Configurar CXone autenticação usandoMicrosoft Azure como um provedor de identidade externo

Esta página orienta você, passo a passo, na configuração da autenticação para seu sistema CXone usando Microsoft Azure seu provedor de identidade externo (IdP). Se você estiver configurando Azure como um IdP para um sistema existente CXone, não precisará realizar algumas das tarefas descritas aqui. Em vez disso, consulte Gerenciar federação com a página de ajuda do Azure.

Antes que Você Comece

  • Obtenha uma compreensão básica dos conceitos e terminologia de autenticação e autorização se você nunca configurou um processo como esse antes.
  • Revise o processo espcífico de CXone se esta é a primeira vez que você trabalha com autenticação em CXone.
  • Considere seus usuários humanos e os níveis de acesso que eles precisam. Decida se as pessoas com maior acesso devem ter maiores níveis de segurança.
  • Decida se você usará requisitos de senha personalizados, autenticação multifator (MFA) ou ambos para aplicar.
  • Com base em suas decisões, faça uma lista de autenticadores de login. A lista deve incluir os requisitos de senha e o status de MFA que você deseja usar para cada autenticador de login.
  • Considere se você precisa incluir autenticação e autorização para aplicativos como bots ou assistentes virtuais inteligentes (IVAs). Nesse caso, você precisará criar chaves de acesso.
  • Obtenha uma compreensão do protocolo de autenticação SAML 2.0. CXone suporta SAML 2.0 para integração Azure.
  • Avalie a combinação de IdP e protocolo para garantir que seus casos de uso e fluxos de usuários sejam compatíveis e para identificar possíveis problemas. Isso deve incluir testes reais.

Sua NICE CXone equipe pode apoiá-lo e orientá-lo neste processo de planejamento. Um bom planejamento contribui para uma implementação mais suave. A implementação de autenticação e autorização à medida que surgem necessidades imediatas é mais provável de levar a problemas.

Complete cada uma dessas tarefas na ordem indicada.

Antes de começar, certifique-se de ter acesso ao console de gerenciamento de ID do Microsoft Azure. Você precisará criar um aplicativo.

Criar e configurar um aplicativo Azure com SAML 2.0

  1. Faça login na sua conta de gerenciamento do Azure AD.
  2. Crie um aplicativo.
    1. Clique em Aplicativos corporativos > Novo aplicativo.
    2. Clique em Criar seu próprio aplicativo.
    3. Digite um Nome (por exemplo, NICE CXone).
    4. Selecione Integre qualquer outro aplicativo que você não encontre na galeria (sem galeria).
    5. Clique em Criar.
  3. Atribua usuários e grupos conforme apropriado.
  4. Em Configurar logon único, clique em Introdução e selecione SAML.
  5. No painel Configuração básica do SAML, clique em Editar e configure o SAML:
      Em Identificador (ID da entidade), clique em
    1. Adicionar identificador e insira https://cxone.niceincontact.com/need_to_change. Você alterará esse valor para a URL que receberá posteriormente.
    2. Em URL de resposta, clique em Adicionar URI de resposta e no campo URL de público, insira https://cxone.niceincontact.com/need_to_change. Você alterará esse valor para a URI que receberá posteriormente.
  6. Clique em Salvar e feche o painel Configuração básica do SAML.
  7. Na seção Atributos e Declarações, selecione o Identificador Único de Usuário correto. O valor que você escolher será a de Identidade Federada em CXone.
  8. Azure O AD deve criar automaticamente um certificado de assinatura SAML. Baixe o certificado chamado Certificate (Base64).
  9. No painel Certificado de Assinatura SAML, clique em Editar e, em seguida:
    1. Altere a opção de assinatura para Assinar a resposta SAML.
    2. Clique em Salvar e feche o painel Certificado de assinatura SAML Mantenha este arquivo para sua configuração CXone.
  10. No painel Configurar <nome do aplicativo>, copie o valor da URL de login. Guarde isso para sua configuração CXone.
  11. Mantenha a janela aberta. Você fará alterações nas configurações do aplicativo Azure com base nos valores recebidos na próxima tarefa.

Configurar uma localização

Permissões necessárias: Criar gerenciamento de localização

Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, crie uma localização com os endereços IP, faixas de endereços IP ou subredes de endereços IP que você quer permitir. Quando se requer uma localização configurada para um usuário, este deverá dispor das credenciais corretas e de um endereço IP para efetuar o login. Caso contrário, sua tentativa de login falhará e ele receberá uma mensagem de erro. É possível ter até 20 localizações simultâneas e até dez regras por localização.

