使用 Okta 设置 CXone 身份验证

本页将逐步指导您使用 Okta 作为外部身份提供程序 (IdP) 时,如何为您的 CXone 系统设置身份验证。

按照给定的顺序完成以下每一个任务。

在您开始之前

  • 如果您以前从未设置过这样的过程,那么您应该对身份验证和授权的概念和术语进行基本的了解
  • 如果这是您首次在 CXone 中使用身份验证,请查看CXone-特定流程
  • 考虑您的真人用户及其需要的访问级别。决定是否应该为有更多访问的人提供更高级别的安全保障。
  • 决定是使用自定义密码要求、多因素身份验证 (MFA),还是同时执行两者。
  • 根据您的决定,制定一个身份验证程序列表。该列表应该包括您希望用于每个登录验证程序的密码要求和 MFA 状态。
  • 考虑是否需要为机器人或智能虚拟助手 (IVA) 等应用程序加入身份验证和授权。如果需要,您将需要创建访问密钥。
  • 了解身份验证协议CXone 支持SAML 2.0Okta集成。
  • 评估 IdP 和协议的组合可确保您的用例和用户流得到支持,并识别潜在的问题。这应该包括实际的测试。

您的 NICE CXone 团队可以在此规划流程中对您提供支持和指导。合理的规划将会让实施工作更加顺畅。在出现紧急需求时实施身份验证和授权更有可能导致问题。

按照给定的顺序完成以下每一个任务。

在开始之前,请确保您可以访问 Okta。您将需要创建一个应用程序。

使用 SAML 2.0 创建和配置 Okta 应用程序

  1. 登录到 Okta 管理帐户。
  2. 单击应用程序菜单 > 创建应用程序集成
  3. 选择 SAML 2.0 作为方法,然后单击下一步
  4. 输入要用于标识此集成的名称,然后单击下一步
  5. 配置 SAML:
    1. 单点登录 URL 字段中,输入占位符 URL,例如 https://cxone.niceincontact.com/need_to_change。您将使用稍后收到的 URL 更改此值。
    2. 受众 URI 字段中,输入占位符 URL,例如 https://cxone.niceincontact.com/need_to_change。您将使用稍后收到的 URI 更改此值。
    3. 将与您希望如何识别用户相对应的姓名 ID 格式应用程序用户名指定为 CXone
    4. 单击显示高级设置
    5. 断言签名更改为未签名。将响应保留为已签名
    6. 确保断言加密未加密
  6. 单击下一步,完成反馈,然后单击“反馈”选项卡上的完成
  7. 单击查看 SAML 设置说明以打开新选项卡,然后:
    1. 单击下载证书以下载签名证书。为您的 CXone 配置保存此文件。
    2. 复制身份提供程序单点登录 URL。为您的 CXone 配置保存此 URL。
    3. 关闭“SAML 设置说明”选项卡。让“配置 SAML”选项卡保持打开状态。您将根据接下来获得的 CXone 设置更改您的配置。

使用 SAML 2.0 设置 CXone 登录身份验证程序

所需权限登录身份验证程序创建

  1. 单击应用程序选择器 并选择管理员
  2. 单击登录身份验证程序
  3. 单击新建
  4. 输入登录身份验证程序的名称描述
  5. 选择 SAML2 作为身份验证类型
  6. 输入您从 Okta 收到的身份提供程序单点登录 URL 作为端点 URL。有关更多详细信息,请参阅上述任务的最后一步。
  7. 单击选择文件,然后选择您在上一个任务中从 Okta 下载的公共签名证书。该证书必须为 PEM 文件。它将是一个文本文件,第一行将包含 BEGIN CERTIFICATE 和一些额外文本。
  8. 单击保存并激活
  9. 打开登录身份验证程序。
  10. 您会注意到显示的两个额外只读字段,即实体 IDACS URL。记录这些值。您将在“将 CXone 值添加到 Okta” 任务中需要它们。

