Federatie beheren met Azure

Azure is slechts een van de ondersteunde externe identiteitsproviders (IdP's) die u kunt gebruiken met CXone. Deze pagina begeleidt u stap voor stap bij het configureren van authenticatie voor uw CXone-systeem met Azure.

Als u bezig bent met de eerste implementatie van uw CXone-systeem, zijn er extra stappen om te overwegen. We raden u aan de volgende online Help-onderwerpen te lezen, waarin deze overwegingen worden toegelicht:

Voer de onderstaande taken in de aangegeven volgorde uit.

Controleer voordat u begint of u toegang hebt tot de Microsoft Azure ID-beheerconsole. U moet een applicatie maken.

Een Azure-applicatie maken en configureren met SAML 2.0

  1. Log in bij uw Azure AD-beheeraccount.
  2. Maak een applicatie.
    1. Klik op Enterprise-applicaties > Nieuwe applicatie.
    2. Klik op Eigen applicatie maken.
    3. Voer een Naam in (bijvoorbeeld NICE CXone).
    4. Selecteer Een andere applicatie integreren die niet in de galerij staat (niet-galerij).
    5. Klik op Maken.
  3. Wijs gebruikers en groepen toe.
  4. Klik onder Single sign-on configureren op Aan de slag en selecteer SAML.
  5. Klik in het paneel Basis SAML-configuratie op Bewerken en configureer SAML:
    1. Klik onder Identificatie (entiteit-ID) op Identificatie toevoegen en voer https://cxone.niceincontact.com/need_to_change in. U wijzigt deze tijdelijke waarde later in de URL die u nog krijgt.
    2. Klik onder Antwoord-URL op Antwoord-URL toevoegen en voer in het veld Audience URI de tijdelijke URI https://cxone.niceincontact.com/need_to_change in. U wijzigt deze tijdelijke waarde later in de URI die u nog krijgt.
  6. Klik op Opslaan en sluit het paneel Basis SAML-configuratie.
  7. Selecteer in het gedeelte Attributen en claims de juiste Unieke gebruikersidentificatie. De waarde die u kiest, wordt de Externe identiteit in CXone.
  8. Azure AD moet nu automatisch een SAML-ondertekeningscertificaat maken. Download het certificaat met de naam Certificate (Base64).
  9. Klik in het venster SAML-ondertekeningscertificaat op Bewerken en doe daarna het volgende:
    1. Wijzig de Ondertekeningsoptie in SAML-antwoord ondertekenen.
    2. Klik op Opslaan en sluit het venster SAML-ondertekeningscertificaat. Bewaar dit bestand voor uw CXone-configuratie.
  10. Kopieer in het paneel <application name> configureren de waarde van de Login-URL. Bewaar deze waarde voor uw CXone-configuratie.
  11. Houd het venster open. U zult wijzigingen aanbrengen in de instellingen voor uw Azure-applicatie op basis van de waarden die u in de volgende taak ontvangt.

Een locatie configureren

Vereiste machtigingen: Locatiebeheer Maken

Als u gebruikers wilt verplichten om vanaf een bepaald IP-adres in te loggen, maakt u een locatie met de IP-adressen, -adresbereiken of -adressubnetten die u wilt toestaan. Als u een geconfigureerde locatie voor een gebruiker nodig hebt, moet die gebruiker beschikken over de juiste inloggegevens en het juiste IP-adres om in te loggen. Anders wordt een foutmelding weergegeven wanneer die gebruiker probeert in te loggen. U kunt hoogstens 20 locaties tegelijk hebben, en hoogstens 10 regels per locatie.

  1. Klik op de app-kiezer en selecteerAdmin.
  2. Ga naar LocatiesLocatiedefinities.
  3. Klik op Nieuwe locatie.
  4. Geef de locatie een beschrijvende Naam. Als u meer gegevens over de locatie wilt toevoegen, voert u een Beschrijving in.
  5. U kunt Instellen als standaardlocatie of Externe locatie selecteren om het type locatie aan te geven. U kunt slechts één standaardlocatie hebben. Deze velden hebben momenteel geen invloed op de functionaliteit. Uw selectie dient in dit geval uitsluitend ter informatie.

