Gerenciar Federação com Okta

Okta é apenas um dos provedores de identidade externa (IdPs) com suporte que você pode usar com CXone. Esta página orienta você, passo a passo, na configuração da autenticação para seu sistema CXone usando Okta.

Se você estiver fazendo a implementação inicial do seu sistema CXone, há etapas adicionais a serem consideradas. Recomendamos a leitura das seguintes páginas de ajuda online que incluem estas considerações:

Gerenciar Federação com Okta com SAML 2.0

Complete cada uma dessas tarefas na ordem indicada.

Antes de começar, verifique se você tem acesso ao Okta. Você precisará criar um aplicativo.

Criar e configurar um aplicativo Okta com SAML 2.0

  1. Faça login na sua conta de gerenciamento do Okta.
  2. Clique no menu Aplicativos > Criar integração de aplicativo.
  3. Selecione SAML 2.0 como o método e clique em Avançar.
  4. Insira o nome que deseja usar para identificar esta integração e clique em Próximo.
  5. Configure SAML:
    1. Digite um URL de espaço reservado como https://cxone.niceincontact.com/need_to_change no campo URL de login único. Você alterará esse valor com a URL que receber mais tarde.
    2. Digite um URL de espaço reservado como https://cxone.niceincontact.com/need_to_change no campo URI de público-alvo. Você alterará esse valor com o URI recebido posteriormente.
    3. Especifique o Formato de ID do nome e o Nome de usuário do aplicativo para corresponder à forma como você deseja identificar seus usuários para CXone.
    4. Clique em Mostrar configurações avançadas.
    5. Altere Assinatura de declaração para Não assinado. Deixe Resposta como Assinado.
    6. Certifique-se de que Criptografia de declaração seja Não criptografado.
  6. Clique em Próximo, conclua o feedback e clique em Terminar na guia Opiniões.
  7. Clique em Exibir instruções de configuração do SAML para abrir uma nova guia, então:
    1. Clique em Baixar certificado para baixar o certificado de assinatura. Mantenha este arquivo para sua configuração CXone.
    2. Copie o URL de logon único do provedor de identidade. Mantenha este URL para sua configuração CXone.
    3. Feche a guia Instruções de configuração SAML. Deixe a guia Configurar SAML aberta. Você fará alterações em sua configuração com base nas configurações CXone que obterá em seguida.

Configurar uma localização

Permissões necessárias: Criar gerenciamento de localização

Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, crie uma localização com os endereços IP, faixas de endereços IP ou subredes de endereços IP que você quer permitir. Quando se requer uma localização configurada para um usuário, este deverá dispor das credenciais corretas e de um endereço IP para efetuar o login. Caso contrário, sua tentativa de login falhará e ele receberá uma mensagem de erro. É possível ter até 20 localizações simultâneas e até dez regras por localização.

  1. Clique no seletor de aplicativo e selecioneAdmin.
  2. Vá até LocalizaçõesDefinições de localização.
  3. Clique em Nova localização.
  4. Dê um nome descritivo à localização. Se você deseja acrescentar mais detalhes sobre a localização, digite uma Descrição.
  5. É possível selecionar a opção Definir como localização padrão ou Localização remota, indicando o tipo de localização. É possível haver apenas uma localização padrão. Atualmente, estes campos não afetam qualquer funcionalidade e a seleção destes destina-se exclusivamente à sua referência.

  6. Adicione qualquer outra informação desejada utilizando os campos restantes, inclusive o endereço postal, país, coordenadas do GPS, fuso horário ou grupos atribuídos. Atualmente, estes campos nada afetam e as informações digitadas neles destina-se exclusivamente à sua referência.

    Se você adicionar grupos ao campo Grupos atribuídos, os usuários pertencentes a estes grupos serão exibidos na guia Usuários atribuídos. Porém, as configurações de local não se aplicarão a eles. Caso você atribua um local a um autenticador de login, o local se aplicará aos usuários atribuídos ao autenticador de login e restringirá as possibilidades destes de efetuar o login com base nos seus endereços IP. Porém, estes usuários não constarão da guia Usuários atribuídos.

  7. Clique em Salvar.

  8. Na página Definições de localização, clique na localização recém-criada, para abri-la.

  9. Clique na guia Regras de autodetecção.

  10. Crie uma nova regra. Para fazer isso:

    1. Clique em Nova Regra.

    2. Dê à regra um nome descritivo.

    3. Selecione o tipo de regra dentre as opções abaixo:

      • Lista: uma lista de determinados endereços IP permitidos a esta localização. Por exemplo: 100.0.1.100, 100.0.1.101 e 100.0.1.102.

      • Faixa: uma faixa de endereços IP permitidos a esta localização. Por exemplo: 100.0.1.100-100.0.1.125.

      • Subrede: uma subrede permitida a esta localização. Por exemplo: 100.0.0.1/32.

