Configurar Autenticação CXone usando um provedor de identidade externo

Esta página orienta você, passo a passo, na configuração da autenticação para seu CXone sistema usando um provedor de identidade externo (IdP).

Antes que Você Comece

• Obtenha uma compreensão básica dos conceitos e terminologia de autenticação e autorização se você nunca configurou um processo como esse antes.
• Revise o processo espcífico de CXone se esta é a primeira vez que você trabalha com autenticação em CXone.
• Considere seus usuários humanos e os níveis de acesso que eles precisam. Decida se as pessoas com maior acesso devem ter maiores níveis de segurança.
• Decida se você usará requisitos de senha personalizados, autenticação multifator (MFA) ou ambos para aplicar.
• Com base em suas decisões, faça uma lista de autenticadores de login. A lista deve incluir os requisitos de senha e o status de MFA que você deseja usar para cada autenticador de login. Você não precisa criar autenticadores de login personalizados se o autenticador de login padrão atender às suas necessidades de gerenciamento de senha.
• Considere se você precisa incluir autenticação e autorização para aplicativos como bots ou assistentes virtuais inteligentes (IVAs). Nesse caso, você precisará criar chaves de acesso.
• Identifique seu IdP externo . CXone suporta IdPs de serviço hospedado e em nuvem. Se necessário, envolva os especialistas em autenticação de sua empresa nesse processo. Pode já haver processos estabelecidos para integrar sistemas como CXone com seu IdP externo. Seguir esses processos e atender às suas necessidades específicas de segurança é, em última análise, sua responsabilidade.
• Defina seu protocolo de autenticação . CXone apoia SAML 2.0 eOpenID Connect .
• Avalie a combinação de IdP e protocolo para garantir que seus casos de uso e fluxos de usuários sejam compatíveis e para identificar possíveis problemas. Isso deve incluir testes reais.

Sua NICE CXone equipe pode apoiá-lo e orientá-lo neste processo de planejamento. Um bom planejamento contribui para uma implementação mais suave. A implementação de autenticação e autorização à medida que surgem necessidades imediatas é mais provável de levar a problemas.

Criar autenticadores de login externo com o SAML 2.0

Permissões necessárias: Criar autenticador de login

Para criar autenticadores de login externo com o OpenID Connect, pule esta seção. Os autenticadores de login são usados para gerenciar os critérios de senha. Você pode criar autenticadores de login diferentes para diferentes funcionários.

Você pode usar a autenticação externa quando quiser que a senha de um usuário seja gerenciada por outro sistema ou provedor de identidade. O CXone atualmente tem suporte para os protocolos de federação SAML 2.0 e OpenID Connect.

Você pode configurar a autenticação iniciada por IdP ou a autenticação iniciada por SP com as etapas nesta seção.

Autenticação iniciada por IdP: IdP é a sigla de provedor de identidade em inglês. A autenticação iniciada pelo IdP significa que o provedor de identidade externo inicia o processo de login.

Autenticação iniciada por SP: SP é a sigla de provedor de serviços em inglês. A autenticação iniciada por SP significa que CXone inicia o processo de login.

1. Certifique-se de ter acesso ao provedor de identidade externo. Você precisará criar uma integração específica para CXone.
2. Crie a integração no provedor de identidade externo. Diferentes sistemas usam nomes diferentes para essas integrações, veja instruções específicas para Okta ou Azure.
   1. Você precisará fornecer um ID de entidade que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.
   2. Você precisará fornecer um URL ACS que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.
   3. O provedor de identidade gerará uma URL específica para onde as solicitações SAML devem ser enviadas. Copie e salve este URL em um local onde você possa encontrá-lo. Você precisará inserir esse valor em etapas posteriores.
   4. O provedor de identidade gerará um certificado de assinatura público para a integração. Baixe o certificado. Você precisará usá-lo em etapas posteriores.
3. Crie um autenticador de login externo em CXone.
   1. Clique no seletor de aplicativo e selecioneAdmin.
   2. Clique em Segurança > Autenticador de Login.
   3. Digite o Nome e a Descrição do autenticador de login.
   4. Selecione SAML como o Tipo de Autentiucação.
   5. Se você selecionar FICAM, a resposta SAML deve ter uma única entrada AuthnContextClassRef. Além disso, o NamespaceURI do assunto da declaração deve ser: urn:oasis:names:tc:SAML:2.0:assertion. Os campos AuthnContextClassRef e NamespaceURI são controlados pelo provedor de identidade.
   6. Insira o Endpoint de solicitação SAML que voce recebeu do provedor acima como a URL do endpoint.
   7. Clique em escolher arquivo e selecione o certificado de assinatura pública que você recebeu do seu provedor. Este arquivo deve estar no formato PEM. Será um arquivo de texto e a primeira linha conterá BEGIN CERTIFICATE com algum outro texto.

