Inlogauthenticators beheren

Inlogauthenticators bepalen hoe gebruikers inloggen bij CXone. CXone ondersteunt zowel interne als externe authenticatie op basis van de inlogauthenticator die aan de gebruiker is toegewezen en het type en de configuratie van die inlogauthenticator.

Voor meer informatie over authenticatie en autorisatie in CXone, klikt u hier.

Een locatie configureren

Vereiste machtigingen: Locatiebeheer Maken

Als u gebruikers wilt verplichten om vanaf een bepaald IP-adres in te loggen, maakt u een locatie met de IP-adressen, -adresbereiken of -adressubnetten die u wilt toestaan. Als u een geconfigureerde locatie voor een gebruiker nodig hebt, moet die gebruiker beschikken over de juiste inloggegevens en het juiste IP-adres om in te loggen. Anders wordt een foutmelding weergegeven wanneer die gebruiker probeert in te loggen. U kunt hoogstens 20 locaties tegelijk hebben, en hoogstens 10 regels per locatie.

  1. Klik op de app-kiezer en selecteerAdmin.
  2. Ga naar LocatiesLocatiedefinities.
  3. Klik op Nieuwe locatie.
  4. Geef de locatie een beschrijvende Naam. Als u meer gegevens over de locatie wilt toevoegen, voert u een Beschrijving in.
  5. U kunt Instellen als standaardlocatie of Externe locatie selecteren om het type locatie aan te geven. U kunt slechts één standaardlocatie hebben. Deze velden hebben momenteel geen invloed op de functionaliteit. Uw selectie dient in dit geval uitsluitend ter informatie.

  6. Voeg in de resterende velden desgewenst andere informatie toe, zoals het fysieke adres, het land, de GPS-coördinaten, de tijdzone of toegewezen groepen. Deze velden hebben momenteel geen enkele invloed. Wat u hier invoert, dient uitsluitend ter informatie.

    Als u groepen toevoegt aan het veld Toegewezen groepen, verschijnen de leden van die groepen op het tabblad Toegewezen gebruikers. De locatie-instellingen zijn echter niet op hen van toepassing. Als u een locatie aan een inlogauthenticator toewijst, is die locatie van toepassing op gebruikers die aan die inlogauthenticator zijn toegewezen. Al naar gelang het IP-adres van de betreffende gebruikers wordt hun vermogen om in te loggen beperkt door de locatie. Deze gebruikers verschijnen echter niet op het tabblad Toegewezen gebruikers.

  7. Klik op Opslaan.

  8. Klik op de pagina Locatiedefinities op de zojuist gemaakte locatie om deze te openen.

  9. Klik op het tabblad Regels voor automatische detectie.

  10. Maak een nieuwe regel. Dit doet u als volgt:

    1. Klik op Nieuwe regel.

    2. Geef de regel een beschrijvende Naam.

    3. Selecteer een van de volgende opties om het Regeltype op te geven:

      • Lijst: Een lijst met specifieke IP-adressen die zijn toegestaan voor deze locatie. Bijvoorbeeld: 100.0.1.100, 100.0.1.101 en 100.0.1.102.

      • Bereik: Een IP-adresbereik dat is toegestaan voor deze locatie. Bijvoorbeeld: 100.0.1.100-100.0.1.125.

      • Subnet: Een subnet dat is toegestaan voor deze locatie. Bijvoorbeeld: 100.0.0.1/32.

    4. Geef voor IP-versie een van de volgende waarden op:

      • IPV4: een 32-bits IP-adres

      • IPV6: een 128-bits hexadecimaal adres

    5. Geef de feitelijke IP-adressen of het feitelijke IP-adresbereik of -adressubnet op in het veld Regeldefinitie. Gebruik daarbij de notatie van de voorbeelden in de vorige stappen. Als u Lijst hebt geselecteerd, kunt u maximaal 100 IP-adressen invoeren. Als u Bereik of Subnet hebt geselecteerd, kunt u slechts één waarde invoeren.

