Okta를 통한 페더레이션 관리

Okta는 CXone과 함께 사용할 수 있으며 지원되는 외부 ID 공급자(IdP) 중 하나입니다. 이 페이지에서는 Okta를 사용하여 CXone 시스템에 대한 인증을 설정하는 방법을 단계별로 안내합니다.

CXone 시스템의 초기 구현을 수행하는 경우 고려해야 할 추가 단계가 있습니다. 다음 온라인 도움말 페이지에서 이러한 고려 사항에 대한 설명을 읽어 보십시오.

• CXone의 인증 및 권한 부여
• Okta를 외부 ID 공급자를 사용하여 인증 및 권한 부여 설정하기

시작하기 전 Okta에 대한 액세스 권한이 있는지 확인해야 합니다. 애플리케이션을 생성해야 합니다.

SAML 2.0(으)로 Okta 애플리케이션 생성 및 구성

1. Okta 관리 계정에 로그인합니다.
2. 애플리케이션 메뉴 > 앱 통합 생성을 클릭합니다.
3. 방법으로 SAML 2.0을 선택하고 다음을 클릭합니다.
4. 이 통합을 구분하는 데 사용할 이름을 입력하고, 다음을 클릭합니다.
5. SAML 구성:
   1. 단일 로그인 URL 필드에 https://cxone.niceincontact.com/need_to_change와 같은 자리 표시자 URL을 입력합니다. 이후에 받은 URL로 이 값을 바꿉니다.
   2. 대상 URL 필드에 https://cxone.niceincontact.com/need_to_change와 같은 자리 표시자 URL을 입력합니다. 이후에 받은 URI로 이 값을 바꿉니다.
   3. CXone에 대해 사용자를 식별할 방식에 따라 이름 ID 형식 및 애플리케이션 사용자 이름을 지정합니다.
   4. 고급 설정 보기를 클릭합니다.
   5. 어설션 서명을 서명되지 않음으로 바꿉니다. 응답은 서명됨으로 둡니다.
   6. 어설션 암호화는 암호화되지 않음이어야 합니다.
6. 다음을 클릭하고 피드백을 작성한 다음 피드백 탭에서 마침을 클릭합니다.
7. SAML 설정 지침 보기를 클릭해 새로운 탭을 엽니다. 그 다음 단계:
   1. 인증서 다운로드를 클릭해 서명 인증서를 다운로드합니다. CXone 구성을 위해 이 파일을 보관합니다.
   2. ID 공급자 단일 로그인 URL을 복사합니다. CXone 구성을 위해 이 URL을 보관합니다.
   3. SAML 설정 지침 탭을 닫습니다. SAML 구성 탭은 열어 둡니다. 다음에 확인할 CXone 설정에 따라 이 구성을 바꾸어야 합니다.

위치 설정

필요한 권한: 위치 관리 생성

사용자가 특정 IP 주소에서 로그인하도록 요구하려면 허용하려는 IP 주소, IP 주소 범위 또는 IP 주소 서브넷과 함께 위치를 만듭니다. 사용자에 대해 구성된 위치를 요구하는 경우, 해당 사용자는 올바른 자격 증명과 IP 주소가 모두 있어야 로그인할 수 있습니다. 그렇지 않으면 로그인 시도가 실패하고 오류가 발생합니다. 한 번에 최대 20개의 위치를 만들 수 있으며, 위치당 최대 10개의 규칙을 적용할 수 있습니다.

1. 앱 선택기 를 클릭하고 선택합니다.Admin.
2. 위치 > 위치 정의로 이동합니다.
3. 새 위치를 클릭합니다.
4. 위치에 설명적인 이름을 지정합니다. 위치에 대한 상세 정보를 더 추가하려면 설명을 입력합니다.
5. 위치의 유형을 나타내기 위해 기본 위치로 설정 또는 원격 위치를 선택할 수 있습니다. 기본 위치는 한 개만 가질 수 있습니다. 이러한 필드는 현재 어떤 기능에도 영향을 미치지 않으며, 이를 선택하는 것은 자신이 참고하기 것입니다.

6. 나머지 필드를 사용하여 실제 주소, 국가, GPS 좌표, 시간대 또는 할당된 그룹을 포함하여 원하는 기타 정보를 추가합니다. 현재 이러한 필드는 아무 영향을 미치지 않으며, 여기에 입력된 정보는 단지 자신이 참고하기 위한 것입니다.

