Administrar autenticadores de inicio de sesión

Los autenticadores de inicio de sesión controlan cómo los usuarios inician sesión en CXone. CXone admite la autenticación interna y externa en función del autenticador de inicio de sesión asignado al usuario y el tipo y la configuración de ese autenticador de inicio de sesión.

Para obtener más información acerca de la autenticación y autorización enCXone, haga clic en aquí.

Definir una ubicación

Permisos necesarios: Administración de ubicación Crear

Si desea exigir que los usuarios inicien sesión desde una dirección IP determinada, cree una ubicación con las direcciones IP, los rangos de direcciones IP o las subredes de direcciones IP que quiera permitir. Cuando se requiere una ubicación configurada para un usuario, ese usuario debe tener tanto las credenciales como la dirección IP correctas para iniciar sesión. De lo contrario, su intento de inicio de sesión falla y recibe un error. Puede tener hasta 20 ubicaciones a la vez y hasta 10 reglas por ubicación.

  1. Haga clic en el selector de aplicaciones y seleccioneAdmin.
  2. Vaya a Ubicaciones >Definiciones de ubicación.
  3. Haga clic en Nueva ubicación.
  4. Asigne un Nombre descriptivo a la ubicación. Si desea agregar más detalles sobre la ubicación, ingrese una Descripción.
  5. Puede seleccionar Definir como ubicación predeterminada o Ubicación remota para indicar el tipo de ubicación. Sólo puede tener una ubicación predeterminada. Estos campos no afectan actualmente a ninguna funcionalidad y su selección es para su propia referencia.

  6. Agregue cualquier otra información que desee utilizando los campos restantes, incluyendo la dirección física, el país, las coordenadas GPS, la zona horaria o los grupos asignados. Estos campos actualmente no afectan a nada, y la información ingresada sería sólo para su propia referencia.

    Si agrega grupos al campo Grupos asignados los usuarios que pertenezcan a esos grupos aparecerán en la pestaña Usuarios asignados. Sin embargo, la configuración de la ubicación no se aplicará a ellos. Si asigna una ubicación a un autenticador de inicio de sesión, la ubicación se aplica a los usuarios asignados a ese autenticador de inicio de sesión y restringe su capacidad para iniciar sesión en función de su dirección IP. Sin embargo, esos usuarios no aparecerán en la pestaña Usuarios asignados.

  7. Haga clic en Guardar.

  8. De vuelta en la página Definiciones de ubicación, haga clic en la ubicación que acaba de crear para abrirla.

  9. Haga clic en la pestaña Reglas de detección automática.

  10. Cree una nueva regla. Para hacerlo:

    1. Hacer clicNueva regla.

    2. Asigne un Nombre descriptivo a la regla.

    3. Seleccione el Tipo de regla entre las siguientes opciones:

      • Lista: Una lista de direcciones IP específicas permitidas para esta ubicación. Por ejemplo, 100.0.1.100, 100.0.1.101, y 100.0.1.102.

      • Rango: Un rango de direcciones IP permitido para esta ubicación. Por ejemplo, 100.0.1.100-100.0.1.125.

      • Subred: Una subred permitida para esta ubicación. Por ejemplo, 100.0.0.1/32.

    4. Especifique la Versión IP como una de las siguientes:

      • IPV4: Una dirección IP de 32 bits

      • IPV6: Una dirección hexadecimal de 128 bits.

    5. Ingrese las direcciones IP reales, el rango o la subred en el campo Definición de regla siguiendo los formatos de los ejemplos de los pasos anteriores. Si seleccionó Lista, puede ingresar hasta 100 direcciones IP. Si seleccionó Rango o Subred, sólo puede ingresar un valor.

    6. Haga clic enConfirmar.

  11. Agregue más reglas según sea necesario. Puede tener hasta 10.

  12. Haga clic en Guardar.

Configurar un autenticador de inicio de sesión del sistema

Permisos requeridos: Puede administrar contraseñas, Activado.

CXone incluye un autenticador de inicio de sesión del sistema predeterminado, pero también puede crear uno propio. Después de configurado un autenticador de inicio de sesión para un rol en particular, el campo de contraseña muestra las reglas del autenticador de inicio de sesión configuradas cuando un usuario intenta establecer o cambiar la contraseña.