    6. Klik op Bevestigen.

  11. Voeg eventueel meer regels toe. Het maximumaantal is 10.

  12. Klik op Opslaan.

Een systeeminlogauthenticator configureren

Vereiste machtigingen: Kan wachtwoorden beheren, Aan.

CXone bevat een standaard systeeminlogauthenticator, maar u kunt ook uw eigen inlogauthenticator maken. Nadat u een inlogauthenticator voor een bepaalde rol hebt geconfigureerd, worden bij het wachtwoordveld de geldende wachtwoordregels weergegeven wanneer een gebruiker probeert het wachtwoord in te stellen of te wijzigen.

  1. Klik op de app-kiezer en selecteer Admin.
  2. Ga naar Beveiligingsinstellingen > Inlogauthenticator.

  3. Klik op Nieuwe inlogauthenticator.

  4. Voer een unieke Naam in voor de inlogauthenticator.

  5. Voer eventueel een Beschrijving in.

  6. Selecteer Systeem als het Authenticatietype.

    Veld

    Details
    Systeem Deze inlogauthenticator maakt gebruik van het ingebouwde inlogproces van CXone. Er wordt niet geauthenticeerd met behulp van een externe single sign-on (SSO) identiteitsprovider.
    SAML Met SAML 2.0 kunt u single sign-on instellen via een externe identiteitsprovider. CXone ondersteunt meerdere instanties van SAML 2.0. U kunt verschillende instanties toewijzen aan verschillende gebruikers.

  7. Als u gebruikers wilt verplichten om vanaf een bepaald IP-adres in te loggen, selecteert u de Locatie die u in het vorige gedeelte hebt ingesteld.

  8. Stel uw wachtwoordcomplexiteit in.

    Elk gebruikerswachtwoord wordt gecontroleerd op basis van een opslagbibliotheek van veelgebruikte wachtwoorden. Als een gebruikerswachtwoord overeenkomt met een van de veelgebruikte wachtwoorden, wordt de betreffende gebruiker gedwongen om een nieuw wachtwoord te maken. Bepaalde wachtwoorden worden geweigerd, zoals:

    • Wachtwoorden die het woord "wachtwoord" bevatten. Bijvoorbeeld wachtwoord@1234.

    • Wachtwoorden die het e-mailadres, de gebruikersnaam, de voornaam, de achternaam of de systeemnaam van de gebruiker bevatten.

    In de volgende omstandigheden worden wachtwoorden gecontroleerd ten opzichte van deze opslagbibliotheek:

    • Een nieuwe gebruiker wordt geactiveerd.

    • Het wachtwoord van een gebruiker verloopt.

    • Een gebruiker reset het wachtwoord.

    VeldDetails
    Kleine letters (a-z) vereisenVereist dat gebruikers ten minste één kleine letter in hun wachtwoorden gebruiken.
    Hoofdletters (A-Z) vereisenVereist dat gebruikers ten minste één hoofdletter in hun wachtwoorden gebruiken.
    Cijfers (0-9) vereisenVereist dat gebruikers ten minste één cijfer in hun wachtwoorden gebruiken.
    Speciale tekens vereisen (! @ # enzovoort)Vereist dat gebruikers ten minste één niet-alfanumeriek teken in hun wachtwoorden gebruiken.

  9. Selecteer Multi-factor authenticatie vereisen als u multi-factor authenticatie wilt inschakelen. Stel uw MFA-type in als HOTP (HMAC-Based) en TOTP (Time-Based).

    Veld Details
    Multi-factor authenticatie vereisen

    Vereist dat gebruikers naast hun wachtwoord ook een MFA-token (Multi-factor authenticatie) invoeren om in te loggen bij CXone. Een MFA-token is een eenmalig wachtwoord dat wordt gegenereerd met behulp van een hardwaretoken of een virtueel MFA-apparaat (bijvoorbeeld een app zoals Google Authenticator) dat door u beschikbaar wordt gesteld. Als u MFA inschakelt moeten gebruikers met een betreffend profiel bij hun volgende inlogsessie een geheime MFA-sleutel configureren.

