,100.0.1.100-100.0.1.125

      • 子网:允许用于此位置的子网。例如,100.0.0.1/32

    4. IP 版本指定为以下之一:

      • IPV4:32 位 IP 地址

      • IPV6:128 位十六进制地址。

    5. 按照先前步骤中示例的格式,在规则定义字段中输入实际 IP 地址、范围或子网。如果您选择了列表,则最多可以输入 100 个 IP 地址。如果您选择了范围子网,则只能输入一个值。

    6. 单击确认

  11. 根据需要添加更多规则。最多可以有 10 条。

  12. 单击保存

使用 SAML 2.0 创建外部登录身份验证程序

所需权限登录身份验证程序创建

要使用 OpenID 连接 创建外部登录身份验证程序,请跳过本节。登录身份验证程序用于管理密码条件。您可以为不同的用户创建不同的登录身份验证程序。

如果您希望用户的密码由另一个系统或身份提供程序管理,则可以使用外部身份验证。CXone 目前支持 SAML 2.0OpenID 连接 联合协议。

您可以使用本节中的步骤设置 IdP 发起的身份验证或 SP 发起的身份验证。

IdP 发起的身份验证:IdP 代表身份提供程序。IdP 发起的身份验证意味着外部身份验证程序启动了登录流程。

SP 发起的身份验证:SP 代表服务提供商。SP 发起的身份验证意味着 CXone 启动了登录流程。

如果使用 Salesforce Agent,则必须为 SP 发起的身份验证配置外部身份提供程序 (IdP)。

  1. 确保您拥有访问外部身份提供程序的权限。您需要创建特定于 CXone 的集成。
  2. 在外部身份提供程序中创建集成。不同的系统使用不同的集成名称,请参阅 OktaAzure的具体说明。
    1. 您需要提供一个此时不知道的实体 ID。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    2. 您需要提供一个此时不知道的 ACS URL。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    3. 身份提供程序将生成必须发送 SAML 请求的特定 URL。复制此 URL 并将其保存到您可以找到的位置。您需要在后面的步骤中输入该值。
    4. 身份提供程序将为该集成生成公共签名证书。下载该证书。您需要在后面的步骤中使用它。
  3. CXone 中创建外部登录身份验证程序。
    1. 单击应用程序选择器 并选择管理员
    2. 单击安全 > 登录验证程序
    3. 输入登录身份验证程序的名称描述
    4. 选择 SAML 作为 身份验证类型
    5. 如果选择FICAM,则 SAML 响应必须具有单个 AuthnContextClassRef 条目。此外,断言主题的 NamespaceURI 必须为:urn:oasis:names:tc:SAML:2.0:assertionAuthnContextClassRefNamespaceURI 字段由身份提供程序控制。
    6. 输入您从上述提供程序收到的 SAML 请求端点作为端点 URL
    7. 单击选择文件,然后选择从提供程序收到的公共签名证书。该文件必须为 PEM 文件。它将是一个文本文件,第一行将包含 BEGIN CERTIFICATE 和一些其他类型的文本。
    8. 单击保存并激活
    9. 打开登录身份验证程序。
    10. 记下实体 IDACS URL。更新 IdP 设置时您将需要它们。

  4. 更新您的身份提供程序设置,将上面使用的占位符替换为您刚刚记下的值。

  5. 确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。

    您的身份提供程序确定必须使用的值。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。

  6. 让用户登录。他们必须使用最新的登录 URL。如有需要,在输入用户名后会将他们引导至外部身份提供程序。

使用 OpenID 连接 创建外部登录身份验证程序

所需权限登录身份验证程序创建

如果您希望用户的密码由另一个系统或身份提供程序管理,则可以使用外部身份验证。CXone 目前支持 SAML 2.0OpenID 连接 联合协议。

您可以使用本节中的步骤设置 IdP 发起的身份验证或 SP 发起的身份验证。

IdP 发起的身份验证:IdP 代表身份提供程序。IdP 发起的身份验证意味着外部身份验证程序启动了登录流程。

SP 发起的身份验证:SP 代表服务提供商。SP 发起的身份验证意味着 CXone 启动了登录流程。

如果使用 Salesforce Agent,则必须为 SP 发起的身份验证配置外部身份提供程序 (IdP)。

  1. 确保您拥有访问外部身份提供程序的权限。您需要创建特定于 CXone 的集成。
  2. 在外部身份提供程序中创建集成。
    1. 您需要提供一个此时不知道的登录重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    2. 您可能需要提供一个此时不知道的注销重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    3. 身份提供程序将生成一个客户端 ID 和一个客户端密钥。复制这些值并将其保存在您可以找到的位置。您将需要在后续步骤中输入它们。
  3. CXone 中创建外部登录身份验证程序。
    1. 单击应用程序选择器 并选择Admin

