Microsoft Azure 用作外部身份提供程序时设置CXone身份验证

本页将逐步指导您使用 Microsoft Azure 作为外部身份提供程序 (IdP) 时,如何为您的 CXone 系统设置身份验证。如果您将 Microsoft Azure 设置为现有系统的 IdPCXone,则无需执行此处描述的一些任务。请参阅用 管理联盟Microsoft Azure 帮助页面。

在您开始之前

  • 如果您以前从未设置过这样的过程,那么您应该对身份验证和授权的概念和术语进行基本的了解
  • 如果这是您首次在 CXone 中使用身份验证,请查看CXone-特定流程
  • 考虑您的真人用户及其需要的访问级别。决定是否应该为有更多访问的人提供更高级别的安全保障。
  • 决定是使用自定义密码要求、多因素身份验证 (MFA),还是同时执行两者。
  • 根据您的决定,制定一个身份验证程序列表。该列表应该包括您希望用于每个登录验证程序的密码要求和 MFA 状态。
  • 考虑是否需要为机器人或智能虚拟助手 (IVA) 等应用程序加入身份验证和授权。如果需要,您将需要创建访问密钥。
  • 了解SAML 2.0 身份验证协议CXone 支持SAML 2.0Microsoft Azure集成。
  • 评估 IdP 和协议的组合可确保您的用例和用户流得到支持,并识别潜在的问题。这应该包括实际的测试。

您的 NICE CXone 团队可以在此规划流程中对您提供支持和指导。合理的规划将会让实施工作更加顺畅。在出现紧急需求时实施身份验证和授权更有可能导致问题。

按照给定的顺序完成以下每一个任务。

在开始之前,请确保您有权访问 Microsoft Azure ID 管理控制台。您将需要创建一个应用程序。

创建和配置 Azure 应用程序

  1. 登录您的 Azure AD 管理帐户。
  2. 创建一个应用程序。
    1. 单击企业应用程序 > 新应用程序
    2. 单击创建您自己的应用程序
    3. 输入名称(例如,NICE CXone)。
    4. 选择集成您在库中找不到的任何其他应用程序(非库)
    5. 单击创建
  3. 根据需要分配用户和群组。
  4. 在“设置单点登录”下,单击入门,然后选择 SAML
  5. 在“基本 SAML 配置”面板上,单击编辑并配置 SAML:
    1. 在“标识符(实体 ID)”下,单击添加标识符并输入 https://cxone.niceincontact.com/need_to_change。您需要将此值更改为稍后收到的 URL。
    2. 在“回复 URL”下,单击添加回复 URL,然后在受众 URI 字段中,输入 https://cxone.niceincontact.com/need_to_change。您需要将此值更改为稍后收到的 URI。
  6. 单击保存并关闭“基本 SAML 配置”面板。
  7. 在“属性和索赔”部分,选择正确的唯一用户标识符。您选择的值将是 CXone 中的联合身份
  8. AzureAD 应自动创建 SAML 签名证书。下载名为证书 (Base64) 的证书。
  9. 在“SAML 签名证书”面板上,单击编辑,然后:
    1. 签名选项更改为签署 SAML 响应
    2. 单击保存并关闭“SAML 签名证书”面板。为您的 CXone 配置保存此文件。
  10. 在“设置 <应用程序名称>”面板上,复制登录 URL 值。为您的 CXone 配置保存此值。
  11. 让您的窗口保持打开状态。您将根据在下一个任务中收到的值更改 Azure 应用程序设置。

CXone 中设置外部登录身份验证程序

所需权限登录身份验证程序创建

  1. 单击应用程序选择器 并选择管理员
  2. 单击安全 > 登录验证程序
  3. 单击新建
  4. 输入登录身份验证程序的名称描述
  5. 选择 SAML2 作为身份验证类型
  6. 输入您从 Azure 收到的 SAML 请求端点作为端点 URL
  7. 单击选择文件,然后选择您在上一个任务中从 Azure 下载的公共签名证书。该文件必须为 PEM 文件。它将是一个文本文件,第一行将包含 BEGIN CERTIFICATE 和一些其他类型的文本。
  8. 单击创建登录身份验证程序
  9. 打开登录身份验证程序。