   할당된 그룹 필드에 그룹을 추가하는 경우, 해당 그룹에 속하는 사용자가 할당된 사용자 탭에 나타납니다. 그러나 위치 설정은 적용되지 않습니다. 로그인 인증기에 위치를 할당하는 경우, 위치는 해당 로그인 인증기에 할당된 사용자에게 적용되며 IP 주소를 기반으로 로그인 능력이 제한됩니다. 그러나, 그러한 사용자는 할당된 사용자 탭에 나타나지 않습니다.

7. 저장을 클릭합니다.

8. 위치 정의 페이지로 돌아가 방금 생성한 위치를 클릭하여 엽니다.

9. 자동 감지 규칙 탭을 클릭합니다.

10. 새 규칙을 만듭니다. 이를 위해 다음 작업을 수행합니다.

    1. 새 규칙을 클릭합니다.

    2. 규칙에 설명적인 이름을 지정합니다.

    3. 규칙 유형을 다음 중에서 선택합니다.

       • 목록: 이 위치의 허용된 특정 IP 주소 목록입니다. 예: 100.0.1.100, 100.0.1.101 및 100.0.1.102.

       • 범위: 이 위치의 허용된 IP 주소 범위입니다. 예: 100.0.1.100-100.0.1.125.

       • 서브넷: 이 위치의 허용된 서브넷입니다. 예: 100.0.0.1/32.

    4. IP 버전을 다음 중 하나로 지정합니다.

       • IPV4: 32비트 IP 주소

       • IPV6: 128비트 16진수 주소

    5. 이전 단계에 나온 예제의 형식을 따라 규칙 정의 필드에 실제 IP 주소, 범위 또는 서브넷을 입력합니다. 목록을 선택한 경우 최대 100개의 IP 주소를 입력할 수 있습니다. 범위 또는 서브넷을 선택한 경우 값을 하나만 입력할 수 있습니다.

    6. 확인을 클릭합니다.

11. 필요에 따라 더 많은 규칙을 추가합니다. 최대 10개를 가질 수 있습니다.

12. 저장을 클릭합니다.

SAML 2.0(으)로 CXone 로그인 인증기 설정

필요한 권한: 로그인 인증기 생성

1. 앱 선택기 를 클릭하고 선택합니다.관리자.
2. 보안 > 로그인 인증기를 클릭합니다.
3. 새 로그인 인증기를 클릭합니다.
4. 로그인 인증기의 이름과 설명을 입력합니다.
5. SAML를 인증 형태로 선택합니다.

6. 사용자에게 특정 IP 주소에서 로그인하도록 요구하려는 경우, 이전 섹션에서 설정한 위치를 선택합니다.

7. Okta에서 받은 ID 공급자 단일 로그인 URL을 엔드포인트 URL로 입력합니다. 자세한 내용은 이전 작업의 마지막 단계를 참조하십시오.
8. 파일 선택을 클릭하고 이전 태스크에서 Okta을(를) 통해 다운로드했던 공용 서명 인증서를 선택합니다. 이 인증서는 PEM 파일이어야 합니다. 텍스트 파일이며 첫 번째 줄에는 추가 텍스트 일부와 함께 BEGIN CERTIFICATE가 포함되어 있습니다.

9. 할당된 사용자 탭을 선택합니다. 만들려는 로그인 인증기에 할당할 사용자를 선택합니다. 직원 프로필에서 사용자를 로그인 인증기에 직접 할당할 수도 있습니다.

10. 저장 및 활성화를 클릭합니다.
11. 로그인 인증기를 엽니다.

12. 두 개의 읽기 전용 필드가 표시되어 있습니다. 엔터티 ID와 ACS URL 필드입니다. 이 값을 메모해둡니다. CXone 값을 Okta 작업에 추가할 때 필요합니다.

