ログイン認証システムを管理

ログイン認証コードは、ユーザーがCXoneにログインする方法を管理します。CXoneは、ユーザーに割り当てられたログイン認証コード、およびそのログイン認証コードのタイプと設定に基づき、内部認証と外部認証の両方に対応しています。

CXoneの認証と認可の詳細については、 こちらをクリックしてください。

システムログイン認証コードの設定

必須の権限: パスワードの管理ができる、オン

CXoneには、デフォルトのシステムログイン認証コードがありますが、自分で作成することもできます。特定のロールのログイン認証機能を構成した後、ユーザーがパスワードを設定または変更しようとすると、パスワードフィールドに構成済みのログイン認証機能ルールが表示されます。

  1. アプリセレクターをクリックして、選択Admin
  2. セキュリティ設定 > ログイン認証サーバの順に選択します。
  3. 新規ログイン認証コードをクリックします。

  4. ログインオーセンティケーターの一意の名前を入力します。

  5. 必要に応じて説明を入力します。

  6. 認証タイプとして[システム]を選択します。

  7. パスワードの複雑さを設定します。

    各ユーザーのパスワードは、一般的に使用されるパスワードのリポジトリに対してチェックされます。彼らのパスワードが一般的に使用されるパスワードに一致した場合、彼らは新しいパスワードを作成するよう強制されます。拒否されるパスワードの例を以下に示します:

    • 「password.」という語句を含むパスワード(Password@1234など)。

    • ユーザーのEメールアドレス、ユーザー名、姓、またはシステム名を含むパスワード。

    パスワードは以下の場合にリポジトリに対して照合されます:

    • 新規ユーザーがアクティブ化されたとき。

    • ユーザーのパスワードの期限が切れたとき。

    • ユーザーがパスワードをリセットしたとき。

  8. 多要素認証を有効にする場合は、多要素認証が必要を選択します。MFAタイプをHOTP(HMACベース)TOTP(時間ベース)に設定します。

  9. パスワードポリシーを設定します。

  10. 保存&アクティブ化をクリックします。

外部ログイン認証コードをセットアップする

ユーザーのパスワードを他のシステム、またはIDプロバイダーで管理したい場合、外部認証を使用することができます。CXoneは現在、SAML 2.0OpenID Connectのフェデレーションプロトコルに対応しています。

この項の手順で、IdP開始認証またはSP開始認証を設定できます。

IdP主導認証:IdPはアイデンティティー プロバイダーを意味します。IdP主導認証とは、外部IDプロバイダーがログインプロセスを開始することを意味しています。

SP主導認証:SPはサービスプロバイダーを意味します。SP主導認証とは、CXoneがログインプロセスを開始することを意味します。

Salesforceエージェントを使用する場合は、外部アイデンティティプロバイダー(IdP)をSP起動型認証に設定する必要があります。IdPが提供する証明書は、明確なエンドポイントURLを持つSP開始型でなければなりません。エンドポイントURL なしの証明書—IdP開始型のみが動作しません。

SAML 2.0によるログイン認証コードのセットアップ

  1. 外部アイデンティティプロバイダーへのアクセス権があることを確認します。CXoneに固有の統合を作成する必要があります。
  2. 外部 ID プロバイダーで統合を作成します。システムによって、これらの統合の名称が異なるため、 OktaまたはAzureの具体的な説明を参照してください。
    1. この時点ではわからないエンティティIDを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    2. この時点ではわからないACSのURLを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    3. アイデンティティプロバイダーは、SAMLリクエストを送信する必要がある特定の URL を生成します。このURLをコピーして、見つけやすい場所に保存してください。この値を以降のステップで再度入力します。
    4. アイデンティティプロバイダーは、統合のための公開署名証明書を生成します。証明書をダウンロードします。これは以降のステップで再度入力します。
  3. CXoneに外部ログイン認証コードを作成します。
    1. アプリセレクターをクリックして、選択管理者
    2. [セキュリティ] > [ログイン認証機能]をクリックします。
    3. ログイン認証機能の名前説明を入力します。
    4. SAMLとして認証タイプを選択します。
    5. FICAMを選択した場合、SAML応答には単一のAuthnContextClassRefエントリが必要です。また、アサーション件名のNamespaceURIは、urn:oasis:names:tc:SAML:2.0:assertionである必要があります。AuthnContextClassRefフィールドとNamespaceURIフィールドは、IDプロバイダーによって制御されます。
    6. 上記のプロバイダーから受け取ったSAMLリクエストエンドポイントエンドポイントURLプロバイダーとして入力します。
    7. ファイルの選択をクリックし、前の作業でプロバイダーから受信した公開署名証明書を選択します。このファイルは、PEMファイルでなければなりません。それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他のテキストが含まれることになります。
    8. 割り当て済みユーザーのタブをクリックします。作成しているログイン認証コードに割り当てるユーザーを選択します。従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

