Verwaltung der Login-Authentifikatoren

Login-Authentifikatoren steuern, wie sich Benutzer bei CXone anmelden. CXone unterstützt sowohl die interne als auch die externe Authentifizierung basierend auf dem Login-Authentifikator, der einem Benutzer zugewiesen wurde, sowie der Art und Konfiguration dieses Login-Authentifikators.

Weitere Informationen über Authentifizierung und Autorisierung in CXone finden Sie hier.

Einen System Login-Authentifikator konfigurieren

Erforderliche Berechtigungen: Kann Kennwörter verwalten – Ein

CXone beinhaltet einen standardmäßigen System-Login-Authentifikator, Sie können aber auch Ihren eigenen erstellen. Nachdem Sie einen Login-Authentifikator für eine bestimmte Rolle konfiguriert haben, zeigt das Passwortfeld die konfigurierten Login-Authentifikatorregeln an, wenn ein Benutzer versucht, das Passwort festzulegen oder zu ändern.

  1. Klicken Sie auf den App-Selector und wählen Sie Admin.
  2. Gehen Sie zu Sicherheitseinstellungen > Login-Authentifikator.

  3. Klicken Sie auf Neuer Login-Authentifikator.

  4. Geben Sie einen eindeutigen Namen für den Login-Authentifikator ein.

  5. Geben Sie eine Beschreibung ein, wenn Sie eine wünschen.

  6. Wählen Sie System als Authentifizierungstyp aus.

    Feld

    Details
    System Der Login-Authentifikator verwendet den eingebauten Login-Prozess von CXone. Es erfolgt keine Authentifizierung über einen externen SSO-Identitätsanbieter (Single Sign-On).
    SAML SAML 2.0 ermöglicht es Ihnen, Single Sign-On über einen externen Identitätsanbieter einzurichten. CXone unterstützt mehrere Instanzen von SAML 2.0. Sie können verschiedenen Benutzern unterschiedliche Instanzen zuweisen.
  7. Richten Sie Ihre Kennwortkomplexität ein.

    Jedes Benutzerkennwort wird anhand eines Repositorys häufig verwendeter Kennwörter geprüft. Stimmt ein Kennwort mit einem dieser häufig verwendeten Kennwörter überein, muss der entsprechende Benutzer ein anderes Kennwort erstellen. Es werden unter anderem die folgenden Kennwörter abgelehnt:

    • Alle Kennwörter, die das Wort "passwort" enthalten, zum Beispiel "Passwort@1234".

    • Alle Kennwörter, die die E-Mail-Adresse, den Benutzernamen, den Vornamen oder den Nachnamen des Benutzers oder den Systemnamen enthalten.

    Kennwörter werden immer dann mit dem Repository verglichen, wenn:

    • Ein neuer Benutzer aktiviert wird.

    • Das Kennwort eines Benutzers abläuft.

    • Ein Benutzer sein Kennwort ändert.

    FeldDetails
    Kleinbuchstaben erfordern (a-z)Benutzer müssen mindestens einen Kleinbuchstaben in ihrem Kennwort verwenden.
    Großbuchstaben erfordern (A-Z)Benutzer müssen mindestens einen Großbuchstaben in ihrem Kennwort verwenden.
    Zahlen erfordern (0-9)Benutzer müssen mindestens eine Ziffer in ihrem Kennwort verwenden.
    Nicht-alphanumerische Zeichen erfordern (!,@,#,etc.)Benutzer müssen mindestens ein Sonderzeichen in ihrem Kennwort verwenden.

  8. Wenn Sie die mehrstufige Authentifizierung (MFA) aktivieren möchten, wählen Sie Mehrstufige Authentifizierung erfordern aus. Legen Sie Ihren MFA-Typ als HOTP (HMAC-basiert) und TOTP (zeitbasiert) fest.

    Feld Details
    Mehrstufige Authentifizierung erfordern

    Erfordert von Benutzern die Eingabe eines Tokens für die mehrstufige Authentifizierung (MFA) zusätzlich zu ihrem Kennwort, wenn sie sich bei CXone anmelden. Ein MFA-Token ist ein einmaliges Kennwort, das von einem Hardware-Token oder einem virtuellen MFA-Gerät (z. B. einer App wie Google Authenticator) generiert wird, das Sie bereitstellen. Wenn Sie MFA aktivieren, müssen Benutzer mit dem entsprechenden Profil bei der nächsten Anmeldung einen MFA-Geheimschlüssel konfigurieren.

