ログイン認証システムを管理

ログイン認証コードは、ユーザーがCXoneにログインする方法を管理します。CXoneは、ユーザーに割り当てられたログイン認証コード、およびそのログイン認証コードのタイプと設定に基づき、内部認証と外部認証の両方に対応しています。

CXoneの認証と認可の詳細については、 こちらをクリックしてください。

場所を設定する

必須の権限ロケーション管理の作成

ユーザーが特定のIPアドレスからログインすることを要求する場合は、許可するIPアドレス、IPアドレス範囲、またはIPアドレスサブネットを含む場所を作成します。ユーザーに設定された場所を要求する場合、そのユーザーはログインするために正しい認証情報とIPアドレスの両方を持っている必要があります。持っていない場合、ログイン試行は失敗し、エラーが表示されます。一度に最大20か所の場所を設定でき、場所ごとに最大10個のルールを設定できます。

  1. アプリセレクターをクリックして、選択Admin
  2. 場所 > 場所の定義に移動します。
  3. 新しい場所をクリックします。
  4. 場所にわかりやすい名前を付けます。場所についての詳細を追加する場合は、説明を入力します。
  5. 場所の種類を示すために、デフォルトの場所として設定またはリモート場所を選択できます。デフォルトの場所は1つだけ設定できます。これらのフィールドは現在、機能には影響しません。選択するのは、自分の参照のためのみです。
  6. 残りのフィールドを使用して、実際の住所、国、GPS座標、タイムゾーン、割り当て済みグループなど、必要なその他の情報を追加します。これらのフィールドは現在何にも影響を及ぼさず、そこに入力された情報は自身の参照用としてのみ使用されます。

    ,割り当て済グループフィールドにグループを追加すると、そのグループに属するユーザーが[割り当て済ユーザー]タブに表示されます。ただし、場所の設定は適用されません。ログイン認証コードに場所を割り当てると、その場所はそのログイン認証コードに割り当てられているユーザーに適用され、IPアドレスに基づいてログイン機能が制限されます。ただし、これらのユーザーは[割り当て済ユーザー]タブには表示されません。

  7. 保存をクリックします。

  8. [場所の定義]ページに戻り、作成した場所をクリックして開きます。

  9. [自動検出ルール]タブをクリックします。

  10. 新しいルールを作成します。そうするためには:

    1. [新規ルール]をクリックします。

    2. ルールにわかりやすい名前を付けます。

    3. 次の中からルールタイプを選択します。

      • リスト:この場所で許可された特定のIPアドレスのリスト。たとえば、100.0.1.100100.0.1.101100.0.1.102などです。

      • 範囲:この場所で許可されたIPアドレスの範囲。たとえば、100.0.1.100~100.0.1.125です。

      • サブネット:この場所で許可されたサブネット。たとえば、100.0.0.1/32です。

    4. 次のいずれかのIPバージョンを指定します。

      • IPV4:32ビットのIPアドレス

      • IPV6:128ビットの16進アドレス。

    5. 前の手順の例の形式に従って、ルール定義フィールドに実際のIPアドレス、範囲、またはサブネットを入力します。リストを選択した場合は、最大100個のIPアドレスを入力できます。範囲またはサブネットを選択した場合は、1つの値のみを入力できます。

    6. クリック確認

  11. 必要に応じてルールを追加します。最大10個まで追加できます。

  12. 保存をクリックします。

システムログイン認証コードの設定

必須の権限: パスワードの管理ができる、オン

CXoneには、デフォルトのシステムログイン認証コードがありますが、自分で作成することもできます。特定のロールのログイン認証機能を構成した後、ユーザーがパスワードを設定または変更しようとすると、パスワードフィールドに構成済みのログイン認証機能ルールが表示されます。

  1. アプリセレクターをクリックして、選択Admin
  2. セキュリティ設定 > ログイン認証サーバの順に選択します。
  3. 新規ログイン認証コードをクリックします。

  4. ログインオーセンティケーターの一意の名前を入力します。

  5. 必要に応じて説明を入力します。

  6. 認証タイプとして[システム]を選択します。

  7. ユーザーが特定のIPアドレスからログインすることを要求する場合は、前のセクションで設定した場所を選択します。

  8. パスワードの複雑さを設定します。

    各ユーザーのパスワードは、一般的に使用されるパスワードのリポジトリに対してチェックされます。彼らのパスワードが一般的に使用されるパスワードに一致した場合、彼らは新しいパスワードを作成するよう強制されます。拒否されるパスワードの例を以下に示します:

    • 「password.」という語句を含むパスワード(Password@1234など)。

    • ユーザーのEメールアドレス、ユーザー名、姓、またはシステム名を含むパスワード。

    パスワードは以下の場合にリポジトリに対して照合されます:

