Gerenciar Federação com Azure

Azure é apenas um dos provedores de identidade externa (IdPs) com suporte que você pode usar com CXone. Esta página orienta você, passo a passo, na configuração da autenticação para seu sistema CXone usando Azure.

Se você estiver fazendo a implementação inicial do seu sistema CXone, há etapas adicionais a serem consideradas. Recomendamos a leitura das seguintes páginas de ajuda online que incluem estas considerações:

Complete cada uma dessas tarefas na ordem indicada.

Antes de começar, certifique-se de ter acesso ao console de gerenciamento de ID do Microsoft Azure. Você precisará criar um aplicativo.

Criar e configurar um aplicativo Azure com SAML 2.0

  1. Faça login na sua conta de gerenciamento do Azure AD.
  2. Crie um aplicativo.
    1. Clique em Aplicativos corporativos > Novo aplicativo.
    2. Clique em Criar seu próprio aplicativo.
    3. Digite um Nome (por exemplo, NICE CXone).
    4. Selecione Integre qualquer outro aplicativo que você não encontre na galeria (sem galeria).
    5. Clique em Criar.
  3. Atribua usuários e grupos conforme apropriado.
  4. Em Configurar logon único, clique em Introdução e selecione SAML.
  5. No painel Configuração básica do SAML, clique em Editar e configure o SAML:
      Em Identificador (ID da entidade), clique em
    1. Adicionar identificador e insira https://cxone.niceincontact.com/need_to_change. Você alterará esse valor para a URL que receberá posteriormente.
    2. Em URL de resposta, clique em Adicionar URI de resposta e no campo URL de público, insira https://cxone.niceincontact.com/need_to_change. Você alterará esse valor para a URI que receberá posteriormente.
  6. Clique em Salvar e feche o painel Configuração básica do SAML.
  7. Na seção Atributos e Declarações, selecione o Identificador Único de Usuário correto. O valor que você escolher será a de Identidade Federada em CXone.
  8. Azure O AD deve criar automaticamente um certificado de assinatura SAML. Baixe o certificado chamado Certificate (Base64).
  9. No painel Certificado de Assinatura SAML, clique em Editar e, em seguida:
    1. Altere a opção de assinatura para Assinar a resposta SAML.
    2. Clique em Salvar e feche o painel Certificado de assinatura SAML Mantenha este arquivo para sua configuração CXone.
  10. No painel Configurar <nome do aplicativo>, copie o valor da URL de login. Guarde isso para sua configuração CXone.
  11. Mantenha a janela aberta. Você fará alterações nas configurações do aplicativo Azure com base nos valores recebidos na próxima tarefa.

Configurar uma localização

Permissões necessárias: Criar gerenciamento de localização

Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, crie uma localização com os endereços IP, faixas de endereços IP ou subredes de endereços IP que você quer permitir. Quando se requer uma localização configurada para um usuário, este deverá dispor das credenciais corretas e de um endereço IP para efetuar o login. Caso contrário, sua tentativa de login falhará e ele receberá uma mensagem de erro. É possível ter até 20 localizações simultâneas e até dez regras por localização.

  1. Clique no seletor de aplicativo e selecioneAdmin.
  2. Vá até LocalizaçõesDefinições de localização.
  3. Clique em Nova localização.
  4. Dê um nome descritivo à localização. Se você deseja acrescentar mais detalhes sobre a localização, digite uma Descrição.
  5. É possível selecionar a opção Definir como localização padrão ou Localização remota, indicando o tipo de localização. É possível haver apenas uma localização padrão. Atualmente, estes campos não afetam qualquer funcionalidade e a seleção destes destina-se exclusivamente à sua referência.

  6. Adicione qualquer outra informação desejada utilizando os campos restantes, inclusive o endereço postal, país, coordenadas do GPS, fuso horário ou grupos atribuídos. Atualmente, estes campos nada afetam e as informações digitadas neles destina-se exclusivamente à sua referência.

    Se você adicionar grupos ao campo Grupos atribuídos, os usuários pertencentes a estes grupos serão exibidos na guia Usuários atribuídos. Porém, as configurações de local não se aplicarão a eles. Caso você atribua um local a um autenticador de login, o local se aplicará aos usuários atribuídos ao autenticador de login e restringirá as possibilidades destes de efetuar o login com base nos seus endereços IP. Porém, estes usuários não constarão da guia Usuários atribuídos.

  7. Clique em Salvar.

  8. Na página Definições de localização, clique na localização recém-criada, para abri-la.

  9. Clique na guia Regras de autodetecção.

  10. Crie uma nova regra. Para fazer isso:

    1. Clique em Nova Regra.

    2. Dê à regra um nome descritivo.

    3. Selecione o tipo de regra dentre as opções abaixo:

      • Lista: uma lista de determinados endereços IP permitidos a esta localização. Por exemplo: 100.0.1.100, 100.0.1.101 e 100.0.1.102.

