Gérer les authentificateurs de connexion

Les authentificateurs de connexion contrôlent la façon dont les utilisateurs se connectent à CXone. CXone prend en charge aussi bien les authentifications externes qu'internes, en fonction des authentificateurs de connexion affectés à l'utilisateur, ainsi que du type et de la configuration de cet authentificateur de connexion.

Pour plus d'informations sur l'authentification et l'autorisation dans CXone, cliquez sur ici.

Configurer un emplacement

Autorisations requises : Gestion d'emplacement – Créer

Si vous souhaitez exiger que les utilisateurs se connectent à partir d'une certaine adresse IP, créez un emplacement avec les adresses IP, les plages d'adresses IP ou les sous-réseaux d'adresses IP que vous souhaitez autoriser. Lorsque vous exigez un emplacement configuré pour un utilisateur, celui-ci doit disposer à la fois des informations d'identification et de l'adresse IP correctes pour se connecter. Dans le cas contraire, sa tentative de connexion échoue et il reçoit un message d'erreur. Vous pouvez définir jusqu'à 20 emplacements à la fois et jusqu'à 10 règles par emplacement.

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.
  2. Accédez à EmplacementsDéfinitions de l'emplacement.
  3. Cliquez sur Nouvel emplacement.
  4. Donnez un nom descriptif à l’emplacement. Si vous souhaitez ajouter des détails supplémentaires sur l'emplacement, saisissez une description.
  5. Vous pouvez sélectionner l’option Définir comme emplacement par défaut ou Emplacement distant pour indiquer le type d'emplacement. Vous ne pouvez définir qu'un seul emplacement par défaut. Ces champs n'ont actuellement aucune incidence sur les fonctionnalités ; vous les sélectionnez uniquement pour votre propre référence.

  6. Ajoutez toute autre information qui vous intéresse dans les champs restants, y compris l'adresse physique, le pays, les coordonnées GPS, le fuseau horaire ou les groupes assignés. Ces champs n'ont actuellement aucune incidence sur les fonctionnalités ; vous les renseignez uniquement pour votre propre référence.

    Si vous ajoutez des groupes au champ Groupes assignés, les utilisateurs appartenant à ces groupes figurent dans l'onglet Utilisateurs assignés. Cependant, les paramètres de localisation ne s'y appliquent pas. Si vous attribuez un emplacement à un authentificateur de connexion, l'emplacement s'applique aux utilisateurs qui sont affectés à cet authentificateur de connexion et limite leur capacité à se connecter en fonction de leur adresse IP. Néanmoins, ces utilisateurs ne figurent pas dans l'onglet Utilisateurs assignés.

  7. Cliquez sur Enregistrer.

  8. Revenez à la page Définitions d'emplacement, puis cliquez sur l'emplacement que vous venez de créer pour l'ouvrir.

  9. Cliquez sur l’onglet Règles d'autodétection.

  10. Créez une nouvelle règle. Pour ce faire :

    1. Cliquez sur Nouvelle règle.

    2. Donnez un nom descriptif à la règle.

    3. Sélectionnez le type de règle dans les champs suivants :

      • Liste : liste des adresses IP spécifiques autorisées pour cet emplacement. Par exemple, 100.0.1.100, 100.0.1.101 et 100.0.1.102.

      • Plage : plage d'adresses IP autorisée pour cet emplacement. Par exemple, 100.0.1.100-100.0.1.125.

      • Sous-réseau : sous-réseau autorisé pour cet emplacement. Par exemple, 100.0.0.1/32.

    4. Spécifiez l’une des versions IP suivantes :

      • IPV4 : adresse IP de 32 bits

      • IPV6 : adresse hexadécimale de 128 bits.

    5. Saisissez les adresses IP réelles, la plage ou le sous-réseau dans le champ Définition de la règle, en suivant les formats des exemples des étapes précédentes. Si vous avez sélectionné Liste, vous pouvez saisir jusqu'à 100 adresses IP. Si vous avez sélectionné Plage ou Sous-réseau, vous ne pouvez saisir qu'une seule valeur.

    6. Cliquez sur Confirmer.

  11. Ajoutez d’autres règles, si nécessaire. Vous pouvez en ajouter jusqu'à 10.

  12. Cliquez sur Enregistrer.

Configuration d'un authentificateur de connexion système

Autorisations requises : Peut gérer les mots de passe, Activé.

CXone Inclut un authentificateur de connexion système par défaut, mais vous pouvez en créer un autre. Après avoir configuré un authentificateur de connexion pour un rôle particulier, le champ de mot de passe affiche les règles d'authentification de connexion configurées lorsqu'un utilisateur essaie de définir ou de modifier le mot de passe.