  6. Voeg in de resterende velden desgewenst andere informatie toe, zoals het fysieke adres, het land, de GPS-coördinaten, de tijdzone of toegewezen groepen. Deze velden hebben momenteel geen enkele invloed. Wat u hier invoert, dient uitsluitend ter informatie.

    Als u groepen toevoegt aan het veld Toegewezen groepen, verschijnen de leden van die groepen op het tabblad Toegewezen gebruikers. De locatie-instellingen zijn echter niet op hen van toepassing. Als u een locatie aan een inlogauthenticator toewijst, is die locatie van toepassing op gebruikers die aan die inlogauthenticator zijn toegewezen. Al naar gelang het IP-adres van de betreffende gebruikers wordt hun vermogen om in te loggen beperkt door de locatie. Deze gebruikers verschijnen echter niet op het tabblad Toegewezen gebruikers.

  7. Klik op Opslaan.

  8. Klik op de pagina Locatiedefinities op de zojuist gemaakte locatie om deze te openen.

  9. Klik op het tabblad Regels voor automatische detectie.

  10. Maak een nieuwe regel. Dit doet u als volgt:

    1. Klik op Nieuwe regel.

    2. Geef de regel een beschrijvende Naam.

    3. Selecteer een van de volgende opties om het Regeltype op te geven:

      • Lijst: Een lijst met specifieke IP-adressen die zijn toegestaan voor deze locatie. Bijvoorbeeld: 100.0.1.100, 100.0.1.101 en 100.0.1.102.

      • Bereik: Een IP-adresbereik dat is toegestaan voor deze locatie. Bijvoorbeeld: 100.0.1.100-100.0.1.125.

      • Subnet: Een subnet dat is toegestaan voor deze locatie. Bijvoorbeeld: 100.0.0.1/32.

    4. Geef voor IP-versie een van de volgende waarden op:

      • IPV4: een 32-bits IP-adres

      • IPV6: een 128-bits hexadecimaal adres

    5. Geef de feitelijke IP-adressen of het feitelijke IP-adresbereik of -adressubnet op in het veld Regeldefinitie. Gebruik daarbij de notatie van de voorbeelden in de vorige stappen. Als u Lijst hebt geselecteerd, kunt u maximaal 100 IP-adressen invoeren. Als u Bereik of Subnet hebt geselecteerd, kunt u slechts één waarde invoeren.

    6. Klik op Bevestigen.

  11. Voeg eventueel meer regels toe. Het maximumaantal is 10.

  12. Klik op Opslaan.

Een inlogauthenticator configureren met SAML 2.0 in CXone

Vereiste machtigingen: Inlogauthenticator Maken

  1. Klik op de app-kiezer en selecteerAdmin.
  2. Klik op Beveiliging > Inlogauthenticator.
  3. Klik op Nieuwe inlogauthenticator.
  4. Voer de Naam en de Beschrijving voor de inlogauthenticator in.
  5. Selecteer SAML als Authenticatietype.

  6. Als u gebruikers wilt verplichten om vanaf een bepaald IP-adres in te loggen, selecteert u de Locatie die u in het vorige gedeelte hebt ingesteld.

  7. Voer het Eindpunt SAML-verzoek dat u hebt ontvangen van Azure in bij Eindpunt-URL.
  8. Klik op Bestand kiezen en selecteer het openbare ondertekeningscertificaat dat u bij Azure hebt gedownload in de vorige taak. Dit bestand moet een PEM-bestand zijn. Het is een tekstbestand. De eerste regel begint met BEGIN CERTIFICATE met wat extra tekst.

  9. Selecteer het tabblad Toegewezen gebruikers. Selecteer de gebruikers die u wilt toewijzen aan de inlogauthenticator die u maakt. U kunt gebruikers ook rechtstreeks toewijzen aan de inlogauthenticator in hun medewerkersprofiel.

  10. Klik op Opslaan en activeren.
  11. Open de inlogauthenticator.

  12. U zult zien dat er twee extra alleen-lezenvelden worden weergegeven: Entiteit-ID en ACS URL. Noteer deze waarden. U hebt ze nodig bij de taak CXone-waarden toevoegen aan Azure.

