ログイン認証システムを管理

ログイン認証コードは、ユーザーがCXoneにログインする方法を管理します。CXoneは、ユーザーに割り当てられたログイン認証コード、およびそのログイン認証コードのタイプと設定に基づき、内部認証と外部認証の両方に対応しています。

CXoneの認証と認可の詳細については、こちらをクリックしてください。

システムログイン認証コードの設定

CXoneには、デフォルトのシステムログイン認証コードがありますが、自分で作成することもできます。特定のロールのログイン認証機能を構成した後、ユーザーがパスワードを設定または変更しようとすると、パスワードフィールドに構成済みのログイン認証機能ルールが表示されます。

アプリセレクターをクリックして、選択Admin。
セキュリティ設定 > ログイン認証サーバの順に選択します。
新規ログイン認証コードをクリックします。
ログインオーセンティケーターの一意の名前を入力します。
必要に応じて説明を入力します。

認証タイプとして[システム]を選択します。

認証タイプの詳細

フィールド	詳細
システム	ログインオーセンティケーターは、の組み込みログインプロセスを使用します。 CXone 。外部のシングルサインオン（SSO）IDプロバイダーを使用した認証は行いません。
SAML	SAML 2.0を使用すると、外部アイデンティティプロバイダーを介したシングルサインオンを設定できます。CXoneは、SAML 2.0の複数のインスタンスに対応しています。ユーザーごとに異なるインスタンスを割り当てることができます。

パスワードの複雑さを設定します。

各ユーザーのパスワードは、一般的に使用されるパスワードのリポジトリに対してチェックされます。彼らのパスワードが一般的に使用されるパスワードに一致した場合、彼らは新しいパスワードを作成するよう強制されます。拒否されるパスワードの例を以下に示します：

「password.」という語句を含むパスワード（Password@1234など）。
ユーザーのEメールアドレス、ユーザー名、姓、またはシステム名を含むパスワード。

パスワードは以下の場合にリポジトリに対して照合されます：

新規ユーザーがアクティブ化されたとき。
ユーザーのパスワードの期限が切れたとき。
ユーザーがパスワードをリセットしたとき。

フィールド	詳細については
、このステップを参照してくださいフィールド詳細必須小文字 (a～z)	パスワードに少なくとも1つの小文字を使用する必要があります。
大文字（A-Z）が必要です	-パスワードに少なくとも1つの大文字を使用することをユーザーに要求します。
数字(0-9) (必須)	-ユーザーがパスワードに少なくとも1つの数字を使用することを要求します。
英数字以外（!,@,#,etc.）が必要です	パスワードに少なくとも1文字の非英数字を使用することをユーザーに要求します。

多要素認証を有効にする場合は、多要素認証が必要を選択します。MFAタイプをHOTP(HMACベース)とTOTP(時間ベース)に設定します。

MFA設定の詳細

フィールド	詳細
多要素認証が必要	CXoneにログインするには、パスワードに加えて多要素認証(MFA) トークンを入力する必要があります。MFAトークンは、提供するハードウェアトークンまたは仮想 MFAデバイス (たとえば、Google Authenticator などのアプリ) によって生成されるワンタイムパスワードです。MFAを有効にすると、影響を受けるプロファイルを持つユーザーは、次回ログイン時に MFAシークレットキーを設定する必要があります。組織のマスター管理者に対してMFAを有効にしないでください。デバイスまたはシークレットを紛失した場合、MFAシークレットをリセットする唯一の方法は、NICE CXoneでチケットを提出することです。
MFAタイプ	TOTP （時間ベース）またはHOTP（HMACベース）MFAを有効にするかどうかを指定します。

フィールド

詳細

多要素認証が必要

CXoneにログインするには、パスワードに加えて多要素認証(MFA) トークンを入力する必要があります。MFAトークンは、提供するハードウェアトークンまたは仮想 MFAデバイス (たとえば、Google Authenticator などのアプリ) によって生成されるワンタイムパスワードです。MFAを有効にすると、影響を受けるプロファイルを持つユーザーは、次回ログイン時に MFAシークレットキーを設定する必要があります。

組織のマスター管理者に対してMFAを有効にしないでください。デバイスまたはシークレットを紛失した場合、MFAシークレットをリセットする唯一の方法は、NICE CXoneでチケットを提出することです。

MFAタイプ

TOTP （時間ベース）またはHOTP（HMACベース）MFAを有効にするかどうかを指定します。

パスワードポリシーを設定します。

このステップのフィールドの詳細

フィールド	詳細
パスワードの長さ	ユーザーがパスワードに含める必要がある合計文字の最小数を設定します。たとえば、12を入力した場合、ユーザーはすべてのパスワードに合計12文字以上を含める必要があります。パスワード複雑さ設定で必要な文字は、合計文字数にカウントされます。パスワードの長さは、12から24までの任意の数字に設定できます。
パスワード有効期限を有効にする	ユーザーがパスワードを保持できる最大日数を入力できるテキストボックスを有効にします。指定した日数が経過すると、ユーザーはパスワードを変更する必要があります。パスワード年齢を14から365日の範囲で任意に設定できます。
パスワード履歴を有効にする	ユーザーが古いパスワードを再利用する前に設定する必要がある一意のパスワードの数を入力します。パスワード履歴は4から50の範囲で設定できます。たとえば、10を入力すると、ログイン認証機能を割り当てられたユーザーは、過去10個のパスワードのいずれかを新しいパスワードとして使用することができなくなります。