   8. Selecione a guia Usuários Atribuídos. Selecione os usuários que você quer atribuir ao autenticador de login que você está criando. Você também pode atribuir usuários diretamente ao autenticador de login no perfil de funcionário deles.

   9. Clique em Salvar e Ativar.
   10. Abra o autenticador de login.

   11. Anote o ID da entidade e o URL do ACS. Você precisará deles quando for atualizar as configurações do seu provedor de identidade.

4. Atualize as configurações do seu provedor de identidade, substituindo os espaços reservados usados acima pelos valores que você acabou de anotar.

5. Certifique-se de que a Identidade Externa de cada usuário que usa o autenticador de login esteja configurada com o valor correto. Este campo pode ser acessado na seção de segurança do perfil do funcionário.

   Seu provedor de identidade determina o valor que deve ser usado. O valor deve corresponder exatamente ao que você colocou no campo Identidade Externa em CXone.

6. Faça com que o usuário faça login. Ele deve usar o URL de login mais recente. Depois de inserir seu nome de usuário, eles serão direcionados para o provedor de identidade externo, se necessário.

Criar autenticadores de login externo com o OpenID Connect

Permissões necessárias: Criar autenticador de login

Você pode usar a autenticação externa quando quiser que a senha de um usuário seja gerenciada por outro sistema ou provedor de identidade. O CXone atualmente tem suporte para os protocolos de federação SAML 2.0 e OpenID Connect.

Você pode configurar a autenticação iniciada por IdP ou a autenticação iniciada por SP com as etapas nesta seção.

Autenticação iniciada por IdP: IdP é a sigla de provedor de identidade em inglês. A autenticação iniciada pelo IdP significa que o provedor de identidade externo inicia o processo de login.

Autenticação iniciada por SP: SP é a sigla de provedor de serviços em inglês. A autenticação iniciada por SP significa que CXone inicia o processo de login.

1. Certifique-se de ter acesso ao provedor de identidade externo. Você precisará criar uma integração específica para CXone.
2. Crie a integração no provedor de identidade externo.
   1. Você precisará fornecer um URI de redirecionamento para login que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.
   2. Talvez seja preciso fornecer um URI de redirecionamento para logout que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.
   3. O provedor de identidade gerará um ID de cliente e um segredo do cliente. Copie e salve esses valores onde você possa encontrá-los. Você precisará inseri-los em etapas posteriores.
3. Crie um autenticador de login externo em CXone.

   1. Clique no seletor de aplicativo e selecioneAdmin.

   2. Vá para Configurações de Segurança > Autenticador de login.

   3. Clique em Novo autenticador de login ou selecione o autenticador de login que você quer editar.
   4. Digite o Nome e a Descrição do autenticador de login.
   5. Selecione OIDC como o Tipo de Autentiucação.
   6. Se você tiver um terminal de descoberta para seu IdP, clique em Configurações de descoberta. Digite seu terminal de descoberta e clique em Descobrir. Os campos restantes são preenchidos para você. Descobrir Configurações não funciona com os terminais de descoberta do Salesforce.
   7. Insira o seu Identificador de cliente e Senha de cliente. Digite novamente a senha em Senha de confirmação do cliente. O Identificador de cliente é o ID de login atribuído à sua conta pelo seu IdP.

   8. Se você não possui um terminal de descoberta do seu IdP, insira seu Emissor fornecido pelo IdP, Terminal JsonWebKeySet, Terminal de Autorização, Terminal de Token, Terminal UserInfo, Terminal de Revogação e Terminal de encerramento de sessão.