    Schakel MFA niet in voor de hoofdbeheerder in uw organisatie. Als het apparaat of het geheim verloren is gegaan, kunt u het MFA-geheim alleen nog resetten door een supportticket in te dienen bij NICE CXone.
    MFA-type Geeft aan of u een TOTP- (Time-Based) of HOTP-MFA (HMAC-Based) wilt inschakelen.

  10. Stel uw wachtwoordbeleid in.

    Veld Details
    Wachtwoordlengte Geeft het minimum aantal tekens in dat gebruikers in hun wachtwoorden moeten opnemen. Als u dit bijvoorbeeld instelt op 12, moeten gebruikers ten minste 12 tekens invoeren voor elk wachtwoord. De tekens die worden vereist door de instellingen voor Wachtwoordcomplexiteit tellen mee voor het totale aantal tekens. U kunt de wachtwoordlengte instellen op een getal tussen 12 en 24.
    Wachtwoordleeftijd inschakelen Schakelt een tekstvak in waarin u kunt invoeren hoeveel dagen een gebruiker zijn/haar wachtwoord maximaal kan blijven gebruiken. Na dat specifieke aantal dagen moet de gebruiker zijn/haar wachtwoord veranderen. U kunt de wachtwoordleeftijd instellen tussen 14 en 365 dagen.
    Wachtwoordgeschiedenis inschakelen Voer het aantal unieke wachtwoorden in die een gebruiker moet instellen voordat hij/zij een nieuwe kan hergebruiken. U kunt het maximaal aantal unieke wachtwoorden instellen tussen 4 en 50. Als u bijvoorbeeld 10 ingeeft, kunnen gebruikers die zijn toegewezen aan de inlogauthenticator hun afgelopen 10 wachtwoorden niet hergebruiken als nieuw wachtwoord.

  11. Klik op Opslaan en activeren.

Een externe inlogauthenticator configureren met SAML 2.0

U kunt externe authenticatie gebruiken als u het wachtwoord van een gebruiker door een ander systeem of een andere identiteitsprovider wilt laten beheren. CXone ondersteunt momenteel de federatieprotocollen SAML 2.0 en OpenID Connect.

U kunt de door IdP-geïnitieerde authenticatie of de door SP-geïnitieerde authenticatie instellen met aan de hand van het stappenplan in deze sectie.

IdP-geïnitieerde authenticatie: IdP staat voor identiteitsprovider. de authenticatie (het inlogproces) wordt door de externe identiteitsprovider (IdP) gestart.

SP-geïnitieerde authenticatie: SP staat voor serviceprovider. de authenticatie (het inlogproces) wordt gestart door CXone (de SP, serviceprovider).

Als u Salesforce Agent gebruikt, moet de externe identiteitsprovider (IdP) worden geconfigureerd voor SP-geïnitieerde authenticatie.

  1. Zorg dat u toegang hebt tot de externe identiteitsprovider. U moet een integratie maken die specifiek is voor CXone.
  2. Creëer de integratie in de externe identiteitsprovider. Verschillende systemen gebruiken verschillende namen voor deze integraties; zie de specifieke instructies voor Okta of Azure.
    1. U moet een Entiteit-ID opgeven, die u op dit moment nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder.
    2. U moet een ACS URL opgeven, die u nu nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder.
    3. De identiteitsprovider genereert een specifieke URL waar SAML-verzoeken naartoe moeten worden gestuurd. Kopieer en bewaar deze URL op een plaats op waar u deze kunt terugvinden. U moet deze waarde in latere stappen invoeren.
    4. De identiteitsprovider genereert een openbaar ondertekeningscertificaat voor de integratie. Download het certificaat. U hebt het in latere stappen nodig.
  3. Maak een externe inlogauthenticator in CXone.
    1. Klik op de app-kiezer en selecteerAdmin.
    2. Klik op Beveiliging > Inlogauthenticator.
    3. Voer de Naam en de Beschrijving voor de inlogauthenticator in.
    4. Selecteer SAML als Authenticatietype.