  1. Cliquez sur le sélecteur d'applications et sélectionnez Admin.
  2. Allez à Paramètres de sécurité > Authentificateur de connexion.

  3. Cliquez sur Nouvel authentificateur de connexion.

  4. Entrez un Nom unique pour l'authentificateur de connexion.

  5. Entrez une description si vous en voulez un.

  6. Sélectionnez Système comme le type d'identification.

    champs

    Détails
    Système L'authentificateur de connexion utilise le processus de connexion intégré de CXone. Il ne s'authentifie pas via un fournisseur d'identité externe à authentification unique (SSO).
    SAML SAML 2.0 vous permet de configurer l'authentification unique via un fournisseur d'identité externe. CXone prend en charge plusieurs instances de SAML 2.0. Vous pouvez attribuer différentes instances à différents utilisateurs.

  7. Si vous souhaitez exiger que les utilisateurs se connectent à partir d'une certaine adresse IP, sélectionnez l'option Emplacement que vous avez définie dans la section précédente.

  8. Définissez le niveau de complexité du mot de passe.

    Chacun des mots de passe de l’utilisateur est comparé à un référentiel de mots de passe utilisés couramment. En cas de correspondance, il doit en créer un autre. Exemples de mots de passe refusés :

    • Tout mot de passe incluant le mot « password ». Par exemple, Password@1234.

    • Tout mot de passe incluant l’adresse e-mail de l’utilisateur, son nom d’utilisateur, son prénom, son nom ou son nom système.

    Le référentiel est sollicité dans les cas suivants :

    • Un nouvel utilisateur est activé.

    • Le mot de passe d’un utilisateur a expiré.

    • Un utilisateur réinitialise son mot de passe.

     :  :
    ChampDétails
    Exiger des minuscules (a-z)Demande aux utilisateurs d'utiliser au moins une lettre en minuscule dans leur mot de passe.
    Exiger des majuscules (A-Z)demande aux utilisateurs d'utiliser au moins une lettre en majuscule dans leur mot de passe.
    Exiger des nombres (0-9)demande aux utilisateurs d'utiliser au moins un nombre dans leur mot de passe.
    Requérir un caractère non-alphanumérique (!, @, #, etc.)Demande aux utilisateurs d'utiliser au moins un caractère non-alphanumérique dans leur mot de passe.

  9. Si vous souhaitez activer l'authentification multifacteur (MFA), sélectionnez Exiger une authentification multifacteur. Définissez votre Tyê MFA sur HOTP (basé sur HMAC) et TOTP (basé sur le temps).

    champs Détails
    Nécessite une authentification multifacteur

    Exige que les utilisateurs saisissent un jeton d'authentification multifacteur (MFA) en plus d'un mot de passe pour se connecter à CXone. Un jeton MFA est un mot de passe à usage unique (OTP) généré par un jeton matériel ou un périphérique MFA virtuel (par exemple, une application comme Google Authenticator) que vous fournissez. Lorsque vous activez l'authentification MFA, les utilisateurs dont le profil est affecté doivent configurer une clé secrète MFA lors de la connexion suivante.

    N'activez pas l'authentification MFA pour l'administrateur principal de votre organisation. Si l'appareil ou le secret est perdu, la seule façon de réinitialiser le secret MFA consiste à créer un ticket auprès de NICE CXone.
    Type MFA Spécifie si vous souhaitez activer l'authentification multifacteur (MFA) TOTP (basé sur le temps) ou HOTP (basé sur HMAC).

  10. Définissez votre politique de mot de passe.

    champs Détails
    Longueur du mot de passe Saisissez le nombre minimal de caractères au total que les utilisateurs doivent inclure dans leurs mots de passe. Par exemple, si vous saisissez 12, les utilisateurs doivent inclure au moins 12 caractères au total dans chaque mot de passe. Les caractères requis dans les paramètres de complexité du mot de passe sont pris en compte dans le nombre total de caractères. Vous pouvez définir la valeur de longueur du mot de passe entre 12 et 24.
    Activer l’ancienneté du mot de passe Active une zone de texte où vous pouvez saisir le nombre maximum de jours de conservation d'un mot de passe. Ensuite, l'utilisateur doit changer son mot de passe. Vous pouvez définir la durée de conservation du mot de passe entre 14 et 365 jours.
    Activer l’historique des mots de passe Saisissez le nombre de mots de passe uniques qu'un utilisateur doit définir avant de réutiliser un ancien. Vous pouvez définir la valeur de l'historique entre 4 et 50. Par exemple, si vous entrez 10, les utilisateurs affectés à l'authentificateur de connexion ne peuvent utiliser aucun de leurs 10 derniers mots de passe comme nouveau mot de passe.