  1. Clique no seletor de aplicativo e selecioneAdmin.
  2. Vá até LocalizaçõesDefinições de localização.
  3. Clique em Nova localização.
  4. Dê um nome descritivo à localização. Se você deseja acrescentar mais detalhes sobre a localização, digite uma Descrição.
  5. É possível selecionar a opção Definir como localização padrão ou Localização remota, indicando o tipo de localização. É possível haver apenas uma localização padrão. Atualmente, estes campos não afetam qualquer funcionalidade e a seleção destes destina-se exclusivamente à sua referência.
  6. Adicione qualquer outra informação desejada utilizando os campos restantes, inclusive o endereço postal, país, coordenadas do GPS, fuso horário ou grupos atribuídos. Atualmente, estes campos nada afetam e as informações digitadas neles destina-se exclusivamente à sua referência.

    Se você adicionar grupos ao campo Grupos atribuídos, os usuários pertencentes a estes grupos serão exibidos na guia Usuários atribuídos. Porém, as configurações de local não se aplicarão a eles. Caso você atribua um local a um autenticador de login, o local se aplicará aos usuários atribuídos ao autenticador de login e restringirá as possibilidades destes de efetuar o login com base nos seus endereços IP. Porém, estes usuários não constarão da guia Usuários atribuídos.

  7. Clique em Salvar.

  8. Na página Definições de localização, clique na localização recém-criada, para abri-la.

  9. Clique na guia Regras de autodetecção.

  10. Crie uma nova regra. Para fazer isso:

    1. Clique em Nova Regra.

    2. Dê à regra um nome descritivo.

    3. Selecione o tipo de regra dentre as opções abaixo:

      • Lista: uma lista de determinados endereços IP permitidos a esta localização. Por exemplo: 100.0.1.100, 100.0.1.101 e 100.0.1.102.

      • Faixa: uma faixa de endereços IP permitidos a esta localização. Por exemplo: 100.0.1.100-100.0.1.125.

      • Subrede: uma subrede permitida a esta localização. Por exemplo: 100.0.0.1/32.

    4. Especifique a versão do IP, uma dentre as seguintes:

      • IPV4: um endereço IP de 32 bits

      • IPV6: um endereço hexadecimal de 128 bits.

    5. Digite os endereços IP, a faixa ou subrede no campo Definição da regra, seguindo os formatos dos exemplos expostos nas etapas precedentes. Caso tenha selecionado Lista, você poderá digitar até 100 endereços IP. Caso tenha selecionado Faixa ou Subrede, você poderá digitar apenas um valor.

    6. Clique em Confirmar.

  11. Adicione outras regras, conforme a necessidade. É possível ter até dez regras.

  12. Clique em Salvar.

Configurar um autenticador de login com SAML 2.0 no CXone

Permissões necessárias: Criar autenticador de login

  1. Clique no seletor de aplicativo e selecioneAdmin.
  2. Clique em Segurança > Autenticador de Login.
  3. Clique em Novo autenticador de login.
  4. Digite o Nome e a Descrição do autenticador de login.
  5. Selecione SAML como o Tipo de Autenticação.
  6. Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, selecione a localização configurada na seção anterior.

  7. Insira o endpoint de solicitação SAML do qual você recebeu de Azure como a URL do endpoint.
  8. Clique em Escolher arquivo e selecione o certificado de assinatura público do qual você baixou de Azure na tarefa anterior. Este arquivo deve estar no formato PEM. Será um arquivo de texto e a primeira linha conterá BEGIN CERTIFICATE com algum texto adicional.
  9. Selecione a guia Usuários Atribuídos. Selecione os usuários que você quer atribuir ao autenticador de login que você está criando. Você também pode atribuir usuários diretamente ao autenticador de login no perfil de funcionário deles.

  10. Clique em Salvar e ativar.
  11. Abra o autenticador de login.
  12. Você notará dois campos adicionais somente leitura exibidos, ID da entidade e URL ACS. Anote esses valores. Você precisará deles na tarefa Adicionar valores do CXone ao Azure.

Adicionar CXone valores a Azure

  1. Retorne ao seu aplicativo Azure e no painel Basic SAML Configuration, clique em Edit.
  2. Para Identificador (ID da Entidade), insira o valor da ID da Entidade do seu autenticador de login CXone.
  3. Para URL de resposta, insira o valor de URL ACS do seu autenticador de login do CXone.
  4. Clique em Salvar e feche o painel Configuração básica do SAML.
  5. Certifique-se de que a Identidade Externa de cada usuário que usa o autenticador de login esteja configurada com o valor correto.

    1. Seu provedor de identidade determina o valor que deve ser usado. O valor deve corresponder exatamente ao Identificador Único de Usuário em Azure e à Identidade Externa em CXone.

