Authentifizierung und Autorisierung in CXone

Diese Seite enthält spezifische Informationen dazu, wie Authentifizierung und Autorisierung in CXone funktionieren. Wenn Sie zum ersten Mal mit diesen Konzepten arbeiten, sollten Sie sich zunächst ein Grundverständnis für die Ideen und die Terminologie der Authentifizierung und Autorisierung aneignen.

Wenn Sie dieses Material durchgesehen haben, können Sie loslegen:

Wenn sich Benutzer bei einer beliebigen Anwendungssuite, einschließlich CXone, anmelden, erfolgen diese beiden Schritte normalerweise in der angegebenen Reihenfolge:

  • Authentifizierung - Ist der Benutzer derjenige, der er vorgibt zu sein?
  • Autorisierung - Soll der authentifizierte Benutzer den angeforderten Zugriff erhalten?

Alle Benutzer müssen authentifiziert und autorisiert werden, bevor sie auf CXone zugreifen können.

Benutzer können Menschen oder Anwendungen sein. Chatbots und virtuelle Assistenten werden beispielsweise häufig über ein Benutzerkonto betrieben. Die meisten Anwendungssuiten verwenden für menschliche und virtuelle Benutzer die gleichen Verfahren. In diesen Online-Hilfeseiten über Authentifizierung und Autorisierung wird der Begriff Benutzer sowohl für Personen als auch für Anwendungen verwendet. Wenn es Unterschiede gibt, werden sie klar erklärt.

Die Authentifizierung kann kompliziert einzurichten und schwierig zu testen und zu validieren sein. Um die Authentifizierung in CXone einzurichten, müssen Sie verstehen:

  • So funktioniert die Authentifizierung in CXone

  • Der integrierte CXone Identitätsanbieter

  • Externe Identitätsanbieter

  • Unterschiede zwischen der Authentifizierung von menschlichen Benutzern und Anwendungsbenutzern

Sie müssen auch wissen, wie die Autorisierung auf der Plattform CXone funktioniert.

Diese Abbildung zeigt, wie CXone die Benutzer authentifiziert und autorisiert:

  1. Ein Benutzer greift über einen unterstützten Webbrowser auf CXone zu.

  2. CXone fragt nach den Anmeldedaten des Benutzers.

  3. Der Benutzer gibt seine Anmeldedaten an.

  4. CXone verifiziert sie bei einem Identitätsanbieter (IdP). CXone verfügt über einen eigenen, integrierten IdP, kann aber auch mit einem externen IdP zusammenarbeiten.

  5. Sobald der Benutzer authentifiziert ist, ermöglicht der CXone Autorisierungsserver den Zugriff auf die CXone Plattform. CXone unterstützt keine externen Autorisierungssysteme.

Authentifizierung mit dem integrierten Identitätsanbieter

Der integrierte CXone IdP authentifiziert die Benutzer mit einem Benutzernamen und einem Passwort. Jeder Benutzername muss für Ihr Unternehmen eindeutig sein. Sie können optional eine Multi-Faktor-Authentifizierung (MFA) für eine zusätzliche Sicherheitsebene hinzufügen.

Anwendung Benutzer

Manchmal benötigen Anwendungen Zugang zu den Funktionen und Merkmalen von CXone. CXone behandelt diese Anwendungen, wie Bots und interaktive virtuelle Assistenten (IVA), als Nutzer. Anwendungsbenutzer werden nur mit integrierter Authentifizierung unterstützt. Darüber hinaus verwenden Anwendungsbenutzer keine Anmeldeauthentifikatoren. Stattdessen verwenden sie Zugangsschlüssel.

Benutzeranmeldung mit integrierter Authentifizierung

Die Benutzer sehen zunächst einen Bildschirm, der nach ihrem Benutzernamen fragt. Solange CXone den Benutzernamen nicht kennt, kann es nicht nach weiteren Anmeldedaten fragen. CXone kann nur nach Passwörtern oder MFA-Tokens fragen, wenn es weiß, welcher Benutzer sich anmeldet.

CXone der erste Anmeldebildschirm, in den die Benutzer ihren Benutzernamen eingeben

Nachdem der Benutzer seinen Benutzernamen eingegeben und auf NEXT geklickt hat, wird er in einem neuen Fenster nach seinem Passwort gefragt. Sobald der Benutzer sein richtiges Passwort eingibt und auf Anmelden klickt, authentifiziert CXone den Benutzer und gewährt ihm Zugang zum System.

