Azureとのフェデレーションを管理

Azureは、 CXoneと使用できる対応した外部アイデンティティプロバイダー (IdP) の 1 つに過ぎません。このページでは、Azureを使用するあなたのCXoneシステム用に認証をセットアップする手順をステップバイステップで説明します。

CXoneシステムの初期実装を行う場合、さらに検討すべきステップがあります。これらの検討事項を含む以下のオンラインヘルプをお読みになることをお勧めします。

これらの各タスクを指定された順序で実行します。

始める前に、 Microsoft AzureID管理コンソールにアクセスできることを確認します。アプリケーションを作成する必要があります。

SAML 2.0によりAzureアプリケーションを作成および構成する

  1. AzureAD管理アカウントにログインします。
  2. アプリケーションを作成します。
    1. エンタープライズアプリケーション>新規アプリケーションの順にクリックします。
    2. 独自アプリケーションの作成をクリックします。
    3. 名前(例: NICE CXone)を入力します。
    4. ギャラリーにない他のアプリケーション(ノンギャラリー) を統合するを選択します。
    5. 作成をクリックします。
  3. 適切なユーザーとグループを割り当てる。
  4. シングルサインオンの設定で、はじめるをクリックし、SAMLを選択します。
  5. ベーシックSAML設定パネルで、 編集 をクリックし、SAML を構成します:
    1. 識別子(エンティティID)の下で、識別子の追加をクリックし、 https://cxone.niceincontact.com/need_to_changeを入力します。この値は、後で受け取ったURLに変更します。
    2. 返信URLの下で、返信URLの追加をクリックし、オーディエンスURIフィールドに、 https://cxone.niceincontact.com/need_to_changeを入力します。この値は、後で受け取ったURIに変更します。
  6. 保存をクリックし、ベーシックSAML設定パネルを閉じます。
  7. 属性とクレームのセクションで、正しい一意のユーザー識別子を選択します。選択する値は、 CXone外部アイデンティティになります。
  8. AzureADは自動的にSAML署名証明書を作成するはずです。証明書(Base64)という名前の証明書をダウンロードします。
  9. SAML署名証明書パネルで、 編集をクリックし、次に、
    1. 署名オプションSAML返答の署名に変更します。
    2. 保存をクリックし、SAML署名証明書パネルを閉じます。このファイルは、 CXoneの設定用に保管します。
  10. <application name>セットアップパネルで、 ログインURL の値をコピーします。これをCXoneの設定として保管します。
  11. ウインドウを開けたままにします。次のタスクで受け取る値に基づいて、 Azureのアプリケーション設定を変更します。

CXoneSAML 2.0でのログイン認証コードを設定します

必須の権限ログイン認証機能の作成

  1. アプリセレクターをクリックして、選択管理者
  2. セキュリティ > ログイン認証機能システムをクリックします。
  3. 新規ログイン認証コードをクリックします。
  4. ログイン認証機能システムの名前説明を入力します。
  5. SAML認証タイプとして選択します。
  6. Azureから受け取ったSAML要求エンドポイントエンドポイントURLとして入力します。
  7. ファイルの選択をクリックし、前の作業でAzureからダウンロードした公開署名証明書を選択します。このファイルは、PEMファイルでなければなりません。それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他の追加テキストが含まれることになります。

  8. 割り当て済みユーザーのタブをクリックします。作成しているログイン認証コードに割り当てるユーザーを選択します。従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

  9. 保存&アクティブ化をクリックします。
  10. ログインオーセンティケーターを開きます。

  11. エンティティIDACS URLの2つの読み取り専用フィールドが追加で表示されていることが見られます。この値をメモしておきます。それらはCXone値をAzureに追加するタスクで必要になります。

CXone値をAzureに追加する

  1. Azureアプリケーションに戻り、ベーシックSAML設定パネルパネルで編集をクリックします。
  2. 識別子(エンティティID)には、 CXoneログイン認証で取得したエンティティID値を入力します。
  3. 返答URLには、CXoneログイン認証のACSURL値を入力します。
  4. 保存をクリックし、ベーシックSAML設定パネルを閉じます。

  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    1. IDプロバイダーが、使用しなければならない値を決定します。この値は、 Azure一意のユーザー識別子およびCXone外部アイデンティティと正確に一致する必要があります。

  6. ユーザーににログインしてもらいます。最新のログインURLを使用する必要があります。ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。

Azureシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各従業員外部アイデンティティが正しい値に設定されていることを確認します。この値は、 Azure一意のユーザー識別子およびCXone外部アイデンティティと正確に一致する必要があります。

  2. 1人以上のテストユーザーに、最新のログインURLでログインしてもらう。ユーザー名を入力後、必要に応じて Azureに誘導されます。

  3. 準備ができたら、Azureシングルサインオンをすべての従業員に展開します。

OpenID ConnectAzureアプリケーションを設定します。

  1. Azure管理アカウントにログインします。

  2. アプリ登録の下で、新規登録をクリックします。

  3. 認証>ウェブに移動します。

  4. この時点ではわからないリダイレクトURIを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。

  5. 証明書とシークレットをクリックします。

  6. 認証方法として、client_secret_basicまたはclient_secret_postを選択します。認証方法であるprivate_key_jwtは、現在CXoneではサポートされていません。