OpenID Connect(으)로 Okta 애플리케이션 구성

1. Okta 관리 계정에 로그인합니다.
2. 애플리케이션 메뉴 > 앱 통합 생성을 클릭합니다.
3. 로그인 방법으로 OIDC - OpenID Connect을(를) 선택합니다.
4. 애플리케이션 유형으로 웹 애플리케이션을 선택하고 다음을 클릭합니다.
5. 앱 통합 이름 필드에 이 통합을 식별하는 데 사용할 이름을 입력합니다.
6. 이 시점에서는 알 수 없는 로그인 리디렉션 URI를 제공해야 합니다. https://cxone.niceincontact.com/need_to_change를 자리 표시자로 사용하십시오. 이후에 받은 URI로 이 값을 바꿉니다.
7. 이 시점에서는 알 수 없는 로그아웃 리디렉션 URI를 제공해야 합니다. https://cxone.niceincontact.com/need_to_change를 자리 표시자로 사용하십시오. 이후에 받은 URI로 이 값을 바꿉니다.
8. 제어된 액세스 드롭다운에서 지금은 그룹 할당 건너뛰기를 선택합니다.
9. 저장을 클릭합니다.
10. 일반 탭의 클라이언트 자격 증명 아래에서 클라이언트 인증을 선택합니다.
11. 다음 인증 방법 중 하나를 선택합니다:
    1. client_secret_basic: 인증 동안 클라이언트 자격 증명이 기본 헤더에서 전달됩니다. 이 방법을 선택한 후 다음을 구성합니다.
       1. 클라이언트 암호로 클라이언트 인증을 선택합니다.
       2. 클라이언트 ID와 클라이언트 암호를 복사하여 장치의 안전한 위치에 붙여넣습니다. CXone에서 로그인 인증기를 구성할 때 사용해야 합니다.
    2. client_secret_post: 인증 동안 클라이언트 자격 증명이 본문에서 전달됩니다. 이 방법을 선택한 후 다음을 구성합니다.
       1. 클라이언트 암호로 클라이언트 인증을 선택합니다.
       2. 클라이언트 ID와 클라이언트 암호를 복사하여 장치의 안전한 위치에 붙여넣습니다. CXone에서 로그인 인증기를 구성할 때 사용해야 합니다.
    3. client_secret_jwt: 클라이언트 인증을 위해 JWT 전달자 토큰이 사용됩니다. 이 방법을 선택한 후 다음을 구성합니다.
       1. 클라이언트 암호로 클라이언트 인증을 선택합니다.
       2. 클라이언트 ID와 클라이언트 암호를 복사하여 장치의 안전한 위치에 붙여넣습니다. CXone에서 로그인 인증기를 구성할 때 사용해야 합니다.
    4. private_key_jwt: 클라이언트 인증을 위해 JWT 전달자 토큰이 사용됩니다. JWT는 이후 단계에서 제공할 클라이언트 개인 키로 서명됩니다. 이 방법을 선택한 후 다음을 구성합니다.
       1. 공개 키/개인 키로 클라이언트 인증을 선택합니다.
       2. 공개 키 추가 필드에 자리 표시자 공개 키를 입력합니다. 자리 표시자는 로그인 인증자를 구성할 때 CXone에 의해 제공된 키로 대체해야 합니다.
12. 할당 탭에서 할당을 클릭한 다음 사람들에 할당을 클릭합니다.
13. 사용자를 이 애플리케이션에 할당합니다.

CXone에서 OpenID Connect(으)로 로그인 인증기를 설정합니다.

1. 앱 선택기 를 클릭하고 선택합니다.Admin

2. 보안 설정 > 로그인 인증기로 이동합니다.

3. 새 로그인 인증기 를 클릭하거나, 편집하려는 로그인 인증기를 선택합니다.
4. 로그인 인증기의 이름과 설명을 입력합니다.
5. OIDC를 인증 형식으로 선택합니다.

6. 사용자에게 특정 IP 주소에서 로그인하도록 요구하려는 경우, 이전 섹션에서 설정한 위치를 선택합니다.

7. Okta의 검색 엔드포인트를 가지고 있는 경우 검색 설정을 클릭합니다. 검색 엔드포인트를 입력하고 검색을 클릭합니다. 나머지 필드가 채워집니다. 검색 설정은 Salesforce 검색 엔드포인트와 함께 작동하지 않습니다.
8. 클라이언트 식별자 및 클라이언트 암호를 입력합니다. 클라이언트 암호 확인에 암호를 다시 입력합니다. 클라이언트 식별자는 Okta에서 계정에 할당한 로그인 ID입니다.

