Azureとのフェデレーションを管理する

Azureは、 CXoneと使用できる対応した外部アイデンティティプロバイダー (IdP) の 1 つに過ぎません。 このページでは、Azureを使用するあなたのCXoneシステム用に認証をセットアップする手順をステップバイステップで説明します。

CXoneシステムの初期実装を行う場合、さらに検討すべきステップがあります。 これらの検討事項を含む以下のオンラインヘルプをお読みになることをお勧めします。

始める前に、 Microsoft AzureID管理コンソールにアクセスできることを確認します。 アプリケーションを作成する必要があります。

SAML 2.0でAzureとのフェデレーションを管理します

これらの各タスクを指定された順序で実行します。

SAML 2.0によりAzureアプリケーションを作成および構成する

  1. AzureAD管理アカウントにログインします。
  2. アプリケーションを作成します。
    1. エンタープライズアプリケーション>新規アプリケーションの順にクリックします。
    2. 独自アプリケーションの作成をクリックします。
    3. 名前(例: NICE CXone)を入力します。
    4. ギャラリーにない他のアプリケーション(ノンギャラリー) を統合するを選択します。
    5. 作成をクリックします。
  3. 適切なユーザーとグループを割り当てる。
  4. シングルサインオンの設定で、はじめるをクリックし、SAMLを選択します。
  5. ベーシックSAML設定パネルで、 編集 をクリックし、SAML を構成します:
    1. 識別子(エンティティID)の下で、識別子の追加をクリックし、 https://cxone.niceincontact.com/need_to_changeを入力します。 この値は、後で受け取ったURLに変更します。
    2. 返信URLの下で、返信URLの追加をクリックし、オーディエンスURIフィールドに、 https://cxone.niceincontact.com/need_to_changeを入力します。 この値は、後で受け取ったURIに変更します。
  6. 保存をクリックし、ベーシックSAML設定パネルを閉じます。
  7. 属性とクレームのセクションで、正しい一意のユーザー識別子を選択します。 選択する値は、 CXone外部アイデンティティになります。
  8. AzureADは自動的にSAML署名証明書を作成するはずです。 証明書(Base64)という名前の証明書をダウンロードします。
  9. SAML署名証明書パネルで、 編集をクリックし、次に、
    1. 署名オプションSAML返答の署名に変更します。
    2. 保存をクリックし、SAML署名証明書パネルを閉じます。 このファイルは、 CXoneの設定用に保管します。
  10. <application name>セットアップパネルで、 ログインURL の値をコピーします。 これをCXoneの設定として保管します。
  11. ウインドウを開けたままにします。 次のタスクで受け取る値に基づいて、 Azureのアプリケーション設定を変更します。

場所を設定する

必須の権限ロケーション管理の作成

ユーザーが特定のIPアドレスからログインすることを要求する場合は、許可するIPアドレス、IPアドレス範囲、またはIPアドレスサブネットを含む場所を作成します。 ユーザーに設定された場所を要求する場合、そのユーザーはログインするために正しい認証情報とIPアドレスの両方を持っている必要があります。持っていない場合、ログイン試行は失敗し、エラーが表示されます。 一度に最大20か所の場所を設定でき、場所ごとに最大10個のルールを設定できます。

  1. アプリセレクターをクリックして、次を選択します:Admin
  2. 場所 > 場所の定義に移動します。
  3. 新しい場所をクリックします。
  4. 場所にわかりやすい名前を付けます。 場所についての詳細を追加する場合は、説明を入力します。
  5. 場所の種類を示すために、デフォルトの場所として設定またはリモート場所を選択できます。 デフォルトの場所は1つだけ設定できます。 これらのフィールドは現在、機能には影響しません。選択するのは、自分の参照のためのみです。

  6. 残りのフィールドを使用して、実際の住所、国、GPS座標、タイムゾーン、割り当て済みグループなど、必要なその他の情報を追加します。 これらのフィールドは現在何にも影響を及ぼさず、そこに入力された情報は自身の参照用としてのみ使用されます。

    ,割り当て済グループフィールドにグループを追加すると、そのグループに属するユーザーが[割り当て済ユーザー]タブに表示されます。 ただし、場所の設定は適用されません。 ログイン認証コードに場所を割り当てると、その場所はそのログイン認証コードに割り当てられているユーザーに適用され、IPアドレスに基づいてログイン機能が制限されます。 ただし、これらのユーザーは[割り当て済ユーザー]タブには表示されません。

