Oktaとのフェデレーションを管理する

Oktaは、 CXoneと使用できる対応した外部アイデンティティプロバイダー (IdP) の 1 つに過ぎません。 このページでは、Oktaを使用するあなたのCXoneシステム用に認証をセットアップする手順をステップバイステップで説明します。

CXoneシステムの初期実装を行う場合、さらに検討すべきステップがあります。 これらの検討事項を含む以下のオンラインヘルプをお読みになることをお勧めします。

SAML 2.0Oktaとのフェデレーションを管理します。

これらの各タスクを指定された順序で実行します。

始める前に、Oktaにアクセスできることを確認します。 アプリケーションを作成する必要があります。

SAML 2.0によりOktaアプリケーションを作成および構成する

  1. Okta管理アカウントにログインします。
  2. アプリケーションメニュー>アプリ統合の作成をクリックします。
  3. 方法としてSAML 2.0を選択し、次へをクリックします。
  4. この統合を識別するために使用する名前を入力し、をクリックします。
  5. SAMLを設定する:
    1. シングルサインオンURLフィールドに、https://cxone.niceincontact.com/need_to_changeのようなプレースホルダーURLを入力します。 この値は、後で受け取ったURLと変更します。
    2. Audience URIフィールドに、https://cxone.niceincontact.com/need_to_changeのようなプレースホルダーURLを入力します。 この値は、後で受け取ったURIと変更します。
    3. 名前ID形式およびアプリケーションユーザー名を指定して、CXoneに対してユーザーを識別する方法と照応させます。
    4. 詳細設定の表示をクリックします。
    5. アサーション署名未署名に変更します。 応答署名済みのままにします。
    6. アサーション暗号化未署名であることを確認します。
  6. をクリックし、フィードバックを完了させ、フィードバックタブの終了 をクリックします。
  7. SAMLセットアップ指示をクリックして、新しいタブを開き、次に:
    1. 証明書のダウンロードをクリックし、署名証明書をダウンロードします。 このファイルは、 CXoneの設定用に保管します。
    2. アイデンティティプロバイダーのシングルサインオンURLをコピーします。 このURLを CXoneの設定用に保管します。
    3. SAML設定指示のタブを閉じます。 SAMLの設定タブは開いたままにしておきます。 次に取得するCXoneの設定に基づいて、設定を変更します。

場所を設定する

必須の権限ロケーション管理の作成

ユーザーが特定のIPアドレスからログインすることを要求する場合は、許可するIPアドレス、IPアドレス範囲、またはIPアドレスサブネットを含む場所を作成します。 ユーザーに設定された場所を要求する場合、そのユーザーはログインするために正しい認証情報とIPアドレスの両方を持っている必要があります。持っていない場合、ログイン試行は失敗し、エラーが表示されます。 一度に最大20か所の場所を設定でき、場所ごとに最大10個のルールを設定できます。

  1. アプリセレクターをクリックして、次を選択します:Admin
  2. 場所 > 場所の定義に移動します。
  3. 新しい場所をクリックします。
  4. 場所にわかりやすい名前を付けます。 場所についての詳細を追加する場合は、説明を入力します。
  5. 場所の種類を示すために、デフォルトの場所として設定またはリモート場所を選択できます。 デフォルトの場所は1つだけ設定できます。 これらのフィールドは現在、機能には影響しません。選択するのは、自分の参照のためのみです。

  6. 残りのフィールドを使用して、実際の住所、国、GPS座標、タイムゾーン、割り当て済みグループなど、必要なその他の情報を追加します。 これらのフィールドは現在何にも影響を及ぼさず、そこに入力された情報は自身の参照用としてのみ使用されます。

    ,割り当て済グループフィールドにグループを追加すると、そのグループに属するユーザーが[割り当て済ユーザー]タブに表示されます。 ただし、場所の設定は適用されません。 ログイン認証コードに場所を割り当てると、その場所はそのログイン認証コードに割り当てられているユーザーに適用され、IPアドレスに基づいてログイン機能が制限されます。 ただし、これらのユーザーは[割り当て済ユーザー]タブには表示されません。

  7. [保存]をクリックします。

  8. [場所の定義]ページに戻り、作成した場所をクリックして開きます。

  9. [自動検出ルール]タブをクリックします。

  10. 新しいルールを作成します。 そうするためには:

