使用Okta設定CXone驗證

本頁將逐步指導您使用 Okta 作為外部身分識別提供者 (IdP) 為 CXone 系統設定驗證。

按照給定的順序完成每一個任務。

開始之前

  • 如果您以前從未設定過這樣的流程,您應基本了解驗證和授權概念和術語。
  • 如果這是您第一次在CXone中使用驗證,請檢閱CXone特定過程
  • 考慮您的真人使用者及其需要的存取級別。決定是否應為有更大存取權限的人提供更高級別的安全保障。
  • 決定是使用自訂密碼要求、多重要素驗證 (MFA),還是同時使用二者來執行。
  • 根據您的決定,列出登入驗證器。該清單應包含您希望用於每個登入驗證器的密碼要求和 MFA 狀態。
  • 考慮是否需要為機器人或智慧虛擬助手 (IVA) 等應用程式包含驗證和授權。如有此需要,您將需要建立存取金鑰。
  • 了解您的驗證通訊協定CXone 支援 SAML 2.0 進行 Okta 整合。
  • 評估 IdP 和通訊協定的組合,以確保您的用例和使用者流程得到支援,並識別潛在的問題。這應包括實際測試。

您的 NICE CXone 團隊可以在此計劃流程中為您提供支援和指導。良好的計劃使執行更順利。在出現緊急需求時執行驗證和授權更有可能導致問題。

按照給定的順序完成每一個任務。

在開始之前,請確保您可以存取 Okta。您將需要建立應用程式。

使用SAML 2.0建立和配置 Okta 應用程式

  1. 登入 Okta 管理帳戶。
  2. 點擊應用程式選單 > 建立應用程式整合
  3. 選擇 SAML 2.0 作為方法,並且點擊下一步
  4. 輸入您想用來識別這個整合的名稱,然後點擊下一步
  5. 配置 SAML:
    1. 單一登入 URL 欄位中輸入佔位符 URL,例如 https://cxone.niceincontact.com/need_to_change。您將把這個值變更為以後收到的 URL。
    2. 受眾 URI 欄位中輸入佔位符 URL,例如 https://cxone.niceincontact.com/need_to_change。您將把這個值變更為以後收到的 URI。
    3. 指定名稱 ID 格式應用程式使用者名稱,以符合您想要使用的使用者識別方式CXone
    4. 點擊顯示進階設定
    5. 判斷提示簽名變更為未簽名。將回應保留位已簽名
    6. 確保判斷提示加密未加密
  6. 點擊下一步,完成回饋,然後點擊「回饋」標籤上的完成
  7. 點擊檢視 SAML 設定說明來打開一個新標籤,然後:
    1. 點擊下載憑證以下載簽署憑證。為您的 CXone 配置保留此檔案。
    2. 複製身份提供者單一登入 URL。為您的 CXone 配置保留此 URL。
    3. 關閉 SAML 設定說明標籤。讓「配置 SAML」標籤保持打開狀態。您將根據接下來得到的 CXone 設定,對您的配置進行變更。

透過 SAML 2.0 設定 CXone 登入驗證器

所需權限建立登入驗證器

  1. 點擊應用程式選擇器 並選擇管理
  2. 點擊登入認證器
  3. 點擊新建
  4. 輸入登入驗證器的名稱描述
  5. 選擇SAML2作為認證類型
  6. 輸入您從 Okta 收到的身份提供者單一登入 URL作為端點 URL。有關更多詳細資訊,請參閱前述任務的最後一步。
  7. 點擊選擇檔案,然後選擇您在上一個任務中從 Okta 下載的公共簽署憑證。該憑證必須是 PEM 檔案。這將是一個文字檔案,第一行將包含 BEGIN CERTIFICATE 與一些額外文字。
  8. 點擊儲存並啟用
  9. 開啟登入驗證器。
  10. 您會發現顯示了兩個額外的唯讀欄位:實體 IDACS URL。記錄這些值。您將在將 CXone 值新增至 Okta 任務中需要它們。

