Gérer les Authentificateurs de Connexion

Les authentificateurs de connexion contrôlent la façon dont les utilisateurs se connectent à CXone. CXone prend en charge l’authentification interne et externe en fonction de l’authentificateur de connexion attribué à l’utilisateur, du type et de la configuration de cet authentificateur de connexion.

Pour plus d’informations sur l’authentification et l’autorisation dans CXone, cliquez sur ici.

Configurer un emplacement

Autorisations requises : Gestion des emplacements - Créer

Si vous souhaitez exiger que les utilisateurs se connectent à partir d’une certaine adresse IP, créez un emplacement avec les adresses IP, les plages d’adresses IP ou les sous-réseaux d’adresses IP que vous souhaitez autoriser. Lorsque vous exigez un emplacement configuré pour un utilisateur, celui-ci doit disposer des informations d’identification et de l’adresse IP correctes pour se connecter. Dans le cas contraire, la tentative de connexion échoue et ils reçoivent un message d’erreur. Vous pouvez avoir jusqu’à 20 sites à la fois et jusqu’à 10 règles par site.

  1. Cliquez sur le sélecteur d’applications et sélectionnezAdmin.
  2. Accédez à EmplacementsDéfinitions d’emplacements.
  3. Cliquez sur Nouvel emplacement.
  4. Donnez à l’emplacement un Nom descriptif. Si vous souhaitez ajouter des détails sur l’emplacement, saisissez une description.
  5. Vous pouvez sélectionner l’option Définir comme emplacement par défaut ou Emplacement distant pour indiquer le type d’emplacement. Vous ne pouvez avoir qu’un seul emplacement par défaut. Ces champs n’affectent actuellement aucune fonctionnalité et leur sélection ne sert qu’à votre propre référence.
  6. Ajoutez toute autre information que vous souhaitez dans les champs restants, y compris l’adresse physique, le pays, les coordonnées GPS, le fuseau horaire ou les groupes assignés. Ces champs n’ont actuellement aucune incidence, et les informations qui y sont saisies ne le sont que pour votre propre référence.

    Si vous ajoutez des groupes dans le champ Groupes assignés, les utilisateurs appartenant à ces groupes apparaissent dans l’onglet Utilisateurs assignés. Cependant, les paramètres de localisation ne s’appliqueront pas à eux. Si vous attribuez un emplacement à un authentificateur de connexion, l’emplacement s’applique aux utilisateurs qui sont affectés à cet authentificateur de connexion et limite leur capacité à se connecter en fonction de leur adresse IP. Cependant, ces utilisateurs n’apparaîtront pas dans l’onglet Utilisateurs assignés.

  7. Cliquez sur Enregistrer.

  8. De retour sur la page Définitions d’emplacements, cliquez sur l’emplacement que vous venez de créer pour l’ouvrir.

  9. Cliquez sur l’onglet Règles de détection automatique.

  10. Créez une nouvelle règle. Pour ce faire :

    1. Cliquez sur Nouvelle Règle.

    2. Donnez à la règle un Nom descriptif.

    3. Sélectionnez le type de règle parmi les suivants :

      • Liste : Liste des adresses IP spécifiques autorisées pour cet emplacement. Par exemple, 100.0.1.100, 100.0.1.101 et 100.0.1.102.

      • Plage : Une plage d’adresses IP autorisées pour cet emplacement. Par exemple, 100.0.1.100-100.0.1.125.

      • Sous-réseau : Un sous-réseau autorisé pour cet emplacement. Par exemple, 100.0.0.1/32.

    4. Spécifiez la version IP comme l’une des valeurs suivantes :

      • IPV4 : Une adresse IP de 32 bits

      • IPV6 : Une adresse hexadécimale de 128 bits.

    5. Saisissez les adresses IP réelles, la plage ou le sous-réseau dans le champ Définition de la règle, en suivant les formats des exemples des étapes précédentes. Si vous avez sélectionné Liste, vous pouvez saisir jusqu’à 100 adresses IP. Si vous avez sélectionné Plage ou Sous-réseau, vous ne pouvez saisir qu’une seule valeur.

    6. Cliquez sur Confirmer.

  11. Ajoutez d’autres règles si nécessaire. Vous pouvez en avoir jusqu’à 10.

  12. Cliquez sur Enregistrer.

Configurer un authentificateur de connexion système

Autorisations requises : Gestion des mots de passe activée.

CXone inclut un authentificateur de connexion système par défaut, mais vous pouvez également créer le vôtre. Après avoir configuré un authentificateur de connexion pour un rôle particulier, le champ de mot de passe affiche les règles d’authentification de connexion configurées lorsqu’un utilisateur essaie de définir ou de modifier le mot de passe.

