Gerenciar autenticadores de login

Os autenticadores de login controlam como os usuários fazem login CXone. CXone suporta autenticação interna e externa com base no autenticador de login atribuído ao usuário e no tipo e configuração desse autenticador de login.

Para obter mais informações sobre autenticação e autorização no CXone, clique aqui.

Configurar uma localização

Permissões necessárias: Criar gerenciamento de localização

Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, crie uma localização com os endereços IP, faixas de endereços IP ou subredes de endereços IP que você quer permitir. Quando se requer uma localização configurada para um usuário, este deverá dispor das credenciais corretas e de um endereço IP para efetuar o login. Caso contrário, sua tentativa de login falhará e ele receberá uma mensagem de erro. É possível ter até 20 localizações simultâneas e até dez regras por localização.

  1. Clique no seletor de aplicativo e selecioneAdmin.
  2. Vá até LocalizaçõesDefinições de localização.
  3. Clique em Nova localização.
  4. Dê um nome descritivo à localização. Se você deseja acrescentar mais detalhes sobre a localização, digite uma Descrição.
  5. É possível selecionar a opção Definir como localização padrão ou Localização remota, indicando o tipo de localização. É possível haver apenas uma localização padrão. Atualmente, estes campos não afetam qualquer funcionalidade e a seleção destes destina-se exclusivamente à sua referência.
  6. Adicione qualquer outra informação desejada utilizando os campos restantes, inclusive o endereço postal, país, coordenadas do GPS, fuso horário ou grupos atribuídos. Atualmente, estes campos nada afetam e as informações digitadas neles destina-se exclusivamente à sua referência.

    Se você adicionar grupos ao campo Grupos atribuídos, os usuários pertencentes a estes grupos serão exibidos na guia Usuários atribuídos. Porém, as configurações de local não se aplicarão a eles. Caso você atribua um local a um autenticador de login, o local se aplicará aos usuários atribuídos ao autenticador de login e restringirá as possibilidades destes de efetuar o login com base nos seus endereços IP. Porém, estes usuários não constarão da guia Usuários atribuídos.

  7. Clique em Salvar.

  8. Na página Definições de localização, clique na localização recém-criada, para abri-la.

  9. Clique na guia Regras de autodetecção.

  10. Crie uma nova regra. Para fazer isso:

    1. Clique em Nova Regra.

    2. Dê à regra um nome descritivo.

    3. Selecione o tipo de regra dentre as opções abaixo:

      • Lista: uma lista de determinados endereços IP permitidos a esta localização. Por exemplo: 100.0.1.100, 100.0.1.101 e 100.0.1.102.

      • Faixa: uma faixa de endereços IP permitidos a esta localização. Por exemplo: 100.0.1.100-100.0.1.125.

      • Subrede: uma subrede permitida a esta localização. Por exemplo: 100.0.0.1/32.

    4. Especifique a versão do IP, uma dentre as seguintes:

      • IPV4: um endereço IP de 32 bits

      • IPV6: um endereço hexadecimal de 128 bits.

    5. Digite os endereços IP, a faixa ou subrede no campo Definição da regra, seguindo os formatos dos exemplos expostos nas etapas precedentes. Caso tenha selecionado Lista, você poderá digitar até 100 endereços IP. Caso tenha selecionado Faixa ou Subrede, você poderá digitar apenas um valor.

    6. Clique em Confirmar.

  11. Adicione outras regras, conforme a necessidade. É possível ter até dez regras.

  12. Clique em Salvar.

Configurar um autenticador de login do sistema

Permissoes necessárias: Pode gerenciar senhas, ativo

CXone inclui um autenticador de login do sistema padrão, mas você também pode criar o seu próprio. Depois de configurar um autenticador de login para uma função específica, o campo de senha exibe as regras do autenticador de login configuradas quando um usuário tenta definir ou alterar a senha.