保存＆アクティブ化をクリックします。

SAML 2.0で外部ログイン認証コードを設定します

ユーザーのパスワードを他のシステム、またはIDプロバイダーで管理したい場合、外部認証を使用することができます。CXoneは現在、SAML 2.0とOpenID Connectのフェデレーションプロトコルに対応しています。

この項の手順で、IdP開始認証またはSP開始認証を設定できます。

IdP主導認証：IdPはアイデンティティープロバイダーを意味します。IdP主導認証とは、外部IDプロバイダーがログインプロセスを開始することを意味しています。

SP主導認証：SPはサービスプロバイダーを意味します。SP主導認証とは、CXoneがログインプロセスを開始することを意味します。

Salesforce Agentエージェントを使用する場合は、外部アイデンティティプロバイダー(IdP)をSP起動型認証に設定する必要があります。

外部アイデンティティプロバイダーへのアクセス権があることを確認します。CXoneに固有の統合を作成する必要があります。
外部 ID プロバイダーで統合を作成します。システムによって、これらの統合の名称が異なるため、 OktaまたはAzureの具体的な説明を参照してください。
1. この時点ではわからないエンティティIDを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
2. この時点ではわからないACSのURLを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
3. アイデンティティプロバイダーは、SAMLリクエストを送信する必要がある特定の URL を生成します。このURLをコピーして、見つけやすい場所に保存してください。この値を以降のステップで再度入力します。
4. アイデンティティプロバイダーは、統合のための公開署名証明書を生成します。証明書をダウンロードします。これは以降のステップで再度入力します。
CXoneに外部ログイン認証コードを作成します。
1. アプリセレクターをクリックして、選択管理者。
2. [セキュリティ] > [ログイン認証機能]をクリックします。
3. ログイン認証機能の名前と説明を入力します。
4. SAMLとして認証タイプを選択します。
5. FICAMを選択した場合、SAML応答には単一のAuthnContextClassRefエントリが必要です。また、アサーション件名のNamespaceURIは、urn:oasis:names:tc:SAML:2.0:assertionである必要があります。AuthnContextClassRefフィールドとNamespaceURIフィールドは、IDプロバイダーによって制御されます。
6. 上記のプロバイダーから受け取ったSAMLリクエストエンドポイントをエンドポイントURLプロバイダーとして入力します。
7. ファイルの選択をクリックし、前の作業でプロバイダーから受信した公開署名証明書を選択します。このファイルは、PEMファイルでなければなりません。それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他のテキストが含まれることになります。
8. 割り当て済みユーザーのタブをクリックします。作成しているログイン認証コードに割り当てるユーザーを選択します。従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。
9. [保存してアクティブ化]をクリックします。
10. ログイン認証機能を開きます。
11. エンティティIDとACS URLをメモしてください。IdP設定を更新する際に必要になります。
アイデンティティプロバイダーの設定を更新し、上記で使用したプレースホルダーを先程の値に置き換えます。
ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。このフィールドは、従業員プロフィールのセキュリティセクションでアクセスできます。

IDプロバイダーが、使用しなければならない値を決定します。この値は、 CXoneの外部アイデンティティフィールドに入力したものと正確に一致する必要があります。
ユーザーにログインしてもらう。最新のログインURLを使用する必要があります。ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに誘導されます。

OpenID Connectを使用した外部ログイン認証者の作成

必須の権限：ログイン認証機能の作成

この項の手順で、IdP開始認証またはSP開始認証を設定できます。

SP主導認証：SPはサービスプロバイダーを意味します。SP主導認証とは、CXoneがログインプロセスを開始することを意味します。

Salesforce Agentエージェントを使用する場合は、外部アイデンティティプロバイダー(IdP)をSP起動型認証に設定する必要があります。

外部アイデンティティプロバイダーへのアクセス権があることを確認します。CXoneに固有の統合を作成する必要があります。
外部 ID プロバイダーで統合を作成します。
1. この時点ではわからないサインインリダイレクトURIを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
2. この時点ではわからないサインアウトリダイレクトURIを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
3. アイデンティティープロバイダーはクライアントIDとクライアントシークレットを生成します。これらの値をコピーして、見つけやすいところに保存してください。この値を以降のステップで再度入力する必要があります。

CXoneに外部ログイン認証コードを作成します。

アプリセレクターをクリックして、選択Admin。
セキュリティ設定>ログイン認証コードの順にアクセスします。
新規作成をクリックするか、編集するログイン認証コードを選択します。
ログイン認証コードの名前と説明を入力します。
OIDCとして認証タイプを選択します。
IdPのディスカバリーエンドポイントがある場合は、ディスカバー設定をクリックします。検出エンドポイントを入力し、検出をクリックします。残りのフィールドは自動的に入力されます。ディスカバー設定はSalesforceディスカバリーエンドポイントでは動作しません。
クライアント識別子とクライアントパスワードを入力します。クライアントの確認パスワードにパスワードを再入力します。クライアント識別子は、IdPがアカウントに割り当てるログインIDです。