    4. Especifique a versão do IP, uma dentre as seguintes:

      • IPV4: um endereço IP de 32 bits

      • IPV6: um endereço hexadecimal de 128 bits.

    5. Digite os endereços IP, a faixa ou subrede no campo Definição da regra, seguindo os formatos dos exemplos expostos nas etapas precedentes. Caso tenha selecionado Lista, você poderá digitar até 100 endereços IP. Caso tenha selecionado Faixa ou Subrede, você poderá digitar apenas um valor.

    6. Clique em Confirmar.

  11. Adicione outras regras, conforme a necessidade. É possível ter até dez regras.

  12. Clique em Salvar.

Configurar um autenticador de login externo do CXone com SAML 2.0

Permissões necessárias: Criar autenticador de login

  1. Clique no seletor de aplicativo e selecioneAdmin.
  2. Clique em SegurançaAutenticador de Login.
  3. Clique em Novo autenticador de login.
  4. Digite o Nome e a Descrição do autenticador de login.
  5. Selecione SAML como o Tipo de Autenticação.

  6. Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, selecione a localização configurada na seção anterior.

  7. Insira o URL de logon único do provedor de identidade que você recebeu do Okta como o URL do terminal. Consulte a última etapa da tarefa anterior para saber mais detalhes.
  8. Clique em Escolher arquivo e selecione o certificado de assinatura público do qual você baixou de Okta na tarefa anterior. Esse certificado deve ser um arquivo PEM. Será um arquivo de texto e a primeira linha conterá BEGIN CERTIFICATE com algum texto adicional.

  9. Selecione a guia Usuários Atribuídos. Selecione os usuários que você quer atribuir ao autenticador de login que você está criando. Você também pode atribuir usuários diretamente ao autenticador de login no perfil de funcionário deles.

  10. Clique em Salvar e Ativar.
  11. Abra o autenticador de login.

  12. Você notará dois campos adicionais somente leitura exibidos: o ID da entidade e o URL do ACS. Anote esses valores. Você precisará deles na tarefa Adicionar valores do CXone ao Okta.

Adicionar CXone valores a Okta

  1. Retorne ao seu aplicativo Okta e vá para a guia Geral.
  2. Clique em Editar na janela Configurações SAML e, em seguida, clique em Próximo.
  3. Para URL de login único, digite o valor ACS URL do seu autenticador de login CXone.
  4. Para URI do público (ID da entidade SP), digite o ID da entidade do seu autenticador de login do CXone.
  5. Clique em Próximo e, em seguida, clique em Concluir para concluir a alteração.

Verificar o acesso do usuário com logon único Okta

  1. Certifique-se de que a Identidade Externa de cada funcionário do que usa o autenticador de login esteja definida com o valor correto. O valor deve corresponder exatamente a Identidade externa no CXone. O campo Identidade Externa faz distinção entre maiúsculas e minúsculas.

  2. Faça com que um ou mais usuários de teste efetuem login usando o URL de login mais recente, https://cxone.niceincontact.com. Para FedRAMP, use https://cxone-gov.niceincontact.com. Depois de inserir seu nome de usuário, eles serão direcionados para Okta, se necessário.

  3. Quando estiver pronto, implemente o logon único Okta para todos os funcionários.

Gerenciar Federação com Okta com OpenID Connect

Complete cada uma dessas tarefas na ordem indicada.