  1. Clique no seletor de aplicativo e selecione Admin.
  2. Vá para Configurações de Segurança > Autenticador de login.
  3. Clique em Novo autenticador de login.

  4. Insira um exclusivo Nome para o autenticador de login.

  5. Introduzir um Descrição se você quiser.

  6. Selecione Sistema como o Tipo de Autenticação.

  7. Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, selecione a localização configurada na seção anterior.

  8. Defina a complexidade da senha.

    A senha de cada usuário é verificada de acordo com um repositório de senhas comumente usadas. Se a senha deles for igual a uma das senhas comumente usadas, eles serão forçados a criar uma nova senha. Algumas senhas rejeitadas são:

    • Qualquer senha que inclua a palavra “senha”. Por exemplo, Senha@1234.

    • Qualquer senha que inclua o endereço de e-mail, nome de usuário, nome, sobrenome ou nome do sistema do usuário.

    As senhas são verificadas de acordo com esse repositório sempre que:

    • Um novo usuário é ativado.

    • A senha de um usuário expira.

    • Um usuário redefine a senha.

  9. Se você quiser habilitar a autenticação multifator, selecione Exigir autenticação multifator. Defina seu Tipo MFA como HOTP (baseado em HMAC) e TOTP (baseado em tempo).

  10. Defina sua política de senha.

  11. Clique em Salvar e ativar.

Configurar um autenticador de login externo com SAML 2.0

Você pode usar a autenticação externa quando quiser que a senha de um usuário seja gerenciada por outro sistema ou provedor de identidade. O CXone atualmente tem suporte para os protocolos de federação SAML 2.0 e OpenID Connect.

Você pode configurar a autenticação iniciada por IdP ou a autenticação iniciada por SP com as etapas nesta seção.

Autenticação iniciada por IdP: IdP é a sigla de provedor de identidade em inglês. A autenticação iniciada pelo IdP significa que o provedor de identidade externo inicia o processo de login.

Autenticação iniciada por SP: SP é a sigla de provedor de serviços em inglês. A autenticação iniciada por SP significa que CXone inicia o processo de login.

Se você estiver usando o Salesforce Agent, o provedor de identidade externo (IdP) deverá ser configurado para autenticação iniciada por SP.

  1. Certifique-se de ter acesso ao provedor de identidade externo. Você precisará criar uma integração específica para CXone.
  2. Crie a integração no provedor de identidade externo. Diferentes sistemas usam nomes diferentes para essas integrações, veja instruções específicas para Okta ou Azure.
    1. Você precisará fornecer um ID de entidade que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.
    2. Você precisará fornecer um URL ACS que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.
    3. O provedor de identidade gerará uma URL específica para onde as solicitações SAML devem ser enviadas. Copie e salve este URL em um local onde você possa encontrá-lo. Você precisará inserir esse valor em etapas posteriores.
    4. O provedor de identidade gerará um certificado de assinatura público para a integração. Baixe o certificado. Você precisará usá-lo em etapas posteriores.
  3. Crie um autenticador de login externo em CXone.
    1. Clique no seletor de aplicativo e selecioneAdmin.
    2. Clique em Segurança > Autenticador de Login.
    3. Digite o Nome e a Descrição do autenticador de login.
    4. Selecione SAML como o Tipo de Autentiucação.
    5. Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, selecione a localização configurada na seção anterior.

    6. Se você selecionar FICAM, a resposta SAML deve ter uma única entrada AuthnContextClassRef. Além disso, o NamespaceURI do assunto da declaração deve ser: urn:oasis:names:tc:SAML:2.0:assertion. Os campos AuthnContextClassRef e NamespaceURI são controlados pelo provedor de identidade.
    7. Insira o Endpoint de solicitação SAML que voce recebeu do provedor acima como a URL do endpoint.
    8. Clique em escolher arquivo e selecione o certificado de assinatura pública que você recebeu do seu provedor. Este arquivo deve estar no formato PEM. Será um arquivo de texto e a primeira linha conterá BEGIN CERTIFICATE com algum outro texto.
    9. Selecione a guia Usuários Atribuídos. Selecione os usuários que você quer atribuir ao autenticador de login que você está criando. Você também pode atribuir usuários diretamente ao autenticador de login no perfil de funcionário deles.

