Configurar CXone Autenticación mediante un proveedor de identidad externo

Esta página lo guía, paso a paso, en la configuración de la autenticación para su CXone sistema utilizando un proveedor de identidad externo (IdP).

Antes de que empieces

• Obtenga una comprensión básica de conceptos y terminología de autenticación y autorización si nunca antes ha configurado un proceso como este.
• Revisa el CXone-proceso específico si es la primera vez que trabaja con autenticación en CXone.
• Considere a sus usuarios humanos y los niveles de acceso que necesitan. Decida si las personas con mayor acceso deben tener mayores niveles de seguridad.
• Decida si utilizará requisitos de contraseña personalizados, autenticación multifactor (MFA) o ambos para hacer cumplir.
• Según sus decisiones, haga una lista de autenticadores de inicio de sesión. La lista debe incluir los requisitos de contraseña y el estado de MFA que desea usar para cada autenticador de inicio de sesión. No es necesario que cree autenticadores de inicio de sesión personalizados si el autenticador de inicio de sesión predeterminado satisface sus necesidades de administración de contraseñas.
• Considere si necesita incluir autenticación y autorización para aplicaciones como bots o asistentes virtuales inteligentes (IVA). Si es así, deberá crear claves de acceso.
• Identifique su proveedor de identidad externo. CXone es compatible con IdP de servicios alojados y en la nube. Si es necesario, involucre a los expertos en autenticación de su empresa en este proceso. Es posible que ya existan procesos establecidos para integrar sistemas como CXone con su IdP externo. Seguir estos procesos y satisfacer sus necesidades de seguridad específicas es, en última instancia, su responsabilidad.
• Defina su protocolo de autenticación. CXone es compatible con SAML 2.0 y OpenID Connect.
• Evalúa la combinación de IdP y protocolo para garantizar que sus casos de uso y flujos de usuarios sean compatibles, y para identificar posibles problemas. Esto debe incluir pruebas reales.

Su NICE CXone equipo puede apoyarlo y guiarlo en este proceso de planificación. Una buena planificación hace que la implementación sea más fluida. Es más probable que la implementación de la autenticación y la autorización a medida que surjan necesidades inmediatas genere problemas.

Crear autenticadores de inicio de sesión externo con SAML 2.0

Permisos necesarios: Autenticador de inicio de sesión Crear

Los autenticadores de inicio de sesión se utilizan para administrar los criterios de contraseña. Puede crear diferentes autenticadores de inicio de sesión para diferentes empleados.

Puede usar la autenticación externa cuando desee que otro sistema o proveedor de identidad administre la contraseña de un usuario. Actualmente, CXone es compatible con los protocolos de federación SAML 2.0 y OpenID Connect.

Puede configurar la autenticación iniciada por IdP o la autenticación iniciada por SP con los pasos de esta sección.

Autenticación iniciada por IdP: IdP significa proveedor de identidad. La autenticación iniciada por IdP significa que el proveedor de identidad externo inicia el proceso de inicio de sesión.

Autenticación iniciada por SP: SP significa proveedor de servicios. La autenticación iniciada por SP significa que CXone inicia el proceso de inicio de sesión.