    1. [新規ルール]をクリックします。

    2. ルールにわかりやすい名前を付けます。

    3. 次の中からルールタイプを選択します。

      • リスト:この場所で許可された特定のIPアドレスのリスト。 たとえば、100.0.1.100100.0.1.101100.0.1.102などです。

      • 範囲:この場所で許可されたIPアドレスの範囲。 たとえば、100.0.1.100~100.0.1.125です。

      • サブネット:この場所で許可されたサブネット。 たとえば、100.0.0.1/32です。

    4. 次のいずれかのIPバージョンを指定します。

      • IPV4:32ビットのIPアドレス

      • IPV6:128ビットの16進アドレス。

    5. 前の手順の例の形式に従って、ルール定義フィールドに実際のIPアドレス、範囲、またはサブネットを入力します。 リストを選択した場合は、最大100個のIPアドレスを入力できます。 範囲またはサブネットを選択した場合は、1つの値のみを入力できます。

    6. クリック確認

  11. 必要に応じてルールを追加します。 最大10個まで追加できます。

  12. [保存]をクリックします。

SAML 2.0CXoneログイン認証コードを設定します

必須の権限ログイン認証機能の作成

  1. アプリセレクターをクリックして、次を選択します:管理者
  2. セキュリティ > ログイン認証機能システムをクリックします。
  3. 新規ログイン認証コードをクリックします。
  4. ログイン認証機能システムの名前説明を入力します。
  5. SAML認証タイプとして選択します。

  6. ユーザーが特定のIPアドレスからログインすることを要求する場合は、前のセクションで設定した場所を選択します。

  7. Oktaから受信したアイデンティティプロバイダーのシングルサインオンURLをエンドポイントURLとして入力します。 詳しくは前のタスクの最後のステップを参照してください。
  8. ファイルの選択をクリックし、前の作業でOktaからダウンロードした公開署名証明書を選択します。 この証明書は、PEMファイルでなければなりません。 それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他の追加テキストが含まれることになります。

  9. 割り当て済みユーザーのタブをクリックします。 作成しているログイン認証コードに割り当てるユーザーを選択します。 従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

  10. 保存してアクティブ化をクリックします。
  11. ログインオーセンティケーターを開きます。

  12. エンティティIDACS URLの2つの読み取り専用フィールドが追加で表示されていることに気がつくでしょう。 この値をメモしておきます。 それらはCXone値をOktaに追加するタスクで必要になります。

CXone値をOktaに追加する

  1. Oktaアプリケーションに戻り、一般タブに移動します。
  2. SAML設定ウィンドウで編集 をクリックし、 をクリックします。
  3. シングルサインオンURLには、CXoneログイン認証コードのACS URL値を入力します。
  4. オーディエンスURI(SPエンティティID)には、 CXoneログイン認証コードで取得したエンティティID値を入力します。
  5. をクリックし、 終了をクリックして、変更を完了します。

Oktaシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各従業員外部アイデンティティが正しい値に設定されていることを確認します。 この値はCXone外部アイデンティティに正確に一致する必要があります。 外部アイデンティティフィールドは、大文字と小文字を区別します。

  2. 1人以上のテストユーザーに、最新のログインURL、https://cxone.niceincontact.comでログインしてもらう。 FedRAMPの場合は、https://cxone-gov.niceincontact.com。 ユーザー名を入力後、必要に応じて Oktaに誘導されます。