    10. Clique em Salvar e Ativar.
    11. Abra o autenticador de login.
    12. Anote o ID da entidade e o URL do ACS. Você precisará deles quando for atualizar as configurações do seu provedor de identidade.

  4. Atualize as configurações do seu provedor de identidade, substituindo os espaços reservados usados acima pelos valores que você acabou de anotar.

  5. Certifique-se de que a Identidade Externa de cada usuário que usa o autenticador de login esteja configurada com o valor correto. Este campo pode ser acessado na seção de segurança do perfil do funcionário.

    Seu provedor de identidade determina o valor que deve ser usado. O valor deve corresponder exatamente ao que você colocou no campo Identidade Externa em CXone.

  6. Faça com que o usuário faça login. Ele deve usar o URL de login mais recente. Depois de inserir seu nome de usuário, eles serão direcionados para o provedor de identidade externo, se necessário.

Criar autenticadores de login externo com o OpenID Connect

Permissões necessárias: Criar autenticador de login

Você pode usar a autenticação externa quando quiser que a senha de um usuário seja gerenciada por outro sistema ou provedor de identidade. O CXone atualmente tem suporte para os protocolos de federação SAML 2.0 e OpenID Connect.

Você pode configurar a autenticação iniciada por IdP ou a autenticação iniciada por SP com as etapas nesta seção.

Autenticação iniciada por IdP: IdP é a sigla de provedor de identidade em inglês. A autenticação iniciada pelo IdP significa que o provedor de identidade externo inicia o processo de login.

Autenticação iniciada por SP: SP é a sigla de provedor de serviços em inglês. A autenticação iniciada por SP significa que CXone inicia o processo de login.

Se você estiver usando o Salesforce Agent, o provedor de identidade externo (IdP) deverá ser configurado para autenticação iniciada por SP.

  1. Certifique-se de ter acesso ao provedor de identidade externo. Você precisará criar uma integração específica para CXone.
  2. Crie a integração no provedor de identidade externo.
    1. Você precisará fornecer um URI de redirecionamento para login que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.
    2. Talvez seja preciso fornecer um URI de redirecionamento para logout que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.
    3. O provedor de identidade gerará um ID de cliente e um segredo do cliente. Copie e salve esses valores onde você possa encontrá-los. Você precisará inseri-los em etapas posteriores.
  3. Crie um autenticador de login externo em CXone.
    1. Clique no seletor de aplicativo e selecioneAdmin.

    2. Vá para Configurações de SegurançaAutenticador de login.

    3. Clique em Novo autenticador de login ou selecione o autenticador de login que você quer editar.
    4. Digite o Nome e a Descrição do autenticador de login.
    5. Selecione OIDC como o Tipo de Autentiucação.
    6. Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, selecione a localização configurada na seção anterior.

    7. Se você tiver um terminal de descoberta para seu IdP, clique em Configurações de descoberta. Digite seu terminal de descoberta e clique em Descobrir. Os campos restantes são preenchidos para você. Descobrir Configurações não funciona com os terminais de descoberta do Salesforce.
    8. Insira o seu Identificador de cliente e Senha de cliente. Digite novamente a senha em Senha de confirmação do cliente. O Identificador de cliente é o ID de login atribuído à sua conta pelo seu IdP.
    9. Se você não possui um terminal de descoberta do seu IdP, insira seu Emissor fornecido pelo IdP, Terminal JsonWebKeySet, Terminal de Autorização, Terminal de Token, Terminal UserInfo, Terminal de Revogação e Terminal de encerramento de sessão.