  1. Haga clic en el selector de aplicaciones y seleccione Admin.
  2. Vaya a Parámetros de seguridad > Autenticador de inicio de sesión.

  3. Haga clic en Nuevo autenticador de inicio de sesión.

  4. Ingrese un Nombre único para el autenticador de inicio de sesión.

  5. Entre una Descripción si quiere uno.

  6. Seleccione Sistema como el Tipo de autenticación .

    Campo

    Detalles
    Sistema El autenticador de inicio de sesión utiliza el proceso de inicio de sesión integrado de CXone. No se autentica mediante un proveedor de identidad de inicio de sesión único (SSO) externo.
    SAML SAML 2.0 permite configurar el inicio de sesión único a través de un proveedor de identidad externo. CXone admite múltiples instancias de SAML 2.0. Puede asignar diferentes instancias a diferentes usuarios.

  7. Si desea exigir que los usuarios inicien sesión desde una dirección IP determinada, seleccione la Ubicación que configuró en la sección anterior.

  8. Defina la complejidad de la contraseña.

    La contraseña de cada usuario se coteja con un repositorio de contraseñas utilizadas habitualmente. Si su contraseña coincide con alguna de las contraseñas más utilizadas, deberán crear una nueva contraseña. Algunas de las contraseñas que se rechazan son:

    • Cualquier contraseña que incluya la palabra "contraseña". Por ejemplo, Contraseña@1234.

    • Cualquier contraseña que incluya la dirección de correo electrónico, el nombre de usuario, el nombre y el apellido o el nombre del sistema del usuario.

    Las contraseñas se cotejan con este repositorio siempre que:

    • Se activa un nuevo usuario.

    • La contraseña de un usuario caduca.

    • Un usuario restablece su contraseña.

    CampoDetalles
    Se requieren minúsculas (a-z)Requiere que los usuarios usen al menos una letra minúscula en sus contraseñas.
    Se requieren mayúsculas (A-Z)Requiere que los usuarios usen al menos una letra mayúscula en sus contraseñas.
    Se requieren números (0-9)Requiere que los usuarios usen al menos un número en sus contraseñas.
    Requerir no alfanumérico (!,@,#,etc.)Requiere que los usuarios usen al menos un carácter no alfanumérico en sus contraseñas.

  9. Si desea habilitar la autenticación multifactor, seleccione Requerir autenticación multifactor. Defina su Tipo de MFA como HOTP (Basado en HMAC) y TOTP (Basado en Tiempo).

    Campo Detalles
    Requerir Autenticación Multifactor

    Requiere que los usuarios ingresen un token de autenticación multifactor (MFA) además de una contraseña para iniciar sesión en CXone. Un token MFA es una contraseña de un solo uso generada por un token de hardware o un dispositivo MFA virtual (por ejemplo, una aplicación como Google Authenticator) que usted proporciona. Cuando activa MFA, los usuarios con el perfil afectado deben configurar una clave secreta MFA  la próxima vez que inicie sesión.

    No debe habilitar MFA para el administrador principal de su organización. Si se pierde el dispositivo o el secreto, la única forma de restablecer el secreto de MFA es presentar un ticket conNICE CXone.
    Tipo de MFA Especifica si quiere activar el MFA TOTP (Basado en Tiempo) o HOTP (Basado en HMAC).

  10. Configure sus políticas de contraseña.

    Campo Detalles
    Longitud de la contraseña Ingrese el número mínimo de caracteres totales que los usuarios deben incluir en sus contraseñas. Por ejemplo, si ingresa 12, los usuarios deberán incluir al menos 12 caracteres en total en cada contraseña. Los caracteres requeridos en la configuración de Complejidad de contraseña cuentan para el recuento total de caracteres. Puede configurar la longitud de la contraseña a cualquier número entre 12 y 24.
    Activar caducidad de contraseña Activa un cuadro de texto en el que puede introducir el número máximo de días que un usuario puede conservar una contraseña. Una vez transcurrido el número de días especificado, el usuario deberá cambiar su contraseña. Puede establecer la antigüedad de la contraseña de 14 a 365 días.
    Activar historial de contraseña Ingrese el número de contraseñas únicas que un usuario debe establecer antes de poder reutilizar una antigua. Puede establecer el historial de contraseñas entre 4 y 50. Por ejemplo, si introduce 10, los usuarios asignados al autenticador de inicio de sesión no podrán utilizar ninguna de sus últimas 10 contraseñas como contraseña nueva.

