Microsoft Azureを外部IDプロバイダーとして使用するCXone認証のセットアップ

このページでは、外部IDプロバイダー(IdP)としてMicrosoft Azureを使用したCXoneシステムの認証設定をステップバイステップで説明します。既存のCXoneシステムのIdPとしてAzureをセットアップする場合は、ここで説明するタスクの一部を実行する必要はありません。代わりに、Azureヘルプページを使用してフェデレーションを管理するを参照してください。

始める前に

  • 以前のようなプロセスを設定したことがなければ、認証と認可のコンセプトと用語の基本理解を取得します。
  • CXoneで初めて認証を使用する場合は、CXone固有のプロセスを確認してください。
  • 人間のユーザーと彼らが必要とするアクセスレベルを考慮してください。アクセスが多い人ほど、セキュリティレベルを高くするべきかどうかを決定します。
  • カスタムパスワードの要求、多要素認証(MFA)、またはその両方を使用して実施するかどうかを決定します。
  • 決定した内容をもとに、ログイン認証のリストを作成します。このリストには、各ログイン認証コードで使用するパスワードの要件とMFAステータスが含まれている必要があります。
  • ボットやインテリジェントバーチャルアシスタント(IVA)のようなアプリケーションの認証と認可を含める必要があるかどうかを検討してください。その場合、アクセスキーを作成する必要があります。
  • SAML 2.0認証プロトコルについて理解します。CXoneAzure統合のためにSAML 2.0をサポートします。
  • IdPとプロトコルの組合せを評価し、ユースケースとユーザーフローが確実にサポートされ、潜在的な問題を確実に特定できるようになります。これは、実際の試験を含みます。

NICE CXoneチームは、この計画プロセスをサポートし、ガイドすることができます。計画をうまく立てると、実施がよりスムーズになります。目先のニーズで認証・認可を導入すると、問題が発生する可能性が高くなります。

これらの各タスクを指定された順序で実行します。

始める前に、 Microsoft AzureID管理コンソールにアクセスできることを確認します。アプリケーションを作成する必要があります。

SAML 2.0によりAzureアプリケーションを作成および構成する

  1. AzureAD管理アカウントにログインします。
  2. アプリケーションを作成します。
    1. エンタープライズアプリケーション>新規アプリケーションの順にクリックします。
    2. 独自アプリケーションの作成をクリックします。
    3. 名前(例: NICE CXone)を入力します。
    4. ギャラリーにない他のアプリケーション(ノンギャラリー) を統合するを選択します。
    5. 作成をクリックします。
  3. 適切なユーザーとグループを割り当てる。
  4. シングルサインオンの設定で、はじめるをクリックし、SAMLを選択します。
  5. ベーシックSAML設定パネルで、 編集 をクリックし、SAML を構成します:
    1. 識別子(エンティティID)の下で、識別子の追加をクリックし、 https://cxone.niceincontact.com/need_to_changeを入力します。この値は、後で受け取ったURLに変更します。
    2. 返信URLの下で、返信URLの追加をクリックし、オーディエンスURIフィールドに、 https://cxone.niceincontact.com/need_to_changeを入力します。この値は、後で受け取ったURIに変更します。
  6. 保存をクリックし、ベーシックSAML設定パネルを閉じます。
  7. 属性とクレームのセクションで、正しい一意のユーザー識別子を選択します。選択する値は、 CXone外部アイデンティティになります。
  8. AzureADは自動的にSAML署名証明書を作成するはずです。証明書(Base64)という名前の証明書をダウンロードします。
  9. SAML署名証明書パネルで、 編集をクリックし、次に、
    1. 署名オプションSAML返答の署名に変更します。
    2. 保存をクリックし、SAML署名証明書パネルを閉じます。このファイルは、 CXoneの設定用に保管します。
  10. <application name>セットアップパネルで、 ログインURL の値をコピーします。これをCXoneの設定として保管します。
  11. ウインドウを開けたままにします。次のタスクで受け取る値に基づいて、 Azureのアプリケーション設定を変更します。