IdPのディスカバリーエンドポイントがない場合は、IdP提供の発行者、JsonWebKeySetエンドポイント、認証エンドポイント、トークンエンドポイント、UserInfoエンドポイントおよび失効エンドポイントおよびセッション終了エンドポイントを入力します。

このステップのフィールドについての詳細

フィールド	詳細
発行者	パラメーターなしのIdPのURL。
JsonWebKeySetエンドポイント	IdPのJWK SetのURL。
認証エンドポイント	IdPのOAuth 2.0認証エンドポイントのURL。
トークンエンドポイント	IdPのOAuth 2.0トークンエンドポイントのURL。
ユーザー情報エンドポイント	IdPのユーザー情報エンドポイントのURL。
失効エンドポイント	IdPの失効エンドポイントのURL。
セッション終了エンドポイント	IdPのセッション終了エンドポイントのURL。このフィールドを使用すると、ユーザーに単一のログアウト体験を提供することができます。そのように設定されている場合、CXoneからログアウトすると、IdPアカウントからもログアウトされます。シングルログアウトを機能させるには、IdPでサインアウトリダイレクトURIをホワイトリストに登録する必要があります。

クライアント認証方式を選択します。選択するメソッドは、IdPがサポートしている認証メソッドでなければなりません。private_key_jwtを選択した場合、暗号化の有効化をお客様のクライアント秘密キーを入力する必要があります。
FICAMプロファイルを有効にするを選択して、米国政府固有の設定をオンにすることができます。
割り当て済みユーザーのタブをクリックします。作成しているログイン認証コードに割り当てるユーザーを選択します。従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。
保存＆アクティブ化をクリックして、提供された情報を検証し、CXoneアカウントをIdPアカウントにリンクします。
ログイン認証機能を開きます。
サインインリダイレクトURIおよびサインアウトリダイレクトURIをメモします。IdP設定を更新する際に必要になります。

アイデンティティプロバイダーの設定を更新し、上記で使用したプレースホルダーを先程の値に置き換えます。
ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。このフィールドは、従業員プロフィールのセキュリティセクションでアクセスできます。

IDプロバイダーが、使用しなければならない値を決定します。この値は、 CXoneの外部アイデンティティフィールドに入力したものと正確に一致する必要があります。このフィールドの値は次の形式でなければなりません：claim(email):{email configured by your IdP}。たとえば、IdPにあるユーザーのEメールがnick.carraway@classics.com の場合、 claim(email):nickcarraway@classics.comと入力するはずです。
ユーザーにログインしてもらう。最新のログインURLを使用する必要があります。ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。
IdPから認証を求められたら、現在ログインしているCXoneアカウントにに関連付けるIdPのユーザーとして認証します。
CXoneのOpenID Connectの設定が検証済みとして表示されない場合は、IdPログを使用して問題を診断してください。

新規ユーザーをクレームベースのOpenID Connectとリンクする

CXoneは、メールアドレスのように、異なるクレーム値を使い、最初のログインの時のユーザーアイデンティティを設定します。CXoneはその後、一意OpenID Connect主体識別子に自動的に切り替えます。これによりユーザーのフェデレーションIDの事前設定が行えます。

フロントエンド認証のためのPKCE

OpenID Connect認証コードフローを使うのが難しいかもしれません。このフローはトークン交換の一部としてclient_secretを必要とします。ウェブアプリケーションにclient_secretをコード化することはセキュリティ・リスクです。OpenID Connectでは、PKCE（Proof Key for Code Exchange）と呼ばれる代替フローを許可しています。PKCEは異なる認証方法を使用します。NICE CXoneはフロントエンドの統合のためにPKCEフローをサポートしています。

ログイン認証コードを非アクティブ化します

必須の権限：ログイン認証コードの無効化

ログイン認証コードのページで、システムおよびSAML 2.0ログイン認証コードを非アクティブ化できます。

非アクティブ化されたログイン認証コード(LA)に割り当てられたすべてのユーザーは、CXoneへのアクセスを失います。これらのユーザーは、パスワードを忘れた場合リンクを使用してアカウントをアクティブ化したり、パスワードを変更したりすることもできません。ユーザーにはアクセス不能の通知は届きません。彼らはお客様が次のことをするまでアクセス権を回復することはできません：

アクティブなLAに割り当てます。
割り当てられたLAを再アクティブ化します。

ユーザーからのアクセス権剥奪を避けるため、非アクティブ化する前に別のLAにユーザーを割り当ててください。

アプリセレクターをクリックして、選択Admin。
セキュリティ設定>ログイン認証コードの順にアクセスします。
非アクティブ化したいログイン認証コードを探します。
アクションをクリックします。
非アクティブ化をクリックします。