  11. Cliquez sur Enregistrer et activer.

Configuration d’un authentificateur de connexion externe avec SAML 2.0

Vous pouvez utiliser l'authentification externe lorsque vous souhaitez que le mot de passe utilisateur soit géré par un autre système ou fournisseur d'identité. CXone prend actuellement en charge les protocoles de fédération SAML 2.0 et OpenID Connect.

Vous pouvez configurer l'authentification initiée par l'IdP ou l'authentification initiée par le SP en appliquant les étapes de cette section.

Authentification initiée par IdP : IdP signifie fournisseur d'identité. L'authentification initiée par IdP signifie que le fournisseur d'identité externe démarre le processus de connexion.

Authentification initiée par SP : SP signifie fournisseur de services. L'authentification initiée par le SP signifie que CXone démarre le processus de connexion.

Si vous utilisez Salesforce Agent, le fournisseur d'identité (IdP) externe doit être configuré pour l'authentification demandée par SP.

  1. Assurez-vous que vous avez accès au fournisseur d'identité externe. Vous devrez créer une intégration propre à CXone.
  2. Créez l'intégration depuis le fournisseur d'identité externe. Différents systèmes utilisent différents noms pour ces intégrations, voir les instructions spécifiques pour Okta ou Azure.
    1. Vous devrez fournir un ID d'entité que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé.
    2. Vous devrez fournir une URL ACS que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé.
    3. Le fournisseur d'identité va générer une URL spécifique à laquelle les demandes SAML doivent être envoyées. Copiez et enregistrez cette URL à un endroit où vous pourrez la trouver. Vous devrez entrer cette valeur au cours des étapes suivantes.
    4. Le fournisseur d'identité générera un certificat de signature public pour l'intégration. Téléchargez ce certificat. Ce certificat vous sera demandé au cours d'étapes ultérieures.
  3. Créez un authentificateur de connexion externe dans CXone
    1. Cliquez sur le sélecteur d'applications et sélectionnezAdministrateur.
    2. Cliquez sur Sécurité > Authentificateur de connexion.
    3. Entrez le Nom et la description de l'authentificateur de connexion.
    4. Sélectionnez SAML comme le type d'identification.

    5. Si vous souhaitez exiger que les utilisateurs se connectent à partir d'une certaine adresse IP, sélectionnez l'option Emplacement que vous avez définie dans la section précédente.

    6. Si vous sélectionnez FICAM, la réponse SAML doit comporter une entrée AuthnContextClassRef unique. D'autre part, le paramètre NamespaceURI du sujet de l'assertion doit prendre la forme : urn:oasis:names:tc:SAML:2.0:assertion. Les champs AuthnContextClassRef et NamespaceURI sont contrôlés par le fournisseur d'identité.
    7. Entrez le point de terminaison de la requête SAML que votre fournisseur ci-dessus vous a transmis comme URL du point de terminaison.
    8. Cliquez sur Choisir fichier et sélectionnez le certificat de signature publique que votre fournisseur vous a envoyé. Ce fichier doit être de type PEM. Il s'agit d'un fichier texte et la première ligne doit contenir BEGIN CERTIFICATE suivi d'un texte.

    9. Sélectionnez l’onglet Utilisateurs affectés. Sélectionnez les utilisateurs que vous souhaitez affecter à l'authentificateur de connexion que vous créez. Vous pouvez également affecter des utilisateurs directement à l’authentificateur de connexion dans leur profil d’employé.

    10. Cliquez sur Enregistrer et activer.
    11. Ouvrez l'authentificateur de connexion.

    12. Notez l’ID d’entité et l’URL ACS. Vous en aurez besoin lors de la mise à jour de vos paramètres IdP.

  4. Mettez à jour les paramètres de votre fournisseur d'identité, et entrez les valeurs que vous avez notées dans les emplacements réservés ci-dessus.

  5. Assurez-vous que l'Identité externe de tout utilisateur exécutant l'authentificateur de connexion est définie sur la valeur correcte. Ce champ est accessible dans la section sécurité du profil de l'employé.

    La valeur exacte à utiliser dépend de votre fournisseur d'identité. Cette valeur doit correspondre exactement à ce que vous avez entré dans le champ Identité externe dans CXone.