  7. [保存]をクリックします。

  8. [場所の定義]ページに戻り、作成した場所をクリックして開きます。

  9. [自動検出ルール]タブをクリックします。

  10. 新しいルールを作成します。 そうするためには:

    1. [新規ルール]をクリックします。

    2. ルールにわかりやすい名前を付けます。

    3. 次の中からルールタイプを選択します。

      • リスト:この場所で許可された特定のIPアドレスのリスト。 たとえば、100.0.1.100100.0.1.101100.0.1.102などです。

      • 範囲:この場所で許可されたIPアドレスの範囲。 たとえば、100.0.1.100~100.0.1.125です。

      • サブネット:この場所で許可されたサブネット。 たとえば、100.0.0.1/32です。

    4. 次のいずれかのIPバージョンを指定します。

      • IPV4:32ビットのIPアドレス

      • IPV6:128ビットの16進アドレス。

    5. 前の手順の例の形式に従って、ルール定義フィールドに実際のIPアドレス、範囲、またはサブネットを入力します。 リストを選択した場合は、最大100個のIPアドレスを入力できます。 範囲またはサブネットを選択した場合は、1つの値のみを入力できます。

    6. クリック確認

  11. 必要に応じてルールを追加します。 最大10個まで追加できます。

  12. [保存]をクリックします。

CXoneSAML 2.0でのログイン認証コードを設定します

必須の権限ログイン認証機能の作成

  1. アプリセレクターをクリックして、次を選択します:管理者
  2. セキュリティ設定>ログイン認証コードの順にアクセスします。
  3. 新規ログイン認証コードをクリックします。
  4. ログイン認証機能システムの名前説明を入力します。
  5. SAML認証タイプとして選択します。

  6. ユーザーが特定のIPアドレスからログインすることを要求する場合は、前のセクションで設定した場所を選択します。

  7. エンドポイントURLとしてAzureから受け取ったSAMLリクエストエンドポイントURLを入力します。

    Entra ID(Azure)を使用している場合は、 リクエスト済認証コンテキストフィールドに入力されている文字列を削除します。 そうでない場合、CXoneにログインしようとするユーザーは、MicrosoftエラーAADSTS75011が表示され、ログインできないことがあります。

  8. ファイルの選択をクリックし、前の作業でAzureからダウンロードした公開署名証明書を選択します。 このファイルは、PEMファイルでなければなりません。 それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他の追加テキストが含まれることになります。

  9. 割り当て済みユーザーのタブをクリックします。 作成しているログイン認証コードに割り当てるユーザーを選択します。 従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

  10. 保存&アクティブ化をクリックします。
  11. ログインオーセンティケーターを開きます。

  12. エンティティIDACS URLの2つの読み取り専用フィールドが追加で表示されていることが見られます。 この値をメモしておきます。 それらはCXone値をAzureに追加するタスクで必要になります。

CXone値をAzureに追加する

  1. Azureアプリケーションに戻り、ベーシックSAML設定パネルパネルで編集をクリックします。
  2. 識別子(エンティティID)には、 CXoneログイン認証で取得したエンティティID値を入力します。
  3. 返答URLには、CXoneログイン認証のACSURL値を入力します。
  4. 保存をクリックし、ベーシックSAML設定パネルを閉じます。

  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    1. IDプロバイダーが、使用しなければならない値を決定します。 この値は、 Azure一意のユーザー識別子およびCXone外部アイデンティティと正確に一致する必要があります。

  6. ユーザーににログインしてもらいます。 最新のログインURLを使用する必要があります。 ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。

Azureシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各従業員外部アイデンティティが正しい値に設定されていることを確認します。 この値は、 Azure一意のユーザー識別子およびCXone外部アイデンティティと正確に一致する必要があります。

  2. 1人以上のテストユーザーに、最新のログインURLでログインしてもらう。 ユーザー名を入力後、必要に応じて Azureに誘導されます。

  3. 準備ができたら、Azureシングルサインオンをすべての従業員に展開します。

OpenID ConnectでAzureとのフェデレーションを管理します

これらの各タスクを指定された順序で実行します。

OpenID ConnectAzureアプリケーションを設定します。

  1. Azure管理アカウントにログインします。

  2. アプリ登録の下で、新規登録をクリックします。

  3. 認証>ウェブに移動します。

  4. この時点ではわからないリダイレクトURIを入力する必要があります。 https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。

  5. 証明書とシークレットをクリックします。

  6. 認証方法として、client_secret_basicまたはclient_secret_postを選択します。 認証方法であるprivate_key_jwtは、現在CXoneではサポートされていません。