      Saiba mais sobre os campos nesta etapa

      Campo	Detalhes
      Emissor	O URL do seu IdP sem qualquer parâmetro.
      Terminal JsonWebKeySet	O URL do JWK Set do seu IdP.
      Terminal de Autorização	O URL do Terminal de Autorização OAuth 2.0 do seu IdP.
      Terminal de Token	O URL do Terminal de Token OAuth 2.0 do seu IdP.
      Terminal UserInfo	O URL do Terminal UserInfo do seu IdP.
      Terminal de Revogação	O URL do Terminal de Revogação do seu IdP.
      Terminal de encerramento de sessão	O URL do Terminal de encerramento de sessão do seu IdP. Este campo permite criar uma experiência de logout única para seus usuários. Se configurado, quando eles fizerem logout do CXone, eles também serão desconectados de suas contas do IdP. Para o logout único funcionar, você precisa incluir o URI de redirecionamento para logout na lista de permissões do IdP.

   9. Selecione um Método de Autenticação de Cliente. O método selecionado deve ser um método de autenticação com suporte pelo seu IdP. Se você selecionar private_key_jwt, deverá digite a Chave privada do cliente.
   10. Você pode selecionar Ativar perfil FICAM para ativar as configurações específicas do governo dos EUA.

   11. Selecione a guia Usuários Atribuídos. Selecione os usuários que você quer atribuir ao autenticador de login que você está criando. Você também pode atribuir usuários diretamente ao autenticador de login no perfil de funcionário deles.

   12. Clique em Salvar e ativar para validar as informações fornecidas e vincular sua conta do CXone à sua conta do IdP.
   13. Abra o autenticador de login.

   14. Anote o URI de redirecionamento para login e o URI de redirecionamento para logout. Você precisará deles quando for atualizar as configurações do seu provedor de identidade.

4. Atualize as configurações do seu provedor de identidade, substituindo os espaços reservados usados acima pelos valores que você acabou de anotar.

5. Certifique-se de que a Identidade Externa de cada usuário que usa o autenticador de login esteja configurada com o valor correto. Este campo pode ser acessado na seção de segurança do perfil do funcionário.

   Seu provedor de identidade determina o valor que deve ser usado. O valor deve corresponder exatamente ao que você colocou no campo Identidade Externa em CXone. O valor desse campo deve estar neste formato: claim(email):{e-mail configurado por seu IdP}. Por exemplo, se o e-mail do usuário no IdP for nick.carraway@classics.com, você digitaria claim(email):nickcarraway@classics.com.

6. Faça com que o usuário faça login. Ele deve usar o URL de login mais recente. Depois de inserir seu nome de usuário, eles serão direcionados para o provedor de identidade externo, se necessário.

7. Quando seu IdP pedir para você se autenticar, faça isso como o usuário do IdP que você deseja associar à sua conta do CXone conectada atualmente.
8. Se seu OpenID Connect configurações em CXone não mostrar como validado, use seus logs de IdP para diagnosticar o problema.

Vinculando novos usuários com base em declarações OpenID Connect

CXone pode usar um valor de declaração diferente, como um endereço de e-mail, para estabelecer a identidade do usuário no primeiro login. CXone em seguida, alterna automaticamente para o identificador de assunto exclusivo OpenID Connect . Isso permite pré-configurar a identidade federada de um usuário .

PKCE para autenticação front-end

Você pode ter dificuldade para usar o fluxo de código de autorização do OpenID Connect. Esse fluxo requer um client_secret como parte da troca de token. Codificar o client_secret em um aplicativo da web é um risco de segurança. O OpenID Connect permite um fluxo alternativo chamado PKCE (Proof Key for Code Exchange). O PKCE usa um método de autenticação diferente. O NICE CXone suporta fluxos do PKCE para integrações front-end.

Criar ou editar funcionários

Permissões necessárias: Criar funcionários

Você pode adicionar uma conta de funcionário usando:

• Criar funcionário—Crie uma conta indivisual usanto a janela Criar funcionário.

• Importar funcionários—Importa contas de vários funcionários.

As instruções aqui são para criar uma única conta de funcionário no aplicativo. Se a sua empresa estiver usando o , também sera necessário definir as configurações de usuário do ACD para ese funcionario.