場所を設定する

必須の権限ロケーション管理の作成

ユーザーが特定のIPアドレスからログインすることを要求する場合は、許可するIPアドレス、IPアドレス範囲、またはIPアドレスサブネットを含む場所を作成します。ユーザーに設定された場所を要求する場合、そのユーザーはログインするために正しい認証情報とIPアドレスの両方を持っている必要があります。持っていない場合、ログイン試行は失敗し、エラーが表示されます。一度に最大20か所の場所を設定でき、場所ごとに最大10個のルールを設定できます。

  1. アプリセレクターをクリックして、選択Admin
  2. 場所 > 場所の定義に移動します。
  3. 新しい場所をクリックします。
  4. 場所にわかりやすい名前を付けます。場所についての詳細を追加する場合は、説明を入力します。
  5. 場所の種類を示すために、デフォルトの場所として設定またはリモート場所を選択できます。デフォルトの場所は1つだけ設定できます。これらのフィールドは現在、機能には影響しません。選択するのは、自分の参照のためのみです。
  6. 残りのフィールドを使用して、実際の住所、国、GPS座標、タイムゾーン、割り当て済みグループなど、必要なその他の情報を追加します。これらのフィールドは現在何にも影響を及ぼさず、そこに入力された情報は自身の参照用としてのみ使用されます。

    ,割り当て済グループフィールドにグループを追加すると、そのグループに属するユーザーが[割り当て済ユーザー]タブに表示されます。ただし、場所の設定は適用されません。ログイン認証コードに場所を割り当てると、その場所はそのログイン認証コードに割り当てられているユーザーに適用され、IPアドレスに基づいてログイン機能が制限されます。ただし、これらのユーザーは[割り当て済ユーザー]タブには表示されません。

  7. 保存をクリックします。

  8. [場所の定義]ページに戻り、作成した場所をクリックして開きます。

  9. [自動検出ルール]タブをクリックします。

  10. 新しいルールを作成します。そうするためには:

    1. [新規ルール]をクリックします。

    2. ルールにわかりやすい名前を付けます。

    3. 次の中からルールタイプを選択します。

      • リスト:この場所で許可された特定のIPアドレスのリスト。たとえば、100.0.1.100100.0.1.101100.0.1.102などです。

      • 範囲:この場所で許可されたIPアドレスの範囲。たとえば、100.0.1.100~100.0.1.125です。

      • サブネット:この場所で許可されたサブネット。たとえば、100.0.0.1/32です。

    4. 次のいずれかのIPバージョンを指定します。

      • IPV4:32ビットのIPアドレス

      • IPV6:128ビットの16進アドレス。

    5. 前の手順の例の形式に従って、ルール定義フィールドに実際のIPアドレス、範囲、またはサブネットを入力します。リストを選択した場合は、最大100個のIPアドレスを入力できます。範囲またはサブネットを選択した場合は、1つの値のみを入力できます。

    6. クリック確認

  11. 必要に応じてルールを追加します。最大10個まで追加できます。

  12. 保存をクリックします。

CXoneSAML 2.0でのログイン認証コードを設定します

必須の権限ログイン認証機能の作成

  1. アプリセレクターをクリックして、選択管理者
  2. セキュリティ > ログイン認証機能システムをクリックします。
  3. 新規ログイン認証コードをクリックします。
  4. ログイン認証機能システムの名前説明を入力します。
  5. SAML認証タイプとして選択します。
  6. ユーザーが特定のIPアドレスからログインすることを要求する場合は、前のセクションで設定した場所を選択します。

  7. Azureから受け取ったSAML要求エンドポイントエンドポイントURLとして入力します。
  8. ファイルの選択をクリックし、前の作業でAzureからダウンロードした公開署名証明書を選択します。このファイルは、PEMファイルでなければなりません。それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他の追加テキストが含まれることになります。
  9. 割り当て済みユーザーのタブをクリックします。作成しているログイン認証コードに割り当てるユーザーを選択します。従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