    5. Als u gebruikers wilt verplichten om vanaf een bepaald IP-adres in te loggen, selecteert u de Locatie die u in het vorige gedeelte hebt ingesteld.

    6. Als u FICAM selecteert, moet de SAML-reactie over een enkel AuthnContextClassRef-item beschikken. Daarnaast moet de NamespaceURI van het bevestigingsonderwerp het volgende zijn: urn:oasis:names:tc:SAML:2.0:assertion. De velden AuthnContextClassRef en NamespaceURI worden gecontroleerd door de identiteitsprovider.
    7. Voer het Eindpunt SAML-verzoek (dat u van uw provider hebt ontvangen) in bij Eindpunt-URL.
    8. Klik op Bestand kiezen en selecteer het openbare ondertekeningscertificaat dat u van uw provider hebt ontvangen. Dit bestand moet een PEM-bestand zijn. Het is een tekstbestand. De eerste regel begint met BEGIN CERTIFICATE.

    9. Selecteer het tabblad Toegewezen gebruikers. Selecteer de gebruikers die u wilt toewijzen aan de inlogauthenticator die u maakt. U kunt gebruikers ook rechtstreeks toewijzen aan de inlogauthenticator in hun medewerkersprofiel.

    10. Klik op Opslaan en activeren.
    11. Open de inlogauthenticator.

    12. Noteer de Entiteit-ID en ACS URL. U hebt deze informatie nodig wanneer u uw IdP-instellingen wijzigt.

  4. Werk de instellingen voor uw identiteitsprovider bij en vervang de tijdelijke plaatshouders die u eerder had gebruikt door de waarden die u zojuist hebt genoteerd.

  5. Zorg dat de Externe identiteit voor elke gebruiker die de inlogauthenticator gebruikt, op de juiste waarde is ingesteld. U kunt gebruikmaken van dit veld in de beveiligingssectie van het profiel van de medewerker.

    Uw identiteitsprovider bepaalt de waarde die moet worden gebruikt. De waarde moet exact overeenkomen met wat u hebt ingevoerd in het veld Externe identiteit in CXone.

  6. Laat de gebruiker inloggen met de laatste inlog-URL. Na het invoeren van de gebruikersnaam wordt de gebruiker zo nodig doorgestuurd naar de externe identiteitsprovider.

Externe inlogauthenticators maken met OpenID Connect

Vereiste machtigingen: Inlogauthenticator Maken

U kunt externe authenticatie gebruiken als u het wachtwoord van een gebruiker door een ander systeem of een andere identiteitsprovider wilt laten beheren. CXone ondersteunt momenteel de federatieprotocollen SAML 2.0 en OpenID Connect.

U kunt de door IdP-geïnitieerde authenticatie of de door SP-geïnitieerde authenticatie instellen met aan de hand van het stappenplan in deze sectie.

IdP-geïnitieerde authenticatie: IdP staat voor identiteitsprovider. de authenticatie (het inlogproces) wordt door de externe identiteitsprovider (IdP) gestart.

SP-geïnitieerde authenticatie: SP staat voor serviceprovider. de authenticatie (het inlogproces) wordt gestart door CXone (de SP, serviceprovider).

Als u Salesforce Agent gebruikt, moet de externe identiteitsprovider (IdP) worden geconfigureerd voor SP-geïnitieerde authenticatie.