  1. Cliquez sur le sélecteur d’applications et sélectionnez Admin.
  2. Accédez à Paramètres de sécurité > Authentificateur de connexion.
  3. Cliquez sur Nouvel authentificateur de connexion.

  4. Saisissez un nom unique pour l’authentificateur de connexion.

  5. Entrez une description si vous en voulez une.

  6. Sélectionnez Système comme le type d’identification.

  7. Si vous voulez exiger que les utilisateurs se connectent à partir d’une certaine adresse IP, sélectionnez l’emplacement que vous avez configuré dans la section précédente.

  8. Configurez la complexité du mot de passe.

    Le mot de passe de chaque utilisateur est vérifié par rapport à un référentiel de mots de passe couramment utilisés. Si leur mot de passe correspond à l’un des mots de passe couramment utilisés, ils seront obligés de créer un nouveau mot de passe. Les mots de passe rejetés comprennent :

    • Tout mot de passe comprenant le mot « password ». Par exemple, Password@1234.

    • Tout mot de passe comprenant l’adresse courriel, le nom d’utilisateur, le prénom, le nom de famille ou le nom de l’utilisateur dans le système.

    Les mots de passe sont vérifiés par rapport à ce référentiel quand :

    • Un nouvel utilisateur est activé.

    • Le mot de passe d’un utilisateur expire.

    • Un utilisateur réinitialise son mot de passe.

  9. Si vous souhaitez activer l’authentification multifactorielle, sélectionnez Exiger l’authentification multifactorielle. Définissez votre Type MFA comme HOTP (basé sur HMAC) et TOTP (basé sur le temps).

  10. Définissez votre politique en matière de mots de passe.

  11. Cliquez sur Enregistrer et activer.

Configurer un authentificateur de connexion externe avec SAML 2.0

Vous pouvez utiliser l’authentification externe lorsque vous souhaitez que le mot de passe d’un utilisateur soit géré par un autre système ou fournisseur d’identité. CXone prend en charge actuellement les protocoles de fédération SAML 2.0 et OpenID Connect.

Vous pouvez configurer l’authentification initiée par l’IdP ou l’authentification initiée par le SP en suivant les étapes de cette section.

Authentification initiée par l’IdP : IdP signifie « fournisseur d’identité ». L’authentification initiée par IdP signifie que le fournisseur d’identité externe démarre le processus de connexion.

Authentification initiée par le SP : SP signifie « fournisseur de services ». L’authentification initiée par le SP signifie que CXone démarre le processus de connexion.

Si vous utilisez Salesforce Agent, le fournisseur d’identité externe (IdP) doit être configuré pour l’authentification initiée par le SP.

  1. Assurez-vous que vous avez accès au fournisseur d’identité externe. Vous devrez créer une intégration spécifique à CXone.
  2. Créez l'intégration dans le fournisseur d'identité externe. Différents systèmes utilisent des noms différents pour ces intégrations; voir les instructions spécifiques pour Okta ou Azure.
    1. Vous devrez fournir un identifiant d’entité que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme espace réservé.
    2. Vous devrez fournir un URL ACS que vous ne connaissez pas à ce stade. Utiliser https://cxone.niceincontact.com/need_to_change pour réservé l’emplacement.
    3. Le fournisseur d’identité générera une URL spécifique où les requêtes SAML doivent être envoyées. Copiez et enregistrez cette URL à un endroit où vous pourrez la trouver. Vous devrez entrer cette valeur dans les étapes ultérieures.
    4. Le fournisseur d’identité générera un certificat de signature public pour l’intégration. Téléchargez le certificat. Vous devrez l’utiliser dans les étapes suivantes.
  3. Créez un authentificateur de connexion externe dans CXone.
    1. Cliquez sur le sélecteur d’applications et sélectionnezAdmin.
    2. Cliquez sur Sécurité >Authentificateur de connexion.
    3. Saisissez le Nom et la Description de l’authentificateur de connexion.
    4. Sélectionnez SAML comme type d’ Authentification.
    5. Si vous voulez exiger que les utilisateurs se connectent à partir d’une certaine adresse IP, sélectionnez l’emplacement que vous avez configuré dans la section précédente.