  10. 保存&アクティブ化をクリックします。
  11. ログインオーセンティケーターを開きます。
  12. エンティティIDACS URLの2つの読み取り専用フィールドが追加で表示されていることが見られます。この値をメモしておきます。それらはCXone値をAzureに追加するタスクで必要になります。

CXone値をAzureに追加する

  1. Azureアプリケーションに戻り、ベーシックSAML設定パネルパネルで編集をクリックします。
  2. 識別子(エンティティID)には、 CXoneログイン認証で取得したエンティティID値を入力します。
  3. 返答URLには、CXoneログイン認証のACSURL値を入力します。
  4. 保存をクリックし、ベーシックSAML設定パネルを閉じます。
  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    1. IDプロバイダーが、使用しなければならない値を決定します。この値は、 Azure一意のユーザー識別子およびCXone外部アイデンティティと正確に一致する必要があります。

  6. ユーザーににログインしてもらいます。最新のログインURLを使用する必要があります。ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。

Azureシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各従業員外部アイデンティティが正しい値に設定されていることを確認します。この値は、 Azure一意のユーザー識別子およびCXone外部アイデンティティと正確に一致する必要があります。

  2. 1人以上のテストユーザーに、最新のログインURLでログインしてもらう。ユーザー名を入力後、必要に応じて Azureに誘導されます。

  3. 準備ができたら、Azureシングルサインオンをすべての従業員に展開します。

OpenID ConnectAzureアプリケーションを設定します。

  1. Azure管理アカウントにログインします。

  2. アプリ登録の下で、新規登録をクリックします。

  3. 認証>ウェブに移動します。

  4. この時点ではわからないリダイレクトURIを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。

  5. 証明書とシークレットをクリックします。

  6. 認証方法として、client_secret_basicまたはclient_secret_postを選択します。認証方法であるprivate_key_jwtは、現在CXoneではサポートされていません。

  7. クライアントシークレットフィールドで、新規クライアントシークレットを選択します。

  8. 説明を追加し、期限切れを選択します。

  9. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。CXoneでログイン認証コードを設定する際に、これらを使用する必要があります。

  10. トークン設定>オプション申請に移動します。

  11. オプション申請の追加をクリックします。

  12. トークンタイプとしてIDを選択します。

  13. Eメールを選択し、メールアドレスを追加します。

  14. 保存をクリックします。

OpenID ConnectCXoneログイン認証コードを設定します

  1. アプリセレクターをクリックして、選択Admin

  2. セキュリティ設定>ログイン認証コードの順にアクセスします。

  3. 新しいログイン認証コードをクリックするか、編集するログイン認証コードを選択します。
  4. ログイン認証コードの名前説明を入力します。
  5. OIDC認証タイプとして選択します。
  6. ユーザーが特定のIPアドレスからログインすることを要求する場合は、前のセクションで設定した場所を選択します。

  7. Azureのディスカバリーエンドポイントがある場合は、ディスカバー設定をクリックします。検出エンドポイントを入力し、検出をクリックします。残りのフィールドは自動的に入力されます。ディスカバー設定Salesforceディスカバリーエンドポイントでは動作しません。
  8. クライアントIDクライアントパスワードを入力します。クライアントの確認パスワードにパスワードを再入力します。クライアント識別子は、Azureによってアカウントに割り当てたログインIDです。
  9. Azureからのディスカバリーエンドポイントがない場合は、Azure提供の発行者JsonWebKeySetエンドポイント認証エンドポイントトークンエンドポイントユーザー情報エンドポイントおよび失効エンドポイントおよびセッション終了エンドポイントを入力します。

  10. クライアント認証方式を選択します。選択する方法は、前のタスクで設定したものと一致していなければなりません。これは、Azureがサポートしている認証方法でなければなりません。
  11. FICAMプロフィールを有効にするを選択して、米国政府固有の設定をオンにすることができます。このステップはFedRAMPユーザー専用です。
  12. 割り当て済みユーザーのタブをクリックします。作成しているログイン認証コードに割り当てるユーザーを選択します。従業員プロファイルで、ユーザーを直接ログイン認証コードに割り当てることもできます。