  6. Peça para o usuário fazer login no . Ele deve usar o URL de login mais recente do . Depois de inserir seu nome de usuário, eles serão direcionados para o provedor de identidade externo, se necessário. O

Verificar o acesso do usuário com logon único Azure

  1. Certifique-se de que a Identidade Externa de cada funcionário do que usa o autenticador de login esteja definida com o valor correto. O valor deve corresponder exatamente ao Identificador Único de Usuário em Azure e à de Identidade Federada em CXone.

  2. Peça para um ou mais usuários de teste efetuarem login usando o URL de login mais recente do . Depois de inserir seu nome de usuário, eles serão direcionados para Azure, se necessário.

  3. Quando estiver pronto, implemente o logon único Azure para todos os funcionários.

Configurar um aplicativo Azure com OpenID Connect

  1. Faça login na sua conta de gerenciamento do Azure.

  2. Em Registros de aplicativos, clique em Novo registro.

  3. Vá para Autenticação > Web.

  4. Você precisará fornecer URIs de redirecionamento, que você não conhece neste momento. Use https://cxone.niceincontact.com/need_to_change como marcador de posição.

  5. Clique em Certificados e segredos.

  6. Selecione client_secret_basic ou client_secret_post como seu método de autenticação. O método de autenticação, private_key_jwt, não é aceito atualmente no CXone.

  7. No campo Segredos do cliente, selecione Novo segredo do cliente.

  8. Adicione uma descrição e selecione Expira.

  9. Copie o ID do cliente e o Segredo do cliente e cole-os em um local seguro no seu dispositivo. Você precisará usá-los quando configurar um autenticador de login no CXone.

  10. Vá para Configuração de token > Reivindicações adicionais.

  11. Clique em Adicionar reivindicação opcional.

  12. Selecione ID como o Tipo de token.

  13. Selecione e-mail e adicione seu endereço de e-mail.

  14. Clique em Salvar.

Configurar um autenticador de login externo do CXone com OpenID Connect

  1. Clique no seletor de aplicativo e selecioneAdmin.

  2. Vá para Configurações de Segurança > Autenticador de login.

  3. Clique em Novo autenticador de login ou selecione o autenticador de login que você quer editar.
  4. Digite o Nome e a Descrição do autenticador de login.
  5. Selecione OIDC como o Tipo de Autenticação.
  6. Caso queira solicitar que os usuários efetuem o login a partir de determinado endereço IP, selecione a localização configurada na seção anterior.

  7. Se você tiver um terminal de descoberta do Azure, clique em Configurações de descoberta. Digite seu terminal de descoberta e clique em Descobrir. Os campos restantes são preenchidos para você. Descobrir Configurações não funciona com os terminais de descoberta do Salesforce.
  8. Insira o seu Identificador do cliente e Senha do Cliente. Digite novamente a senha em Senha de confirmação do cliente. O Identificador de cliente é o ID de login atribuído à sua conta pelo Azure.
  9. Se você não possui um terminal de descoberta do Azure, insira seu Emissor fornecido pelo Azure, Terminal JsonWebKeySet, Terminal de Autorização, Terminal de Token, Terminal UserInfo, Terminal de Revogação e Terminal de encerramento de sessão.

  10. Selecione um Método de Autenticação de Cliente. O método selecionado deve corresponder ao que você configurou na tarefa anterior. Deve ser um método de autenticação aceito pelo Azure.
  11. Você pode selecionar Ativar perfil FICAM para ativar as configurações específicas do governo dos Estados Unidos. Esta etapa é apenas para usuários do FedRAMP.
  12. Selecione a guia Usuários Atribuídos. Selecione os usuários que você quer atribuir ao autenticador de login que você está criando. Você também pode atribuir usuários diretamente ao autenticador de login no perfil de funcionário deles.

  13. Clique em Salvar e ativar para validar as informações fornecidas e vincular sua conta do CXone à sua conta do Azure.
  14. Abra o autenticador de login.
  15. Anote o URI de redirecionamento para login e o URI de redirecionamento para logout. Você precisará deles para atualizar as configurações do Azure.

  16. Atualize as configurações do seu Azure, substituindo os espaços reservados usados na tarefa anterior pelos valores que você acabou de anotar.

  17. Certifique-se de que a Identidade Externa do CXone de cada usuário que usa o autenticador de login esteja configurada com o valor correto. Este campo pode ser acessado na seção de segurança do perfil do funcionário.