  6. Demandez à l'utilisateur de se connecter. Il doit pour cela disposer de l'URL de connexion la plus récente. Une fois son nom d'utilisateur entré, il est dirigé vers le fournisseur d'identité externe si nécessaire.

Création d’authentificateurs de connexion externe avec OpenID Connect

Autorisations requises:Authentificateur de connexion - Créer

Vous pouvez utiliser l'authentification externe lorsque vous souhaitez que le mot de passe utilisateur soit géré par un autre système ou fournisseur d'identité. CXone prend actuellement en charge les protocoles de fédération SAML 2.0 et OpenID Connect.

Vous pouvez configurer l'authentification initiée par l'IdP ou l'authentification initiée par le SP en appliquant les étapes de cette section.

Authentification initiée par IdP : IdP signifie fournisseur d'identité. L'authentification initiée par IdP signifie que le fournisseur d'identité externe démarre le processus de connexion.

Authentification initiée par SP : SP signifie fournisseur de services. L'authentification initiée par le SP signifie que CXone démarre le processus de connexion.

Si vous utilisez Salesforce Agent, le fournisseur d'identité (IdP) externe doit être configuré pour l'authentification demandée par SP.

Capture d'écran de l'onglet OpenID Connect d'une business unit en mode édition

  1. Assurez-vous que vous avez accès au fournisseur d'identité externe. Vous devrez créer une intégration propre à CXone.
  2. Créez l'intégration depuis le fournisseur d'identité externe.
    1. Vous devrez fournir un URI de redirection de connexion, que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé.
    2. Vous pouvez être invité à fournir un URI de redirection de déconnexion, que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé.
    3. Le fournisseur d'identité génère un identifiant de client et un secret de client. Copiez et enregistrez ces valeurs à un endroit où vous pourrez les retrouver facilement. Vous devrez les entrer au cours des étapes suivantes.
  3. Créez un authentificateur de connexion externe dans CXone

    1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.

    2. Accédez à Paramètres de sécurité > Authentificateur de connexion.

    3. Cliquez sur Nouvel authentificateur de connexion ou sélectionnez l’authentificateur de connexion à modifier.
    4. Entrez le nom et la description de l'authentificateur de connexion.
    5. Sélectionnez OIDC comme le type d'authentification.

    6. Si vous souhaitez exiger que les utilisateurs se connectent à partir d'une certaine adresse IP, sélectionnez l'option Emplacement que vous avez définie dans la section précédente.

    7. Si vous disposez d'un point de sortie de découverte pour votre IdP, cliquez surParamètres de découverte. Entrez votre point de terminaison de découverte et cliquez sur Découvrir. Les champs restants sont renseignés pour vous. Paramètres de découverte ne fonctionne pas avec les points de sortie de découverte Salesforce .
    8. Entrez votre Identifiant du client et Mot de passe du client. Retapez le mot de passe dans Client Confirmer le mot de passe. L’identifiant client est l’ID de connexion affecté à votre compte par votre fournisseur d’identité.

    9. Si vous ne disposez pas d'un point de sortie de découverte de votre fournisseur d’identité, entrez l’émetteur, l’extrémité JsonWebKeySet, l’extrémité d'autorisation, l’extrémité de jeton, l’extrémité d'informations utilisateur, l’extrémité de révocation et le point de terminaison de session de fin. Toutes ces informations sont fournies par le fournisseur d’identité.

      Champs

      Détails

      Émetteur

      L’URL de votre fournisseur d’identité, sans paramètre.

      Extrémité JsonWebKeySetL’URL de l’ensemble JWK de votre fournisseur d’identité.
      Extrémité d'autorisationL’URL de l’extrémité d'autorisation OAuth 2.0 de votre fournisseur d’identité.
      Extrémité de jetonL’URL de l’extrémité de jeton OAuth 2.0 de votre fournisseur d’identité.
      Extrémité d’informations utilisateurL’URL de l’extrémité d'informations utilisateur de votre fournisseur d’identité.
      Extrémité de révocationL’URL de l’extrémité de révocation de votre fournisseur d’identité.
      Point de terminaison de session de finL’URL du point de terminaison de session de fin de votre fournisseur d’identité. Ce champ vous permet de créer une expérience de déconnexion unique pour vos utilisateurs. S’il est configuré, lorsque les utilisateurs se déconnectent de CXone, ils sont également déconnectés de leur compte de fournisseur d’identité. Pour que la déconnexion unique fonctionne, vous devez mettre sur liste blanche l'URI de redirection de déconnexion dans votre fournisseur d’identité.
    10. Sélectionnez une méthode d'authentification du client. La méthode que vous sélectionnez doit être prise en charge par votre fournisseur d’identité. Si vous sélectionnez private_key_jwt, vous devez entrer la clé privée du client.
    11. Vous pouvez sélectionner Activer le profil FICAM pour activer les paramètres propres à la législation américaine.