使用 OpenID 连接 配置 Okta 应用程序

  1. 登录到 Okta 管理帐户。
  2. 单击应用程序菜单 > 创建应用程序集成
  3. 选择 OIDC -OpenID 连接 作为登录方法
  4. 选择 Web 应用程序作为应用程序类型,然后单击下一步
  5. 应用程序集成名称字段中,输入要用于标识此集成的名称。
  6. 您需要提供一个此时不知道的登录重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。您将使用稍后收到的 URI 更改此值。
  7. 您可能需要提供一个此时不知道的注销重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。您将使用稍后收到的 URI 更改此值。
  8. 受控访问下拉列表中,选择暂时跳过组分配
  9. 单击保存
  10. 常规选项卡上的客户端凭据下,选择客户端身份验证
  11. 选择以下身份验证方法之一:
    1. client_secret_basic:客户端凭据在身份验证期间在基本标题中进行传递。选择此方法后,配置以下内容:
      1. 选择客户端身份验证作为客户端密钥
      2. 复制客户端 ID客户端密钥,然后将其粘贴到设备上的安全位置。当您在 CXone 中配置登录身份验证程序时,您将需要使用它们。
    2. client_secret_post:客户端凭据在身份验证期间在正文中进行传递。选择此方法后,配置以下内容:
      1. 选择客户端身份验证作为客户端密钥
      2. 复制客户端 ID客户端密钥,然后将其粘贴到设备上的安全位置。当您在 CXone 中配置登录身份验证程序时,您将需要使用它们。
    3. client_secret_jwt:使用 JWT 持有者令牌进行客户端身份验证。选择此方法后,配置以下内容:
      1. 选择客户端身份验证作为客户端密钥
      2. 复制客户端 ID客户端密钥,然后将其粘贴到设备上的安全位置。当您在 CXone 中配置登录身份验证程序时,您将需要使用它们。
    4. private_key_jwt:使用 JWT 持有者令牌进行客户端身份验证。您将在后续步骤中提供的客户端私钥对 JWT 进行签名。选择此方法后,配置以下内容:
      1. 选择客户端身份验证作为公钥/私钥
      2. 添加公钥字段中,输入占位符公钥。配置登录身份验证程序时,您需要将占位符替换为 CXone 提供的密钥。
  12. 在“分配”选项卡上,单击分配,然后单击分配给人员
  13. 将用户分配给该应用程序。

使用 CXone 中的 OpenID 连接 设置登录身份验证程序

  1. 单击应用程序选择器 并选择Admin

  2. 单击登录身份验证程序

  3. 单击新建或选择您要编辑的登录身份验证程序。
  4. 输入登录身份验证程序的名称描述
  5. 选择 OIDC 作为身份验证类型
  6. 如果您想要求用户从某个 IP 地址登录,请选择您在上一部分中设置的位置

  7. 如果您有来自 Okta 的发现端点,请单击发现设置。输入您的发现端点,然后单击发现。系统会为您填充其余字段。发现设置不可与 Salesforce 发现端点共同使用。
  8. 输入客户端标识符客户端密码。在客户端确认密码字段中再次键入该密码。客户端标识符Okta 分配给您帐户的登录 ID。
  9. 如果您没有来自 Okta 的发现端点,请输入您 Okta 提供的发行者Json Web 密钥设置端点授权端点令牌端点用户信息端点撤销端点

  10. 选择客户端身份验证方法。您选择的方法必须与您在上一个任务中设置的方法相匹配。它必须是 Okta 支持的身份验证方法。如果您选择 private_key_jwt,则必须选择启用加密,然后输入您的客户端断言验证密钥
  11. 您可以选择启用 FICAM 配置文件来打开美国政府特定设置。此步骤仅适用于 FedRAMP 用户。
  12. 单击创建登录身份验证程序,以验证提供的信息并将您的 CXone 帐户链接到您的 Okta 帐户。
  13. 打开登录身份验证程序。
  14. 记下登录重定向 URI注销重定向 URI。您将需要它们来更新您的 Okta 设置。