使用 OpenID Connect配置 Okta 應用程式

  1. 登入 Okta 管理帳戶。
  2. 點擊應用程式選單 > 建立應用程式整合
  3. 選擇OIDC - OpenID Connect作為登入方法
  4. 選擇Web 應用程式作為應用程式類型,然後點擊下一步
  5. 應用程式整合名稱欄位中,輸入您要用於識別此整合的名稱。
  6. 您需要提供您目前不知道的登入重定向 URI。將 https://cxone.niceincontact.com/need_to_change 預留位置。您將把這個值變更為以後收到的 URI。
  7. 您可能需要提供您目前不知道的登出重定向 URI。將 https://cxone.niceincontact.com/need_to_change 預留位置。您將把這個值變更為以後收到的 URI。
  8. 受控存取下拉清單中,選擇立即跳過群組指派
  9. 點擊儲存
  10. 一般標籤上的用戶端憑證下,選擇用戶端驗證
  11. 選擇以下驗證方法之一:
    1. client_secret_basic:用戶端憑證在驗證期間在基本標頭中傳遞。選擇此方法後,進行以下配置:
      1. 選擇用戶端驗證用戶端密碼
      2. 複製用戶端 ID用戶端秘密並將其貼上到裝置上的安全位置。當您在CXone中配置登入驗證器時,您將需要使用它們。
    2. client_secret_post:用戶端憑證在驗證期間在正文中傳遞。選擇此方法後,進行以下配置:
      1. 選擇用戶端驗證用戶端密碼
      2. 複製用戶端 ID用戶端秘密並將其貼上到裝置上的安全位置。當您在CXone中配置登入驗證器時,您將需要使用它們。
    3. client_secret_jwt:JWT 不記名權杖用於用戶端驗證。選擇此方法後,進行以下配置:
      1. 選擇用戶端驗證用戶端密碼
      2. 複製用戶端 ID用戶端秘密並將其貼上到裝置上的安全位置。當您在CXone中配置登入驗證器時,您將需要使用它們。
    4. private_key_jwt:JWT 不記名權杖用於用戶端驗證。JWT 由您將在後續步驟中提供的用戶端私鑰進行簽署。選擇此方法後,進行以下配置:
      1. 選擇用戶端驗證作為公鑰/私鑰
      2. 新增公鑰欄位中輸入佔位符公鑰。配置登入驗證器時,您需要將佔位符替換為 CXone 提供的金鑰。
  12. 在「指派」標籤上,點擊指派,然後點擊指派給人員
  13. 將使用者指派給該應用程式。

使用 CXone 中的 OpenID Connect 設定登入驗證器

  1. 點擊應用程式選擇器 並選擇Admin

  2. 點擊登入驗證器

  3. 點擊新建或選擇要編輯的登入驗證器。
  4. 輸入登入驗證器的 名稱描述
  5. 選擇 OIDC 作為 驗證類型
  6. 如果您希望要求使用者從某個 IP 位址登入,請選擇您在上一部分中設定的位置

  7. 如果您有來自 Okta 的發現端點,請點擊 發現設定。輸入您的發現端點並點擊發現。其餘欄位即已為您填充。發現設定不適用於Salesforce發現端點。
  8. 輸入您的用戶端識別元用戶端密碼。在用戶端確認密碼中重新輸入密碼。用戶端識別碼Okta指派給您的帳戶的登入 ID。
  9. 如果您沒有 Okta 的發現端點,請輸入 Okta 提供的簽發者JsonWebKeySet 端點授權端點權杖端點UserInfo 端點撤銷端點

  10. 選擇 用戶端驗證方法。您選擇的方法必須與您在上一個任務中設定的方法相符。此方法必須是Okta支援的驗證方法。如果您選擇private_key_jwt,則必須 選擇啟用加密並輸入您的用戶端判斷驗證金鑰
  11. 您可以選擇啟用 FICAM 設定檔以開啟美國政府特定的設定。此步驟僅適用於 FedRAMP 使用者。
  12. 點擊建立登入驗證器以驗證所提供的資訊,並將您的 CXone 帳戶與 Okta 帳戶相連結。
  13. 開啟登入驗證器。
  14. 請注意登入重定向 URI登出重定向 URI。您將需要這些網址來更新您的Okta設定。