CXone zweiter Anmeldebildschirm, in den die Benutzer ihr Passwort eingeben

Dieses Fenster sieht für und Mitarbeiter, die für die Verwendung von MFA konfiguriert sind, etwas anders aus. Nachdem der Benutzer seinen Benutzernamen eingegeben und auf WEITER geklickt hat, wird er in einem neuen Fenster nach seinem Passwort und seinem MFA-Token gefragt. Sobald der Benutzer sein richtiges Passwort und ein gültiges Token eingegeben hat, klickt er auf Anmelden. Wenn Sie eine standortbasierte Anmeldeanforderung konfiguriert haben, überprüft CXone die IP-Adresse des Benutzers, um sicherzustellen, dass sie den zulässigen IP-Adressen entspricht. CXone authentifiziert den Benutzer und gewährt ihm Zugang zum System.

Eingabebildschirm für Mitarbeiterpasswörter in CXone, wenn MFA-spezifische Felder

Passwortverwaltung mit integrierter Authentifizierung

Kennwortkriterien können mit Login-Authentifikatoren angepasst werden. Mit einem Login-Authentifikator haben Sie die Kontrolle:

  • Anzahl der erforderlichen Zeichen für ein Passwort

  • Arten von Zeichen, die in einem Passwort erforderlich sind

  • Anzahl der Tage, bevor der Benutzer sein Passwort zurücksetzen muss

  • Anzahl der zulässigen falschen Passwortversuche, bevor das Konto gesperrt wird

  • Anzahl der Passwörter, die sich CXone merkt, was verhindert, dass Benutzer diese Passwörter wieder verwenden

Passwörter sind in CXonenicht sichtbar. Aus Gründen des Datenschutzes und der Sicherheit werden die Passwörter intern verwaltet und können nur über die Funktion "Passwort vergessen" oder "Passwort erneut senden" geändert werden. Die Benutzer können den Link auf dem Anmeldebildschirm für das Passwort verwenden und den Anweisungen auf dem Bildschirm folgen. Benutzer werden per E-Mail benachrichtigt, wenn ihr Kennwort geändert wurde.

CXone wird mit einem Standard-Anmeldeauthentifikator geliefert, den Sie verwenden können, wenn Sie keine benutzerdefinierten Anmeldeauthentifikatoren benötigen. Sie müssen diesen Standardauthentifikator noch den Rollen zuweisen, die ihn verwenden sollen.

Sie können so viele benutzerdefinierte Anmeldeauthentifikatoren einrichten, wie Sie möchten. So können Sie beispielsweise komplexere Kennwörter für Benutzer verlangen, die Zugang zu wichtigen Informationen haben. Jedes Mal, wenn Sie eine Authentifizierungsanforderung für ein Benutzerkonto ändern möchten, müssen Sie einen neuen Anmeldeauthentifikator erstellen. Änderungen an den Authentifikatoren gelten für die zugewiesenen Benutzer, wenn sie sich das nächste Mal anmelden.

Sie können auch eine mit benutzerdefinierten Anmeldeauthentifikatoren einrichten. MFA erhöht Ihre Sicherheit, indem eine weitere Authentifizierungsebene hinzugefügt wird. Zum Beispiel können Sie Ihre Benutzer mit einem Benutzernamen und einem Kennwort authentifizieren lassen. Dann könnten Sie sie sich erneut mit einem Code authentifizieren lassen, der an ihre mobilen Geräte gesendet wird. Diese Codes werden in der Regel als MFA-Token bezeichnet, auch wenn es sich nicht um einen physischen Token handelt.

CXone unterstützt beide Haupttypen von MFA:

  • Zeitbasiert - typischerweiseverwendet von Software-Authentifikatoren wie Google
  • Zählerbasiert - typischerweisevon Hardware-Tokens verwendet

Sie können MFA für Anmeldeauthentifikatoren mit einem einzigen Kontrollkästchen aktivieren. Die spezifischen Informationen über Benutzer, ihre MFA-Einstellungen und ihre Identitäten werden jedoch im individuellen Mitarbeiterkonto verwaltet.

Login-Authentifikatoren werden Rollen zugewiesen. Das heißt, die Authentifizierungsmethode eines Mitarbeiters hängt von der ihm zugewiesenen Rolle ab.

Mitarbeiterdatensatz in CXone mit MFA-spezifischen Feldern

Authentifizierung mit einem externen Identitätsanbieter

Wenn Sie sich mit einem Konto von einer anderen Website bei einem System anmelden, verwenden Sie eine externe Authentifizierung. Sie können sich zum Beispiel mit Ihrem Google-Konto bei einer App auf Ihrem Telefon anmelden.