    6. Si vous sélectionnez FICAM, la réponse SAML doit comporter une seule entrée AuthnContextClassRef. En outre, le NamespaceURI du sujet de l’assertion doit être : urn:oasis:names:tc:SAML:2.0:assertion. Les champs AuthnContextClassRef et NamespaceURI sont contrôlés par le fournisseur d’identité.
    7. Entrer le terminal de requête SAML que vous avez reçu de votre fournisseur ci-dessus comme le URL du terminal.
    8. Cliquez sur Choisir un fichier et sélectionnez le certificat de signature public que vous avez reçu de votre fournisseur. Ce fichier doit être un fichier PEM. Ce sera un fichier texte et la première ligne contiendra BEGIN CERTIFICATE avec un autre texte.
    9. Sélectionnez l’onglet Utilisateurs assignés. Sélectionnez les utilisateurs que vous souhaitez assigner à l’authentificateur de connexion que vous êtes en train de créer. Vous pouvez également assigner des utilisateurs directement à l’authentificateur de connexion dans leur profil d’employé.

    10. Cliquez sur Enregistrer et activer.
    11. Ouvrez l’authentificateur de connexion.
    12. Prenez notre de l’ID d’entité et de l’URL ACS. Vous en aurez besoin lorsque vous mettrez à jour vos paramètres IdP.

  4. Mettez à jour les paramètres de votre fournisseur d’identité, en remplaçant les espaces réservés utilisés ci-dessus par les valeurs que vous venez de noter.

  5. Assurez-vous que l’Identité externe pour chaque utilisateur qui utilise l’authentificateur de connexion est défini par la valeur correcte. Ce champ est accessible dans la section Sécurité du profil de l’employé.

    Votre fournisseur d’identité détermine la valeur qui doit être utilisée. La valeur doit correspondre exactement à ce que vous avez mis dans le champ Identité externe dans CXone.

  6. Demandez à l'utilisateur de se connecter. Il doit utiliser la dernière URL de connexion. Après avoir entré leur nom d’utilisateur, ils seront dirigés vers le fournisseur d’identité externe si nécessaire.

Créer des authentificateurs de connexion externes avec OpenID Connect

Autorisations requises : Création d’authentificateur de connexion

Vous pouvez utiliser l’authentification externe lorsque vous souhaitez que le mot de passe d’un utilisateur soit géré par un autre système ou fournisseur d’identité. CXone prend en charge actuellement les protocoles de fédération SAML 2.0 et OpenID Connect.

Vous pouvez configurer l’authentification initiée par SP en suivant les étapes de cette section.

Authentification initiée par le SP : SP signifie « fournisseur de services ». L’authentification initiée par le SP signifie que CXone démarre le processus de connexion.

Si vous utilisez Salesforce Agent, le fournisseur d’identité externe (IdP) doit être configuré pour l’authentification initiée par le SP.

  1. Assurez-vous que vous avez accès au fournisseur d’identité externe. Vous devrez créer une intégration spécifique à CXone.
  2. Créez l’intégration dans le fournisseur d’identité externe.
    1. Vous devrez fournir une URI de redirection de connexion que vous ne connaissez pas encore à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme espace réservé.
    2. Vous devrez peut-être fournir une URI de redirection de déconnexion que vous ne connaissez pas encore à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme espace réservé.
    3. Le fournisseur d’identité génère un ID de client et un Secret client. Copiez et enregistrez ces valeurs là où vous les retrouverez. Vous devrez les saisir dans les étapes suivantes.
  3. Créez un authentificateur de connexion externe dans CXone.
    1. Cliquez sur le sélecteur d’applications et sélectionnezAdmin.

    2. Accédez à Paramètres de sécurité > Authentificateur de connexion.

    3. Cliquez sur Nouvel authentificateur de connexion ou sélectionnez l’authentificateur de connexion que vous souhaitez modifier.
    4. Saisissez un nom et une description pour l’authentificateur de connexion.
    5. Sélectionnez OIDC comme type d’authentification.
    6. Si vous voulez exiger que les utilisateurs se connectent à partir d’une certaine adresse IP, sélectionnez l’emplacement que vous avez configuré dans la section précédente.

    7. Si vous disposez d’un terminal de découverte pour votre IdP, cliquez sur Paramètres de découverte. Saisissez votre terminal de découverte et cliquez sur Découvrir. Les champs restants sont remplis pour vous. L’option Paramètres de découverte ne fonctionne pas avec les terminaux de découverte Salesforce.
    8. Saisissez votre identifiant de client et votre mot de passe de client. Saisissez à nouveau le mot de passe dans Confirmer le mot de passe du client. L’identifiant de client est l’identifiant de connexion attribué à votre compte par votre IdP.
    9. Si vous n’avez pas de terminal de découverte pour votre IdP, saisissez l’émetteur, le terminal JsonWebKeySet, le terminal d’autorisation, le terminal du jeton, le terminal UserInfo, le terminal de révocation et le terminal de session final fournis par votre IdP.