    12. Sélectionnez l’onglet Utilisateurs affectés. Sélectionnez les utilisateurs que vous souhaitez affecter à l'authentificateur de connexion que vous créez. Vous pouvez également affecter des utilisateurs directement à l’authentificateur de connexion dans leur profil d’employé.

    13. Cliquez sur Enregistrer et activer pour valider les informations fournies et pour lier votre compte CXone à votre compte fourni par le fournisseur d’identité.
    14. Ouvrez l'authentificateur de connexion.

    15. Notez l'URI de redirection de connexion et l'URI de redirection de déconnexion. Vous en aurez besoin lors de la mise à jour de vos paramètres IdP.

  4. Mettez à jour les paramètres de votre fournisseur d'identité, et entrez les valeurs que vous avez notées dans les emplacements réservés ci-dessus.

  5. Assurez-vous que l'Identité externe de tout utilisateur exécutant l'authentificateur de connexion est définie sur la valeur correcte. Ce champ est accessible dans la section sécurité du profil de l'employé.

    La valeur exacte à utiliser dépend de votre fournisseur d'identité. Cette valeur doit correspondre exactement à ce que vous avez entré dans le champ Identité externe dans CXone. La valeur de ce champ doit être au format claim(email):{e-mail configuré par votre fournisseur d’identité}. Par exemple, si l’e-mail de l’utilisateur est nick.carraway@classics.com pour le fournisseur d’identité, vous devez entrer claim(email):nickcarraway@classics.com.

  6. Demandez à l'utilisateur de se connecter. Il doit pour cela disposer de l'URL de connexion la plus récente. Une fois son nom d'utilisateur entré, il est dirigé vers le fournisseur d'identité externe si nécessaire.

  7. Lorsque votre fournisseur d'identité vous demande de vous authentifier, faites-le en tant qu'utilisateur du fournisseur d'identité que vous souhaitez associer au compte CXone actuellement connecté.
  8. Si vos paramètres OpenID Connect, dans CXone, ne sont pas validés, utilisez les fichiers journaux créés par le fournisseur d’identité pour diagnostiquer le problème.

Liaison de nouveaux utilisateurs avec des réclamationsOpenID Connect

CXonepeut utiliser une valeur de revendication différente, comme une adresse e-mail, pour établir l'identité de l'utilisateur lors de sa première connexion. CXonepasse alors automatiquement à l'uniqueOpenID Connect identifiant du sujet. Cela vous permet de préconfigurer leidentité fédérée.

PKCE pour l’authentification front-end

Il est possible que vous rencontriez des difficultés dans l’utilisation du flux de code d’autorisation OpenID Connect. Ce flux exige un client_secret dans le cadre de l’échange de jetons. Le codage du client_secret dans une application web présente un risque de sécurité. OpenID Connect permet d’utiliser un autre flux appelé PKCE, de l’anglais Proof Key for Code Exchange (clé de vérification pour l’échange de code). PKCE utilise une méthode d’authentification différente. NICE CXone prenden charge les flux PKCE pour les intégrations front-end.

Désactivation des authentificateurs de connexion

Autorisations requises : Authentificateur de connexion - Désactiver

Vous pouvez désactiver les authentificateurs de connexion du système et de SAML 2.0 sur la page des authentificateurs de connexion.

Tous les utilisateurs affectés à un authentificateur de connexion (LA) désactivé perdront l'accès à CXone. Ces utilisateurs ne pourront pas non plus utiliser le lien Mot de passe oublié pour activer leur compte ou modifier leur mot de passe. Les utilisateurs ne seront pas informés de la perte de leur accès. Ils ne pourront récupérer leur accès que si vous :

  • Les affectez à un LA actif.

  • Réactivez le LA qui leur a été attribué.

Pour éviter de révoquer l'accès de vos utilisateurs, assignez-les à un autre LA avant la désactivation.

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.
  2. Accédez à Paramètres de sécurité > Authentificateur de connexion.
  3. Localisez l'authentificateur de connexion que vous voulez désactiver.
  4. Cliquez sur Actions L'icône des trois points empilés sur le côté droit de l'authentificateur de connexion..
  5. Cliquez sur Désactiver.