    Sie sollten MFA nicht für den Hauptadministrator in Ihrer Organisation aktivieren. Geht das Gerät oder Geheimnis verloren, kann das MFA-Geheimnis nur zurückgesetzt werden, indem Sie ein Ticket bei NICE CXone eröffnen.
    MFA-Typ Legt fest, ob Sie für die mehrstufige Authentifizierung den Typ TOTP (zeitbasiert) oder HOTP (HMAC-basiert) aktivieren möchten.

  9. Legen Sie Ihre Kennwortrichtlinie fest.

    Feld Details
    Passwortlänge Geben Sie die Anzahl Zeichen ein, die ein Benutzerkennwort insgesamt mindestens enthalten muss. Wenn Sie beispielsweise 12 eingeben, müssen Benutzer mindestens 12 Zeichen für ihr Kennwort verwenden. Die Zeichen, die gemäß den Einstellungen für die Kennwortkomplexität erforderlich sind, werden dabei mitgezählt. Sie können für die Kennwortlänge eine Zahl zwischen 12 und 24eingeben.
    Passwortalter aktivieren Aktiviert ein Textfeld, in das Sie die Höchstzahl an Tagen eingeben, die Benutzer ihr Kennwort behalten können. Nach der festgelegten Anzahl von Tagen müssen Benutzer ihr Kennwort ändern. Sie können für das Höchstalter des Kennworts einen beliebigen Wert von 14 bis 365 Tagen festlegen.
    Passworthistorie aktivieren Geben Sie die Anzahl der verschiedenen Kennwörter ein, die ein Benutzer festlegen muss, bevor er ein zuvor verwendetes Kennwort erneut verwenden kann. Sie können für die Kennworthistorie einen beliebigen Wert von 4 bis 50 festlegen. Wenn Sie zum Beispiel 10 eingeben, können die dem Login-Authentifikator zugewiesenen Benutzer keines ihrer letzten 10 Kennwörter als neues Kennwort verwenden.

  10. Klicken Sie auf Speichern & aktivieren.

Externen Login-Authentifikator mit SAML 2.0 einrichten

Sie können die externe Authentifizierung verwenden, wenn Benutzer ihr Kennwort über ein anderes System oder einen Identitätsanbieter verwalten sollen. CXone unterstützt derzeit SAML 2.0- und OpenID Connect-Verbandprotokolle.

Sie können die vom IdP initiierte Authentifizierung oder die vom SP initiierte Authentifizierung mit den in diesem Abschnitt beschriebenen Schritten einrichten.

IdP-initiierte Authentifizierung – IdP steht für Identitätsanbieter. IdP-initiierte Authentifizierung bedeutet, dass der externe Identitätsanbieter den Anmeldeprozess startet.

SP-initiierte Authentifizierung – SP steht für Service Provider. SP-initiierte Authentifizierung bedeutet, dass CXone den Anmeldeprozess startet.

Wenn Sie Salesforce Agent verwenden, muss der externe Identitätsanbieter (IdP) für die SP-initiierte Authentifizierung konfiguriert werden.