Configurar um aplicativo Okta com OpenID Connect

  1. Faça login na sua conta de gerenciamento do Okta.
  2. Clique no menu Aplicativos > Criar integração de aplicativo.
  3. Selecione OIDC - OpenID Connect como o Método de login.
  4. Selecione Aplicativo Web como o Tipo de aplicativo e clique em Avançar.
  5. No campo Nome da integração do aplicativo, digite o nome que você quer usar para identificar essa integração.
  6. Você precisará fornecer um URI de redirecionamento para login que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição. Você alterará esse valor com o URI recebido posteriormente.
  7. Talvez seja preciso fornecer um URI de redirecionamento para logout que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição. Você alterará esse valor com o URI recebido posteriormente.
  8. No menu suspenso Acesso controlado, selecione Pular atribuição de grupo por enquanto.
  9. Clique em Salvar.
  10. Na guia Geral, em Credenciais do cliente, selecione Autenticação do cliente.
  11. Selecione um dos seguintes métodos de autenticação:
    1. client_secret_basic: as credenciais do cliente são passadas em um cabeçalho básico durante a autenticação. Depois de selecionar este método, configure o seguinte:
      1. Selecione Autenticação do cliente como o Segredo do cliente.
      2. Copie o ID do cliente e o Segredo do cliente e cole-os em um local seguro no seu dispositivo. Você precisará usá-los quando configurar um autenticador de login no CXone.
    2. client_secret_post: as credenciais do cliente são passadas em um corpo durante a autenticação. Depois de selecionar este método, configure o seguinte:
      1. Selecione Autenticação do cliente como o Segredo do cliente.
      2. Copie o ID do cliente e o Segredo do cliente e cole-os em um local seguro no seu dispositivo. Você precisará usá-los quando configurar um autenticador de login no CXone.
    3. client_secret_jwt: Os tokens de portador JWT são usados ​​para autenticação do cliente. Depois de selecionar este método, configure o seguinte:
      1. Selecione Autenticação do cliente como o Segredo do cliente.
      2. Copie o ID do cliente e o Segredo do cliente e cole-os em um local seguro no seu dispositivo. Você precisará usá-los quando configurar um autenticador de login no CXone.
    4. private_key_jwt: Os tokens de portador JWT são usados ​​para autenticação do cliente. O JWT é assinado pela Chave privada do cliente que você fornecerá nas etapas posteriores. Depois de selecionar este método, configure o seguinte:
      1. Selecione Autenticação do cliente como a Chave pública/Chave privada.
      2. Insira uma chave pública de espaço reservado no campo Adicionar chave pública. Você precisará substituir o espaço reservado pela chave fornecida pelo CXone quando configurar seu autenticador de login.
  12. Na guia Atribuições, clique em Atribuir e, em seguida, clique em Atribuir a pessoas.
  13. Atribua usuários a esse aplicativo.

Configurar uma localização

Permissões necessárias: Criar gerenciamento de localização

Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, crie uma localização com os endereços IP, faixas de endereços IP ou subredes de endereços IP que você quer permitir. Quando se requer uma localização configurada para um usuário, este deverá dispor das credenciais corretas e de um endereço IP para efetuar o login. Caso contrário, sua tentativa de login falhará e ele receberá uma mensagem de erro. É possível ter até 20 localizações simultâneas e até dez regras por localização.

  1. Clique no seletor de aplicativo e selecioneAdmin.
  2. Vá até LocalizaçõesDefinições de localização.
  3. Clique em Nova localização.
  4. Dê um nome descritivo à localização. Se você deseja acrescentar mais detalhes sobre a localização, digite uma Descrição.
  5. É possível selecionar a opção Definir como localização padrão ou Localização remota, indicando o tipo de localização. É possível haver apenas uma localização padrão. Atualmente, estes campos não afetam qualquer funcionalidade e a seleção destes destina-se exclusivamente à sua referência.

  6. Adicione qualquer outra informação desejada utilizando os campos restantes, inclusive o endereço postal, país, coordenadas do GPS, fuso horário ou grupos atribuídos. Atualmente, estes campos nada afetam e as informações digitadas neles destina-se exclusivamente à sua referência.

    Se você adicionar grupos ao campo Grupos atribuídos, os usuários pertencentes a estes grupos serão exibidos na guia Usuários atribuídos. Porém, as configurações de local não se aplicarão a eles. Caso você atribua um local a um autenticador de login, o local se aplicará aos usuários atribuídos ao autenticador de login e restringirá as possibilidades destes de efetuar o login com base nos seus endereços IP. Porém, estes usuários não constarão da guia Usuários atribuídos.

  7. Clique em Salvar.

  8. Na página Definições de localização, clique na localização recém-criada, para abri-la.

  9. Clique na guia Regras de autodetecção.

  10. Crie uma nova regra. Para fazer isso:

    1. Clique em Nova Regra.

    2. Dê à regra um nome descritivo.

    3. Selecione o tipo de regra dentre as opções abaixo:

      • Lista: uma lista de determinados endereços IP permitidos a esta localização. Por exemplo: 100.0.1.100, 100.0.1.101 e 100.0.1.102.

      • Faixa: uma faixa de endereços IP permitidos a esta localização. Por exemplo: 100.0.1.100-100.0.1.125.

      • Subrede: uma subrede permitida a esta localização. Por exemplo: 100.0.0.1/32.

    4. Especifique a versão do IP, uma dentre as seguintes:

      • IPV4: um endereço IP de 32 bits

      • IPV6: um endereço hexadecimal de 128 bits.

    5. Digite os endereços IP, a faixa ou subrede no campo Definição da regra, seguindo os formatos dos exemplos expostos nas etapas precedentes. Caso tenha selecionado Lista, você poderá digitar até 100 endereços IP. Caso tenha selecionado Faixa ou Subrede, você poderá digitar apenas um valor.

    6. Clique em Confirmar.

  11. Adicione outras regras, conforme a necessidade. É possível ter até dez regras.

  12. Clique em Salvar.

Configurar um autenticador de login com OpenID Connect no CXone

  1. Clique no seletor de aplicativo e selecioneAdmin

  2. Vá para Configurações de Segurança > Autenticador de login.

  3. Clique em Novo autenticador de login ou selecione o autenticador de login que você quer editar.
  4. Digite o Nome e a Descrição do autenticador de login.
  5. Selecione OIDC como o Tipo de Autenticação.