    10. Selecione um Método de Autenticação de Cliente. O método selecionado deve ser um método de autenticação com suporte pelo seu IdP. Se você selecionar private_key_jwt, deverá digite a Chave privada do cliente.
    11. Você pode selecionar Ativar perfil FICAM para ativar as configurações específicas do governo dos EUA.
    12. Selecione a guia Usuários Atribuídos. Selecione os usuários que você quer atribuir ao autenticador de login que você está criando. Você também pode atribuir usuários diretamente ao autenticador de login no perfil de funcionário deles.

    13. Clique em Salvar e ativar para validar as informações fornecidas e vincular sua conta do CXone à sua conta do IdP.
    14. Abra o autenticador de login.
    15. Anote o URI de redirecionamento para login e o URI de redirecionamento para logout. Você precisará deles quando for atualizar as configurações do seu provedor de identidade.

  4. Atualize as configurações do seu provedor de identidade, substituindo os espaços reservados usados acima pelos valores que você acabou de anotar.

  5. Certifique-se de que a Identidade Externa de cada usuário que usa o autenticador de login esteja configurada com o valor correto. Este campo pode ser acessado na seção de segurança do perfil do funcionário.

    Seu provedor de identidade determina o valor que deve ser usado. O valor deve corresponder exatamente ao que você colocou no campo Identidade Externa em CXone. O valor desse campo deve estar neste formato: claim(email):{e-mail configurado por seu IdP}. Por exemplo, se o e-mail do usuário no IdP for nick.carraway@classics.com, você digitaria claim(email):nickcarraway@classics.com.

  6. Faça com que o usuário faça login. Ele deve usar o URL de login mais recente. Depois de inserir seu nome de usuário, eles serão direcionados para o provedor de identidade externo, se necessário.

  7. Quando seu IdP pedir para você se autenticar, faça isso como o usuário do IdP que você deseja associar à sua conta do CXone conectada atualmente.
  8. Se seu OpenID Connect configurações em CXone não mostrar como validado, use seus logs de IdP para diagnosticar o problema.

Vinculando novos usuários com base em declarações OpenID Connect

CXone pode usar um valor de declaração diferente, como um endereço de e-mail, para estabelecer a identidade do usuário no primeiro login. CXone em seguida, alterna automaticamente para o identificador de assunto exclusivo OpenID Connect . Isso permite pré-configurar a identidade federada de um usuário .

PKCE para autenticação front-end

Você pode ter dificuldade para usar o fluxo de código de autorização do OpenID Connect. Esse fluxo requer um client_secret como parte da troca de token. Codificar o client_secret em um aplicativo da web é um risco de segurança. O OpenID Connect permite um fluxo alternativo chamado PKCE (Proof Key for Code Exchange). O PKCE usa um método de autenticação diferente. O NICE CXone suporta fluxos do PKCE para integrações front-end.

Desativar autenticadores de login

Permissões necessárias: Desativar autenticador de login

Você pode desativar os autenticadores de login do sistema e SAML 2.0 na página Autenticador de login.

Todos os usuários atribuídos a um autenticador de login (LA) desativado perderão acesso ao CXone. Esses usuários não poderão usar o link Esqueci a senha para ativar a conta ou alterar a senha. Os usuários não serão notificados sobre a perda de acesso. Eles não poderão recuperar o acesso até que você:

  • Atribua a eles um autenticador de login ativo.

  • Reative o autenticador de login atribuído.

Para evitar a revogação do acesso dos seus usuários, atribua a eles a um autenticador de login diferente antes de desativar.

  1. Clique no seletor de aplicativo e selecioneAdmin.
  2. Vá para Configurações de Segurança > Autenticador de login.
  3. Localize o autenticador de login que você quer desativar.
  4. Clique em Ações O ícone de três pontos empilhados no lado direito do autenticador de login..
  5. Clique em Desativar.