  7. クライアントシークレットフィールドで、新規クライアントシークレットを選択します。

  8. 説明を追加し、期限切れを選択します。

  9. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。 CXoneでログイン認証コードを設定する際に、これらを使用する必要があります。

  10. トークン設定>オプション申請に移動します。

  11. オプション申請の追加をクリックします。

  12. トークンタイプとしてIDを選択します。

  13. Eメールを選択し、メールアドレスを追加します。

  14. [保存]をクリックします。

場所を設定する

必須の権限ロケーション管理の作成

ユーザーが特定のIPアドレスからログインすることを要求する場合は、許可するIPアドレス、IPアドレス範囲、またはIPアドレスサブネットを含む場所を作成します。 ユーザーに設定された場所を要求する場合、そのユーザーはログインするために正しい認証情報とIPアドレスの両方を持っている必要があります。持っていない場合、ログイン試行は失敗し、エラーが表示されます。 一度に最大20か所の場所を設定でき、場所ごとに最大10個のルールを設定できます。

  1. アプリセレクターをクリックして、次を選択します:Admin
  2. 場所 > 場所の定義に移動します。
  3. 新しい場所をクリックします。
  4. 場所にわかりやすい名前を付けます。 場所についての詳細を追加する場合は、説明を入力します。
  5. 場所の種類を示すために、デフォルトの場所として設定またはリモート場所を選択できます。 デフォルトの場所は1つだけ設定できます。 これらのフィールドは現在、機能には影響しません。選択するのは、自分の参照のためのみです。

  6. 残りのフィールドを使用して、実際の住所、国、GPS座標、タイムゾーン、割り当て済みグループなど、必要なその他の情報を追加します。 これらのフィールドは現在何にも影響を及ぼさず、そこに入力された情報は自身の参照用としてのみ使用されます。

    ,割り当て済グループフィールドにグループを追加すると、そのグループに属するユーザーが[割り当て済ユーザー]タブに表示されます。 ただし、場所の設定は適用されません。 ログイン認証コードに場所を割り当てると、その場所はそのログイン認証コードに割り当てられているユーザーに適用され、IPアドレスに基づいてログイン機能が制限されます。 ただし、これらのユーザーは[割り当て済ユーザー]タブには表示されません。

  7. [保存]をクリックします。

  8. [場所の定義]ページに戻り、作成した場所をクリックして開きます。

  9. [自動検出ルール]タブをクリックします。

  10. 新しいルールを作成します。 そうするためには:

    1. [新規ルール]をクリックします。

    2. ルールにわかりやすい名前を付けます。

    3. 次の中からルールタイプを選択します。

      • リスト:この場所で許可された特定のIPアドレスのリスト。 たとえば、100.0.1.100100.0.1.101100.0.1.102などです。

      • 範囲:この場所で許可されたIPアドレスの範囲。 たとえば、100.0.1.100~100.0.1.125です。

      • サブネット:この場所で許可されたサブネット。 たとえば、100.0.0.1/32です。

    4. 次のいずれかのIPバージョンを指定します。

      • IPV4:32ビットのIPアドレス

      • IPV6:128ビットの16進アドレス。

    5. 前の手順の例の形式に従って、ルール定義フィールドに実際のIPアドレス、範囲、またはサブネットを入力します。 リストを選択した場合は、最大100個のIPアドレスを入力できます。 範囲またはサブネットを選択した場合は、1つの値のみを入力できます。

    6. クリック確認

  11. 必要に応じてルールを追加します。 最大10個まで追加できます。

  12. [保存]をクリックします。

OpenID ConnectCXoneログイン認証コードを設定します

  1. アプリセレクターをクリックして、次を選択します:Admin

  2. セキュリティ設定>ログイン認証コードの順にアクセスします。

  3. 新しいログイン認証コードをクリックするか、編集するログイン認証コードを選択します。
  4. ログイン認証コードの名前説明を入力します。
  5. OIDC認証タイプとして選択します。

  6. ユーザーが特定のIPアドレスからログインすることを要求する場合は、前のセクションで設定した場所を選択します。

  7. Azureのディスカバリーエンドポイントがある場合は、ディスカバー設定をクリックします。 検出エンドポイントを入力し、検出をクリックします。 残りのフィールドは自動的に入力されます。 ディスカバー設定Salesforceディスカバリーエンドポイントでは動作しません。
  8. クライアントIDクライアントパスワードを入力します。 クライアントの確認パスワードにパスワードを再入力します。 クライアント識別子は、Azureによってアカウントに割り当てたログインIDです。