  1. Vergewissern Sie sich, dass Sie Zugang zum externen Identitätsanbieter haben. Sie müssen eine für CXone spezifische Anwendung erstellen.
  2. Erstellen Sie die Integration im externen Identitätsanbieter. Die verschiedenen Systeme verwenden unterschiedliche Namen für diese Integrationen. Lesen Sie hierzu die spezifischen Anleitungen für Okta oder Azure.
    1. Sie müssen eine Einheits-ID angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter.
    2. Sie müssen eine ACS-URL angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter.
    3. Der Identitätsanbieter generiert eine spezifische URL, an die SAML-Anfragen gesendet werden müssen. Kopieren Sie diese URL und speichern Sie sie so, dass Sie sie leicht wiederfinden. Sie müssen diesen Wert in einem späteren Schritt eingeben.
    4. Der Identitätsanbieter generiert ein öffentliches Signaturzertifikat für die Integration. Laden Sie das Zertifikat herunter. Sie benötigen es in einem späteren Schritt.
  3. Erstellen Sie einen externen Login-Authentifikator in CXone.
    1. Klicken Sie auf den App-Selector und wählen SieAdmin.
    2. Klicken Sie auf SicherheitLogin-Authentifikator.
    3. Geben Sie Name und Beschreibung des Login-Authentifikators ein.
    4. Wählen Sie SAML als Authentifizierungstyp.
    5. Wenn Sie FICAM auswählen, muss die SAML-Antwort einen einzelnen AuthnContextClassRef-Eintrag enthalten. Außerdem muss die NamespaceURI des Assertion-Subjekts folgenden Wert aufweisen: urn:oasis:names:tc:SAML:2.0:assertion. Die Felder AuthnContextClassRef und NamespaceURI werden vom Identitätsanbieter bestimmt.
    6. Geben Sie den SAML-Anfragenendpunkt, den Sie von Ihrem Anbieter erhalten haben, als Endpunkt-URL ein.
    7. Klicken Sie auf Datei auswählen und wählen Sie das öffentliche Signaturzertifikat Ihres Identitätsanbieters aus. Dabei muss es sich um eine PEM-Datei handeln. Dies ist eine Textdatei, deren erste Zeile die Wörter BEGIN CERTIFICATE und weiteren Text enthält.

    8. Klicken Sie auf die Registerkarte Zugewiesene Benutzer. Wählen Sie die Benutzer aus, die Sie dem zu erstellenden Login-Authentifikator zuweisen möchten. Sie können dem Login-Authentifikator auch direkt Benutzer in deren Mitarbeiterprofil zuweisen.

    9. Klicken Sie auf Speichern und aktivieren.
    10. Öffnen Sie den Login-Authentifikator.

    11. Notieren Sie sich die Einheits-ID und die ACS-URL. Sie benötigen diese, wenn Sie Ihre IdP-Einstellungen aktualisieren.

  4. Aktualisieren Sie die Einstellungen Ihres Identitätsanbieters, indem Sie die oben genannten Platzhalter durch die Werte ersetzen, die Sie sich notiert haben.

  5. Achten Sie darauf, dass Externe Identität für jeden Benutzer, der den Login-Authentifikator verwendet, auf den richtigen Wert eingestellt ist. Dieses Feld wird auf der Registerkarte "Sicherheit" des Mitarbeiterprofils angezeigt.

    Ihr Identitätsanbieter bestimmt den Wert, der zu verwenden ist. Der Wert muss genau mit Ihrer Angabe im Feld Externe Identität in CXone übereinstimmen.

  6. Die Benutzer können sich jetzt anmelden. Sie müssen die neueste Login-URL verwenden. Nachdem sie ihren Benutzernamen eingegeben haben, werden sie ggf. zum externen Identitätsanbieter umgeleitet.

Externe Login-Authentifikatoren erstellen mit OpenID Connect

Erforderliche Berechtigungen: Login-Authentifikator – Erstellen

Sie können die externe Authentifizierung verwenden, wenn Benutzer ihr Kennwort über ein anderes System oder einen Identitätsanbieter verwalten sollen. CXone unterstützt derzeit SAML 2.0- und OpenID Connect-Verbandprotokolle.

Sie können die vom IdP initiierte Authentifizierung oder die vom SP initiierte Authentifizierung mit den in diesem Abschnitt beschriebenen Schritten einrichten.

IdP-initiierte Authentifizierung – IdP steht für Identitätsanbieter. IdP-initiierte Authentifizierung bedeutet, dass der externe Identitätsanbieter den Anmeldeprozess startet.

SP-initiierte Authentifizierung – SP steht für Service Provider. SP-initiierte Authentifizierung bedeutet, dass CXone den Anmeldeprozess startet.

Wenn Sie Salesforce Agent verwenden, muss der externe Identitätsanbieter (IdP) für die SP-initiierte Authentifizierung konfiguriert werden.