Para adicionar um funcionário:

1. Clique no seletor de aplicativo e selecioneAdmin.

2. Clique em Funcionários > Criar funcionários.

3. Insira o Nome e o Sobrenome do funcionário. O Nome do meio é opcional.

4. Insira um Endereço de e-mail válido. O CXone envia e-mails como convites de ativação e código de verificação de senha. Você pode usar o mesmo endereço de e-mail para vários funcionários. Quando você edita o endereço de e-mail de um funcionário, um e-mail de verificação é enviado para o novo endereço de e-mail.

5. Insira o Nome de usuário que deseja atribuir a um funcionário. O nome de usuário deve estar no formato de um endereço de e-mail. O campo é preenchido automaticamente a partir do campo Endereço de e-mail. Você pode editá-lo se quiser.

6. Atribua uma Função principal a um funcionário na lista suspensa.

7. Preencha os campos na guia Geral.

   Saiba mais sobre os campos na guia Geral

   campo	Detalhes
   EXIBIR NOME	Insira um Nome de exibição que você deseja atribuir a um funcionário. Os usuários de outras equipes podem visualizar o nome de exibição. Eles não podem exibir outras informações sobre o funcionário, a menos que tenham a permissão Exibir funcionário habilitada.
   Tipo	Use Tipo para organizar funcionários fora de sua função ou equipe atribuída. O tipo não está vinculado a permissões ou códigos indisponíveis. Isso facilita a geração de relatórios. Você pode selecionar tipos criados anteriormente na lista suspensa. Você também pode criar novos tipos digitando texto na barra de pesquisa e clicando em Criar.
   Data de Contratação	A data em que você contratou um funcionário. Este campo é apenas para seus registros. CXone não usa esta informação.
   Fuso Horário	The employee is automatically assigned to the tenant Alto nível de agrupamento organizacional usado para gerenciar o suporte técnico, cobrança e configurações globais para o seu ambiente CXone time zone unless you change it.
   Login do sistema operacional	O sistema operacional que o funcionário usa. O CXone Recording aplicativo requer esta informação para gravação de tela. O campo aceita texto livre e pode conter uma string de texto relacionada a um sistema operacional como o Windows 10.
   Classificação	Este campo é visível apenas se você tiver CXone WFM em seu ambiente. Ele determina a prioridade ao criar uma programação.
   Atribuído à equipe	Atribua o funcionário a uma equipe selecionando uma equipe no menu suspenso. Se você ainda não criou equipes ou se o funcionário pertencer a uma nova equipe, basta aceitar a configuração de Equipe padrão e alterá-la posteriormente.
   Grupos Atribuídos	Atribua o funcionário a um ou mais grupos selecionando grupos no menu suspenso.
   Designado A Unidade de Agendamento	Este campo é visível apenas se o seu sistema incluir CXone WFM. Ele especifica a unidade de programação do funcionário.
   Número de celular	O número de telefone móvel ou celular do funcionário. Este campo é apenas para seus registros. CXone não usa esta informação.
   Atributos	Nesta lista suspensa, selecione os atributos relacionados ao funcionário: Pode ser avaliado/treinado — Este atributo aparece apenas se o seu sistema incluir CXone QM. Ele permite que o funcionário seja avaliado e você será cobrado por CXone QM para esse funcionário. O valor padrão é selecionado para novos funcionários. Se você adicionar CXone QM para um sistema que possui usuários existentes, você deve habilitar manualmente essa configuração para esses usuários. Pode ser gravado (tela)—Este atributo aparece apenas se o seu sistema incluir CXone Recording Avançado. Ele permite que a tela do funcionário seja gravada e você será cobrado pela gravação da tela desse funcionário. O valor padrão é selecionado para novos funcionários. Se você adicionar CXone Recording Avançado para um sistema que possui usuários existentes, você deve habilitar manualmente esta configuração para esses usuários. Pode ser gravado (Voz)—Este atributo é visível apenas se o seu sistema incluir CXone Recording/CXone Recording Avançado. Permite que a voz do funcionário seja gravada. Você será cobrado pela gravação de voz para este funcionário. O valor padrão é selecionado para novos funcionários. Se você adicionar CXone Recording / CXone Recording Avançado para um sistema que possui usuários existentes, você deve habilitar manualmente esta configuração para esses usuários. Pode ser agendado—Este atributo é visível apenas se o seu sistema incluir CXone WFM. Ele permite que o funcionário seja agendado. Você será cobrado por CXone WFM para esse funcionário. O valor padrão é selecionado para novos funcionários. Se você adicionar CXone WFM para um sistema que possui usuários existentes, você deve habilitar manualmente essa configuração para esses usuários. Os usuários que não tiverem esse atributo selecionado não aparecerão nas listas de funcionários ao criar regras semanais ou modelos de turno. A remoção desse atributo de um usuário exclui esse usuário de todas as regras semanais ou modelos de turno aos quais o usuário está atribuído. Pode ser analisado—Este atributo aparece apenas se o seu sistema incluir Interaction Analytics. Quando este atributo é selecionado, as interações registradas do funcionário são analisadas por Interaction Analytics. Você será cobrado por Interaction Analytics para esse funcionário. O valor padrão é limpo para novos funcionários. Pode editar relatórios BI—Os funcionários com esse atributo selecionado podem editar qualquer um dos relatórios de BI no aplicativo Relatórios, desde que também tenham as permissões corretas. O valor padrão é apagado para todos os funcionários, existentes e novos. Pode visualizar relatorios BI—Os funcionários poderão abrir qualquer relatório de BI com este atributo. Os relatórios estão no aplicativo Reporting, mas os funcionários devem ter permissões para visualizar os relatórios lá. Os relatórios de BI não têm taxa de uso para até 10% de seus usuários simultâneos ou configurados, dependendo do seu modelo de preços. Assim que o limite de 10% for ultrapassado, você será cobrado por cada funcionário adicional com esta caixa de seleção marcada. O valor padrão é limpo para todos os funcionários, tanto para os existentes quanto para os novos. Cartão do cliente—Esse atributo permite que funcionários que não trabalham com contatos digitais acessem cartões de clientes disponíveis para voz, chat, e-mail e contatos do CXone SMS Messaging. O valor padrão é limpo para novos funcionários. Engajamento digital— Este atributo aparece apenas se o seu sistema incluir Digital Experience. Quando este atributo é selecionado, o registro do funcionário é sincronizado com o Digital Experience, e ele pode trabalhar em contatos digitais. Você será cobrado por Digital Experience para esse funcionário. O valor padrão é limpo para novos funcionários.

