Gérer les authentificateurs de connexion

Les authentificateurs de connexion contrôlent la façon dont les utilisateurs se connectent à CXone. CXone prend en charge aussi bien les authentifications externes qu'internes, en fonction des authentificateurs de connexion affectés à l'utilisateur, ainsi que du type et de la configuration de cet authentificateur de connexion.

Pour plus d'informations sur l'authentification et l'autorisation dans CXone, cliquez sur ici.

Configuration d'un authentificateur de connexion système

Autorisations requises : Peut gérer les mots de passe, Activé.

CXone Inclut un authentificateur de connexion système par défaut, mais vous pouvez en créer un autre. Après avoir configuré un authentificateur de connexion pour un rôle particulier, le champ de mot de passe affiche les règles d'authentification de connexion configurées lorsqu'un utilisateur essaie de définir ou de modifier le mot de passe.

  1. Cliquez sur le sélecteur d'applications et sélectionnez Admin.
  2. Allez à Paramètres de sécurité > Authentificateur de connexion.
  3. Cliquez sur Nouvel authentificateur de connexion.

  4. Entrez un Nom unique pour l'authentificateur de connexion.

  5. Entrez une description si vous en voulez un.

  6. Sélectionnez Système comme le type d'identification.

  7. Définissez le niveau de complexité du mot de passe.

    Chacun des mots de passe de l’utilisateur est comparé à un référentiel de mots de passe utilisés couramment. En cas de correspondance, il doit en créer un autre. Exemples de mots de passe refusés :

    • Tout mot de passe incluant le mot « password ». Par exemple, Password@1234.

    • Tout mot de passe incluant l’adresse e-mail de l’utilisateur, son nom d’utilisateur, son prénom, son nom ou son nom système.

    Le référentiel est sollicité dans les cas suivants :

    • Un nouvel utilisateur est activé.

    • Le mot de passe d’un utilisateur a expiré.

    • Un utilisateur réinitialise son mot de passe.

  8. Si vous souhaitez activer l'authentification multifacteur (MFA), sélectionnez Exiger une authentification multifacteur. Définissez votre Tyê MFA sur HOTP (basé sur HMAC) et TOTP (basé sur le temps).

  9. Définissez votre politique de mot de passe.

  10. Cliquez sur Enregistrer et activer.

Configuration d'un authentificateur de connexion externe

Vous pouvez utiliser l'authentification externe lorsque vous souhaitez que le mot de passe utilisateur soit géré par un autre système ou fournisseur d'identité. CXone prend actuellement en charge les protocoles de fédération SAML 2.0 et OpenID Connect.

Vous pouvez configurer l'authentification initiée par l'IdP ou l'authentification initiée par le SP en appliquant les étapes de cette section.

Authentification initiée par IdP : IdP signifie fournisseur d'identité. L'authentification initiée par IdP signifie que le fournisseur d'identité externe démarre le processus de connexion.

Authentification initiée par SP : SP signifie fournisseur de services. L'authentification initiée par le SP signifie que CXone démarre le processus de connexion.

Si vous utilisez Salesforce Agent, le fournisseur d'identité (IdP) externe doit être configuré pour l'authentification demandée par SP. Le certificat de fournisseur d'identité doit avoir été créé par SP avec un URL de point de terminaison spécifique. Tout certificat comportant URL du point de terminaison - Uniquement si provient du fournisseur d'identité ne fonctionnera pas.

Configuration d’un authentificateur de connexion avec SAML 2.0

  1. Assurez-vous que vous avez accès au fournisseur d'identité externe. Vous devrez créer une intégration propre à CXone.
  2. Créez l'intégration depuis le fournisseur d'identité externe. Différents systèmes utilisent différents noms pour ces intégrations, voir les instructions spécifiques pour Okta ou Azure.
    1. Vous devrez fournir un ID d'entité que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé.
    2. Vous devrez fournir une URL ACS que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé.
    3. Le fournisseur d'identité va générer une URL spécifique à laquelle les demandes SAML doivent être envoyées. Copiez et enregistrez cette URL à un endroit où vous pourrez la trouver. Vous devrez entrer cette valeur au cours des étapes suivantes.
    4. Le fournisseur d'identité générera un certificat de signature public pour l'intégration. Téléchargez ce certificat. Ce certificat vous sera demandé au cours d'étapes ultérieures.
  3. Créez un authentificateur de connexion externe dans CXone
    1. Cliquez sur le sélecteur d'applications et sélectionnezAdministrateur.
    2. Cliquez sur Sécurité > Authentificateur de connexion.
    3. Entrez le Nom et la description de l'authentificateur de connexion.
    4. Sélectionnez SAML comme le type d'identification.
    5. Si vous sélectionnez FICAM, la réponse SAML doit comporter une entrée AuthnContextClassRef unique. D'autre part, le paramètre NamespaceURI du sujet de l'assertion doit prendre la forme : urn:oasis:names:tc:SAML:2.0:assertion. Les champs AuthnContextClassRef et NamespaceURI sont contrôlés par le fournisseur d'identité.
    6. Entrez le point de terminaison de la requête SAML que votre fournisseur ci-dessus vous a transmis comme URL du point de terminaison.
    7. Cliquez sur Choisir fichier et sélectionnez le certificat de signature publique que votre fournisseur vous a envoyé. Ce fichier doit être de type PEM. Il s'agit d'un fichier texte et la première ligne doit contenir BEGIN CERTIFICATE suivi d'un texte.
    8. Sélectionnez l’onglet Utilisateurs affectés. Sélectionnez les utilisateurs que vous souhaitez affecter à l'authentificateur de connexion que vous créez. Vous pouvez également affecter des utilisateurs directement à l’authentificateur de connexion dans leur profil d’employé.