Configurar un autenticador de inicio de sesión con SAML 2.0

1. Asegúrese de tener acceso al proveedor de identidad externo. Deberá crear una integración específica para CXone.
2. Cree la integración en el proveedor de identidad externo. Diferentes sistemas usan diferentes nombres para estas integraciones, consulte las instrucciones específicas para Okta o Azure.
   1. Deberá proporcionar una ID de entidad que no conoce en este momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posición.
   2. Deberá proporcionar una URL de ACS que no conoce en este momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posición.
   3. El proveedor de identidad generará una URL específica donde se deben enviar las solicitudes SAML. Copie y guarde esta URL en un lugar donde pueda encontrarla. Deberá ingresar este valor en pasos posteriores.
   4. El proveedor de identidad generará un certificado de firma pública para la integración. Descarga el certificado. Necesitará utilizarlo en pasos posteriores.
3. Cree un autenticador de inicio de sesión externo enCXone.
   1. Haga clic en el selector de aplicaciones y seleccioneAdmin.
   2. Haga clic en Seguridad > Autenticador de inicio de sesión.
   3. Introduzca el nombre y la descripción del autenticador de inicio de sesión.
   4. Seleccione SAML como el tipo de autenticación.
   5. Si selecciona FICAM, la respuesta SAML debe tener una única entrada AuthnContextClassRef. Además, NamespaceURI del sujeto de la afirmación debe ser: urn:oasis:names:tc:SAML:2.0:assertion. El proveedor de identidad controla los campos AuthnContextClassRef y NamespaceURI.
   6. Introducir el Punto final de solicitud SAML que recibió de su proveedor arriba como elURL de punto final.
   7. Haga clic en Elija el archivo y seleccione el certificado de firma pública que recibió de su proveedor. Este archivo debe ser un archivo PEM. Será un archivo de texto y la primera línea contendrá BEGIN CERTIFICATE con algún otro texto.

   8. Seleccione la pestaña Usuarios asignados. Seleccione los usuarios que desea asignar al autenticador de inicio de sesión que está creando. También puede asignar usuarios directamente al autenticador de inicio de sesión en el perfil de empleado de estos.

      Ver imagen

      
   9. Haga clic en Guardar y activar.
   10. Abra el autenticador de inicio de sesión.

   11. Tome nota del Identificador de entidad y de la URL de ACS. Los necesitará al actualizar la configuración de su IdP.

4. Actualice la configuración de su proveedor de identidad, reemplazando los marcadores de posición utilizados anteriormente con los valores que acaba de anotar.

5. Asocie el autenticador de inicio de sesión con un usuario a través de la función de ese usuario.

6. Asegúrese de que la Identidad externa para cada usuario que utiliza el autenticador de inicio de sesión se establece en el valor correcto.

   Su proveedor de identidad determina el valor que se debe utilizar. El valor debe coincidir exactamente con lo que puso en el campo Identidad externa en CXone.

7. Haga que el usuario inicie sesión. Debe utilizar la URL de inicio de sesión más reciente. Después de ingresar su nombre de usuario, serán dirigidos al proveedor de identidad externo si es necesario.

Configurar un autenticador de inicio de sesión con OpenID Connect

Si todavía no tiene habilitado OpenID Connect en su sistema, comuníquese con su Representante de cuenta CXone. Él podrá activarlo para usted y lo ayudará a configurar un nombre de host personalizado para su inicio de sesión.

1. Si aún no lo ha hecho, configure su IdP. Tome nota de su identificador de cliente y secreto de cliente. Configure un URI de redirección que sea específico para su sistema. Este URI se basa en el nombre de host personalizado que configuró con su NICE CXone representante de cuenta.

2. Haga clic en el selector de aplicaciones y seleccioneAdmin

3. Vaya a Parámetros de seguridad > Autenticador de inicio de sesión.

4. Haga clic en Nuevo autenticador de inicio de sesión o seleccione el autenticador de inicio de sesión que desea editar.
5. Introduzca el Nombre y una Descripción para el autenticador de inicio de sesión.
6. Seleccione OIDC como Tipo de autenticación .
7. Si tiene un punto final de descubrimiento para su IdP, haga clic enDescubre la configuración. Ingrese su punto final de descubrimiento y haga clic en Descubrir. Los campos restantes se completan automáticamente.
8. Entre su Identificador de cliente y Contraseña del cliente. Vuelva a escribir la contraseña enCliente Confirmar Contraseña. El Identificador de cliente es el ID de inicio de sesión que su IdP asignó a su cuenta.