Bei der externen Authentifizierung, die manchmal auch als Verbund bezeichnet wird, wird ein externer Identitätsanbieter (IdP) verwendet, um die Authentifizierung von Benutzern zu unterstützen. Der externe IdP arbeitet mit dem CXone IdP zusammen, um den Benutzer zu authentifizieren. Damit beide IdPs zusammenarbeiten können, benötigen sie Authentifizierungsprotokolle.

Externe IdPs

CXone unterstützt sowohl gehostete als auch Cloud-Service-Identitätsanbieter.

Sie sollten mit Ihrem Identitätsanbieter vertraut sein. Wenn nicht, arbeiten Sie mit dem Team Ihres Unternehmens zusammen, das die Authentifizierung verwaltet. Die Gründung eines Verbandes kann schwierig sein, wenn nicht die richtigen Personen daran beteiligt sind. Ihr Unternehmen hat möglicherweise Verfahren für die Integration von Systemen wie CXone mit Ihrem Identitätsanbieter eingerichtet. Es liegt in Ihrer Verantwortung, diese Verfahren zu befolgen und Ihre spezifischen Sicherheitsanforderungen zu erfüllen. Das Team von NICE CXone unterstützt Sie auf diesem Weg.

Authentifizierungsprotokolle

Von IdP initiierte Abläufe gelten für einzelne Anwendungen, nicht die ganze CXone-Suite. Beispielsweise können Sie mit diesem Ablauf die Hauptanwendungen für die Benutzeroberfläche starten, aber nicht andere Anwendungen wie Studio. Der von SP initiierte Ablauf ist erforderlich, damit die ganze Suite nahtlos funktioniert.

Authentifizierungsprotokolle stellen die Kommunikation und das Vertrauen zwischen verschiedenen IdPs her. CXone unterstützt ein Authentifizierungsprotokoll namens SAML 2.0.

SAML 2.0 ist eine etablierte Technologie und wird häufiger eingesetzt als neuere Technologien wie OpenID Connect. Es unterstützt den vom Dienstanbieter (SP) initiierten Authentifizierungsfluss. Dies ist ein vertrauter Ablauf und das Modell, das von vielen Anwendungen und Websites verwendet wird. Die Benutzererfahrung ist:

  • Die Benutzer geben ihre Anmeldedaten unter CXone ein (d. h. sie melden sich an).
  • CXone verwendet seinen integrierten IdP, um mit Ihrem externen IdP zu kommunizieren und die Identität des Benutzers zu überprüfen.
  • CXone verwendet seine integrierte Autorisierung, um die Zugriffsebenen des authentifizierten Benutzers zu überprüfen.
  • CXone dem authentifizierten, autorisierten Benutzer korrekten Zugang gewährt.

SAML 2.0 unterstützt auch einen weniger verbreiteten IdP-initiierten Fluss. In diesem Ablauf gibt Ihr Benutzer seine Anmeldedaten bei Ihrem IdP ein. Dann startet der IdP CXone.

Für SAML 2.0 unterstützt CXone nur das Signieren der Nachricht/Antwort, nicht der Zusicherung.

Ihre Benutzer sind vielleicht mit einem oder beiden dieser Authentifizierungsabläufe vertraut. Wenn Sie SAML 2.0 verwenden, sollten Sie sich der Einschränkungen bewusst sein, die jeder Fluss mit sich bringt. Auf diese wird im nächsten Abschnitt näher eingegangen.

CXone unterstützt nicht die von einigen Authentifizierungsprotokollen angebotene zusätzliche Verschlüsselung.

Bewerten Sie die Kombination

Die CXone Suite unterstützt nicht jede Kombination von Anwendung, externem IdP und Authentifizierungsprotokoll. In einigen Fällen gibt es keine Unterstützung. In anderen Fällen gibt es Einschränkungen mit Umgehungsmöglichkeiten. Es ist schwierig, mögliche Probleme für jede Kombination und jedes Szenario aufzuzeigen, daher sollten Sie eine Testeinrichtung mit Ihrem Identitätsanbieter durchführen. Ihr Test sollte die verschiedenen Anwendungsfälle und Benutzerströme berücksichtigen. Die folgende Tabelle kann Ihnen bei Ihrer Bewertung helfen.

CXone Anwendung Externe IDP Authentifizierungsprotokoll Beschränkungen und Umgehungsmöglichkeiten
CXone Plattform und alle Anwendungen Alle Alle Unterstützt nicht die Verschlüsselung von Forderungen.
CXone Plattform und alle Anwendungen Alle SAML 2.0 Es wird nur das Signieren von Nachrichten unterstützt. Die öffentliche Bescheinigung muss in der Antwort enthalten sein.
CXone Plattform Alle OpenID Connect Nicht unterstützt.