Screenshot der Registerkarte OpenID Connect eines Geschäftsbereichs im Bearbeitungsmodus

  1. Vergewissern Sie sich, dass Sie Zugang zum externen Identitätsanbieter haben. Sie müssen eine für CXone spezifische Anwendung erstellen.
  2. Erstellen Sie die Integration im externen Identitätsanbieter.
    1. Sie müssen eine Umleitungs-URI für die Anmeldung angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter.
    2. Sie müssen eventuell eine Umleitungs-URI für die Abmeldung angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter.
    3. Der Identitätsanbieter generiert eine Client-ID und einen Clientschlüssel. Notieren Sie sich diese Werte. Sie müssen diese Werte in einem späteren Schritt eingeben.
  3. Erstellen Sie einen externen Login-Authentifikator in CXone.

    1. Klicken Sie auf den App-Selector und wählen SieAdmin.

    2. Gehen Sie zu SicherheitseinstellungenLogin-Authentifikator.

    3. Klicken Sie auf Neuer Login-Authentifikator, oder wählen Sie den Login-Authentifikator aus, den Sie bearbeiten möchten.
    4. Geben Sie Name und Beschreibung des Login-Authentifikators ein.
    5. Wählen Sie OIDC als Authentifizierungstyp aus.
    6. Wenn Sie einen Erkennungsendpunkt für Ihren IdP haben, klicken Sie auf Einstellungen erkennen. Geben Sie Ihren Erkennungsendpunkt ein und klicken Sie auf Entdecken. Die restlichen Felder werden für Sie ausgefüllt. Einstellungen erkennen funktioniert nicht mit Salesforce-Erkennungsendpunkten.
    7. Geben Sie Ihre Client-Kennung und Ihr Client-Kennwort ein. Geben Sie das Passwort erneut ein Client-Passwort bestätigen. Die Client-Kennung ist die Ihrem Konto von Ihrem Identitätsanbieter zugewiesene Anmelde-ID.

    8. Wenn Sie keinen Erkennungsendpunkt für Ihren IdP haben, geben Sie die vom IdP bereitgestellten Werte für Aussteller, JsonWebKeySet-Endpunkt, Autorisierungsendpunkt, Token-Endpunkt, UserInfo-Endpunkt, Sperrungs-Endpunkt und Endpunkt für Sitzungsende ein.

      Feld

      Details

      Aussteller

      URL des IdP ohne Parameter

      JsonWebKeySet-EndpunktURL für das JWK-Set Ihres IdP.
      AutorisierungsendpunktURL für den OAuth 2.0 Autorisierungsendpunkt Ihres IdP.
      Token-EndpunktURL für den OAuth 2.0 Token-Endpunkt Ihres IdP.
      UserInfo-EndpunktURL für den UserInfo-Endpunkt Ihres IdP.
      Sperrungs-EndpunktURL für den Sperrungs-Endpunkt Ihres IdP.
      Endpunkt für SitzungsendeURL für den Endpunkt für Sitzungsende Ihres IdP. Mit diesem Feld können Sie für Ihre Benutzer eine Oberfläche zum einmaligen Abmelden erstellen. Wenn dieses Feld konfiguriert ist, werden Benutzer beim Abmelden von CXone auch von ihrem IdP-Konto abgemeldet. Damit das einmalige Abmelden funktioniert, müssen Sie die Umleitungs-URI für die Abmeldung auf die Positivliste in Ihrem IdP setzen.
    9. Wählen Sie eine Clientauthentifizierungsmethode aus. Die von Ihnen ausgewählte Methode muss eine von Ihrem IdP unterstützte Authentifizierungsmethode sein. Bei Auswahl von private_key_jwt müssen Sie Ihren privaten Clientschlüssel eingeben.
    10. Wenn Sie FICAM-Profil aktivieren auswählen, werden spezifische Einstellungen der US-Regierung aktiviert.

    11. Klicken Sie auf die Registerkarte Zugewiesene Benutzer. Wählen Sie die Benutzer aus, die Sie dem zu erstellenden Login-Authentifikator zuweisen möchten. Sie können dem Login-Authentifikator auch direkt Benutzer in deren Mitarbeiterprofil zuweisen.

    12. Klicken Sie auf Speichern & aktivieren, um die bereitgestellten Informationen zu validieren und Ihr CXone-Konto mit Ihrem IdP-Konto zu verknüpfen.
    13. Öffnen Sie den Login-Authentifikator.

    14. Notieren Sie die Werte für Sign-in Redirect URI (Umleitungs-URI für Anmeldung) und Sign-out Redirect URI (Umleitungs-URI für Abmeldung). Sie benötigen diese, wenn Sie Ihre IdP-Einstellungen aktualisieren.