9. Si no tiene un terminal de descubrimiento para su IdP, ingrese los siguientes datos proporcionados por su IdP: Emisor, Terminal JsonWebKeySet,Terminal de autorización ,Terminal de token ,Terminal de información de usuario y Terminal de revocación.

   Obtenga más información sobre los campos en este paso

   Campo	Detalles
   Emisor	La URL de su IdP sin ningún parámetro.
   Endpoint JsonWebKeySet	La URL del Conjunto de JWK de su IdP.
   Endpoint de autorización	La URL del terminal de autorización de OAuth 2.0 de su IdP.
   Endpoint token	La URL del terminal de token de OAuth 2.0 de su IdP.
   Endpoint UserInfo	La URL del terminal de información de usuario de su IdP.
   Endpoint de revocación	La URL del terminal de revocación de su IdP.

10. Seleccione un Método de autenticación del cliente. El método que seleccione debe ser un método de autenticación compatible con su IdP. Si selecciona private_key_jwt, debe ingrese su Clave privada del cliente.
11. Puede seleccionar Habilitar perfil FICAM para activar la configuración específica del gobierno de los EE. UU.

12. Seleccione la pestaña Usuarios asignados. Seleccione los usuarios que desea asignar al autenticador de inicio de sesión que está creando. También puede asignar usuarios directamente al autenticador de inicio de sesión en el perfil de empleado de estos.

    Ver imagen

    
13. Haga clic en Guardar y activar para validar la información proporcionada y vincular su cuenta de CXone a la cuenta con su IdP.
14. Cuando su IdP le solicite que se autentique, hágalo como el usuario del IdP que desea asociar con su cuenta de CXone que tiene una sesión activa en este momento.
15. Si tuOpenID Connect ajustes enCXone no se muestra como validado, use sus registros de IdP para diagnosticar el problema.

Vinculación de nuevos usuarios con reclamosOpenID Connect

CXonepuede usar un valor de reclamo diferente, como una dirección de correo electrónico, para establecer la identidad del usuario en su primer inicio de sesión. CXoneluego cambia automáticamente a la únicaOpenID Connect identificador de materia. Esto le permite preconfigurar la cuenta de un usuarioidentidad federada.

PKCE para la autenticación de front-end

Es posible que tenga dificultades para utilizar el flujo de código de autorización OpenID Connect. Este flujo requiere un client_secret como parte del intercambio de token. Codificar el client_secret en una aplicación web es un riesgo para la seguridad. OpenID Connect permite un flujo alternativo llamado PKCE (Proof Key for Code Exchange, clave de prueba para el intercambio de códigos). PKCE utiliza un método de autenticación diferente. NICE CXone Admite flujos PKCE para integraciones front-end.

Crear o editar empleados

Permisos necesarios: Crear empleados

Puede agregar una cuenta de empleado usando:

• Crear empleado—Crear una cuenta individual usando la ventana Crear empleado.

• Importar empleados—Importar varias cuentas de empleados.

Las instrucciones aquí son para crear una sola cuenta de empleado en la aplicación. Si su empresa utiliza ACD, también deberá configurar los ajustes de usuario de ACD para este empleado.

Para agregar un empleado:

1. Haga clic en el selector de aplicaciones y seleccioneAdmin.

2. Haga clic en Empleados > Crear empleado.

3. Ingrese la del empleado Primer nombre yApellido. El Segundo nombre es opcional.

4. Introduzca una valida Dirección de correo electrónico. CXone envía correos electrónicos como invitaciones de activación y códigos de verificación de contraseña aquí. Puede utilizar la misma dirección de correo electrónico para varios empleados. Cuando edita la dirección de correo electrónico de un empleado, se envía un correo electrónico de verificación a la nueva dirección de correo electrónico.

5. Introduzca el Nombre de usuario desea asignar a un empleado. El nombre de usuario debe estar en forma de dirección de correo electrónico. El campo se rellena automáticamente desde el campo Dirección de correo electrónico. Puede editarlo si quiere.

