登入驗證器控制用戶如何登入到CXone。CXone根據指派給使用者的登入驗證器以及該登入驗證器的類型和配置,支援內部和外部驗證。
有關CXone中驗證和授權的更多資訊,請點擊此處。
配置一個系統登入驗證器
所需權限:可以管理密碼,開。
CXone 包含一個預設的系統登入驗證器,但您也可以建立自己的系統登入驗證器。為特定角色配置登入驗證器後,當使用者嘗試設定或變更密碼時,密碼欄位會顯示所配置的登入驗證器規則。
- 點擊應用程式選擇器
並選擇 Admin。 - 轉到登入驗證器。
-
點擊新建。
-
輸入登入驗證器的唯一性名稱。
-
如有需要,輸入描述。
-
選擇系統作為驗證類型。
詳細了解驗證類型
欄位
詳細資訊
系統 登入驗證器使用 CXone 的內建登入程序,並不透過外部單一登入 (SSO) 身分識別提供者進行驗證。 SAML SAML 2.0 允許您透過外部身分識別提供者設定單一登入。CXone支援多個 SAML 2.0 執行個體。您現在可以為不同使用者指派不同的執行個體。 - 設定密碼複雜度。
每個使用者的密碼都會根據常用密碼儲存庫進行檢查。如果其密碼與其中一個常用密碼相符,使用者將被迫建立一個新密碼。一些被拒絕的密碼包括:
任何包含 「password」的密碼。例如,Password@1234。
包含使用者的電郵地址、使用者名稱、名字、姓氏或系統名稱的任何密碼。
每當出現以下情況時,都會根據此儲存庫檢查密碼:
啟用新使用者。
使用者密碼過期。
使用者重設密碼。
詳細了解此步驟中涉及的欄位欄位 詳細資料 需要小寫字母 (a-z) —要求使用者在密碼中至少使用一個小寫字母。 需要大寫字母 (A-Z) 要求使用者在密碼中至少使用一個大寫字母。 需要數字 (0-9) 要求使用者在密碼中至少使用一個數字。 要求非英數字元 (!、@、# 等) 要求使用者在密碼中至少使用一個非字母數字字元。 -
若要啟用多重要素驗證,請選擇需要多重要素驗證。將您的 MFA 類型設定為 HOTP和 TOTP。
-
設定密碼原則。
詳細了解此步驟中涉及的欄位
欄位 詳細資訊 密碼長度 輸入使用者必須在其密碼中包含的最少總字元數。例如,若輸入 12,則使用者必須在每個密碼中總計至少包含 12 個字元。密碼複雜性設定中所需的字元將計入總字元數。您可以將密碼長度設置為 12 至 24 之間的任何數字。 啟用密碼使用期限 啟用一個文字方塊,在其中可以輸入使用者可以保留密碼的最長天數。在指定的天數後,使用者必須變更密碼。您可以將密碼使用期限設定為 14 至 365 天之間的任意值。 啟用密碼歷程記錄 輸入使用者在重複使用舊密碼前必須設置的唯一密碼的數量。您可以將密碼歷程記錄期限設定為 4 至 50 之間的任意值。例如,若輸入 10,則指派給登入驗證器的使用者不能使用他們過去 10 個密碼中的任何一個作為他們的新密碼。 -
點擊建立登入驗驗器。
設定外部登入驗證器
當您希望使用者的密碼由其他系統或身份提供者管理時,可以使用外部驗證。CXone目前支援SAML 2.0和OpenID Connect 聯合通訊協定。
您可以透過此部分的步驟設定由 IdP 發起的驗證或 SP 發起的驗證。
由 IdP 發起的驗證:IdP 表示身份提供者。由 IdP 發起的驗證是指由外部身分識別提供者啟動登入流程。
由 SP 發起的驗證:SP 表示服務提供者。由 SP 發起的驗證是指由 CXone 啟動登入流程。
如果您使用 Salesforce Agent,那麼外部身份提供者 (IdP) 必須被配置為 SP 發起的驗證。IdP 提供的憑證必須是由 SP 發起,並有一個明顯的端點 URL。任何帶有端點 URL 無 - 僅由 IdP 發起的憑證將無法正常工作。
透過 SAML 2.0 設定登入驗證器
- 確保您可以存取外部身份提供者。您將需要建立 CXone 特定整合。
- 建立外部身份提供者整合。不同的系統對這些整合使用不同的名稱,請參閱 Okta 或 Azure 具體說明。
- 您將需要提供一個目前還不知道的實體 ID。將 https://cxone.niceincontact.com/need_to_change 預留位置。
- 您將需要提供一個目前還不知道的 ACS URL。將 https://cxone.niceincontact.com/need_to_change 預留位置。
- 身份提供者將生成一個特定的 URL,而 SAML 請求必須在那裡傳送。複製該 URL 並儲存到您能找到的地方。在後面的步驟中,您將需要輸入該值。
- 身份提供者將生成一個共用簽署憑證,以進行整合。下載憑證。在後面的步驟中,您將需要使用該憑證。