8. Clique em Criar para criar o perfil do funcionário e continuar configurando-o. Clique em Criar e convidar se estiver pronto para o usuário ativar a conta e configurar a senha.

Autenticar aplicativos

Usuários e aplicativos são autenticados de maneiras muito semelhantes. A principal diferença é que os aplicativos são autenticados com uma chave de acesso enquanto os usuários são autenticados com um nome de usuário e senha. Ao contrário dos usuários, os aplicativos não precisam interagir por meio de um navegador. Os aplicativos geralmente são funcionalidades de back-office ou agentes virtuais inteligentes Chatbot ou aplicativo similar que interage com um usuário baseado em inteligência artificial. (IVA).

Para configurar um aplicativo para interagir com CXone, crie um perfil de funcionarios e nomeie o perfil após a aplicação. Em seguida, crie uma chave de acesso para o usuário do aplicativo da seguinte maneira:

Permissões necessárias: Editar funcionários

1. Clique no seletor de aplicativo e selecione Admin.
2. Clique em  Funcionários e, em seguida, clique no perfil do funcionário que você está editando para abri-lo.

3. Clique na aba Segurança.

4. Clique em Adicionar chave de acesso .
5. Copie a ID da chave de acesso para um local seguro.
6. Clique em Mostrar chave secreta e copie a chave secreta para um local seguro.
7. Clique em Salvar.

Autorização no CXone

A autorização é o processo de verificar quais recursos um usuário tem permissão para acessar. Os recursos podem incluir aplicativos, arquivos e dados. Você pode definir o acesso dos usuários aos recursos com perfis de segurança papéis . CXone gerencia a autorização automaticamente durante a autenticação. Quando um usuário é autenticado, ele recebe acesso apenas aos recursos para os quais está autorizado.

O método de autenticação de um usuário não afeta a autorização. CXone usa o mesmo processo de autorização para todos os usuários. Não importa se são autenticados com chaves de acesso ou senhas.