    2. 单击登录身份验证程序

    3. 单击新建或选择您要编辑的登录身份验证程序。
    4. 输入登录身份验证程序的名称描述
    5. 选择 OIDC 作为 身份验证类型
    6. 如果您具有用于 IdP 的发现端点,请单击发现设置。输入您的发现端点,然后单击发现。系统会为您填充其余字段。发现设置不可与 Salesforce 发现端点共同使用。
    7. 输入客户端标识符客户端密码。在客户端确认密码字段中再次键入该密码。客户端标识符是您的 IdP 分配给您帐户的登录 ID。
    8. 如果您没有用于 IdP 的发现端点,请输入 IdP 提供的签发方Json Web 密钥设置端点授权端点令牌端点UserInfo 端点撤销端点结束会话端点

    9. 选择客户端身份验证方法。您选择的方法必须是您 IdP 支持的身份验证方法。如果您选择 private_key_jwt,则必须选择启用加密,然后输入您的客户端断言验证密钥
    10. 您可以选择启用 FICAM 配置文件来打开美国政府特定设置。
    11. 单击创建登录身份验证程序,以验证提供的信息并将您的 CXone 帐户链接到您的 IdP 帐户。
    12. 打开登录身份验证程序。
    13. 记下登录重定向 URI注销重定向 URI。更新 IdP 设置时您将需要它们。

  4. 更新您的身份提供程序设置,将上面使用的占位符替换为您刚刚记下的值。

  5. 确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。

    您的身份提供程序确定必须使用的值。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。此字段的值必须采用以下格式:claim(email):{您 IdP 配置的电子邮件}。例如,如果 IdP 中用户的电子邮件为 nick.carraway@classics.com,您将输入 claim(email):nickcarraway@classics.com

  6. 让用户登录。他们必须使用最新的登录 URL。如有需要,在输入用户名后会将他们引导至外部身份提供程序。

  7. 当 IdP 要求您进行身份验证时,请以您希望与您当前所登录之 CXone 帐户相关联的 IdP 上的用户身份进行身份验证。
  8. 如果您在 CXone 中的 OpenID 连接 设置没有显示为已验证,请使用 IdP 日志诊断问题。

使用基于声明的 OpenID 连接 链接新用户

CXone 可以使用不同的声明值,如电子邮件地址,以在用户首次登录时建立用户身份。然后,CXone 自动切换至唯一 的 OpenID 连接 主题标识符。这允许您预先配置用户的联合身份

用于前端身份验证的 PKCE

您可能在使用 OpenID 连接 授权代码流程时遇到困难。此流程需要 client_secret 作为令牌交换的一部分。将 client_secret 编码到 Web 应用程序中存在安全风险。OpenID 连接 允许进行称为 PKCE(代码交换证明密钥)的替代流程。PKCE 使用不同的身份验证方法。NICE CXone 支持用于前端集成的 PKCE 流程。

创建安全配置文件

需要的权限安全配置文件创建

  1. 使用以下方法之一创建安全配置文件并为其命名:

    • 要创建新的空白安全配置文件:

      1. 单击应用程序选择器 并选择Admin
      2. 转至安全配置文件
      3. 单击新建

      4. 输入安全配置文件的唯一名称

      5. 如果需要,请输入描述

      6. 对于创建,选择一个空白的安全配置文件

    • 要快速创建复制现有安全配置文件的新安全配置文件:

      1. 单击应用程序选择器 并选择Admin
      2. 转至安全配置文件
      3. 打开要复制的安全配置文件。

      4. 单击复制

      5. 输入安全配置文件的唯一名称

      6. 如果需要,请输入描述

  2. 单击下一步

  3. 为您希望用户拥有的每个产品和功能启用权限。某些权限(如用户设置和安全性)已被分组。要查看组内的权限,请单击组名称旁边的个人

  4. 单击下一步

  5. 为您希望用户拥有的每个报告启用权限。

  6. 单击下一步

  7. 限制营销活动关闭 用于运行报告的技能分组。、团队、可分配配置文件、组和业务单位关闭 用于管理 CXone环境的技术支持、计费和全局设置的高级组织分组的数据访问。对于每种数据类型,选择您想要用户访问该类型的所有和未来数据、 还是自定义