  11. Haga clic en Guardar y Activar.

Configurar un autenticador de inicio de sesión externo con SAML 2.0

Puede usar la autenticación externa cuando desee que otro sistema o proveedor de identidad administre la contraseña de un usuario. Actualmente, CXone es compatible con los protocolos de federación SAML 2.0 y OpenID Connect.

Puede configurar la autenticación iniciada por IdP o la autenticación iniciada por SP con los pasos de esta sección.

Autenticación iniciada por IdP: IdP significa proveedor de identidad. La autenticación iniciada por IdP significa que el proveedor de identidad externo inicia el proceso de inicio de sesión.

Autenticación iniciada por SP: SP significa proveedor de servicios. La autenticación iniciada por SP significa que CXone inicia el proceso de inicio de sesión.

Si está usando Salesforce Agent, el proveedor de identidades externo (IdP) debe estar configurado para la autenticación iniciada por el SP.

  1. Asegúrese de tener acceso al proveedor de identidad externo. Deberá crear una integración específica para CXone.
  2. Cree la integración en el proveedor de identidad externo. Diferentes sistemas usan diferentes nombres para estas integraciones, consulte las instrucciones específicas para Okta o Azure.
    1. Deberá proporcionar una ID de entidad que no conoce en este momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posición.
    2. Deberá proporcionar una URL de ACS que no conoce en este momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posición.
    3. El proveedor de identidad generará una URL específica donde se deben enviar las solicitudes SAML. Copie y guarde esta URL en un lugar donde pueda encontrarla. Deberá ingresar este valor en pasos posteriores.
    4. El proveedor de identidad generará un certificado de firma pública para la integración. Descarga el certificado. Necesitará utilizarlo en pasos posteriores.
  3. Cree un autenticador de inicio de sesión externo enCXone.
    1. Haga clic en el selector de aplicaciones y seleccioneAdmin.
    2. Haga clic en Seguridad > Autenticador de inicio de sesión.
    3. Introduzca el nombre y la descripción del autenticador de inicio de sesión.
    4. Seleccione SAML como el tipo de autenticación.

    5. Si desea exigir que los usuarios inicien sesión desde una dirección IP determinada, seleccione la Ubicación que configuró en la sección anterior.

    6. Si selecciona FICAM, la respuesta SAML debe tener una única entrada AuthnContextClassRef. Además, NamespaceURI del sujeto de la afirmación debe ser: urn:oasis:names:tc:SAML:2.0:assertion. El proveedor de identidad controla los campos AuthnContextClassRef y NamespaceURI.
    7. Introducir el Punto final de solicitud SAML que recibió de su proveedor arriba como elURL de punto final.
    8. Haga clic en Elija el archivo y seleccione el certificado de firma pública que recibió de su proveedor. Este archivo debe ser un archivo PEM. Será un archivo de texto y la primera línea contendrá BEGIN CERTIFICATE con algún otro texto.

    9. Seleccione la pestaña Usuarios asignados. Seleccione los usuarios que desea asignar al autenticador de inicio de sesión que está creando. También puede asignar usuarios directamente al autenticador de inicio de sesión en el perfil de empleado de estos.

    10. Haga clic en Guardar y activar.
    11. Abra el autenticador de inicio de sesión.

    12. Tome nota del Identificador de entidad y de la URL de ACS. Los necesitará al actualizar la configuración de su IdP.

  4. Actualice la configuración de su proveedor de identidad, reemplazando los marcadores de posición utilizados anteriormente con los valores que acaba de anotar.

  5. Asegúrese de que la Identidad externa para cada usuario que utiliza el autenticador de inicio de sesión se establece en el valor correcto. Es posible acceder a este campo en la sección de seguridad del perfil del empleado.

    Su proveedor de identidad determina el valor que se debe utilizar. El valor debe coincidir exactamente con lo que puso en el campo Identidad externa en CXone.

  6. Haga que el usuario inicie sesión. Debe utilizar la URL de inicio de sesión más reciente. Después de ingresar su nombre de usuario, serán dirigidos al proveedor de identidad externo si es necesario.