  10. 您会注意到显示的两个额外只读字段,即实体 IDAssertion URL。记录这些值。您将在下一个任务中需要它们。

将用户分配给登录身份验证程序

  1. 单击应用程序选择器 并选择Admin

  2. 单击用户

  3. 选择要分配给登录身份验证程序的用户,或单击新建创建一个新用户

  4. 在“常规”选项卡中,单击编辑

  5. 在安全部分中,从登录身份验证程序下拉列表中选择之前创建的登录身份验证程序。

  6. 单击完成

CXone 值添加到 Azure

  1. 返回到您的 Azure 应用程序,然后在“基本 SAML 配置”面板上,单击编辑
  2. 对于标识符(实体 ID),输入来自 CXone 登录身份验证程序的实体 ID 值。
  3. 对于回复 URL,输入来自 CXone 登录身份验证程序的 Assertion URL 值。
  4. 单击保存并关闭“基本 SAML 配置”面板。

  5. 确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。

    1. 您的身份提供程序确定必须使用的值。此值必须与 Azure 中的唯一用户标识符CXone 中的外部身份完全匹配。

  6. 让用户登录CXone。他们必须使用最新的 CXone 登录 URL。如有需要,在输入用户名后会将他们引导至外部身份提供程序。CXone 不支持 IdP 通过 Azure 启动的流程。

使用 Azure 单点登录验证用户访问

  1. 确保将每个使用登录身份验证程序的用户外部身份设置为正确的值。此值必须与 Azure 中的唯一用户标识符CXone 中的联合身份完全匹配。

  2. 让一位或多位测试用户使用最新的 CXone 登录 URL 登录。如有需要,在输入用户名后会将他们引导至 Azure

  3. 准备就绪后,向所有用户推出 Azure 单点登录。

创建安全配置文件

需要的权限安全配置文件创建

  1. 使用以下方法之一创建安全配置文件并为其命名:

    • 要创建新的空白安全配置文件:

      安全配置文件创建“名称和信息”页面的屏幕截图,用于空白安全配置文件的配置
      1. 单击应用程序选择器 并选择Admin
      2. 转至安全配置文件

      3. 单击新建

      4. 输入安全配置文件的唯一名称

      5. 如果需要,请输入描述

      6. 对于创建,选择一个空白的安全配置文件

    • 要快速创建复制现有安全配置文件的新安全配置文件:

      安全配置文件创建“名称和信息”页面的屏幕截图,用于复制系统安全配置文件的配置
      1. 单击应用程序选择器 并选择Admin
      2. 转至安全配置文件

      3. 打开要复制的安全配置文件。

      4. 单击复制

      5. 输入安全配置文件的唯一名称

      6. 如果需要,请输入描述

  2. 单击下一步

  3. 为您希望用户拥有的每个产品和功能启用权限。某些权限(如用户设置和安全性)已被分组。要查看组内的权限,请单击组名称旁边的个人

  4. 单击下一步

  5. 为您希望用户拥有的每个报告启用权限。

  6. 单击下一步

  7. 限制营销活动关闭 用于运行报告的技能分组。、团队、可分配配置文件、组和业务单位关闭 用于管理 CXone环境的技术支持、计费和全局设置的高级组织分组的数据访问。对于每种数据类型,选择您想要用户访问该类型的所有和未来数据、 还是自定义

  8. 如果您为数据类型选择自定义,请使用弹出窗口指定用户可以访问该数据类型的哪些实体。单击完成

    新的营销活动、团队、安全配置文件、组和业务单位在创建时不会自动添加到自定义列表中。如果想要用户访问新数据,则必须更新自定义列表。

  9. 单击下一步
  10. 单击创建安全配置文件

创建或编辑用户

所需权限用户创建

如果使用外部 IdP 为现有 CXone 业务单位设置身份验证,则不需要创建新的用户帐户。您将需要编辑用户帐户,并配置外部身份类型联合身份字段。对于通过外部 IdP 进行身份验证的每个用户都必须这样操作。该任务的第 4 步已经解释了这些字段。

当您创建新用户时,您可以选择同时创建新的个人用户或上传多个新的用户帐户。这些说明用于在 Admin 应用程序中创建单个用户。有关同时创建或编辑多个用户的说明,请参阅 一次管理多个用户

CXone 提供许多选项和设置,以便您可以自定义您的用户。最好通读整个任务,确保在开始之前知道需要配置哪些设置。

Central 用户创表单的屏幕截图

  1. 单击应用程序选择器 并选择Admin

  2. 单击用户

  3. 使用以下其中一种方式打开新用户创建表单:

    • 如果您想用一张空白表单创建新用户,单击新建和选择单个用户
    • 如果您想基于一个现有的用户配置文件,打开用户的配置文件并单击复制

  4. 输入用户的名字姓氏电子邮件用户名(以电子邮件地址的形式)、安全配置文件团队用户将使用(时区)、城市国家/地区。如果字段可用,使用密码确认密码字段设置密码。输入您要添加到用户配置文件的任何其他信息。