CXone-waarden toevoegen aan Azure

  1. Ga terug naar uw Azure-applicatie en klik in het paneel Basis SAML-configuratie op Bewerken.
  2. Voer bij Identificatie (entiteit-ID) de waarde in van de Entiteit-ID van uw CXone-inlogauthenticator.
  3. Voer bij Antwoord-URL de waarde in van de ACS-URL van uw CXone-inlogauthenticator.
  4. Klik op Opslaan en sluit het paneel Basis SAML-configuratie.

  5. Zorg dat de Externe identiteit voor elke gebruiker die de inlogauthenticator gebruikt, op de juiste waarde is ingesteld.

    1. Uw identiteitsprovider bepaalt de waarde die moet worden gebruikt. De waarde moet exact overeenkomen met de Unieke gebruikersidentificatie in Azure en de Externe identiteit in CXone.

  6. Laat de gebruiker inloggen . Hiervoor moet de meest recente inlog-URL worden gebruikt. Na het invoeren van de gebruikersnaam wordt de gebruiker zo nodig doorgestuurd naar de externe identiteitsprovider.

Gebruikerstoegang verifiëren met Azure Single Sign-on

  1. Zorg dat de Externe identiteit op de juiste waarde is ingesteld voor elke medewerker die de inlogauthenticator gebruikt. De waarde moet exact overeenkomen met de Unieke gebruikersidentificatie in Azure en de Externe identiteit in CXone.

  2. Laat een of meer testgebruikers inloggen met de meest recente inlog-URL van . Na het invoeren van de gebruikersnaam worden ze zo nodig doorgestuurd naar Azure.

  3. Wanneer u klaar bent, rolt u Azure single sign-on uit naar alle medewerkers.

Een Azure-applicatie configureren met OpenID Connect

  1. Log in bij uw Azure-beheeraccount.

  2. Klik onder App-registraties op Nieuwe registratie.

  3. Ga naar Authenticatie > Web.

  4. U moet omleidings-URI's opgeven, die u op dit moment nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder.

  5. Klik op Certificaten en geheimen.

  6. Selecteer client_secret_basic of client_secret_post als uw authenticatiemethode. De authenticatiemethode private_key_jwt wordt momenteel niet ondersteund in CXone.

  7. Selecteer Nieuw klantgeheim in het veld Klantgeheimen.

  8. Voeg een beschrijving toe en selecteer Verloopt.

  9. Kopieer de Client-ID en het Klantgeheim en sla ze op op een veilige plaats op uw apparaat. U moet ze gebruiken wanneer u een inlogauthenticator configureert in CXone.

  10. Ga naar Tokenconfiguratie > Optionele claims.

  11. Klik op Optionele claim toevoegen.

  12. Selecteer ID als uw Tokentype.

  13. Selecteer e-mail en voeg uw e-mailadres toe.

  14. Klik op Opslaan.

Een CXone-inlogauthenticator instellen met OpenID Connect

  1. Klik op de app-kiezer en selecteerAdmin.

  2. Ga naar BeveiligingsinstellingenInlogauthenticator.

  3. Klik op Nieuwe inlogauthenticator of selecteer de inlogauthenticator die u wilt bewerken.
  4. Voer de Naam en een Beschrijving voor de inlogauthenticator in.
  5. Selecteer OIDC als Authenticatietype.

  6. Als u gebruikers wilt verplichten om vanaf een bepaald IP-adres in te loggen, selecteert u de Locatie die u in het vorige gedeelte hebt ingesteld.

  7. Als u een detectie-eindpunt hebt uit Azure, klik dan op Instellingen detecteren. Voer het detectie-eindpunt in en klik op Detecteren. De overige velden worden nu voor u ingevuld. Instellingen detecteren werkt niet met detectie-eindpunten van Salesforce.
  8. Voer uw Client-identificatie en Client-wachtwoord in. Typ het wachtwoord opnieuw bij Client-wachtwoord bevestigen. De Client-identificatie is de inlog-ID die aan uw account is toegewezen door Azure.