    9. Cliquez sur Enregistrer et activer.
    10. Ouvrez l'authentificateur de connexion.
    11. Notez l’ID d’entité et l’URL ACS. Vous en aurez besoin lors de la mise à jour de vos paramètres IdP.

  4. Mettez à jour les paramètres de votre fournisseur d'identité, et entrez les valeurs que vous avez notées dans les emplacements réservés ci-dessus.

  5. Associez l'identificateur de connexion à un utilisateur au moyen du rôle de cet utilisateur.

  6. Assurez-vous que l'Identité externe de tout utilisateur exécutant l'authentificateur de connexion est définie sur la valeur correcte.

    La valeur exacte à utiliser dépend de votre fournisseur d'identité. Cette valeur doit correspondre exactement à ce que vous avez entré dans le champ Identité externe dans CXone.

  7. Demandez à l'utilisateur de se connecter. Il doit pour cela disposer de l'URL de connexion la plus récente. Une fois son nom d'utilisateur entré, il est dirigé vers le fournisseur d'identité externe si nécessaire.

Configuration d’un authentificateur de connexion avec OpenID Connect

Si OpenID Connect n’est pas activé sur votre système, contactez votre Représentant de compte CXone. Il vous aidera à l’activer et configurer un nom d'hôte personnalisé pour votre connexion.

  1. Si vous ne l'avez pas déjà fait, configurez votre IdP. Notez votre identifiant client et votre secret client. Configurez un URI de redirection propre à votre système. Cet URI est basé sur le nom d'hôte personnalisé que vous avez configuré avec votre NICE CXone représentant de compte.
  2. Cliquez sur le sélecteur d'applications et sélectionnezAdmin

  3. Allez dans Paramètres de sécurité > Authentificateur de connexion.

  4. Cliquez sur Nouvel authentificateur de connexion ou sélectionnez l’authentificateur de connexion à modifier.
  5. Entrez le Nom et la description de l'authentificateur de connexion.
  6. Sélectionnez OIDC en tant que Type d'authentification.
  7. Si vous disposez d'un point de terminaison de découverte pour votre IdP, cliquez surDécouvrir les paramètres. Entrez votre point de terminaison de découverte et cliquez sur Découvrir. Les champs restants sont renseignés pour vous.
  8. Entrez votre Identifiant du client et Mot de passe du client. Retapez le mot de passe dans Client Confirmer le mot de passe. L’identifiant client est l’ID de connexion affecté à votre compte par votre fournisseur d’identité.
  9. Si vous ne disposez pas d'un point de terminaison de découverte pour votre fournisseur d’identité, entrez l’émetteur, le Point de terminaison JsonWebKeySet, le Point de terminaison d'autorisation, Point de terminaison de jeton, le Point de terminaison UserInfo et le Point de terminaison de révocation. Toutes ces informations sont fournies par le fournisseur d’identité.

  10. Sélectionnez une méthode d'authentification du client. La méthode que vous sélectionnez doit être prise en charge par votre fournisseur d’identité. Si vous sélectionnez private_key_jwt, vous devez entrer la clé privée du client.
  11. Vous pouvez sélectionner Activer le profil FICAM pour activer les paramètres propres à la législation américaine.
  12. Sélectionnez l’onglet Utilisateurs affectés. Sélectionnez les utilisateurs que vous souhaitez affecter à l'authentificateur de connexion que vous créez. Vous pouvez également affecter des utilisateurs directement à l’authentificateur de connexion dans leur profil d’employé.

  13. Cliquez sur Enregistrer et activer pour valider les informations fournies et pour lier votre compte CXone à votre compte fourni par le fournisseur d’identité.
  14. Lorsque votre fournisseur d'identité vous demande de vous authentifier, faites-le en tant qu'utilisateur du fournisseur d'identité que vous souhaitez associer au compte CXone actuellement connecté.
  15. Si vos paramètres OpenID Connect, dans CXone, ne sont pas validés, utilisez les fichiers journaux créés par le fournisseur d’identité pour diagnostiquer le problème.

Liaison de nouveaux utilisateurs avec des réclamationsOpenID Connect

CXonepeut utiliser une valeur de revendication différente, comme une adresse e-mail, pour établir l'identité de l'utilisateur lors de sa première connexion. CXonepasse alors automatiquement à l'uniqueOpenID Connect identifiant du sujet. Cela vous permet de préconfigurer leidentité fédérée.

PKCE pour l’authentification front-end

Il est possible que vous rencontriez des difficultés dans l’utilisation du flux de code d’autorisation OpenID Connect. Ce flux exige un client_secret dans le cadre de l’échange de jetons. Le codage du client_secret dans une application web présente un risque de sécurité. OpenID Connect permet d’utiliser un autre flux appelé PKCE, de l’anglais Proof Key for Code Exchange (clé de vérification pour l’échange de code). PKCE utilise une méthode d’authentification différente. NICE CXone prenden charge les flux PKCE pour les intégrations front-end.