      • Faixa: uma faixa de endereços IP permitidos a esta localização. Por exemplo: 100.0.1.100-100.0.1.125.

      • Subrede: uma subrede permitida a esta localização. Por exemplo: 100.0.0.1/32.

    4. Especifique a versão do IP, uma dentre as seguintes:

      • IPV4: um endereço IP de 32 bits

      • IPV6: um endereço hexadecimal de 128 bits.

    5. Digite os endereços IP, a faixa ou subrede no campo Definição da regra, seguindo os formatos dos exemplos expostos nas etapas precedentes. Caso tenha selecionado Lista, você poderá digitar até 100 endereços IP. Caso tenha selecionado Faixa ou Subrede, você poderá digitar apenas um valor.

    6. Clique em Confirmar.

  11. Adicione outras regras, conforme a necessidade. É possível ter até dez regras.

  12. Clique em Salvar.

Configurar um autenticador de login com SAML 2.0 no CXone

Permissões necessárias: Criar autenticador de login

  1. Clique no seletor de aplicativo e selecioneAdmin.
  2. Clique em Segurança > Autenticador de Login.
  3. Clique em Novo autenticador de login.
  4. Digite o Nome e a Descrição do autenticador de login.
  5. Selecione SAML como o Tipo de Autenticação.

  6. Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, selecione a localização configurada na seção anterior.

  7. Insira o endpoint de solicitação SAML do qual você recebeu de Azure como a URL do endpoint.
  8. Clique em Escolher arquivo e selecione o certificado de assinatura público do qual você baixou de Azure na tarefa anterior. Este arquivo deve estar no formato PEM. Será um arquivo de texto e a primeira linha conterá BEGIN CERTIFICATE com algum texto adicional.

  9. Selecione a guia Usuários Atribuídos. Selecione os usuários que você quer atribuir ao autenticador de login que você está criando. Você também pode atribuir usuários diretamente ao autenticador de login no perfil de funcionário deles.

  10. Clique em Salvar e ativar.
  11. Abra o autenticador de login.

  12. Você notará dois campos adicionais somente leitura exibidos, ID da entidade e URL ACS. Anote esses valores. Você precisará deles na tarefa Adicionar valores do CXone ao Azure.

Adicionar CXone valores a Azure

  1. Retorne ao seu aplicativo Azure e no painel Basic SAML Configuration, clique em Edit.
  2. Para Identificador (ID da Entidade), insira o valor da ID da Entidade do seu autenticador de login CXone.
  3. Para URL de resposta, insira o valor de URL ACS do seu autenticador de login do CXone.
  4. Clique em Salvar e feche o painel Configuração básica do SAML.

  5. Certifique-se de que a Identidade Externa de cada usuário que usa o autenticador de login esteja configurada com o valor correto.

    1. Seu provedor de identidade determina o valor que deve ser usado. O valor deve corresponder exatamente ao Identificador Único de Usuário em Azure e à Identidade Externa em CXone.

  6. Peça para o usuário fazer login no . Ele deve usar o URL de login mais recente do . Depois de inserir seu nome de usuário, eles serão direcionados para o provedor de identidade externo, se necessário. O

Verificar o acesso do usuário com logon único Azure

  1. Certifique-se de que a Identidade Externa de cada funcionário do que usa o autenticador de login esteja definida com o valor correto. O valor deve corresponder exatamente ao Identificador Único de Usuário em Azure e à de Identidade Federada em CXone.

  2. Peça para um ou mais usuários de teste efetuarem login usando o URL de login mais recente do . Depois de inserir seu nome de usuário, eles serão direcionados para Azure, se necessário.

  3. Quando estiver pronto, implemente o logon único Azure para todos os funcionários.

Configurar um aplicativo Azure com OpenID Connect

  1. Faça login na sua conta de gerenciamento do Azure.

  2. Em Registros de aplicativos, clique em Novo registro.

  3. Vá para Autenticação > Web.

  4. Você precisará fornecer URIs de redirecionamento, que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.

  5. Clique em Certificados e segredos.

  6. Selecione client_secret_basic ou client_secret_post como seu método de autenticação. O método de autenticação, private_key_jwt, não é aceito atualmente no CXone.

  7. No campo Segredos do cliente, selecione Novo segredo do cliente.

  8. Adicione uma descrição e selecione Expira.

  9. Copie o ID do cliente e o Segredo do cliente e cole-os em um local seguro no seu dispositivo. Você precisará usá-los quando configurar um autenticador de login no CXone.