  7. クライアントシークレットフィールドで、新規クライアントシークレットを選択します。

  8. 説明を追加し、期限切れを選択します。

  9. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。CXoneでログイン認証コードを設定する際に、これらを使用する必要があります。

  10. トークン設定>オプション申請に移動します。

  11. オプション申請の追加をクリックします。

  12. トークンタイプとしてIDを選択します。

  13. Eメールを選択し、メールアドレスを追加します。

  14. 保存をクリックします。

OpenID ConnectCXoneログイン認証コードを設定します

  1. アプリセレクターをクリックして、選択Admin

  2. セキュリティ設定>ログイン認証コードの順にアクセスします。

  3. 新しいログイン認証コードをクリックするか、編集するログイン認証コードを選択します。
  4. ログイン認証コードの名前説明を入力します。
  5. OIDC認証タイプとして選択します。
  6. Azureのディスカバリーエンドポイントがある場合は、ディスカバー設定をクリックします。検出エンドポイントを入力し、検出をクリックします。残りのフィールドは自動的に入力されます。ディスカバー設定Salesforceディスカバリーエンドポイントでは動作しません。
  7. クライアントIDクライアントパスワードを入力します。クライアントの確認パスワードにパスワードを再入力します。クライアント識別子は、Azureによってアカウントに割り当てたログインIDです。

  8. Azureからのディスカバリーエンドポイントがない場合は、Azure提供の発行者JsonWebKeySetエンドポイント認証エンドポイントトークンエンドポイントユーザー情報エンドポイントおよび失効エンドポイントおよびセッション終了エンドポイントを入力します。

    フィールド

    詳細
    発行者

    パラメーターなしのAzureのURL。
    JsonWebKeySetエンドポイント AzureのJWKセットのURL。
    認証エンドポイント AzureOAuth2.0認証エンドポイントのURL。
    トークンエンドポイント AzureOAuth2.0トークンエンドポイントのURL。
    ユーザー情報エンドポイント Azureのユーザー情報エンドポイントのURL。
    失効エンドポイント Azureの失効エンドポイントのURL。
    セッション終了エンドポイント

    Azureのセッション終了エンドポイントのURL。このフィールドを使用すると、ユーザーに単一のログアウト体験を提供することができます。そのように設定されている場合、CXoneからログアウトすると、Azureアカウントからもログアウトされます。シングルログアウトを機能させるには、AzureでサインアウトリダイレクトURIをホワイトリストに登録する必要があります。

    SalesforceがIdPである場合、SalesforceでログアウトURLを設定する必要があります。そのためには、設定>セキュリティ>セッション設定>ログアウトページ設定に移動します。ログアウトURLフィールドを更新します。このURLをセッション終了エンドポイントとして使うことになります。
  9. クライアント認証方式を選択します。選択する方法は、前のタスクで設定したものと一致していなければなりません。これは、Azureがサポートしている認証方法でなければなりません。
  10. FICAMプロフィールを有効にするを選択して、米国政府固有の設定をオンにすることができます。このステップはFedRAMPユーザー専用です。

  11. 割り当て済みユーザーのタブをクリックします。作成しているログイン認証コードに割り当てるユーザーを選択します。従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

  12. 保存&アクティブ化をクリックして、提供された情報を検証し、CXoneアカウントをAzureアカウントにリンクします。
  13. ログインオーセンティケーターを開きます。

  14. サインインリダイレクトURIサインアウトリダイレクトURI。それらはAzure設定を更新するために必要です。

  15. Azure設定を更新し、前のタスクで使用したプレースホルダーを、先ほど説明した値に置き換えます。

  16. ログイン認証コードを使用する各ユーザーのCXone外部アイデンティティが正しい値に設定されていることを確認します。このフィールドは、従業員プロフィールのセキュリティセクションでアクセスできます。

    Azureは、使用しなければならない値を決定します。これは、Azureのユーザープロファイルで確認できます。この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。このフィールドの値は次の形式でなければなりません:claim(email):{email configured by your IdP}。たとえば、IdPにあるユーザーのEメールがnick.carraway@classics.com の場合、 claim(email):nickcarraway@classics.comと入力するはずです。

  17. ユーザーにCXoneにログインしてもらいます。最新のログインURLを使用する必要があります。ユーザー名を入力後、必要に応じてAzureに転送されます。

  18. Azureに自分のアカウントを認証するよう求められたら、現在にログインしているCXoneアカウントに関連付けたいAzureのユーザーとして認証します。
  19. CXoneOpenID Connect設定が検証済みとして表示されない場合、Azureのログを使用して問題を診断してください。