    字段

    详细信息
    内部 ID 分配给用户的内部 ID。这不是系统分配的 ID,可以是您选择的任何数字。
    用户类型 仅当您的系统包括NICE CXone WFO 或 NICE CXone WFMv2 且用户已分配给一个启用 NICE CXone WFO 或 NICE CXone WFM 的团队时可见并且为必需项。两个应用程序采取不同的方式对待来自其他用户的坐席。虽然您可以根据组织的需要将用户指定为主管管理员,但是为 NICE CXone WFO 和 WFMv2 应用程序中所有应被视为坐席的用户正确选择坐席至关重要。

    电话 1

    仅当您的系统包括 NICE CXone WFMv2 且用户已分配给一个启用 NICE CXone WFM 的团队时可见。其允许您在用户记录中添加一个电话号码,而非其NICE CXone PBX关闭 内部电话网络,用于管理企业的呼入、呼出和内部语音呼叫。 关联号码。这些字段是信息性的,并且 NICE CXone WFMv2 应用程序本身不使用这些值。
    电话 2 仅当您的系统包括 NICE CXone WFMv2 a且用户已分配给一个启用 NICE CXone WFM 的团队时可见。其允许您在用户记录中添加第二个电话号码,而非其 NICE CXone PBX 关联号码。这些字段是信息性的,并且 NICE CXone WFMv2 应用程序本身不使用这些值。
    外部身份类型 仅当您在自己的业务单位关闭 用于管理 CXone环境的技术支持、计费和全局设置的高级组织分组中启用 SAML2 或 OpenID Connect 时可见。用于指定此用户的凭据是由 SAML2 还是 OpenID Connect 管理。
    联合身份

    作为身份验证断言的一部分传递给 IdP 的唯一值。该值与请求 NICE CXone 身份验证的用户相关联。

    当您的 IdP 向 NICE CXone 平台进行身份验证断言时,它必须包含一个 LDAP 声明,其中具有为用户配置的相同联合身份值。声明值是:

    • Name ID(必填)—(必填):与用户的已配置联合身份完全匹配。名称 ID 区分大小写。

    要配置签名消息,请仅对消息(“响应”)而非声明签名。
    SIP 用户 如果您在自己的环境中配置了 SIP关闭 用于对多媒体通信会话(如语音和视频通话)发出信号和进行控制的协议。,则该用户的 SIP 用户名格式为 sip:user@domain.com。
    登录身份验证程序

    如果您想要分配自定义登录身份验证程序给此用户,从此下拉菜单中进行选择。
    主题 只有在使用外部 IdP 和 OpenID Connect 时才可见。它是这个用户的 IdP 帐户名。

    地址行 1

    地址行 2

    州/省/地区

    邮编/邮政编码

    用户的可选完整地址详细信息。这些字段用于设置紧急拨号
    无固定地址 表示用户的地址不是永久地址且不应用于紧急拨号。
    位置 用户的可自定义位置。这可以是用户工作的大楼、大楼的楼层,或者您选择的任何其他位置。此值不影响紧急呼叫。
    雇用日期 雇用用户的日期。
    终止日期 解雇用户的日期。
    重新雇用状态 用户有资格无资格在未来重新雇用。
    每小时成本 用户的时薪。
    NT 登录名 用户的 NT 登录名。
    雇佣类型 用户当前的雇佣类型。它可以是全职兼职临时外包其他
    推荐 有关用户的推荐信息。
    在家工作 选择后,表示用户远程工作。
    雇工来源 雇佣用户的方式。单击新雇工来源,以向下拉列表添加自定义选项。例如,内部招聘员工推荐招聘人员
    自定义属性 这五个字段默认称为自定义 1自定义 2自定义 3自定义 4自定义 5。然而,您可以在您的业务单位关闭 用于管理 CXone环境的技术支持、计费和全局设置的高级组织分组设置中自定义字段的名称。您可以使用这些属性来满足您的特定组织的需求,例如列出您的坐席最喜欢的冰淇淋口味或最喜欢的超级英雄。因为这些字段因组织而异,请联系您的联络中心经理,以了解如何在您的业务单位中使用这些字段。所有五个字段的字符限制均为 40。

  5. 如果您启用了集成软件电话 (WebRTC) 的自定义 URL,请根据需要配置I集成软件电话 URLURL 权重

    字段

    详细信息
    集成软电话 URL 1-2 仅当您的业务单位启用了自定义集成软件电话 (WebRTC) URL 时可见。指定哪些集成软件电话 URL 要应用到用户配置文件。自定义 URL 会覆盖默认 URL。对于在某些情况下工作的某些坐席而言,默认 URL 会导致出现呼叫质量问题。有关更多信息或需要启用此功能,请联系您的 CXone 客户代表
    URL 1-2 权重 仅当您的业务单位启用了自定义集成软件电话 (WebRTC) URL 时可见。如果您为用户配置文件指定了两个集成软件电话 (WebRTC) URL,则 URL 权重指定相互比较后 URL 的优先级。权重较高的 URL 将在权重较低的 URL 之前尝试。如果 URL 设置为默认,则对应字段将被禁用并且为空白值。