  10. Vá para Configuração de token > Reivindicações adicionais.

  11. Clique em Adicionar reivindicação opcional.

  12. Selecione ID como o Tipo de token.

  13. Selecione e-mail e adicione seu endereço de e-mail.

  14. Clique em Salvar.

Configurar um autenticador de login externo do CXone com OpenID Connect

  1. Clique no seletor de aplicativo e selecioneAdmin.

  2. Vá para Configurações de Segurança > Autenticador de login.

  3. Clique em Novo autenticador de login ou selecione o autenticador de login que você quer editar.
  4. Digite o Nome e a Descrição do autenticador de login.
  5. Selecione OIDC como o Tipo de Autenticação.

  6. Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, selecione a localização configurada na seção anterior.

  7. Se você tiver um terminal de descoberta do Azure, clique em Configurações de descoberta. Digite seu terminal de descoberta e clique em Descobrir. Os campos restantes são preenchidos para você. Descobrir Configurações não funciona com os terminais de descoberta do Salesforce.
  8. Insira o seu Identificador do cliente e Senha do Cliente. Digite novamente a senha em Senha de confirmação do cliente. O Identificador de cliente é o ID de login atribuído à sua conta pelo Azure.

  9. Se você não possui um terminal de descoberta do Azure, insira seu Emissor fornecido pelo Azure, Terminal JsonWebKeySet, Terminal de Autorização, Terminal de Token, Terminal UserInfo, Terminal de Revogação e Terminal de encerramento de sessão.

    campo

    Detalhes
    Emitente

    URL do Azure sem qualquer parâmetro.
    Terminal JsonWebKeySet O URL do JWK Set do Azure
    Terminal de Autorização O URL do Terminal de Autorização OAuth 2.0 do Azure.
    Terminal de Token O URL do Terminal de Token OAuth 2.0 do Azure.
    Terminal UserInfo O URL do Terminal UserInfo do Azure.
    Terminal de Revogação O URL do Terminal de Revogação do Azure.
    Terminal de encerramento de sessão

    O URL do Terminal de encerramento de sessão do Azure. Este campo permite criar uma experiência de logout única para seus usuários. Se configurado, quando eles fizerem logout do CXone, eles também serão desconectados de suas contas do Azure. Para o logout único funcionar, você precisa incluir o URI de redirecionamento para logout na lista de permissões do Azure.

    Se o Salesforce for seu IdP, você precisará configurar um URL de logout no Salesforce. Para fazer isso, vá para Configurações > Segurança > Configurações de Sessão > Configurações da Página de Logout. Atualize o campo URL de Logout. Você usará esse URL como seu Terminal de encerramento de sessão.
  10. Selecione um Método de Autenticação de Cliente. O método selecionado deve corresponder ao que você configurou na tarefa anterior. Deve ser um método de autenticação aceito pelo Azure.
  11. Você pode selecionar Ativar perfil FICAM para ativar as configurações específicas do governo dos Estados Unidos. Esta etapa é apenas para usuários do FedRAMP.

  12. Selecione a guia Usuários Atribuídos. Selecione os usuários que você quer atribuir ao autenticador de login que você está criando. Você também pode atribuir usuários diretamente ao autenticador de login no perfil de funcionário deles.

  13. Clique em Salvar e ativar para validar as informações fornecidas e vincular sua conta do CXone à sua conta do Azure.
  14. Abra o autenticador de login.

  15. Anote o URI de redirecionamento para login e o URI de redirecionamento para logout. Você precisará deles para atualizar as configurações do Azure.

  16. Atualize as configurações do seu Azure, substituindo os espaços reservados usados na tarefa anterior pelos valores que você acabou de anotar.

  17. Certifique-se de que a Identidade Externa do CXone de cada usuário que usa o autenticador de login esteja configurada com o valor correto. Este campo pode ser acessado na seção de segurança do perfil do funcionário.

    O Azure determina o valor que deve ser usado. Ele pode ser encontrado no perfil do usuário no Azure. O valor deve corresponder exatamente ao que você colocou no campo Identidade Externa em CXone. O valor desse campo deve estar neste formato: claim(email):{e-mail configurado por seu IdP}. Por exemplo, se o e-mail do usuário no IdP for nick.carraway@classics.com, você digitaria claim(email):nickcarraway@classics.com.

  18. Peça para o usuário fazer login no CXone. Ele deve usar o URL de login mais recente. Depois de inserir o nome de usuário, eles serão direcionados para o Azure, se necessário.

  19. Quando o Azure pedir para você autenticar sua própria conta, faça isso como o usuário no Azure que você quer associar à sua conta do CXone conectada atualmente.
  20. Se as configurações do OpenID Connect no CXone não aparecerem como validadas, use os logs do Azure para diagnosticar o problema.