Schermafbeelding van het tabblad OpenID Connect van een bedrijfseenheid in de bewerkingsmodus

  1. Zorg dat u toegang hebt tot de externe identiteitsprovider. U moet een integratie maken die specifiek is voor CXone.
  2. Creëer de integratie in de externe identiteitsprovider.
    1. U moet een omleidings-URI voor inloggen opgeven, die u op dit moment nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder.
    2. U moet een omleidings-URI voor inloggen opgeven, die u op dit moment nog niet kent. Gebruik https://cxone.niceincontact.com/need_to_change als tijdelijke plaatshouder.
    3. De Identiteitsprovider genereert een client-ID en Klantgeheim. Kopieer deze waarden en sla ze op waar u ze gemakkelijk kunt terugvinden. U moet deze in latere stappen invoeren.
  3. Maak een externe inlogauthenticator in CXone.

    1. Klik op de app-kiezer en selecteerAdmin.

    2. Ga naar BeveiligingsinstellingenInlogauthenticator.

    3. Klik op Nieuwe inlogauthenticator of selecteer de inlogauthenticator die u wilt bewerken.
    4. Voer de Naam en een Beschrijving van de inlogauthenticator in.
    5. Selecteer OIDC als het Authenticatietype.

    6. Als u gebruikers wilt verplichten om vanaf een bepaald IP-adres in te loggen, selecteert u de Locatie die u in het vorige gedeelte hebt ingesteld.

    7. Als u een detectie-eindpunt hebt voor uw IdP, klik dan op Instellingen detecteren. Voer het detectie-eindpunt in en klik op Detecteren. De overige velden worden nu voor u ingevuld. Instellingen detecteren werkt niet met detectie-eindpunten van Salesforce.
    8. Voer uw Client-identificatie en Client-wachtwoord in. Typ het wachtwoord opnieuw bij Client-wachtwoord bevestigen. De Client-identificatie is de inlog-ID die door de IdP aan uw account is toegewezen.

    9. Als u geen detectie-eindpunt voor uw IdP hebt, voert u de volgende, door uw IdP verstrekte gegevens in: Uitgever, JsonWebKeySet-eindpunt, Autorisatie-eindpunt, Token-eindpunt, UserInfo-eindpunt, Intrekkingseindpunt en Einde eindpunt sessie.

      Veld

      Details

      Uitgever

      De URL van uw IdP zonder parameter.

      JsonWebKeySet-eindpuntDe URL van de JWK-set van uw IdP.
      Autorisatie-eindpuntDe URL van het OAuth 2.0-autorisatie-eindpunt van uw IdP.
      Token-eindpuntDe URL van het OAuth 2.0-tokeneindpunt van uw IdP.
      UserInfo-eindpuntDe URL van het UserInfo-eindpunt van uw IdP.
      IntrekkingseindpuntDe URL van het Intrekkingseindpunt van uw IdP.
      Einde eindpunt sessieDe URL van het Einde eindpunt sessie van uw IdP. Met dit veld kunt u een enkele uitlogervaring maken voor uw gebruikers. Als dit is geconfigureerd, worden gebruikers bij het uitloggen bij CXone ook bij hun IdP-account uitgelogd. Om enkelvoudig uitloggen in te schakelen, moet u de omleidings-URI Uitloggen op de whitelist zetten in uw IdP.
    10. Selecteer een Client-authenticatiemethode. U moet een authenticatiemethode selecteren die door uw IdP wordt ondersteund. Als u private_key_jwt selecteert, moet u uw Persoonlijke sleutel klant invoeren.
    11. U kunt FICAM-profiel inschakelen selecteren als u gebruik wilt maken van instellingen die op de Amerikaanse overheid zijn toegespitst.

    12. Selecteer het tabblad Toegewezen gebruikers. Selecteer de gebruikers die u wilt toewijzen aan de inlogauthenticator die u maakt. U kunt gebruikers ook rechtstreeks toewijzen aan de inlogauthenticator in hun medewerkersprofiel.

    13. Klik op Opslaan en activeren om de opgegeven informatie te valideren en uw CXone-account aan uw IdP-account te koppelen.
    14. Open de inlogauthenticator.