  15. 更新您的Okta設定,將上一個任務中使用的佔位符替換為您剛剛記下的值。

  16. 確保每個使用登入驗證器的使用者的CXone外部身份設定為正確的值。

    Okta確定必須使用的值。它可以在Okta中的使用者設定檔中找到。該值必須與您在 CXone 中的外部身份欄位中輸入的值的完全匹配。此欄位的值必須為以下格式:claim(email):{由您的 IdP 配置的電郵}。例如,如果 IdP 中使用者的電郵是 nick.carraway@classics.com,則應輸入 claim(email):nickcarraway@classics.com

  17. 讓使用者登入CXone。他們必須使用最新的登入 URL。輸入他們的使用者名稱後,如果需要,會將他們將引導到 Okta

  18. Okta要求您驗證自己的帳戶時,請以您希望與目前登入的 CXone 帳戶關聯的使用者身分進行驗證。
  19. 如果 CXone中的 OpenID Connect 設定未顯示為已驗證,請使用 Okta 的記錄來診斷問題。

將使用者指派給登入驗證器

  1. 點擊應用程式選擇器 並選擇Admin.
  2. 點擊使用者

  3. 選擇要指派給登入驗證器的使用者,或點擊新建建立一個新使用者

  4. 在「一般」標籤上,點擊編輯

  5. 在「安全」部分,從登入驗證器下拉式清單中選擇之前建立的登入驗證器。

  6. 點擊完成

新增 CXone 值到 Okta

  1. 回到您的Okta應用程式,進入「常規」標籤。
  2. 在「SAML 設定」視窗點擊編輯,然後點擊下一步
  3. 對於單一登入 URL,輸入 CXone 登入驗證器中的 ACS URL 值。
  4. 對於受眾 URI(SP 實體 ID),輸入 CXone 登入驗證器中的實體 ID 值。
  5. 點擊下一步,然後點擊完成來完成變更。

使用 Okta 單一登入確認使用者存取

  1. 確保每個使用登入驗證器的使用者外部身份設定為正確的值。該值必須與 CXone 中的聯合身份完全相符。外部身份欄位區分大小寫。

  2. 讓一個或多個測試使用者使用最新的登入 URL 登入 https://cxone.niceincontact.com。對於 FedRAMP,使用 https://cxone-gov.niceincontact.com。輸入他們的使用者名稱後,如果需要,會將他們將引導到 Okta

  3. 準備就緒後,向所有使用者推出 Okta 單一登入。

建立安全性設定檔安全性設定檔

所需權限建立安全性設定檔

  1. 使用下列方法之一來建立安全性設定檔並為其命名:

    • 建立新的空白安全性設定檔:

      1. 點擊應用程式選擇器 並選擇Admin
      2. 前往安全性設定檔
      3. 點擊新建

      4. 為安全性設定檔的唯一性名稱

      5. 如有需要,輸入描述

      6. 對於建立選項,選擇空白安全性設定檔

    • 透過複製現有安全性設定檔快速建立新的安全性設定檔:

      1. 點擊應用程式選擇器 並選擇Admin
      2. 前往安全性設定檔
      3. 開啟您要複製的安全性設定檔。

      4. 點擊複製

      5. 為安全性設定檔的唯一性名稱

      6. 如有需要,輸入描述

  2. 點擊下一步

  3. 為您希望使用者使用的每種產品和功能啟用權限。某些權限(如「使用者設定」和「安全性」)已分組。若要查看群組內的權限,可點擊群組名稱旁的個別

  4. 點擊下一步

  5. 為您希望使用者使用的每種報告啟用權限。

  6. 點擊下一步

  7. 透過活動Closed 用於執行報告的一組技能。、團隊、可指派設定檔、群組和業務單位Closed 用於管理 CXone 環境的技術支援、計費和全域設定的高級組織分組限制資料存取。對於每種資料類型,可選擇是否希望使用者存取該類型的所有和未來的資料、自訂

  8. 如果為某種資料類型選擇自訂,則使用彈出式視窗來制定該資料類型中使用者可存取的實體。點擊完成

    新活動、團隊、可指派設定檔、群組和業務單位在建立後不會自動新增到自訂清單。如果您希望使用者存取新資料,您必須更新自訂清單。

  9. 點擊下一步
  10. 點擊建立安全性設定檔

建立或編輯使用者

所需權限建立使用者

如果使用外部 IdP 為現有CXone業務單元設定驗證,則無需建立新的使用者帳戶。您將需要編輯使用者帳戶,並配置外部身分識別類型聯合身分欄位。對於透過外部 IdP 進行驗證的每個使用者都必須這樣做。該任務的第 4 步解釋了這些欄位。