  3. 準備ができたら、Oktaシングルサインオンをすべての従業員に展開します。

OpenID ConnectOktaとのフェデレーションを管理します。

これらの各タスクを指定された順序で実行します。

OpenID ConnectOktaアプリケーションを設定します。

  1. Okta管理アカウントにログインします。
  2. アプリケーションメニュー>アプリ統合の作成をクリックします。
  3. サインイン方法としてOIDC - OpenID Connectを選択します。
  4. Webアプリケーションアプリケーションタイプとして選択し、次へをクリックします。
  5. アプリ統合名フィールドに、この統合を識別するために使用する名前を入力します。
  6. この時点ではわからないサインインリダイレクトURIを入力する必要があります。 https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。 この値は、後で受け取ったURIと変更します。
  7. この時点ではわからないサインアウトリダイレクトURIを入力する必要があります。 https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。 この値は、後で受け取ったURIと変更します。
  8. 制御されたアクセスドロップダウンで、今はグループ割り当てをスキップを選択します。
  9. [保存]をクリックします。
  10. 一般タブのクライアント資格情報の下にあるクライアント認証を選択します。
  11. 次のいずれかの認証方法を選択します:
    1. client_secret_basic:クライアント資格情報は、認証時に基本ヘッダーで渡されます。 この方法を選択したら、以下のように設定します:
      1. クライアントシークレットとして、クライアント認証を選択します。
      2. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。 CXoneでログイン認証コードを設定する際に、これらを使用する必要があります。
    2. client_secret_post:認証時にクライアント資格情報は本文で渡されます。 この方法を選択したら、以下のように設定します:
      1. クライアントシークレットとして、クライアント認証を選択します。
      2. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。 CXoneでログイン認証コードを設定する際に、これらを使用する必要があります。
    3. client_secret_jwt:JWTベアラートークンはクライアント認証に使われます。 この方法を選択したら、以下のように設定します:
      1. クライアントシークレットとして、クライアント認証を選択します。
      2. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。 CXoneでログイン認証コードを設定する際に、これらを使用する必要があります。
    4. private_key_jwt:JWTベアラートークンはクライアント認証に使われます。 JWTは、後のステップで提供するクライアント秘密キーによって署名されます。 この方法を選択したら、以下のように設定します:
      1. 公開キー/秘密キーとして、クライアント認証を選択します。
      2. 公開キーの追加フィールドにプレースホルダー公開キーを入力します。 ログイン認証コードを設定する際に、プレースホルダをCXoneから提供されるキーで置き換える必要があります。
  12. 割り当てタブで、割り当てをクリックし、社員に割り当てをクリックします。
  13. このアプリケーションにユーザーを割り当てます。

場所を設定する

必須の権限ロケーション管理の作成

ユーザーが特定のIPアドレスからログインすることを要求する場合は、許可するIPアドレス、IPアドレス範囲、またはIPアドレスサブネットを含む場所を作成します。 ユーザーに設定された場所を要求する場合、そのユーザーはログインするために正しい認証情報とIPアドレスの両方を持っている必要があります。持っていない場合、ログイン試行は失敗し、エラーが表示されます。 一度に最大20か所の場所を設定でき、場所ごとに最大10個のルールを設定できます。

  1. アプリセレクターをクリックして、次を選択します:Admin
  2. 場所 > 場所の定義に移動します。
  3. 新しい場所をクリックします。
  4. 場所にわかりやすい名前を付けます。 場所についての詳細を追加する場合は、説明を入力します。
  5. 場所の種類を示すために、デフォルトの場所として設定またはリモート場所を選択できます。 デフォルトの場所は1つだけ設定できます。 これらのフィールドは現在、機能には影響しません。選択するのは、自分の参照のためのみです。

  6. 残りのフィールドを使用して、実際の住所、国、GPS座標、タイムゾーン、割り当て済みグループなど、必要なその他の情報を追加します。 これらのフィールドは現在何にも影響を及ぼさず、そこに入力された情報は自身の参照用としてのみ使用されます。

    ,割り当て済グループフィールドにグループを追加すると、そのグループに属するユーザーが[割り当て済ユーザー]タブに表示されます。 ただし、場所の設定は適用されません。 ログイン認証コードに場所を割り当てると、その場所はそのログイン認証コードに割り当てられているユーザーに適用され、IPアドレスに基づいてログイン機能が制限されます。 ただし、これらのユーザーは[割り当て済ユーザー]タブには表示されません。

  7. [保存]をクリックします。

  8. [場所の定義]ページに戻り、作成した場所をクリックして開きます。

  9. [自動検出ルール]タブをクリックします。

  10. 新しいルールを作成します。 そうするためには:

    1. [新規ルール]をクリックします。

    2. ルールにわかりやすい名前を付けます。

    3. 次の中からルールタイプを選択します。

      • リスト:この場所で許可された特定のIPアドレスのリスト。 たとえば、100.0.1.100100.0.1.101100.0.1.102などです。

      • 範囲:この場所で許可されたIPアドレスの範囲。 たとえば、100.0.1.100~100.0.1.125です。

      • サブネット:この場所で許可されたサブネット。 たとえば、100.0.0.1/32です。

    4. 次のいずれかのIPバージョンを指定します。

      • IPV4:32ビットのIPアドレス

      • IPV6:128ビットの16進アドレス。

    5. 前の手順の例の形式に従って、ルール定義フィールドに実際のIPアドレス、範囲、またはサブネットを入力します。 リストを選択した場合は、最大100個のIPアドレスを入力できます。 範囲またはサブネットを選択した場合は、1つの値のみを入力できます。

    6. クリック確認

  11. 必要に応じてルールを追加します。 最大10個まで追加できます。

  12. [保存]をクリックします。

CXoneOpenID Connectでのログイン認証コードを設定します

  1. アプリセレクターをクリックして、次を選択します:Admin

  2. セキュリティ設定>ログイン認証コードの順にアクセスします。

  3. 新しいログイン認証コードをクリックするか、編集するログイン認証コードを選択します。
  4. ログイン認証コードの名前説明を入力します。
  5. OIDC認証タイプとして選択します。