  9. Als u geen detectie-eindpunt hebt uit Azure, voer dan de volgende, door uw Azure verstrekte gegevens in: Uitgever, JsonWebKeySet Endpoint, Autorisatie-eindpunt, Token-eindpunt, UserInfo-eindpunt, Intrekkingseindpunt en Einde eindpunt sessie.

    Veld

    Details
    Uitgever

    De URL van Azure zonder parameter.
    JsonWebKeySet-eindpunt De URL van de JWK-set in Azure.
    Autorisatie-eindpunt De URL van het OAuth 2.0 autorisatie-eindpunt in Azure.
    Token-eindpunt De URL van het OAuth 2.0 tokeneindpunt in Azure.
    UserInfo-eindpunt De URL van het UserInfo-eindpunt in Azure.
    Intrekkingseindpunt De URL van het intrekkingseindpunt in Azure.
    Einde eindpunt sessie

    De URL van het Einde eindpunt sessie in Azure. Met dit veld kunt u een enkele uitlogervaring maken voor uw gebruikers. Als dit is geconfigureerd, worden gebruikers bij het uitloggen bij CXone ook bij hun Azure-account uitgelogd. Om enkelvoudig uitloggen in te schakelen, moet u de omleidings-URI Uitloggen op de whitelist zetten in Azure.

    Als Salesforce uw IdP is, dan moet u een uitlog-URL configureren in Salesforce. Ga hiervoor naar Instellingen > Beveiliging > Sessie-instellingen > Instellingen uitlogpagina. Pas het veld Uitlog-URL aan. U kunt deze URL gebruiken als uw Einde eindpunt sessie.
  10. Selecteer een Client-authenticatiemethode. De methode die u selecteert moet overeenkomen met de methode die u in de vorige taak hebt ingesteld. Deze moet een authenticatiemethode zijn die Azure ondersteunt.
  11. U kunt FICAM-profiel inschakelen selecteren om instellingen in te schakelen die specifiek conformeren aan richtlijnen opgesteld door de VS. Deze stap is alleen voor FedRAMP-gebruikers.

  12. Selecteer het tabblad Toegewezen gebruikers. Selecteer de gebruikers die u wilt toewijzen aan de inlogauthenticator die u maakt. U kunt gebruikers ook rechtstreeks toewijzen aan de inlogauthenticator in hun medewerkersprofiel.

  13. Klik op Opslaan en activeren om de opgegeven informatie te valideren en om uw CXone-account aan uw Azure-account te koppelen.
  14. Open de inlogauthenticator.

  15. Noteer de Omleidings-URI Inloggen en de Omleidings-URI Uitloggen. Deze hebt u nodig wanneer u uw Azure-instellingen bijwerkt.

  16. Werk uw Azure-instellingen bij en vervang de plaatshouder die u in de vorige taak hebt gebruikt met de waarden die u zojuist hebt genoteerd.

  17. Zorg dat de CXone Externe identiteit voor elke gebruiker die de inlogauthenticator gebruikt, op de juiste waarde is ingesteld. U kunt gebruikmaken van dit veld in de beveiligingssectie van het profiel van de medewerker.

    Azure bepaalt de waarde die gebruikt moet worden. Deze kan teruggevonden worden in het profiel van de gebruiker in Azure. De waarde moet exact overeenkomen met wat u hebt ingevoerd in het veld Externe identiteit in CXone. De waarde van dit veld moet de volgende indeling hebben: claim(email):{e-mail dat door uw IdP geconfigureerd is}. Als het e-mailadres van de gebruiker in de IdP bijvoorbeeld nick.carraway@classics.com is, voert u claim(email):nickcarraway@classics.com in.

  18. Laat de gebruiker inloggen bij CXone. Hiervoor moet de meest recente inlog-URL gebruikt worden. Na het invoeren van de gebruikersnaam worden ze indien nodig doorgestuurd naar Azure.

  19. Wanneer Azure u vraagt om authenticatie, authenticeert u zich als de gebruiker in Azure die u wilt koppelen aan uw momenteel ingelogde CXone-account.
  20. Als uw OpenID Connect-instellingen in CXone niet worden weergegeven als gevalideerd, dan moet u de logboeken van Azure gebruiken om een diagnose te stellen van het probleem.