  13. 保存&アクティブ化をクリックして、提供された情報を検証し、CXoneアカウントをAzureアカウントにリンクします。
  14. ログインオーセンティケーターを開きます。
  15. サインインリダイレクトURIサインアウトリダイレクトURI。それらはAzure設定を更新するために必要です。

  16. Azure設定を更新し、前のタスクで使用したプレースホルダーを、先ほど説明した値に置き換えます。

  17. ログイン認証コードを使用する各ユーザーのCXone外部アイデンティティが正しい値に設定されていることを確認します。このフィールドは、従業員プロフィールのセキュリティセクションでアクセスできます。

    Azureは、使用しなければならない値を決定します。これは、Azureのユーザープロファイルで確認できます。この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。このフィールドの値は次の形式でなければなりません:claim(email):{email configured by your IdP}。たとえば、IdPにあるユーザーのEメールがnick.carraway@classics.com の場合、 claim(email):nickcarraway@classics.comと入力するはずです。

  18. ユーザーにCXoneにログインしてもらいます。最新のログインURLを使用する必要があります。ユーザー名を入力後、必要に応じてAzureに転送されます。

  19. Azureに自分のアカウントを認証するよう求められたら、現在にログインしているCXoneアカウントに関連付けたいAzureのユーザーとして認証します。
  20. CXoneOpenID Connect設定が検証済みとして表示されない場合、Azureのログを使用して問題を診断してください。

ロールを作成

必須の権限: 役割管理の作成

  1. アプリセレクターをクリックして、選択管理者
  2. セキュリティ設定>役割&権限に移動します。
  3. 新しい役割をクリックします。
  4. 役割の名前を入力し、オプションで説明を入力します。

    ロールの説明は200文字を超えることはできません。

  5. 権限タブをクリックします。
  6. 役割の権限を構成します。権限はCXoneアプリケーションごとに分類されており、CXoneシステムの一部であるアプリケーションのみを表示できます。左側のロールカテゴリをクリックして、それらの間を移動します。

  7. 作成(または編集)する役割に、CXoneの4つの標準の(OOTB)役割の1つと同様の権限がある場合は、デフォルトに設定をクリックし、関連するOOTBの役割(エージェントマネージャー管理者、 または評価者)をドロップダウンから選択し、適用をクリックします。権限は、選択した標準の役割に従って設定されます。役割の必要に応じて、権限を変更します。
  8. 権限の設定が完了したら、保存をクリックしてロールをドラフトステータスで保存するか、保存してアクティブ化をクリックしてロールをアクティブステータスで保存します。役割を有効にするまで、ユーザーに役割を割り当てることはできません。

従業員の作成または編集

必要な権限: 従業員の作成

既存のCXone事業単位に対して外部IdPによる認証を設定する場合、新しいユーザーアカウントを作成する必要はありません。ただし、ユーザーアカウントを編集し、外部アイデンティティタイプ外部アイデンティティ フィールドを設定する必要があります。これは、外部IdPを経由して認証する各ユーザーに対して行う必要があります。フィールドについては、このタスクのステップ8で説明しています。

以下を使って、従業員アカウントを追加することができます。

ここでは、アプリケーションで従業員アカウントを1つ作成する場合の指示を説明します。会社がACDを使用している場合、この従業員のACDユーザー設定を構成することも必要です。

CXoneは、従業員をカスタマイズするための多くのオプションと設定を提供します。このタスク全体に目を通してください。事前に必要な設定を確認してください。

従業員を追加するには:

  1. アプリセレクターをクリックして、選択Admin

  2. 従業員>従業員作成をクリックします。

  3. 従業員のおよびを入力します。ミドルネーム はオプションです。

  4. 有効なEメールアドレスを入力してください。CXoneは、アクティベーションの案内やパスワード確認コードなどのメールをここに送信します。複数の従業員に同じ電子メールアドレスを使用できます。従業員のメールアドレスを編集すると、確認のメールが新しいメールアドレスに送信されます。