  9. Azureからのディスカバリーエンドポイントがない場合は、Azure提供の発行者JsonWebKeySetエンドポイント認証エンドポイントトークンエンドポイントユーザー情報エンドポイントおよび失効エンドポイントおよびセッション終了エンドポイントを入力します。

    フィールド

    詳細
    発行者

    パラメーターなしのAzureのURL。
    JsonWebKeySetエンドポイント AzureのJWKセットのURL。
    認証エンドポイント AzureOAuth2.0認証エンドポイントのURL。
    トークンエンドポイント AzureOAuth2.0トークンエンドポイントのURL。
    ユーザー情報エンドポイント Azureのユーザー情報エンドポイントのURL。
    失効エンドポイント Azureの失効エンドポイントのURL。
    セッション終了エンドポイント

    Azureのセッション終了エンドポイントのURL。 このフィールドを使用すると、ユーザーに単一のログアウト体験を提供することができます。 そのように設定されている場合、CXoneからログアウトすると、Azureアカウントからもログアウトされます。 シングルログアウトを機能させるには、AzureでサインアウトリダイレクトURIをホワイトリストに登録する必要があります。

    SalesforceがIdPである場合、SalesforceでログアウトURLを設定する必要があります。 そのためには、設定>セキュリティ>セッション設定>ログアウトページ設定に移動します。 ログアウトURLフィールドを更新します。 このURLをセッション終了エンドポイントとして使うことになります。
  10. クライアント認証方式を選択します。 選択する方法は、前のタスクで設定したものと一致していなければなりません。 これは、Azureがサポートしている認証方法でなければなりません。
  11. FICAMプロフィールを有効にするを選択して、米国政府固有の設定をオンにすることができます。 このステップはFedRAMPユーザー専用です。

  12. 割り当て済みユーザーのタブをクリックします。 作成しているログイン認証コードに割り当てるユーザーを選択します。 従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

  13. 保存&アクティブ化をクリックして、提供された情報を検証し、CXoneアカウントをAzureアカウントにリンクします。
  14. ログインオーセンティケーターを開きます。

  15. サインインリダイレクトURIサインアウトリダイレクトURI。 それらはAzure設定を更新するために必要です。

  16. Azure設定を更新し、前のタスクで使用したプレースホルダーを、先ほど説明した値に置き換えます。

  17. ログイン認証コードを使用する各ユーザーのCXone外部アイデンティティが正しい値に設定されていることを確認します。 このフィールドは、従業員プロフィールのセキュリティセクションでアクセスできます。

    Azureは、使用しなければならない値を決定します。 これは、Azureのユーザープロファイルで確認できます。 この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。 このフィールドの値は次の形式でなければなりません:claim(email):{email configured by your IdP}。 たとえば、IdPにあるユーザーのEメールがnick.carraway@classics.com の場合、 claim(email):nickcarraway@classics.comと入力するはずです。

  18. ユーザーにCXoneにログインしてもらいます。 最新のログインURLを使用する必要があります。 ユーザー名を入力後、必要に応じてAzureに転送されます。

  19. Azureに自分のアカウントを認証するよう求められたら、現在にログインしているCXoneアカウントに関連付けたいAzureのユーザーとして認証します。
  20. CXoneOpenID Connect設定が検証済みとして表示されない場合、Azureのログを使用して問題を診断してください。

CXone値をAzureに追加する

  1. Azureアプリケーションに戻り、ベーシックSAML設定パネルパネルで編集をクリックします。
  2. 識別子(エンティティID)には、 CXoneログイン認証で取得したエンティティID値を入力します。
  3. 返答URLには、CXoneログイン認証のACSURL値を入力します。
  4. 保存をクリックし、ベーシックSAML設定パネルを閉じます。

  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    1. IDプロバイダーが、使用しなければならない値を決定します。 この値は、 Azure一意のユーザー識別子およびCXone外部アイデンティティと正確に一致する必要があります。

  6. ユーザーににログインしてもらいます。 最新のログインURLを使用する必要があります。 ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。

Azureシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各従業員外部アイデンティティが正しい値に設定されていることを確認します。 この値は、 Azure一意のユーザー識別子およびCXone外部アイデンティティと正確に一致する必要があります。

  2. 1人以上のテストユーザーに、最新のログインURLでログインしてもらう。 ユーザー名を入力後、必要に応じて Azureに誘導されます。

  3. 準備ができたら、Azureシングルサインオンをすべての従業員に展開します。