    15. Noteer de Omleidings-URI Inloggen en de Omleidings-URI Uitloggen. U hebt deze informatie nodig wanneer u uw IdP-instellingen wijzigt.

  4. Werk de instellingen voor uw identiteitsprovider bij en vervang de tijdelijke plaatshouders die u eerder had gebruikt door de waarden die u zojuist hebt genoteerd.

  5. Zorg dat de Externe identiteit voor elke gebruiker die de inlogauthenticator gebruikt, op de juiste waarde is ingesteld. U kunt gebruikmaken van dit veld in de beveiligingssectie van het profiel van de medewerker.

    Uw identiteitsprovider bepaalt de waarde die moet worden gebruikt. De waarde moet exact overeenkomen met wat u hebt ingevoerd in het veld Externe identiteit in CXone. De waarde van dit veld moet de volgende indeling hebben: claim(email):{e-mail dat door uw IdP geconfigureerd is}. Als het e-mailadres van de gebruiker in de IdP bijvoorbeeld nick.carraway@classics.com is, voert u claim(email):nickcarraway@classics.com in.

  6. Laat de gebruiker inloggen met de laatste inlog-URL. Na het invoeren van de gebruikersnaam wordt de gebruiker zo nodig doorgestuurd naar de externe identiteitsprovider.

  7. Wanneer uw IdP u vraagt om authenticatie, authenticeert u zich als de IdP-gebruiker die u wilt koppelen aan uw momenteel ingelogde CXone-account.
  8. Als uw OpenID Connect-instellingen in CXone iet worden weergegeven als gevalideerd, gebruikt u uw IdP-logboeken om een diagnose te stellen van het probleem.

Nieuwe gebruikers koppelen met op claim gebaseerde OpenID Connect

CXone Kan een verschillende claimwaarde gebruiken, zoals een e-mailadres, om de gebruikersidentiteit te maken bij hun eerste aanmelding. CXone schakelt vervolgens automatisch naar de unieke OpenID Connect-onderwerp-id. Hiermee kunt u de gefedereerde identiteit van een gebruiker vooraf configureren.

PKCE voor frontend-authenticatie

Misschien vindt u het lastig de autorisatiecode-flow van OpenID Connect te gebruiken. Deze flow vereist een client_secret (clientgeheim) als onderdeel van de tokenuitwisseling. Vanuit beveiligingsopzicht is het niet raadzaam het client_secret in een webapplicatie te coderen. Met OpenID Connect kan een andere flow worden gebruikt: PKCE (Proof Key for Code Exchange). PKCE gebruikt een andere authenticatiemethode. NICE CXone ondersteunt PKCE-flows voor frontend-integraties.

Inlogauthenticators deactiveren

Vereiste machtigingen: Inlogauthenticator uitschakelen

U kunt systeem- en SAML 2.0-inlogauthenticators uitschakelen op de pagina Inlogauthenticator.

Alle gebruikers die zijn toegewezen aan een uitgeschakelde inlogauthenticator verliezen hun toegangsmachtigingen voor CXone. Deze gebruikers kunnen ook niet meer gebruikmaken van de Wachtwoord vergeten-link om hun accounts te activeren of hun wachtwoorden te veranderen. Gebruikers worden niet op de hoogte gebracht van deze wijzigingen. Ze krijgen geen toegang meer totdat u:

  • Ze aan een actieve inlogauthenticator toewijst.

  • De inlogauthenticator waaraan ze zijn toegewezen opnieuw activeert.

Wijs uw gebruikers toe aan een andere inlogauthenticator voordat u de oude uitschakelt; zo voorkomt u dat uw gebruikers hun toegangsmachtigingen verliezen.

  1. Klik op de app-kiezer en selecteerAdmin.
  2. Ga naar Beveiligingsinstellingen > Inlogauthenticator.
  3. Zoek de inlogauthenticator die u wilt uitschakelen.
  4. Klik op Acties Het pictogram van drie gestapelde stippen rechts van de inlogauthenticator..
  5. Klik op Deactiveren.