  5. 従業員に割り当てるユーザー名 を入力します。ユーザー名は、電子メールアドレスの形式でなければなりません。このフィールドは、 Eメールアドレスフィールドから自動入力されます。必要に応じて変更できます。

  6. ドロップダウンから プライマリ役割を従業員に割り当てます。

  7. 一般タブのフィールドを完了します。

    一般タブのフィールドの詳細

    フィールド

    詳細

    表示名 従業員に割り当てる表示名を入力します。他のチームのユーザーも、表示名をみることができます。従業員を表示権限を有効にしていないかぎり、従業員に関するその他の情報を見ることはできません。
    タイプ 種類を使用して、ロールチームに割り当てられた以外の従業員を編成します。タイプは、権限や不在応答コードに縛られることはありません。これにより、レポーティングが容易になります。ドロップダウンから以前に作成した種類を選択できます。また、検索バーにテキストを入力して作成をクリックすることにより、新しいタイプを作成することもできます。
    雇用日 従業員を雇った日。このフィールドは、あなたの記録用です。CXoneはこの情報を使用しません。
    タイムゾーン 従業員は、変更しない限り、テナント閉じた テクニカルサポート、請求、およびCXone環境のグローバル設定の管理に使用される高レベルの組織グループのタイムゾーンに自動的に割り当てられます。
    OSログイン 従業員が使用するオペレーティングシステム。CXone Recordingアプリケーションは、画面記録のためにこの情報を必要とします。このフィールドではフリーテキストを使用することができ、Windows 10などのオペレーティングシステムに関連するテキスト文字列を含めることができます。

    ランク

    このフィールドは、環境内にCXone WFMがある場合にのみ表示されます。スケジュール作成時の優先順位を決定します。

    割り当て先チーム ドロップ-ダウンメニューからチームを選択して、従業員をチームに割り当てます。

    チームをまだ作成していない場合、または従業員が新しいチームに所属する場合は、既定のチームの設定をそのまま受け入れ、後で変更することができます。

    グループに割り当て ドロップ-ダウンメニューからグループを選択して、従業員を1つ以上のグループに割り当てます。
    スケジューリング単位に割り当て このフィールドは、システムにCXone WFMが含まれている場合にのみが表示されます 。従業員のスケジューリング単位を指定します。
    携帯電話番号 従業員のモバイルまたは携帯電話番号。このフィールドは、あなたの記録用です。CXoneはこの情報を使用しません。
    属性

    このドロップダウンで、従業員に関連する属性を選択します。

    • 評価/指導可能—この属性は、システムがCXone QMを含む場合にのみ表示されます。これにより、従業員の評価が可能になり、この従業員に対してCXone QMの請求がされます。

      新規従業員にはデフォルト値が選択されています。既存のユーザーがいるシステムにCXone QMを追加する場合は、それらのユーザーに対してこの設定を手動で有効にする必要があります。

    • レコード可能(画面)—この属性は、システムにCXone Recordingアドバンスが含まれている場合にのみ表示されます。これにより、従業員の画面を記録できるようになり、この従業員の画面記録に対して請求が行われます。

      新規従業員にはデフォルト値が選択されています。既存のユーザーがいるシステムに CXone Recording高度を追加する場合は、それらのユーザーに対してこの設定を手動で有効にする必要があります。

    • レコード可能(音声)—この属性は、システムに CXone Recording/CXone Recordingアドバンスが含まれている場合にのみ表示されます。これにより、従業員の音声を録音できるようになります。この従業員の音声録音に対して請求されます。

      新規従業員にはデフォルト値が選択されています。既存のユーザーがいるシステムにCXone Recording/CXone Recording高度を追加した場合は、それらのユーザーに対してこの設定を手動で有効にする必要があります。

    • スケジュール可能—この属性は、システムにCXone WFMが含まれている場合にのみ表示されます。これにより、従業員をスケジュールすることができます。この従業員に対してCXone WFMが請求されます。