在您的環境中建立新使用者時,您可以選擇建立新的個別使用者或者同時上載多個新使用者帳戶。這些說明適用於在 Admin 應用程式中建立單一使用者。關於如何同時建立或編輯多個使用者,請參閱 一次管理多個使用者

CXone 提供多種選項和設定,以便您自訂使用者。比較好的做法是通讀整個任務,確保在開始之前已了解需要配置哪些設定。

  1. 點擊應用程式選擇器 並選擇Admin.
  2. 點擊使用者

  3. 透過以下方式之一,開啟建立新使用者表單:

    • 如果您要使用空白表單建立新使用者,可點擊新建,然後選擇單一使用者
    • 如果您要根據現有的使用者個人資料建立新使用者,則開啟該使用者個人資料,然後點擊複製
  4. 輸入使用者的名字姓氏電郵使用者名稱(以電郵地址的形式)、安全性設定檔團隊使用者將使用(時區)、城市國家/地區。使用密碼確認密碼欄位設定密碼(如果這些欄位可用)。輸入您要在使用者個人資料中新增的任何其他資訊。

  5. 選擇登入驗證器 (LA)。

    必須為所有使用者指派登入驗證器,否則他們將無法登入 CXone

    LA 的類型將決定使用者如何登入 CXone。您可以設定兩種類型的登入驗證器。

    系統 LA:指派到 系統 LA的使用者將使用 CXone 管理的憑證登入。

    外部 LA:指派到 外部 LA的使用者將透過外部身分提供者(IdP) 完成登入。外部 LA 配置為SAML 2.0OpenID Connect

  6. 如果您已啟用整合式軟體電話 (WebRTC) 自訂 URL,則視需要配置整合式軟體電話 URLURL 權重

  7. 點擊儲存並繼續
  8. 設定每個通道的使用者拒絕逾時撥號模式客服專員語音臨界值。如果需要,選擇抑制響鈴 - Personal Connection

  9. 如果您的環境已啟用 靜態傳遞,則設定預設的並行聊天數目和自動駐留電郵數目。指定使用者是否可以請求聯絡

  10. 如果您的環境已啟用 動態傳遞,則設定使用者在每個通道中可同時處理的聯絡數目上限。如果您啟用了細微的 動態傳遞 設定,則為使用者設定傳遞模式聯絡總數

  11. 如果您啟用了 CXoneWFO 以外的WFO整合(如 Uptivity WFO),並想設定錄音,輸入系統域系統使用者名電話

  12. MAX 版本部分中,可以確定您希望使用者使用的 MAX 版本。
  13. 如果您已啟用 CXone WFM ,則配置客服專員的通知設定。

  14. 如果您有 NICE CXone WFO 並希望與 CRM 整合,則輸入 CRM 使用者名稱以將其與使用者關聯。

  15. 點擊儲存

驗證應用程式

使用者和應用程式的驗證方式非常相似。主要的區別是,應用程式使用存取金鑰進行驗證,而使用者則使用使用者名稱和密碼進行驗證。與使用者不同,應用程式無需透過瀏覽器進行互動。應用程式通常是後台辦公功能或智慧虛擬客服專員Closed 基於人工智慧的聊天機器人或用於與使用者互動的類型應用程式 (IVA)。

要設定應用程式與 CXone 互動,請建立使用者設定檔,並在應用程式後為設定檔命名。然後為應用程式使用者建立存取金鑰,如下所示:

CXone 中的授權

授權是指確認允許使用者存取哪些資源的過程。資源可能包括應用程式、檔案和資料。您可以透過基於角色的存取控制來定義使用者對資源的存取權。CXone 會在驗證期間自動管理授權。如果使用者通過驗證,將僅為他們授予其被授權使用之資源的存取權限。

使用者的驗證方法不影響授權。CXone 對所有使用者使用相同的授權流程。無論是使用存取金鑰還是密碼驗證都沒關係。