- 在 CXone 中建立外部登入驗證器。
- 點擊應用程式選擇器 並選擇管理。
- 點擊安全性 > 登入驗證器。
- 輸入登入驗證器的名稱和描述。
- 選擇 SAML 作為驗證類型。
- 如果您選擇 FICAM,SAML 回應必須有一個 AuthnContextClassRef 項。另外,斷言主題的 NamespaceURI 必須是:urn:oasis:names:tc:SAML:2.0:assertion。AuthnContextClassRef 和 NamespaceURI 欄位由身份提供者控制。
- 輸入您從上文中的提供方處收到的 SAML 請求端點作為端點 URL。
- 點擊選擇檔案,然後選擇您從提供方處收到的公共簽署憑證。該檔案必須採用 PEM 檔案。這將是一個文字檔案,第一行將包含 BEGIN CERTIFICATE 與一些其他文字。
- 點擊儲存並啟用。
- 開啟登入驗證器。
注意 實體 ID和 ACS URL。更新 IdP 設定時需要它們。
- 點擊應用程式選擇器
-
更新您的身份提供方設定,使用您剛才記錄的值替換上面使用的預留位置。
-
透過使用者的角色將登入驗證器與使用者關聯起來。
-
確保每個使用登入驗證器的使用者的外部身份設定為正確的值。
您的身分識別提供者會決定必須使用的值。該值必須與您在 CXone 中的外部身份欄位中輸入的值的完全匹配。
-
讓使用者登入。他們必須使用最新的登入 URL。輸入他們的使用者名稱後,如果需要,會將他們將引導到身分識別提供者。
透過 OpenID Connect 設定登入驗證器
如果系統中尚未啟用 OpenID Connect,請聯絡您的 CXone 客戶代表。他們可以為您啟用它,並幫助您為登入設定自訂主機名稱。
- 如果您還未這樣做,請配置您的 IdP。記下您的用戶端識別元和用戶端密碼。配置特定於您系統的重新導向 URI。此 URI 基於您使用 NICE CXone 客戶代表配置的自訂主機名稱。
-
點擊應用程式選擇器
並選擇Admin -
點擊登入驗證器。
- 點擊
- 輸入登入驗證器的 名稱和描述。
- 選擇 OIDC 作為 驗證類型。
- 如果您有 IdP 的發現端點,請點擊發現設定。輸入您的發現端點並點擊發現。其餘欄位即已為您填充。
- 輸入您的用戶端識別元和用戶端密碼。在用戶端確認密碼中重新輸入密碼。用戶端識別碼是 IdP 指派給您帳戶的登入 ID。
-
如果您沒有 IdP 的發現端點,請輸入您的 IdP 提供的簽發者、JsonWebKeySet 端點、授權端點、權杖端點、UserInfo 端點和撤銷端點。
詳細了解此步驟中涉及的欄位
欄位
詳細資訊
簽發者 不帶任何參數的 IdP 的 URL。
JsonWebKeySet 端點 您的 IdP 的 JWK 集的 URL。 授權端點 您的 IdPs OAuth 2.0 授權端點的 URL。 權杖端點 您的 IdP OAuth 2.0 權杖端點的 URL。 UserInfo 端點 IdP 的 UserInfo 端點的 URL。 撤銷端點 您的 IdP 的撤銷端點的 URL。 - 選擇 用戶端驗證方法。您選擇的方法必須是 IdP 支援的驗證方法。如果您選擇private_key_jwt,則必須
- 您可以選擇啟用 FICAM 設定檔開啟美國政府特定設定。
- 點擊
- 當您的 IdP 要求您進行身分驗證時,請以您希望與目前登入的 CXone 帳戶關聯的 IdP 上的使用者身分進行驗證。
- 如果 CXone 中的 OpenID Connect 設定未顯示為已驗證,請使用 IdP 記錄來診斷問題。
將新使用者與支援宣告的 OpenID Connect 連結
CXone 可以使用不同的宣告值,如電郵地址,在使用者首次登入時建立使用者身分。CXone 會自動切換至 OpenID Connect 主體識別元。這允許您預先配置使用者的聯合身分。
用於前端驗證的 PKCE
您在使用OpenID Connect授權代碼流程時可能會遇到困難。此流程需要 client_secret 作為權杖交換的一部分。在 Web 應用程式中編碼 client_secret 會帶來安全風險。OpenID Connect 允許使用名為 PKCE(代碼交換證明金鑰)的替代流程。PKCE 使用不同的驗證方法。NICE CXone 支援用於前端整合的 PKCE 流程。
將使用者指派給登入驗證器
- 點擊應用程式選擇器 並選擇Admin。
-
點擊使用者。
-
選擇要指派給登入驗證器的使用者,或點擊新建以建立一個新使用者。
-
在「一般」標籤上,點擊編輯。
-
在「安全」部分,從登入驗證器下拉式清單中選擇之前建立的登入驗證器。
-
點擊完成。