    9. [保存してアクティブ化]をクリックします。
    10. ログイン認証機能を開きます。
    11. エンティティIDACS URLをメモしてください。IdP設定を更新する際に必要になります。

  4. アイデンティティプロバイダーの設定を更新し、上記で使用したプレースホルダーを先程の値に置き換えます。

  5. ログイン認証コードを、そのユーザーの役割を通じてユーザーに関連付けます。

  6. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    IDプロバイダーが、使用しなければならない値を決定します。この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。

  7. ユーザーにログインしてもらう。最新のログインURLを使用する必要があります。ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに誘導されます。

OpenID Connectによるログイン認証コードのセットアップ

お使いのシステムでOpenID Connectがまだ有効になっていない場合は、CXoneアカウント担当者にお問い合わせください。彼らはお客様のためにそれを有効にし、ログイン用のカスタムホスト名をセットアップするのを支援します。

  1. まだ行っていない場合は、IdPを構成します。クライアント識別子とクライアントシークレットをメモします。お客様のシステムに固有のリダイレクトURIを構成します。このURIは、NICE CXoneアカウント担当者に設定したカスタムホスト名に基づいています。
  2. アプリセレクターをクリックして、選択Admin

  3. セキュリティ設定>ログイン認証コードの順にアクセスします。

  4. 新しいログイン認証コードをクリックするか、編集するログイン認証コードを選択します。
  5. ログイン認証コードの名前説明を入力します。
  6. OIDC認証タイプとして選択します。
  7. IdPの検出エンドポイントがある場合は、設定の検出をクリックします。検出エンドポイントを入力し、検出をクリックします。残りのフィールドは自動的に入力されます。
  8. クライアントIDクライアントパスワードを入力します。クライアントの確認パスワードにパスワードを再入力します。クライアント識別子は、IdPがアカウントに割り当てるログインIDです。
  9. IdPのディスカバリーエンドポイントがない場合は、IdP提供の発行者JsonWebKeySetエンドポイント認証エンドポイントトークンエンドポイントUserInfoエンドポイントおよび失効エンドポイントを入力します。

  10. クライアント認証方式を選択します。選択するメソッドは、IdPがサポートしている認証メソッドでなければなりません。private_key_jwtを選択した場合、 暗号化の有効化お客様のクライアント秘密キーを入力する必要があります
  11. FICAMプロフィールを有効にするを選択して、米国政府固有の設定をオンにすることができます。
  12. 割り当て済みユーザーのタブをクリックします。作成しているログイン認証コードに割り当てるユーザーを選択します。従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

  13. 保存&アクティベートをクリックして、提供された情報を検証し、CXoneアカウントをIdPアカウントにリンクします。
  14. IdPから認証を求められたら、現在ログインしているCXoneアカウントにに関連付けるIdPのユーザーとして認証します。
  15. CXoneOpenID Connectの設定が検証済みとして表示されない場合は、IdPログを使用して問題を診断してください。

新規ユーザーをクレームベースのOpenID Connectとリンクする

CXoneは、メールアドレスのように、異なるクレーム値を使い、最初のログインの時のユーザーアイデンティティを設定します。CXoneはその後、一意OpenID Connect主体識別子に自動的に切り替えます。これによりユーザーのフェデレーションIDの事前設定が行えます。

フロントエンド認証のためのPKCE

OpenID Connect認証コードフローを使うのが難しいかもしれません。このフローはトークン交換の一部としてclient_secretを必要とします。ウェブアプリケーションにclient_secretをコード化することはセキュリティ・リスクです。OpenID Connectでは、PKCE(Proof Key for Code Exchange)と呼ばれる代替フローを許可しています。PKCEは異なる認証方法を使用します。NICE CXoneはフロントエンドの統合のためにPKCEフローをサポートしています。