  6. ユーザーが特定のIPアドレスからログインすることを要求する場合は、前のセクションで設定した場所を選択します。

  7. Oktaのディスカバリーエンドポイントがある場合は、ディスカバー設定をクリックします。 検出エンドポイントを入力し、検出をクリックします。 残りのフィールドは自動的に入力されます。 ディスカバー設定Salesforceディスカバリーエンドポイントでは動作しません。
  8. クライアントIDクライアントパスワードを入力します。 クライアントの確認パスワードにパスワードを再入力します。 クライアント識別子は、Oktaによってアカウントに割り当てたログインIDです。

  9. Oktaのディスカバリーエンドポイントがない場合は、Okta提供の発行者JsonWebKeySetエンドポイント認証エンドポイントトークンエンドポイントユーザー情報エンドポイントおよび失効エンドポイントを入力します。

    フィールド

    詳細
    発行者

    パラメータなしのOktaのURL。
    JsonWebKeySetエンドポイント OktaのJWKセットのURL。
    認証エンドポイント OktaOAuth2.0認証エンドポイントのURL。
    トークンエンドポイント OktaOAuth2.0トークンエンドポイントのURL。
    ユーザー情報エンドポイント Oktaのユーザー情報エンドポイントのURL。
    失効エンドポイント Oktaの失効エンドポイントのURL。
  10. クライアント認証方式を選択します。 選択する方法は、前のタスクで設定したものと一致していなければなりません。 これは、Oktaがサポートしている認証方法でなければなりません。 private_key_jwtを選択した場合、 暗号化の有効化お客様のクライアント秘密キーを入力する必要があります
  11. FICAMプロフィールを有効にするを選択して、米国政府固有の設定をオンにすることができます。 このステップはFedRAMPユーザーだけが対象です。

  12. 割り当て済みユーザーのタブをクリックします。 作成しているログイン認証コードに割り当てるユーザーを選択します。 従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

  13. 保存&アクティブ化をクリックして、提供された情報を検証し、CXoneアカウントをOktaアカウントにリンクします。
  14. ログインオーセンティケーターを開きます。

  15. サインインリダイレクトURIサインアウトリダイレクトURI。 それらはOkta設定を更新するために必要です。

  16. Okta設定を更新し、前のタスクで使用したプレースホルダーを、先ほど説明した値に置き換えます。

  17. ログイン認証コードを使用する各ユーザーのCXone外部アイデンティティが正しい値に設定されていることを確認します。 このフィールドは、従業員プロフィールのセキュリティセクションでアクセスできます。

    Oktaは、使用しなければならない値を決定します。 これは、Oktaのユーザープロファイルで確認できます。 この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。 このフィールドの値は次の形式でなければなりません:claim(email):{email configured by your IdP}。 たとえば、IdPにあるユーザーのEメールがnick.carraway@classics.com の場合、 claim(email):nickcarraway@classics.comと入力するはずです。

  18. ユーザーにCXoneにログインしてもらいます。 最新のログインURLを使用する必要があります。 ユーザー名を入力後、必要に応じて Oktaに誘導されます。

  19. Oktaに自分のアカウントを認証するよう求められたら、現在ログインしているCXoneアカウントに関連付けたいユーザーとして認証します。
  20. CXoneOpenID Connect設定が検証済みとして表示されない場合、Oktaのログを使用して問題を診断してください。

CXone値をOktaに追加する

  1. Oktaアプリケーションに戻り、一般タブに移動します。
  2. SAML設定ウィンドウで編集 をクリックし、 をクリックします。
  3. シングルサインオンURLには、CXoneログイン認証コードのACS URL値を入力します。
  4. オーディエンスURI(SPエンティティID)には、 CXoneログイン認証コードで取得したエンティティID値を入力します。
  5. をクリックし、 終了をクリックして、変更を完了します。

Oktaシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各従業員外部アイデンティティが正しい値に設定されていることを確認します。 この値はCXone外部アイデンティティに正確に一致する必要があります。 外部アイデンティティフィールドは、大文字と小文字を区別します。

  2. 1人以上のテストユーザーに、最新のログインURL、https://cxone.niceincontact.comでログインしてもらう。 FedRAMPの場合は、https://cxone-gov.niceincontact.com。 ユーザー名を入力後、必要に応じて Oktaに誘導されます。

  3. 準備ができたら、Oktaシングルサインオンをすべての従業員に展開します。