    • 新規ユーザーがアクティブ化されたとき。

    • ユーザーのパスワードの期限が切れたとき。

    • ユーザーがパスワードをリセットしたとき。

  9. 多要素認証を有効にする場合は、多要素認証が必要を選択します。MFAタイプをHOTP(HMACベース)TOTP(時間ベース)に設定します。

  10. パスワードポリシーを設定します。

  11. 保存&アクティブ化をクリックします。

SAML 2.0で外部ログイン認証コードを設定します

ユーザーのパスワードを他のシステム、またはIDプロバイダーで管理したい場合、外部認証を使用することができます。CXoneは現在、SAML 2.0OpenID Connectのフェデレーションプロトコルに対応しています。

この項の手順で、IdP開始認証またはSP開始認証を設定できます。

IdP主導認証:IdPはアイデンティティー プロバイダーを意味します。IdP主導認証とは、外部IDプロバイダーがログインプロセスを開始することを意味しています。

SP主導認証:SPはサービスプロバイダーを意味します。SP主導認証とは、CXoneがログインプロセスを開始することを意味します。

Salesforce Agentエージェントを使用する場合は、外部アイデンティティプロバイダー(IdP)をSP起動型認証に設定する必要があります。

  1. 外部アイデンティティプロバイダーへのアクセス権があることを確認します。CXoneに固有の統合を作成する必要があります。
  2. 外部 ID プロバイダーで統合を作成します。システムによって、これらの統合の名称が異なるため、 OktaまたはAzureの具体的な説明を参照してください。
    1. この時点ではわからないエンティティIDを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    2. この時点ではわからないACSのURLを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    3. アイデンティティプロバイダーは、SAMLリクエストを送信する必要がある特定の URL を生成します。このURLをコピーして、見つけやすい場所に保存してください。この値を以降のステップで再度入力します。
    4. アイデンティティプロバイダーは、統合のための公開署名証明書を生成します。証明書をダウンロードします。これは以降のステップで再度入力します。
  3. CXoneに外部ログイン認証コードを作成します。
    1. アプリセレクターをクリックして、選択管理者
    2. [セキュリティ] > [ログイン認証機能]をクリックします。
    3. ログイン認証機能の名前説明を入力します。
    4. SAMLとして認証タイプを選択します。
    5. ユーザーが特定のIPアドレスからログインすることを要求する場合は、前のセクションで設定した場所を選択します。

    6. FICAMを選択した場合、SAML応答には単一のAuthnContextClassRefエントリが必要です。また、アサーション件名のNamespaceURIは、urn:oasis:names:tc:SAML:2.0:assertionである必要があります。AuthnContextClassRefフィールドとNamespaceURIフィールドは、IDプロバイダーによって制御されます。
    7. 上記のプロバイダーから受け取ったSAMLリクエストエンドポイントエンドポイントURLプロバイダーとして入力します。
    8. ファイルの選択をクリックし、前の作業でプロバイダーから受信した公開署名証明書を選択します。このファイルは、PEMファイルでなければなりません。それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他のテキストが含まれることになります。
    9. 割り当て済みユーザーのタブをクリックします。作成しているログイン認証コードに割り当てるユーザーを選択します。従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

    10. [保存してアクティブ化]をクリックします。
    11. ログイン認証機能を開きます。
    12. エンティティIDACS URLをメモしてください。IdP設定を更新する際に必要になります。

  4. アイデンティティプロバイダーの設定を更新し、上記で使用したプレースホルダーを先程の値に置き換えます。

  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。このフィールドは、従業員プロフィールのセキュリティセクションでアクセスできます。

    IDプロバイダーが、使用しなければならない値を決定します。この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。

  6. ユーザーにログインしてもらう。最新のログインURLを使用する必要があります。ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに誘導されます。

OpenID Connectを使用した外部ログイン認証者の作成

必須の権限ログイン認証機能の作成

ユーザーのパスワードを他のシステム、またはIDプロバイダーで管理したい場合、外部認証を使用することができます。CXoneは現在、SAML 2.0OpenID Connectのフェデレーションプロトコルに対応しています。

この項の手順で、IdP開始認証またはSP開始認証を設定できます。

IdP主導認証:IdPはアイデンティティー プロバイダーを意味します。IdP主導認証とは、外部IDプロバイダーがログインプロセスを開始することを意味しています。

SP主導認証:SPはサービスプロバイダーを意味します。SP主導認証とは、CXoneがログインプロセスを開始することを意味します。

Salesforce Agentエージェントを使用する場合は、外部アイデンティティプロバイダー(IdP)をSP起動型認証に設定する必要があります。

  1. 外部アイデンティティプロバイダーへのアクセス権があることを確認します。CXoneに固有の統合を作成する必要があります。
  2. 外部 ID プロバイダーで統合を作成します。
    1. この時点ではわからないサインインリダイレクトURIを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    2. この時点ではわからないサインアウトリダイレクトURIを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    3. アイデンティティープロバイダーはクライアントIDとクライアントシークレットを生成します。これらの値をコピーして、見つけやすいところに保存してください。この値を以降のステップで再度入力する必要があります。
  3. CXoneに外部ログイン認証コードを作成します。
    1. アプリセレクターをクリックして、選択Admin