  15. 更新您的 Okta 设置,将上一个任务中使用的占位符替换为您刚刚记下的值。

  16. 确保将每个使用登录身份验证程序的用户的 CXone 外部身份设置为正确的值。

    Okta 确定必须使用的值。它可以在 Okta 中的用户配置文件中找到。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。此字段的值必须采用以下格式:claim(email):{您 IdP 配置的电子邮件}。例如,如果 IdP 中用户的电子邮件为 nick.carraway@classics.com,您将输入 claim(email):nickcarraway@classics.com

  17. 让用户登录到 CXone。他们必须使用最新的登录 URL。如有需要,在输入用户名后会将他们引导至 Okta

  18. Okta 要求您使用自己的帐户进行身份验证时,请以您希望与您当前所登录的 CXone 帐户相关联的用户身份进行身份验证。
  19. 如果您在 CXone 中的 OpenID 连接 设置没有显示为已验证,请使用 Okta 日志诊断问题。

将用户分配给登录身份验证程序

  1. 单击应用程序选择器 并选择Admin
  2. 单击用户

  3. 选择要分配给登录身份验证程序的用户,或单击新建创建一个新用户

  4. 在“常规”选项卡中,单击编辑

  5. 在安全部分中,从登录身份验证程序下拉列表中选择之前创建的登录身份验证程序。

  6. 单击完成

CXone 值添加到 Okta

  1. 返回到 Okta 应用程序并转至“常规”选项卡。
  2. 单击“SAML 设置”窗口上的编辑,然后单击下一步
  3. 对于单点登录 URL,输入来自 CXone 登录身份验证程序的 ACS URL 值。
  4. 对于受众 URI(SP 实体 ID),输入来自 CXone 登录身份验证程序的实体 ID 值。
  5. 单击下一步,然后单击完成以完成更改。

使用 Okta 单点登录验证用户访问

  1. 确保将每个使用登录身份验证程序的用户外部身份设置为正确的值。该值必须与 CXone 中的联合身份完全匹配。外部身份字段区分大小写。

  2. 让一位或多位测试用户使用最新的登录 URL https://cxone.niceincontact.com 登录。对于 FedRAMP,请使用 https://cxone-gov.niceincontact.com。如有需要,在输入用户名后会将他们引导至 Okta

  3. 准备就绪后,向所有用户推出 Okta 单点登录。

创建安全配置文件

需要的权限安全配置文件创建

  1. 使用以下方法之一创建安全配置文件并为其命名:

    • 要创建新的空白安全配置文件:

      1. 单击应用程序选择器 并选择Admin
      2. 转至安全配置文件
      3. 单击新建

      4. 输入安全配置文件的唯一名称

      5. 如果需要,请输入描述

      6. 对于创建,选择一个空白的安全配置文件

    • 要快速创建复制现有安全配置文件的新安全配置文件:

      1. 单击应用程序选择器 并选择Admin
      2. 转至安全配置文件
      3. 打开要复制的安全配置文件。

      4. 单击复制

      5. 输入安全配置文件的唯一名称

      6. 如果需要,请输入描述

  2. 单击下一步

  3. 为您希望用户拥有的每个产品和功能启用权限。某些权限(如用户设置和安全性)已被分组。要查看组内的权限,请单击组名称旁边的个人

  4. 单击下一步

  5. 为您希望用户拥有的每个报告启用权限。

  6. 单击下一步

  7. 限制营销活动关闭 用于运行报告的技能分组。、团队、可分配配置文件、组和业务单位关闭 用于管理 CXone环境的技术支持、计费和全局设置的高级组织分组的数据访问。对于每种数据类型,选择您想要用户访问该类型的所有和未来数据、 还是自定义