6. Asigne un Rol primario a un empleado del menú desplegable.

7. Complete los campos en la pestaña General.

   Obtenga más información sobre los campos en la pestaña General

   Campo	Detalles
   Nombre para mostrar	Entre un Nombre para mostrar desea asignar a un empleado. Los usuarios de otros equipos pueden ver el nombre para mostrar. No pueden ver otra información sobre el empleado a menos que tengan el permiso habilitado Ver empleado.
   Tipo	Use Escribe a organizar un empleado fuera de su Role y Equipo asignados. El tipo no está vinculado a permisos o códigos no disponibles. Esto facilita la presentación de informes. Puede seleccionar tipos creados previamente en el menú desplegable. También puede crear nuevos tipos ingresando texto en la barra de búsqueda y haciendo clic en Crear.
   Fecha de contratación	La fecha en que contrató a un empleado. Este campo es solo para sus registros. CXoneno usa esta información.
   Zona horaria	El empleado se asigna automáticamente a la zona horaria de tenant Agrupación organizativa de alto nivel utilizado para administrar el soporte técnico, facturación y configuración global para su CXone entorno a menos que la cambie.
   Inicio de sesión del SO	El sistema operativo que usa el empleado. Los CXone Recording Aplicación requiere esta información para la grabación de pantalla. El campo acepta texto libre y puede contener una cadena de texto relacionada con un sistema operativo como Windows 10.
   Calificar	Este campo es visible solo si tiene CXone WFM en su entorno Determina la prioridad al crear un horario.
   Asignado al equipo	Asigne al empleado a un equipo seleccionando un equipo del menú desplegable. Si aún no ha creado equipos, o si el empleado pertenecerá a un nuevo equipo, simplemente puede aceptar el ajuste Equipo predeterminado y luego cámbielo más tarde.
   Asignado a grupos	Asigne al empleado a uno o más grupos seleccionando grupos en el menú desplegable.
   Asignado a la unidad de programación	Este campo es visible solo si su sistema incluye CXone WFM. Especifica la unidad de programación para el empleado.
   Número de teléfono móvil	El número de teléfono móvil o celular del empleado. Este campo es solo para sus registros. CXoneno usa esta información.
   Atributos	En este menú desplegable, seleccione los atributos relacionados con el empleado: Se lo puede evaluar/formar—Este atributo aparece solo si su sistema incluye CXone QM. Permite que el empleado sea evaluado y se le facturaráCXone QM para este empleado. El valor predeterminado se selecciona para nuevos empleados. Si agregaCXone QM a un sistema que tiene usuarios existentes, debe habilitar manualmente esta configuración para esos usuarios. Se puede grabar (pantalla)—Este atributo aparece solo si su sistema incluye CXone Recording Avanzado. Permite que se grabe la pantalla del empleado y se le facturará por la grabación de la pantalla de este empleado. El valor predeterminado se selecciona para nuevos empleados. Si agregaCXone Recording Avanzado a un sistema que tiene usuarios existentes, debe habilitar manualmente esta configuración para esos usuarios. Se puede grabar (voz):Este atributo es visible solo si su sistema incluye CXone Recording/CXone Recording Avanzado. Permite grabar la voz del empleado. Se le facturará por la grabación de voz de este empleado. El valor predeterminado se selecciona para un nuevo empleado. Si agregaCXone Recording/CXone Recording Avanzado a un sistema que tiene usuarios existentes, debe habilitar manualmente esta configuración para esos usuarios. Se puede programar—Este atributo es visible solo si su sistema incluye CXone WFM. Permite programar al empleado. Se le facturará CXone WFM para este empleado. El valor predeterminado se selecciona para nuevos empleados. Si agregaCXone WFM a un sistema que tiene usuarios existentes, debe habilitar manualmente esta configuración para esos usuarios. Los usuarios que no tengan este atributo seleccionado no aparecerán en las listas de empleados al crear reglas semanales o plantillas de turno. Al eliminar este atributo de un usuario, se elimina a ese usuario de cualquier regla semanal o plantilla de turno a la que esté asignado el usuario. Puede ser analizado—Este atributo aparece solo si su sistema incluye Interaction Analytics. Cuando se selecciona este atributo, las interacciones registradas del empleado son analizadas porInteraction Analytics. Se le facturará Interaction Analytics para este empleado. El valor predeterminado se borra para nuevos empleados. Puede editar informes de BI:Los empleados con este atributo seleccionado pueden editar cualquiera de los informes de BI en la aplicación Informes siempre que también tengan los permisos correctos. El valor predeterminado se borra para todos los empleados, tanto existentes como nuevos. Puede ver informes de BI:Los empleados podrán abrir cualquier informe de BI con este atributo. Los informes están en la aplicación Informes, pero los empleados deben tener permisos para verlos allí. Los informes de BI no tienen tarifa de uso para hasta el 10 % de sus usuarios simultáneos o configurados, según su modelo de precios. Una vez que se pase el umbral del 10%, se le facturará por cada empleado adicional con esta casilla de verificación seleccionada. El valor predeterminado se borra para todos los empleados, tanto para los existentes como para los nuevos. Tarjeta de cliente—Este atributo permite a los empleados que no trabajan con contactos digitales acceder a las tarjetas de cliente disponibles para voz, chat, correo electrónico y comunicaciones omnicanal.CXone SMS Messaging contactos. El valor predeterminado se borra para nuevos empleados. Compromiso digital—Este atributo aparece solo si su sistema incluye Digital Experience. Cuando se selecciona este atributo, el registro del empleado se sincroniza con Digital Experience, y pueden trabajar en contactos digitales. Se le facturará Digital Experience para este empleado. El valor predeterminado se borra para nuevos empleados.