Nur die Haupt-Webanwendungen unterstützen den von IdP initiierten SAML 2.0-Ablauf. Benutzer, die Zugriff auf Studio oder die verschiedenen Agentenanwendungen benötigen, müssen die integrierte Authentifizierung oder einen von SP initiierten Ablauf verwenden.

Vertrauen schaffen

Identitätsanbieter müssen einander vertrauen, bevor sie miteinander kommunizieren können. Jeder Anbieter muss über Informationen über den anderen verfügen. Welche Informationen erforderlich sind, hängt vom jeweiligen Authentifizierungsprotokoll ab. Wie die Informationen beschafft werden, hängt vom IdP ab.

Es gibt mehrere Konfigurationsparameter, die verwendet werden, um Vertrauen mit SAML 2.0 aufzubauen. Arbeiten Sie mit Ihrem CXone Account Representative zusammen und verwenden Sie diese Parameter, um eine Vertrauensbeziehung zwischen Ihrem CXoneMandantGeschlossen Eine übergeordnete organisatorische Gruppierung, die Sie für die technische Unterstützung und Abrechnung und außerdem zur Bearbeitung von globalen Einstellungen in Ihrer CXone Umgebung einsetzen können. und Ihrem externen IdP zu erstellen.

Feld

Details
Entitäts-ID

Eine vorausgefüllte, nicht editierbare globale eindeutige ID, die Ihr externer IdP bei Verwendung des SAML 2.0 Protokolls möglicherweise von Ihnen verlangt. Der IdP fügt sie als Entitäts-ID des Ausstellers in die SAML 2.0 Anforderungsnachricht ein. Bei einigen IDPs, einschließlich Okta und OneLogin, müssen Sie die Entitäts-ID nicht auf deren Seite konfigurieren. Andere, einschließlich Salesforce, tun dies.

Endpunkt-URL

Die von Ihrem IdP bereitgestellte Endpunkt-URL.
Assertion URL

Eine vorausgefüllte, nicht editierbare URL, die Ihr IdP benötigt, um einen SAML 2.0 Fluss einzurichten. Es dient als Endpunkt-URL zum Empfangen und Parsen einer Authentifizierungszusicherung. Sie müssen diese ID in Ihre IdP-Konfiguration eingeben, normalerweise in das Feld ACD-URL. Einige IdPs nennen es etwas anderes als ACS. In der Vorlage Okta SAML 2.0 geben Sie beispielsweise diese URL in das Feld Single Sign-on-URL ein.
Identitätsanbieterzertifikat Ihr IdP wird Ihnen ein Sicherheitszertifikat zur Verfügung stellen.

Authentifizierung von Anwendungen

Benutzer und Anwendungen werden auf sehr ähnliche Weise authentifiziert. Der Hauptunterschied besteht darin, dass die Anwendungen mit einem Zugangsschlüssel authentifiziert werden, während die Benutzer mit einem Benutzernamen und einem Passwort authentifiziert werden. Im Gegensatz zu den Benutzern müssen die Anwendungen nicht über einen Browser interagieren. Sie können in einer Back-Office-Umgebung arbeiten.

Sie können Mitarbeiterprofil erstellen, um eine Anwendung anstelle eines Benutzers zu repräsentieren. Dazu legen Sie Mitarbeiterprofil an, benennen das Profil nach der Anwendung und erstellen einen Zugangsschlüssel. CXone verwaltet intern die Authentifizierung von Anwendungen. Sie können nicht mit externen Identitätsanbietern authentifiziert werden.

Autorisierung in CXone

Bei der Autorisierung wird überprüft, auf welche Ressourcen ein Benutzer zugreifen darf. Zu den Ressourcen können Anwendungen, Dateien und Daten gehören. Sie können den Zugang der Benutzer zu den Ressourcen mit Rollen festlegen. CXone verwaltet die Autorisierung während des Anmeldevorgangs automatisch. Wenn ein Benutzer authentifiziert ist, erhält er nur Zugriff auf die Ressourcen, für die er autorisiert ist.

Die Authentifizierungsmethode eines Benutzers hat keinen Einfluss auf die Autorisierung. CXone verwendet den gleichen Autorisierungsprozess für alle Benutzer. Dabei spielt es keine Rolle, ob sie mit Zugangsschlüsseln oder Passwörtern authentifiziert sind.