  6. Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, selecione a localização configurada na seção anterior.

  7. Se você tiver um terminal de descoberta do Okta, clique em Configurações de descoberta. Digite seu terminal de descoberta e clique em Descobrir. Os campos restantes são preenchidos para você. Descobrir Configurações não funciona com os terminais de descoberta do Salesforce.
  8. Insira o seu Identificador do cliente e Senha do Cliente. Digite novamente a senha em Senha de confirmação do cliente. O Identificador de cliente é o ID de login atribuído à sua conta pelo Okta.

  9. Se você não possui um terminal de descoberta do Okta, insira seu Emissor fornecido pelo Okta, Terminal JsonWebKeySet, Terminal de Autorização, Terminal de Token, Terminal UserInfo e Terminal de Revogação.

    campo

    Detalhes
    Emitente

    URL do Okta sem qualquer parâmetro.
    Terminal JsonWebKeySet O URL do JWK Set do Okta
    Terminal de Autorização O URL do Terminal de Autorização OAuth 2.0 do Okta.
    Terminal de Token O URL do Terminal de Token OAuth 2.0 do Okta.
    Terminal UserInfo O URL do Terminal UserInfo do Okta.
    Terminal de Revogação O URL do Terminal de Revogação do Okta.
  10. Selecione um Método de Autenticação de Cliente. O método selecionado deve corresponder ao que você configurou na tarefa anterior. Deve ser um método de autenticação aceito pelo Okta. Se você selecionar private_key_jwt, deverá digite a Chave privada do cliente.
  11. Você pode selecionar Ativar perfil FICAM para ativar as configurações específicas do governo dos Estados Unidos. Esta etapa é apenas para usuários do FedRAMP.

  12. Selecione a guia Usuários Atribuídos. Selecione os usuários que você quer atribuir ao autenticador de login que você está criando. Você também pode atribuir usuários diretamente ao autenticador de login no perfil de funcionário deles.

  13. Clique em Salvar e ativar para validar as informações fornecidas e vincular sua conta do CXone à sua conta do Okta.
  14. Abra o autenticador de login.

  15. Anote o URI de redirecionamento para login e o URI de redirecionamento para logout. Você precisará deles para atualizar as configurações do Okta.

  16. Atualize as configurações do seu Okta, substituindo os espaços reservados usados na tarefa anterior pelos valores que você acabou de anotar.

  17. Certifique-se de que a Identidade Externa do CXone de cada usuário que usa o autenticador de login esteja configurada com o valor correto. Este campo pode ser acessado na seção de segurança do perfil do funcionário.

    O Okta determina o valor que deve ser usado. Ele pode ser encontrado no perfil do usuário no Okta. O valor deve corresponder exatamente ao que você colocou no campo Identidade Externa em CXone. O valor desse campo deve estar neste formato: claim(email):{e-mail configurado por seu IdP}. Por exemplo, se o e-mail do usuário no IdP for nick.carraway@classics.com, você digitaria claim(email):nickcarraway@classics.com.

  18. Peça para o usuário fazer login no CXone. Ele deve usar o URL de login mais recente. Depois de inserir seu nome de usuário, eles serão direcionados para Okta, se necessário.

  19. Quando o Okta pedir para você autenticar sua própria conta, faça isso como o usuário que você quer associar à sua conta do CXone conectada atualmente.
  20. Se as configurações do OpenID Connect no CXone não aparecerem como validadas, use os logs do Okta para diagnosticar o problema.

Adicionar CXone valores a Okta

  1. Retorne ao seu aplicativo Okta e vá para a guia Geral.
  2. Clique em Editar na janela Configurações SAML e, em seguida, clique em Próximo.
  3. Para URL de login único, digite o valor ACS URL do seu autenticador de login CXone.
  4. Para URI do público (ID da entidade SP), digite o ID da entidade do seu autenticador de login do CXone.
  5. Clique em Próximo e, em seguida, clique em Concluir para concluir a alteração.

Verificar o acesso do usuário com logon único Okta

  1. Certifique-se de que a Identidade Externa de cada funcionário do que usa o autenticador de login esteja definida com o valor correto. O valor deve corresponder exatamente a Identidade externa no CXone. O campo Identidade Externa faz distinção entre maiúsculas e minúsculas.

  2. Faça com que um ou mais usuários de teste efetuem login usando o URL de login mais recente, https://cxone.niceincontact.com. Para FedRAMP, use https://cxone-gov.niceincontact.com. Depois de inserir seu nome de usuário, eles serão direcionados para Okta, se necessário.

  3. Quando estiver pronto, implemente o logon único Okta para todos os funcionários.