  8. 如果您为数据类型选择自定义,请使用弹出窗口指定用户可以访问该数据类型的哪些实体。单击完成

    新的营销活动、团队、安全配置文件、组和业务单位在创建时不会自动添加到自定义列表中。如果想要用户访问新数据,则必须更新自定义列表。

  9. 单击下一步
  10. 单击创建安全配置文件

创建或编辑用户

所需权限用户创建

如果使用外部 IdP 为现有 CXone 业务单位设置身份验证,则不需要创建新的用户帐户。您将需要编辑用户帐户,并配置外部身份类型联合身份字段。对于通过外部 IdP 进行身份验证的每个用户都必须这样操作。该任务的第 4 步已经解释了这些字段。

当您创建新用户时,您可以选择同时创建新的个人用户或上传多个新的用户帐户。这些说明用于在 Admin 应用程序中创建单个用户。有关同时创建或编辑多个用户的说明,请参阅 一次管理多个用户

CXone 提供许多选项和设置,以便您可以自定义您的用户。最好通读整个任务,确保在开始之前知道需要配置哪些设置。

  1. 单击应用程序选择器 并选择Admin
  2. 单击用户

  3. 使用以下其中一种方式打开新用户创建表单:

    • 如果您想用一张空白表单创建新用户,单击新建和选择单个用户
    • 如果您想基于一个现有的用户配置文件,打开用户的配置文件并单击复制
  4. 输入用户的名字姓氏电子邮件用户名(以电子邮件地址的形式)、安全配置文件团队用户将使用(时区)、城市国家/地区。如果字段可用,使用密码确认密码字段设置密码。输入您要添加到用户配置文件的任何其他信息。

  5. 选择登录身份验证程序 (LA)。

    必须为所有用户分登录身份验证程序,否则他们将无法登录 CXone

    LA 的类型将决定用户如何登录 CXone。您可以设置两种类型的登录身份验证程序。

    系统 LA:分配到系统 LA 的用户将使用 CXone 管理的凭据登录。

    外部 LA:分配到外部 LA 的用户将通过外部身份提供程序 (IdP) 完成登录。外部 LA 配置有 SAML 2.0OpenID 连接

  6. 如果您启用了集成软件电话 (WebRTC) 的自定义 URL,请根据需要配置I集成软件电话 URLURL 权重

  7. 单击保存并继续
  8. 设置用户的每个渠道的拒绝超时、默认拨号模式以及坐席语音阈值。如需要,选择抑制振铃 — Personal Connection

  9. 如果已为静态交付启用了您的环境,则设置默认的并发聊天数和自动驻留的电邮数量。指定用户是否可以请求联系

  10. 如果已为动态交付启用了您的环境,则设置用户可以处理的每个信道的最大同时联系数量。如果您启用了具体的 动态交付 设置,为用户设置传递模式联系总计数

  11. 如果您启用了 WFO 集成而未启用 CXone WFO(例如 Uptivity WFO),并且想设置录制,输入系统域系统用户名电话

  12. MAX 版本部分中,您可以确定您希望此用户使用 MAX 的哪一版本。
  13. 如果您启用了 CXone WFM,请配置坐席的通知设置。

  14. 如果您有 NICE CXone WFO 并且希望与 CRM 集成,输入坐席的 CRM 用户名,将其与用户相关联。

  15. 单击保存

身份验证应用程序

用户和应用程序的身份验证方式非常相似。主要的区别是,应用程序使用访问密钥进行身份验证,而用户则使用用户名和密码进行身份验证。与用户不同,应用程序不需要通过浏览器进行交互。应用程序通常是后台功能或智能虚拟坐席关闭 聊天机器人或基于人工智能与用户交互的类似应用程序 (IVA)。

要设置要与 CXone 交互的应用程序,请创建一个用户配置文件,然后以该应用程序的名称命名配置文件。然后为应用程序用户创建一个访问密钥,如下所示:

CXone 中的授权

授权指验证用户可以访问哪些资源的过程。资源包括应用程序、文件和数据。您可根据基于角色的访问控制定义用户对资源的访问权限。CXone 在身份验证期间自动管理授权。当用户通过身份验证时,他们仅能访问获得授权的资源。

用户的身份验证方法不会影响授权。CXone 对所有用户采用相同的授权流程。无论是通过访问密钥还是密码进行身份验证都无关紧要。