    下表中详细说明了每个配置选项的结果:

    集成软件电话 URL 1

    集成软件电话 URL 2

    URL 1 权重

    URL 2 权重

    产生的行为
    Default Default 空白 空白 使用默认 URL。
    活动 URL A 活动 URL B Lower 使用自定义 URL。首先尝试 URL A,然后尝试 URL B。
    活动 URL A 活动 URL B Lower 使用自定义 URL。首先尝试 URL B,然后尝试 URL A。
    活动 URL A 活动 URL B 等于 等于 使用自定义 URL。首先随机尝试 URL A 或 URL B,然后尝试另一个。
    活动 URL A 活动 URL A 任何 任何 无效配置。
    非活动 URL A 非活动 URL B 任何 任何 使用默认 URL。
    非活动 URL A 非活动 URL A 任何 任何 无效配置。
    活动 URL A 非活动 URL B 任何 任何 使用自定义 URL。首先尝试 URL A,然后尝试权重相等的默认 URL。
    非活动 URL A 活动 URL B 任何 任何 使用自定义 URL。首先尝试 URL B,然后尝试权重相等的默认 URL。
    Default 活动 URL B 任何 任何 无效配置。
    活动 URL A Default 任何 任何 使用自定义 URL。首先尝试 URL A,然后尝试权重相等的默认 URL。
    Default 非活动 URL B 任何 任何 无效配置。
    非活动 URL A Default 任何 任何 使用默认 URL。
  6. 单击保存并继续

  7. 设置用户的每个渠道的拒绝超时、默认拨号模式以及坐席语音阈值。如需要,选择抑制振铃 — Personal Connection

    字段

    详细信息
    电话、语音邮件、聊天、SMS、电子邮件、工作项

    坐席可以在个人队列中收到请求而不响应的秒数。达到时间限制后,交互将转移至另一名坐席。如果将该字段留空,系统将使用业务单位默认值,通常为 45 秒。拒绝超时的值必须介于 15300 秒之间。

    WebRTC 的硬编码值是 30 秒,不能在用户或台站级别进行更改。

    拨号模式

    分配给用户的默认拨号模式。拨号模式指定每个呼叫的拨号方式。例如,拨号模式可以指定每个呼叫必须以“1”开头。坐席不需要在每次呼叫前都拨“1”,因为系统会将其添加到拨打的号码前。
    电话号码超时 坐席的语音路径保持连接的时间长度。此字段设置为使用业务单位设置中所指定的值的默认值。更改此值会覆盖该用户的业务单位级别设置。
    坐席语音阈值

    坐席声音的音量大小。此设置有助于准确区分坐席的声音和背景噪音。阈值范围基于频率分析仪计算的自定义音量单位。

    具有适当权限的用户可以通过 中的语音阈值调节设置MAX自行更改该值。
    抑制振铃 — Personal Connection 当坐席使用 Personal Connection 技能时,此设置不允许坐席在系统应答前听到振铃声音。相反,当坐席从网络上收到应答的呼叫时,他们首先会听到音频。此设置将覆盖将进度视为铃声的技能设置。

  8. 如果已为静态交付启用了您的环境,则设置默认的并发聊天数和自动驻留的电邮数量。指定用户是否可以请求联系

    字段

    详细信息
    并发聊天 用户可同时参与的最大聊天数。它是团队默认值,或者用户所属团队允许的最大聊天数,或者是 112 之间的数字。

    自动驻留的电子邮件

    用户收件箱内一次性可容纳的最大电子邮件数量。它是团队默认值,或者用户所属团队允许的最大电子邮件数量,或者是 125 之间的数字。
    请求通话 选择时,允许坐席请求下一可用联系,而非使其自动路由。

  9. 如果已为动态交付启用了您的环境,则设置用户可以处理的每个信道的最大同时联系数量。如果您启用了具体的 动态交付 设置,为用户设置传递模式联系总计数

    字段

    详细信息
    语音、聊天、电子邮件、SMS、工作项 用户可以处理的最大联系数。语音同时包括电话呼叫和语音邮件。将语音设置为关闭会对用户禁用语音。SMS 适用于 CXone SMS 消息传递
    传递模式