    2. セキュリティ設定>ログイン認証コードの順にアクセスします。

    3. 新規作成をクリックするか、編集するログイン認証コードを選択します。
    4. ログイン認証コードの名前説明を入力します。
    5. OIDCとして認証タイプを選択します。
    6. ユーザーが特定のIPアドレスからログインすることを要求する場合は、前のセクションで設定した場所を選択します。

    7. IdPのディスカバリーエンドポイントがある場合は、ディスカバー設定をクリックします。検出エンドポイントを入力し、検出をクリックします。残りのフィールドは自動的に入力されます。ディスカバー設定Salesforceディスカバリーエンドポイントでは動作しません。
    8. クライアント識別子クライアントパスワードを入力します。クライアントの確認パスワードにパスワードを再入力します。クライアント識別子は、IdPがアカウントに割り当てるログインIDです。
    9. IdPのディスカバリーエンドポイントがない場合は、IdP提供の発行者JsonWebKeySetエンドポイント認証エンドポイントトークンエンドポイントUserInfoエンドポイントおよび失効エンドポイントおよびセッション終了エンドポイントを入力します。

    10. クライアント認証方式を選択します。選択するメソッドは、IdPがサポートしている認証メソッドでなければなりません。private_key_jwtを選択した場合、 暗号化の有効化お客様のクライアント秘密キーを入力する必要があります
    11. FICAMプロファイルを有効にするを選択して、米国政府固有の設定をオンにすることができます。
    12. 割り当て済みユーザーのタブをクリックします。作成しているログイン認証コードに割り当てるユーザーを選択します。従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

    13. 保存&アクティブ化をクリックして、提供された情報を検証し、CXoneアカウントをIdPアカウントにリンクします。
    14. ログイン認証機能を開きます。
    15. サインインリダイレクトURIおよびサインアウトリダイレクトURIをメモします。IdP設定を更新する際に必要になります。

  4. アイデンティティプロバイダーの設定を更新し、上記で使用したプレースホルダーを先程の値に置き換えます。

  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。このフィールドは、従業員プロフィールのセキュリティセクションでアクセスできます。

    IDプロバイダーが、使用しなければならない値を決定します。この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。このフィールドの値は次の形式でなければなりません:claim(email):{email configured by your IdP}。たとえば、IdPにあるユーザーのEメールがnick.carraway@classics.com の場合、 claim(email):nickcarraway@classics.comと入力するはずです。

  6. ユーザーにログインしてもらう。最新のログインURLを使用する必要があります。ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。

  7. IdPから認証を求められたら、現在ログインしているCXoneアカウントにに関連付けるIdPのユーザーとして認証します。
  8. CXoneOpenID Connectの設定が検証済みとして表示されない場合は、IdPログを使用して問題を診断してください。

新規ユーザーをクレームベースのOpenID Connectとリンクする

CXoneは、メールアドレスのように、異なるクレーム値を使い、最初のログインの時のユーザーアイデンティティを設定します。CXoneはその後、一意OpenID Connect主体識別子に自動的に切り替えます。これによりユーザーのフェデレーションIDの事前設定が行えます。

フロントエンド認証のためのPKCE

OpenID Connect認証コードフローを使うのが難しいかもしれません。このフローはトークン交換の一部としてclient_secretを必要とします。ウェブアプリケーションにclient_secretをコード化することはセキュリティ・リスクです。OpenID Connectでは、PKCE(Proof Key for Code Exchange)と呼ばれる代替フローを許可しています。PKCEは異なる認証方法を使用します。NICE CXoneはフロントエンドの統合のためにPKCEフローをサポートしています。

ログイン認証コードを非アクティブ化します

必須の権限ログイン認証コードの無効化

ログイン認証コードのページで、システムおよびSAML 2.0ログイン認証コードを非アクティブ化できます。

非アクティブ化されたログイン認証コード(LA)に割り当てられたすべてのユーザーは、CXoneへのアクセスを失います。これらのユーザーは、パスワードを忘れた場合リンクを使用してアカウントをアクティブ化したり、パスワードを変更したりすることもできません。ユーザーにはアクセス不能の通知は届きません。彼らはお客様が次のことをするまでアクセス権を回復することはできません:

  • アクティブなLAに割り当てます。

  • 割り当てられたLAを再アクティブ化します。

ユーザーからのアクセス権剥奪を避けるため、非アクティブ化する前に別のLAにユーザーを割り当ててください。

  1. アプリセレクターをクリックして、選択Admin
  2. セキュリティ設定>ログイン認証コードの順にアクセスします。
  3. 非アクティブ化したいログイン認証コードを探します。
  4. アクションログイン認証コードの右側にある3つの点を重ねたアイコン。をクリックします。
  5. 非アクティブ化をクリックします。