Crear autenticadores de inicio de sesión externo con OpenID Connect

Permisos requeridos: Autenticador de inicio de sesión Crear

Puede usar la autenticación externa cuando desee que otro sistema o proveedor de identidad administre la contraseña de un usuario. Actualmente, CXone es compatible con los protocolos de federación SAML 2.0 y OpenID Connect.

Puede configurar la autenticación iniciada por IdP o la autenticación iniciada por SP con los pasos de esta sección.

Autenticación iniciada por IdP: IdP significa proveedor de identidad. La autenticación iniciada por IdP significa que el proveedor de identidad externo inicia el proceso de inicio de sesión.

Autenticación iniciada por SP: SP significa proveedor de servicios. La autenticación iniciada por SP significa que CXone inicia el proceso de inicio de sesión.

Si está usando Salesforce Agent, el proveedor de identidades externo (IdP) debe estar configurado para la autenticación iniciada por el SP.

Captura de pantalla de la pestaña OpenID Connect de una unidad de negocio en modo de edición

  1. Asegúrese de tener acceso al proveedor de identidad externo. Deberá crear una integración específica para CXone.
  2. Cree la integración en el proveedor de identidad externo.
    1. Deberá indicar un URI de redireccionamiento de inicio de sesión, que todavía no conoce. Use https://cxone.niceincontact.com/need_to_change como marcador de posición.
    2. Quizás deba indicar un URI de redireccionamiento de cierre de sesión, que todavía no conoce. Use https://cxone.niceincontact.com/need_to_change como marcador de posición.
    3. El proveedor de identidad generará una ID de cliente y un Secreto del cliente. Copie y guarde estos valores en un lugar donde pueda encontrarlos más adelante. Deberá usarlos en pasos posteriores.
  3. Cree un autenticador de inicio de sesión externo enCXone.

    1. Haga clic en el selector de aplicaciones y seleccioneAdmin.

    2. Vaya a Parámetros de seguridad > Autenticador de inicio de sesión.

    3. Haga clic en Nuevo autenticador de inicio de sesión o seleccione el autenticador de inicio de sesión que desee editar.
    4. Introduzca el Nombre y una Descripción del autenticador de inicio de sesión.
    5. Seleccione OIDC como el tipo de autenticación.

    6. Si desea exigir que los usuarios inicien sesión desde una dirección IP determinada, seleccione la Ubicación que configuró en la sección anterior.

    7. Si tiene un terminal de descubrimiento para su IdP, haga clic en Descubrir ajustes. Ingrese su punto final de descubrimiento y haga clic en Descubrir. Los campos restantes se completan automáticamente. Descubrir ajustes no funciona con los terminales de descubrimiento de Fuerza de ventas.
    8. Ingrese su Identificador de cliente y su Contraseña de cliente. Vuelva a escribir la contraseña enCliente Confirmar Contraseña. El Identificador de cliente es el ID de inicio de sesión que su IdP asignó a su cuenta.

    9. Si no tiene un terminal de descubrimiento para su IdP, ingrese los siguientes datos proporcionados por su IdP: Emisor, Terminal JsonWebKeySet, Terminal de autorización, Terminal de token, Terminal de información de usuario, Terminal de revocación y Terminal de final de sesión.

      Campo

      Detalles

      Emisor

      La URL de su IdP sin ningún parámetro.

      Terminal JsonWebKeySetLa URL del Conjunto de JWK de su IdP.
      Terminal de autorizaciónLa URL del terminal de autorización 2.0 OAuth de su IdP.
      Terminal de tokenLa URL del terminal de autorización 2.0 OAuth de su IdP.
      Terminal de información de usuarioLa URL del terminal de información de usuario de su IdP.
      Terminal de revocaciónLa URL del terminal de revocación de su IdP.
      Terminal de final de sesiónLa URL del terminal de final de sesión de su IdP. Este campo le permite crear una experiencia de cierre de sesión único para sus usuarios. Si está configurada, cuando los usuarios cierran su sesión en CXone, también cierran la sesión de su cuenta en el IdP. Para que el cierre de sesión único funcione, debe incluir la URI de redireccionamiento de cierre de sesión en su IdP.
    10. Seleccione un Método de autenticación del cliente. El método que seleccione debe ser un método de autenticación compatible con su IdP. Si selecciona private_key_jwt, debe ingrese su Clave privada del cliente.
    11. Puede seleccionar Habilitar perfil FICAM para activar la configuración específica del gobierno de los EE. UU.