  4. Aktualisieren Sie die Einstellungen Ihres Identitätsanbieters, indem Sie die oben genannten Platzhalter durch die Werte ersetzen, die Sie sich notiert haben.

  5. Achten Sie darauf, dass Externe Identität für jeden Benutzer, der den Login-Authentifikator verwendet, auf den richtigen Wert eingestellt ist. Dieses Feld wird auf der Registerkarte "Sicherheit" des Mitarbeiterprofils angezeigt.

    Ihr Identitätsanbieter bestimmt den Wert, der zu verwenden ist. Der Wert muss genau mit Ihrer Angabe im Feld Externe Identität in CXone übereinstimmen. Der Wert in diesem Feld muss im folgenden Format eingegeben werden: claim(email):{in Ihrem IdP konfigurierte E-Mail-Adresse}. Beispiel: wenn die E-Mail-Adresse des Benutzers im IdP "max.mustermann@classics.com" lautet, geben Sie claim(email):max.mustermann@classics.com ein.

  6. Die Benutzer können sich jetzt anmelden. Sie müssen die neueste Login-URL verwenden. Nachdem sie ihren Benutzernamen eingegeben haben, werden sie ggf. zum externen Identitätsanbieter umgeleitet.

  7. Wenn Ihr IdP Sie zur Authentifizierung auffordert, tun Sie dies als Benutzer des IdP, den Sie mit dem CXone-Konto verknüpfen möchten, bei dem Sie aktuell angemeldet sind.
  8. Wenn Ihre OpenID Connect-Einstellungen in CXone nicht als validiert angezeigt werden, verwenden Sie Ihre IdP-Protokolle, um das Problem zu diagnostizieren.

Neue Benutzer mit Anspruchsbasis verknüpfen OpenID Connect

CXone kann einen anderen Anspruchswert, z. B. eine E-Mail-Adresse, verwenden, um die Identität des Benutzers bei der ersten Anmeldung festzustellen. CXone schaltet dann automatisch auf den eindeutigen OpenID Connect Antragsteller um. So können Sie die föderierte Identität eines Benutzers vorkonfigurieren.

PKCE für Frontend-Authentifizierung

Es kann sein, dass Sie Schwierigkeiten bei der Verwendung des OpenID Connect Autorisierungscode-Ablaufs haben. Dieser Ablauf erfordert ein client_secret als Teil des Token-Austauschs. Die Codierung des client_secret in einer Webanwendung ist ein Sicherheitsrisiko. OpenID Connect ermöglicht einen alternativen Ablauf namens PKCE (Proof Key for Code Exchange). PKCE verwendet eine andere Authentifizierungsmethode. NICE CXone unterstützt PKCE-Abläufe für Frontend-Integrationen.

Login-Authentifikatoren deaktivieren

Erforderliche Berechtigungen: Login-Authentifikator – Deaktivieren

Sie können System-LAs und SAML 2.0-Login-Authentifikatoren auf der Seite "Login-Authentifikator" deaktivieren.

Alle Benutzer, die einem deaktivierten Login-Authentifikator (LA) zugewiesen sind, verlieren den Zugriff auf CXone. Diese Benutzer können außerdem den Link Kennwort vergessen nicht verwenden, um ihr Konto zu aktivieren oder ihr Kennwort zu ändern. Sie erhalten keine Benachrichtigung, dass sie keinen Zugriff mehr haben und erhalten erst wieder Zugriff, wenn Sie folgende Aktionen ausführen:

  • Sie weisen sie einem aktiven LA zu.

  • Sie reaktivieren den zugewiesenen LA.

Um zu verhindern, dass Ihre Benutzer den Zugriff verlieren, weisen Sie die Benutzer vor der LA-Deaktivierung einem anderen LA zu.

  1. Klicken Sie auf den App-Selector und wählen SieAdmin.
  2. Gehen Sie zu SicherheitseinstellungenLogin-Authentifikator.
  3. Wählen Sie den Login-Authentifikator aus, der deaktiviert werden soll.
  4. Klicken Sie auf "Aktionen" Symbol mit drei untereinander angeordneten Punkten auf der rechten Seite des Login-Authentifikators..
  5. Klicken Sie auf Deaktivieren.