8. Haga clic en Crear para crear el perfil de empleado y continuar configurándolo. Hacer clicCrear e invitar si está listo para que el usuario active su cuenta y configure su contraseña.

Autenticar aplicaciones

Los usuarios y las aplicaciones se autentican de manera muy similar. La principal diferencia es que las aplicaciones se autentican con una clave de acceso mientras que los usuarios se autentican con un nombre de usuario y una contraseña. A diferencia de los usuarios, no se requiere que las aplicaciones interactúen a través de un navegador. Las aplicaciones suelen ser funciones administrativas oagentes virtuales inteligentes Chatbot o aplicación similar que interactúa con un usuario basada en inteligencia artificial (IVA).

Para configurar una aplicación para interactuar conCXone, crear un perfil de empleado y asigne al perfil el nombre de la aplicación. Luego cree una clave de acceso para el usuario de la aplicación de la siguiente manera:

Permisos requeridos: Empleados Editar

1. Haga clic en el selector de aplicaciones y seleccione Admin.
2. Haga clic en Empleados y luego haga clic en el perfil de empleado que está editando para abrirlo.

3. Haga clic en la ficha Seguridad .

4. Haga clic en Agregar clave de acceso.
5. Copie la identificación de la clave de acceso en una ubicación segura.
6. Hacer clicMostrar clave secreta y copie la clave secreta en un lugar seguro.
7. Haga clic en Guardar.

Autorización en CXone

La autorización es el proceso de verificar a qué recursos puede acceder un usuario. Los recursos pueden incluir aplicaciones, archivos y datos. Puede definir el acceso de los usuarios a los recursos con control de acceso basado en funciones. CXone gestiona la autorización automáticamente durante la autenticación. Cuando se autentica a un usuario, se le da acceso solo a los recursos para los que está autorizado.

El método de autenticación de un usuario no afecta la autorización. CXone utiliza el mismo proceso de autorización para todos los usuarios. No importa si están autenticados con claves de acceso o contraseñas.