    12. Seleccione la pestaña Usuarios asignados. Seleccione los usuarios que desea asignar al autenticador de inicio de sesión que está creando. También puede asignar usuarios directamente al autenticador de inicio de sesión en el perfil de empleado de estos.

    13. Haga clic en Guardar y activar para validar la información proporcionada y vincular su cuenta de CXone a la cuenta con su IdP.
    14. Abra el autenticador de inicio de sesión.

    15. Tome nota de la URI de redireccionamiento de inicio de sesión y la URI de redireccionamiento de cierre de sesión. Los necesitará al actualizar la configuración de su IdP.

  4. Actualice la configuración de su proveedor de identidad, reemplazando los marcadores de posición utilizados anteriormente con los valores que acaba de anotar.

  5. Asegúrese de que la Identidad externa para cada usuario que utiliza el autenticador de inicio de sesión se establece en el valor correcto. Es posible acceder a este campo en la sección de seguridad del perfil del empleado.

    Su proveedor de identidad determina el valor que se debe utilizar. El valor debe coincidir exactamente con lo que puso en el campo Identidad externa en CXone. El valor de este campo debe tener este formato: claim(email):{correo electrónico configurado por su IdP}. Por ejemplo, si el correo electrónico del usuario en el IdP es nick.carraway@classics.com, debe escribir claim(email):nickcarraway@classics.com.

  6. Haga que el usuario inicie sesión. Debe utilizar la URL de inicio de sesión más reciente. Después de ingresar el nombre de usuario, el sistema lo redirigirá al proveedor de identidad externo, si es necesario.

  7. Cuando su IdP le solicite que se autentique, hágalo como el usuario del IdP que desea asociar con su cuenta de CXone que tiene una sesión activa en este momento.
  8. Si tuOpenID Connect ajustes enCXone no se muestra como validado, use sus registros de IdP para diagnosticar el problema.

Vinculación de nuevos usuarios con reclamosOpenID Connect

CXonepuede usar un valor de reclamo diferente, como una dirección de correo electrónico, para establecer la identidad del usuario en su primer inicio de sesión. CXoneluego cambia automáticamente a la únicaOpenID Connect identificador de materia. Esto le permite preconfigurar la cuenta de un usuarioidentidad federada.

PKCE para la autenticación de front-end

Es posible que tenga dificultades para utilizar el flujo de código de autorización OpenID Connect. Este flujo requiere un client_secret como parte del intercambio de token. Codificar el client_secret en una aplicación web es un riesgo para la seguridad. OpenID Connect permite un flujo alternativo llamado PKCE (Proof Key for Code Exchange, clave de prueba para el intercambio de códigos). PKCE utiliza un método de autenticación diferente. NICE CXone Admite flujos PKCE para integraciones front-end.

Desactivar autenticadores de inicio de sesión

Permisos necesarios: Desactivar autenticador de inicio de sesión

Puede desactivar los autenticadores del sistema y de inicio de sesión de SAML 2.0 en la página Autenticador de inicio de sesión.

Todos los usuarios asignados a un autenticador de inicio de sesión (LA) desactivado perderán el acceso a CXone. Tales usuarios tampoco podrán usar el enlace Olvidé mi contraseña para activar su cuenta o cambiar su contraseña. No se notificará a los usuarios que han perdido el acceso. No podrán recuperar el acceso hasta que usted:

  • Les asigne un LA activo.

  • Reactive el LA que tenían asignado.

Para no revocar el acceso de sus usuarios, asígnelos a un LA diferente antes de desactivarlo.

  1. Haga clic en el selector de aplicaciones y seleccioneAdmin.
  2. Vaya a Parámetros de seguridad > Autenticador de inicio de sesión.
  3. Busque el autenticador de inicio de sesión que desee desactivar.
  4. Haga clic en Acciones Los tres puntos verticales a la derecha del autenticador de inicio de sesión..
  5. Haga clic en Desactivar.