  8. 如果您为数据类型选择自定义,请使用弹出窗口指定用户可以访问该数据类型的哪些实体。单击完成

    新的营销活动、团队、安全配置文件、组和业务单位在创建时不会自动添加到自定义列表中。如果想要用户访问新数据,则必须更新自定义列表。

  9. 单击下一步
  10. 单击创建安全配置文件

创建或编辑用户

所需权限用户创建

如果使用外部 IdP 为现有 CXone 业务单位设置身份验证,则不需要创建新的用户帐户。您将需要编辑用户帐户,并配置外部身份类型联合身份字段。对于通过外部 IdP 进行身份验证的每个用户都必须这样操作。该任务的第 4 步已经解释了这些字段。

当您创建新用户时,您可以选择同时创建新的个人用户或上传多个新的用户帐户。这些说明用于在 Admin 应用程序中创建单个用户。有关同时创建或编辑多个用户的说明,请参阅 一次管理多个用户

CXone 提供许多选项和设置,以便您可以自定义您的用户。最好通读整个任务,确保在开始之前知道需要配置哪些设置。

  1. 单击应用程序选择器 并选择Admin
  2. 单击用户

  3. 使用以下其中一种方式打开新用户创建表单:

    • 如果您想用一张空白表单创建新用户,单击新建和选择单个用户
    • 如果您想基于一个现有的用户配置文件,打开用户的配置文件并单击复制
  4. 输入用户的名字姓氏电子邮件用户名(以电子邮件地址的形式)、安全配置文件团队用户将使用(时区)、城市国家/地区。如果字段可用,使用密码确认密码字段设置密码。输入您要添加到用户配置文件的任何其他信息。

  5. 选择登录身份验证程序 (LA)。

    必须为所有用户分登录身份验证程序,否则他们将无法登录 CXone

    LA 的类型将决定用户如何登录 CXone。您可以设置两种类型的登录身份验证程序。

    系统 LA:分配到系统 LA 的用户将使用 CXone 管理的凭据登录。

    外部 LA:分配到外部 LA 的用户将通过外部身份提供程序 (IdP) 完成登录。外部 LA 配置有 SAML 2.0OpenID 连接

  6. 如果您启用了集成软件电话 (WebRTC) 的自定义 URL,请根据需要配置I集成软件电话 URLURL 权重

  7. 单击保存并继续
  8. 设置用户的每个渠道的拒绝超时、默认拨号模式以及坐席语音阈值。如需要,选择抑制振铃 — Personal Connection

  9. 如果已为静态交付启用了您的环境,则设置默认的并发聊天数和自动驻留的电邮数量。指定用户是否可以请求联系

  10. 如果已为动态交付启用了您的环境,则设置用户可以处理的每个信道的最大同时联系数量。如果您启用了具体的 动态交付 设置,为用户设置传递模式联系总计数

  11. 如果您启用了 WFO 集成而未启用 CXone WFO(例如 Uptivity WFO),并且想设置录制,输入系统域系统用户名电话

  12. MAX 版本部分中,您可以确定您希望此用户使用 MAX 的哪一版本。
  13. 如果您启用了 CXone WFM,请配置坐席的通知设置。

  14. 如果您有 NICE CXone WFO 并且希望与 CRM 集成,输入坐席的 CRM 用户名,将其与用户相关联。

  15. 单击保存

身份验证应用程序

用户和应用程序的身份验证方式非常相似。主要的区别是,应用程序使用访问密钥进行身份验证,而用户则使用用户名和密码进行身份验证。与用户不同,应用程序不需要通过浏览器进行交互。应用程序通常是后台功能或智能虚拟坐席关闭 聊天机器人或基于人工智能与用户交互的类似应用程序 (IVA)。

要设置要与 CXone 交互的应用程序,请创建一个用户配置文件,然后以该应用程序的名称命名配置文件。然后为应用程序用户创建一个访问密钥,如下所示:

CXone 中的授权

授权指验证用户可以访问哪些资源的过程。资源包括应用程序、文件和数据。您可根据基于角色的访问控制定义用户对资源的访问权限。CXone 在身份验证期间自动管理授权。当用户通过身份验证时,他们仅能访问获得授权的资源。

用户的身份验证方法不会影响授权。CXone 对所有用户采用相同的授权流程。无论是通过访问密钥还是密码进行身份验证都无关紧要。