9. Okta의 검색 엔드포인트가 없는 경우, Okta에서 제공한 발행자, JsonWebKeySet 엔드포인트, 인증 엔드포인트, 토큰 엔드포인트, UserInfo 엔드포인트 및 해지 엔드포인트를 입력합니다.

   이 단계의 필드에 대해 자세히 알아보기

   영역	세부사항
   발행자	매개변수가 없는 Okta의 URL.
   JsonWebKeySet 엔드포인트	Okta의 JWK 설정에 대한 URL
   인증 엔드포인트	Okta의 OAuth 2.0 인증 엔드포인트에 대한 URL
   토큰 엔드포인트	Okta의 OAuth 2.0 토큰 엔드포인트에 대한 URL
   사용자 정보 엔드포인트	Okta의 UserInfo 엔드포인트에 대한 URL
   해지 엔드포인트	Okta의 해지 엔드포인트에 대한 URL

10. 클라이언트 인증 방식을 선택합니다. 선택하는 방법은 이전 작업에서 설정한 방법과 일치해야 합니다. 이는 Okta에서 지원하는 인증 방법이어야 합니다. private_key_jwt를 선택한 경우 암호화 사용을 를 입력해야 하며, 클라이언트 개인 키를 입력해야 합니다.
11. FICAM 프로필 활성화를 선택하여 미국 정부 관련 설정을 켤 수 있습니다. 이 단계는 FedRAMP 사용자만을 위한 것입니다.

12. 할당된 사용자 탭을 선택합니다. 만들려는 로그인 인증기에 할당할 사용자를 선택합니다. 직원 프로필에서 사용자를 로그인 인증기에 직접 할당할 수도 있습니다.

13. 저장 및 활성화를 클릭하여 제공된 정보를 확인하고 CXone 계정을 Okta 계정과 연결합니다.
14. 로그인 인증기를 엽니다.

15. 로그인 리디렉션 URI 및 로그아웃 리디렉션 URI를 적어두십시오. 이들은 Okta 설정을 업데이트할 때 필요합니다.

16. 이전 작업에서 사용한 자리 표시자를 방금 적어 둔 값으로 바꾸어 Okta 설정을 업데이트합니다.

17. 로그인 인증기를 사용하는 각 사용자의 CXone 외부 ID가 올바른 값으로 설정되어 있는지 확인합니다. 이 필드는 직원 프로필의 보안 섹션에서 액세스할 수 있습니다.

    Okta(은)는 사용되어야 하는 값을 결정합니다. Okta에 있는 사용자 프로필에서 이를 찾을 수 있습니다. 해당 값은 CXone의 외부 ID 필드에 입력한 것과 정확히 일치해야 합니다. 이 필드의 값은 claim(email):{IdP에서 구성한 이메일} 형식이어야 합니다. 예를 들어 IdP에 있는 사용자의 이메일이 nick.carraway@classics.com 인 경우 claim(email):nickcarraway@classics.com을 입력해야 합니다.

18. 사용자가 CXone에 로그인하도록 합니다. 사용자는 최신 로그인 URL을 사용해야 합니다. 사용자 이름을 입력한 후, 필요하다면 사용자가 Okta로 이동합니다.

19. Okta에서 자신의 계정을 인증할 것을 요구하면, 현재 CXone 계정에 로그인되어 있는 사용자와 연결하려는 사용자로 진행합니다.
20. CXone에서 OpenID Connect 설정이 확인되지 않은 경우 Okta의 로그를 사용하여 문제를 진단합니다.

Okta에 CXone 값 추가

1. Okta 애플리케이션으로 돌아와 일반 탭으로 이동합니다.
2. SAML 설정 창에서 편집을 클릭하고, 다음을 클릭합니다.
3. 단일 로그인 URL의 경우 CXone 로그인 인증기에서 확인한 ACS URL 값을 입력합니다.
4. 대상 URI(SP 엔터티 ID)의 경우 CXone 로그인 인증기에서 확인한 엔터티 ID 값을 입력합니다.
5. 다음을 클릭하고 마침을 클릭해 변경을 완료합니다.

Okta 단일 로그인을 통한 사용자 액세스 검증

1. 로그인 인증기를 사용하는 각 직원의 외부 ID가 올바른 값으로 설정되어 있는지 확인합니다. 값은 CXone의 외부 ID와 정확하게 같아야 합니다. 외부 ID 필드는 대소문자를 구별합니다.

2. 한 명 이상의 테스트 사용자가 최근 로그인 URL(https://cxone.niceincontact.com)을 사용해 로그인해보도록 합니다. FedRAMP의 경우 https://cxone-gov.niceincontact.com을 사용합니다. 사용자 이름을 입력한 후, 필요하다면 사용자가 Okta로 이동합니다.

3. 준비가 되면 Okta 단일 로그인을 모든 직원에게 적용합니다.