    仅当您的 NICE CXone 帐户代表启用具体的 动态交付 设置时可用,其指定您是否希望团队中的坐席使用全渠道单渠道处理。有关更多信息,请参阅 管理 动态交付 的联系人传递设置

    全渠道传递模式允许坐席同时使用多个渠道处理多个联系。坐席还可以将联系升级到其他渠道。

    单联系传递模式仅允许坐席一次使用一个渠道处理一个联系。坐席也能够将联系升级至其他渠道。

    联系总计数

    仅当您的 NICE CXone 帐户代表启用具体的 动态交付 设置时可用,指定坐席一次可以处理的最大联系总数。例如,如果您将聊天设置为 5,将电子邮件设置为 5,将联系总数设置为 7,则坐席在任何给定时间最多会收到七个联系人。这七个联系人中,聊天联系人的数量最多为五个,电子邮件联系人的数量最多为五个。有关更多信息,请参阅 管理 动态交付 的联系人传递设置

  10. 如果您启用了 WFO 集成而未启用 CXone WFO(例如 Uptivity WFO),并且想设置录制,输入系统域系统用户名电话

    字段

    详细信息
    系统域 系统用户名关联的域。

    系统用户名

    将 Windows 用户名添加到用户帐户(即用户登录到您的网络使用的名称)。如果您的组织使用 NICE CXone 屏幕录制,则此字段为必填字段。NICE CXone WFO 使用它来通过屏幕录制客户端定位用户的台式电脑。每个用户必须有一个唯一的系统用户名,而不论 Windows 域如何,并且必须使用该系统用户名登录到他们的台式电脑。例如,如果您的组织有两个 Elizabeth Bennet,那么即使她们在不同的 Windows 域上,也无法同时使用“ebennet”作为其 Windows 用户名。
    电话

    与将被录制的用户关联的 CXone 电话 ID。在向电话字段添加信息时,请考虑以下几点:

    • 您不能将一个分机分配给多个用户。例如,不能将分机 1234 分配给 Elizabeth Bennet 和 Charlotte Lucas,即使她们在同一个分机上轮班。
    • 您可以给同一个用户分配多个分机。例如,Elizabeth Bennet 可以在分机上 1234 接听来电,在分机 4321 上拨打呼出呼叫。
  11. MAX 版本部分中,您可以确定您希望此用户使用 MAX 的哪一版本。

    字段

    详细信息

    默认用户将使用业务单位设置中定义的版本。
    之前

    只有在业务单位设置中启用了允许 MAX 每个坐席版本控制设置时,此选项才可用。

    选择时,用户将使用当前版本之前的 MAX 版本。例如,如果当前版本为 2021 年春季发布,则用户将在此选项选中的情况下使用 2020 年秋季发布的 MAX 版本。此选项通常仅当默认的业务单位版本设置为当前时有用。

    当前

    只有在业务单位设置MAX中启用了允许 每个坐席版本控制设置时,此选项才可用。

    选择时,用户将根据当前主要版本(例如 2020 年秋季或 2021 年春季发布的版本)使用最新的 MAX 版本。此选项通常仅当默认的业务单位版本设置为之前时有用。

  12. 如果您启用了 CXone WFM,请配置坐席的通知设置。

    字段

    详细信息
    WFM 通知分钟数 在坐席计划表中的事件发生前坐席收到提醒耗费的分钟数。此设置仅适用于包括 NICE CXone CXone WFM 的系统。

  13. 如果您有 NICE CXone WFO 并且希望与 CRM 集成,输入坐席的 CRM 用户名,将其与用户相关联。

  14. 单击保存

身份验证应用程序

用户和应用程序的身份验证方式非常相似。主要的区别是,应用程序使用访问密钥进行身份验证,而用户则使用用户名和密码进行身份验证。与用户不同,应用程序不需要通过浏览器进行交互。应用程序通常是后台功能或智能虚拟坐席关闭 聊天机器人或基于人工智能与用户交互的类似应用程序 (IVA)。

要设置要与 CXone 交互的应用程序,请创建一个用户配置文件,然后以该应用程序的名称命名配置文件。然后为应用程序用户创建一个访问密钥,如下所示:

CXone 中的授权

授权指验证用户可以访问哪些资源的过程。资源包括应用程序、文件和数据。您可根据基于角色的访问控制定义用户对资源的访问权限。CXone 在身份验证期间自动管理授权。当用户通过身份验证时,他们仅能访问获得授权的资源。

用户的身份验证方法不会影响授权。CXone 对所有用户采用相同的授权流程。无论是通过访问密钥还是密码进行身份验证都无关紧要。