      新規従業員にはデフォルト値が選択されています。既存のユーザーがいるシステムにCXone WFMを追加する場合は、それらのユーザーに対してこの設定を手動で有効にする必要があります。この属性が選択されていないユーザーは、週次ルールまたはシフトテンプレートを作成するときに従業員リストに表示されません。ユーザーからこの属性を削除すると、そのユーザーは、ユーザーが割り当てられている週次ルールまたはシフトテンプレートから削除されます。

    • 分析可能—この属性は、システムが Interaction Analyticsを含む場合にのみ表示されます。この属性を選択すると、従業員の記録されたインタラクションはInteraction Analyticsで分析されます。 .この従業員に対してInteraction Analyticsが請求されます。

      新しい従業員のデフォルト値はクリアされています。

    • BIレポートを編集可能—この属性が選択されている従業員は、適切な権限を持っている限り、レポーティングアプリケーションで任意のBIレポートを編集可能。

      デフォルト値は、既存および新規のすべての従業員に対してクリアされます。

    • BIレポートを表示可能—従業員は、この属性を持つすべてのBIレポートを開くことができます。レポートはレポーティングアプリケーションにありますが、社員はそこでレポートを閲覧する権限を持っている必要があります。BIレポートでは料金モデルに応じて、同時ユーザーまたは構成済みユーザーの使用料は、最大で10%かかりません。10%のしきい値を超えると、このチェックボックスを選択すると、追加の従業員ごとに請求が行われます。

      デフォルト値は、既存および新規のすべての従業員に対してクリアされます。

    • 顧客カード—この属性により、デジタルコンタクトを使用しない従業員は、オムニチャネルでルーティングされた音声、チャット、電子メール、およびCXone SMSメッセージングコンタクトに使用可能な顧客カードにアクセスできます。

      新しい従業員のデフォルト値はクリアされています。

    • デジタルエンゲージメント—この属性は、システムにDigital Experienceが含まれている場合にのみ表示されます 。この属性を選択すると、従業員の録音がDigital Experienceに同期され、デジタルコンタクトで作業できるようになります。この従業員に対してDigital Experienceが請求されます。新しい従業員のデフォルト値はクリアされています。

  8. 作成をクリックして従業員プロファイルを作成し、設定を続行します。ユーザーがアカウントをアクティブ化してパスワードを設定する準備ができている場合は、作成して招待をクリックします。

アプリケーションの認証

ユーザーとアプリケーションは、非常によく似た方法で認証されます。主な違いは、アプリケーションはアクセスキーで認証されるのに対し、ユーザーはユーザー名とパスワードで認証されることです。ユーザーと違って、アプリケーションはブラウザーを通してやりとりする必要はありません。アプリケーションは通常、バックオフィス機能またはインテリジェントバーチャルエージェント閉じた 人工知能に基づいてユーザーと対話するチャットボットまたは類似のアプリケーション(IVA)です。

CXoneとやり取りするアプリケーションを設定するには、と従業員プロファイルを作成し、アプリケーションにちなんでプロファイルに名前を付けます。次に、アプリケーションユーザーのアクセスキーを以下のように作成します。

必須の権限: 従業員の編集

  1. アプリセレクターをクリックして、選択管理者
  2. 従業員をクリックして、編集している従業員プロファイルをクリックして開きます。
  3. セキュリティタブをクリックします。

  4. アクセスキーを追加をクリックします。
  5. アクセスキーIDを安全な場所にコピーしてください。
  6. 秘密鍵の表示をクリックして、秘密鍵を安全な場所にコピーします。
  7. 保存をクリックします。

CXoneでの認可

認可は、ユーザーがどのリソースへのアクセスを許可されているかを確認するプロセスです。リソースには、アプリケーション、ファイル、データが含まれます。ロールベースのアクセスコントロールにより、ユーザーのリソースへのアクセスを定義できます。CXoneは、認証時に自動的に認可を管理します。ユーザーが認証されると、認可されたリソースへのアクセスのみが許可されます。

ユーザーの認証方法は、認可に影響を与えません。CXoneは、全てのユーザーに対して同じ認可プロセスを使用します。アクセスキーで認証されるか、パスワードで認証されるかは問題ではありません。