    10. Sélectionnez une méthode d’authentification client. La méthode sélectionnée doit être une méthode d’authentification prise en charge par votre IdP. Si vous sélectionnez private_key_jwt, vous devez saisir votre Clé privée de client.
    11. Vous pouvez sélectionner Activer le profil FICAM pour activer les paramètres spécifiques au gouvernement américain.
    12. Sélectionnez l’onglet Utilisateurs assignés. Sélectionnez les utilisateurs que vous souhaitez assigner à l’authentificateur de connexion que vous êtes en train de créer. Vous pouvez également assigner des utilisateurs directement à l’authentificateur de connexion dans leur profil d’employé.

    13. Cliquez sur Enregistrer et activer pour valider les informations fournies et lier votre compte CXone à votre compte IdP.
    14. Ouvrez l’authentificateur de connexion.
    15. Notez l’URI de redirection de connexion et l’URI de redirection de de déconnexion. Vous en aurez besoin lorsque vous mettrez à jour vos paramètres IdP.

  4. Mettez à jour les paramètres de votre fournisseur d’identité, en remplaçant les espaces réservés utilisés ci-dessus par les valeurs que vous venez de noter.

  5. Assurez-vous que l’Identité externe pour chaque utilisateur qui utilise l’authentificateur de connexion est défini par la valeur correcte. Ce champ est accessible dans la section Sécurité du profil de l’employé.

    Votre fournisseur d’identité détermine la valeur qui doit être utilisée. La valeur doit correspondre exactement à ce que vous avez mis dans le champ Identité externe dans CXone. La valeur de ce champ doit avoir le format suivant : claim(email):{adresse courriel configurée par votre IdP}. Par exemple, si l’adresse courriel de l’utilisateur dans l’IdP est nick.carraway@classics.com, vous devez saisir claim(email):nickcarraway@classics.com.

  6. Demandez à l’utilisateur de se connecter. Il doit utiliser la dernière URL de connexion. Après avoir saisi son nom d’utilisateur, il sera dirigé vers le fournisseur d’identité externe si nécessaire.

  7. Lorsque votre fournisseur d’identité vous demande de vous authentifier, faites-le en tant qu’utilisateur du fournisseur d’identité que vous souhaitez associer à votre compte CXone actuellement connecté.
  8. Si vos OpenID Connect paramètres dansCXone ne s’affichent pas comme validés, utilisez vos journaux IdP pour diagnostiquer le problème.

Liaison de nouveaux utilisateurs avec des réclamationsOpenID Connect

CXone peut utiliser une valeur de revendication différente, comme une adresse courriel, pour établir l’identité de l’utilisateur lors de sa première connexion. CXone passe alors automatiquement à l’unique OpenID Connect identifiant du sujet. Cela vous permet de préconfigurer l’identité fédérée.

PKCE pour l’authentification initiale

Il se peut que vous ayez des difficultés à utiliser le flux de code d’autorisation OpenID Connect. Ce flux nécessite un client_secret dans le cadre de l’échange de jetons. Coder le client_secret dans une application Web constitue un risque pour la sécurité. OpenID Connect permet un flux alternatif appelé PKCE (Proof Key for Code Exchange). PKCE utilise une méthode d’authentification différente. NICE CXone prend en charge les flux PKCE pour les intégrations initiales.

Désactiver les authentificateurs de connexion

Autorisations requises : Désactivation de l’authentificateur de connexion

Vous pouvez désactiver les authentificateurs de connexion du système et de SAML 2.0 sur la page Authentificateur de connexion.

Tous les utilisateurs affectés à un authentificateur de connexion désactivé perdront l’accès à CXone. Ces utilisateurs ne pourront pas non plus utiliser le lien Mot de passe oublié pour activer leur compte ou modifier leur mot de passe. Les utilisateurs ne seront pas informés de la perte d’accès. Ils ne pourront retrouver l’accès que si :

  • Vous leur assigner un authentificateur de connexion actif.

  • Vous réactivez l’authentificateur de connexion qui leur a été assigné.

Pour éviter de révoquer l’accès de vos utilisateurs, assignez-les à un autre authentificateur de connexion avant de les désactiver.

  1. Cliquez sur le sélecteur d’applications et sélectionnezAdmin.
  2. Accédez à Paramètres de sécurité > Authentificateur de connexion.
  3. Localisez l’authentificateur de connexion que vous souhaitez désactiver.
  4. Cliquez sur les actions L’icône des trois points empilés sur le côté droit de l’authentificateur de connexion..
  5. Cliquer sur Désactiver.