    O Azure determina o valor que deve ser usado. Ele pode ser encontrado no perfil do usuário no Azure. O valor deve corresponder exatamente ao que você colocou no campo Identidade Externa em CXone. O valor desse campo deve estar neste formato: claim(email):{e-mail configurado por seu IdP}. Por exemplo, se o e-mail do usuário no IdP for nick.carraway@classics.com, você digitaria claim(email):nickcarraway@classics.com.

  18. Peça para o usuário fazer login no CXone. Ele deve usar o URL de login mais recente. Depois de inserir o nome de usuário, eles serão direcionados para o Azure, se necessário.

  19. Quando o Azure pedir para você autenticar sua própria conta, faça isso como o usuário no Azure que você quer associar à sua conta do CXone conectada atualmente.
  20. Se as configurações do OpenID Connect no CXone não aparecerem como validadas, use os logs do Azure para diagnosticar o problema.

Criar funções

Permissões necessárias: Criar gerenciamento de funções

  1. Clique no seletor de aplicativo e selecioneAdmin.
  2. Vá para Configurações de SegurançaFunções e permissões.
  3. Clique em Nova função.
  4. Digite um Nome e opcionalmente um Descrição para o papel.

    A descrição da função não pode ter mais de 200 caracteres.

  5. Clique na aba Permissões.
  6. Configure as permissões para a função. As permissões são categorizadas por CXone aplicativo e você só pode ver os aplicativos que fazem parte do seu CXone sistema. Clique nas categorias de função à esquerda para se mover entre elas.

  7. Se a função que você está criando (ou editando) tem permissões semelhantes a um dos CXone as quatro funções prontas para uso (OOTB), clique em Definir como padrão, selecione a função OOTB relevante ( agente, gerente, administrador ou avaliador) na lista suspensa e clique em Aplicar. As permissões são definidas de acordo com a função pronta para uso selecionada. Faça as alterações nas permissões, conforme necessário para a função.
  8. Quando terminar de configurar as permissões, clique em Salvar para salvar a função no status de rascunho ou clique em Salvar e ativar para salvar a função no status ativo. Você não pode atribuir usuários à função até ativá-la.

Criar ou editar funcionários

Permissões necessárias: Criar funcionários

Se você estiver configurando a autenticação com um IdP externo para um CXone unidade de negócios, não é necessário criar novas contas de usuário. No entanto, você precisará editar contas de usuário e configurar os campos Tipo de Identidade Externa e Identidade Externa. Isso deve ser feito para cada usuário que se autenticará por meio do IdP externo. Os campos são explicados na etapa 8 desta tarefa.

Você pode adicionar uma conta de funcionário usando:

As instruções aqui são para criar uma única conta de funcionário no aplicativo. Se a sua empresa estiver usando o , também sera necessário definir as configurações de usuário do ACD para ese funcionario.

O CXone oferece muitas opções e configurações para personalizar os funcionários. Leia toda esta tarefa. Certifique-se de conhecer as configurações que você precisa definir antes de começar.

Para adicionar um funcionário:

  1. Clique no seletor de aplicativo e selecioneAdmin.

  2. Clique em Funcionários > Criar funcionários.

  3. Insira o Nome e o Sobrenome do funcionário. O Nome do meio é opcional.

  4. Insira um Endereço de e-mail válido. O CXone envia e-mails como convites de ativação e código de verificação de senha. Você pode usar o mesmo endereço de e-mail para vários funcionários. Quando você edita o endereço de e-mail de um funcionário, um e-mail de verificação é enviado para o novo endereço de e-mail.

  5. Insira o Nome de usuário que deseja atribuir a um funcionário. O nome de usuário deve estar no formato de um endereço de e-mail. O campo é preenchido automaticamente a partir do campo Endereço de e-mail. Você pode editá-lo se quiser.

  6. Atribua uma Função principal a um funcionário na lista suspensa.

  7. Preencha os campos na guia Geral.

    Saiba mais sobre os campos na guia Geral

    campo

    Detalhes

    EXIBIR NOME Insira um Nome de exibição que você deseja atribuir a um funcionário. Os usuários de outras equipes podem visualizar o nome de exibição. Eles não podem exibir outras informações sobre o funcionário, a menos que tenham a permissão Exibir funcionário habilitada.
    Tipo Use Tipo para organizar funcionários fora de sua função ou equipe atribuída. O tipo não está vinculado a permissões ou códigos indisponíveis. Isso facilita a geração de relatórios. Você pode selecionar tipos criados anteriormente na lista suspensa. Você também pode criar novos tipos digitando texto na barra de pesquisa e clicando em Criar.
    Data de Contratação A data em que você contratou um funcionário. Este campo é apenas para seus registros. CXone não usa esta informação.
    Fuso Horário The employee is automatically assigned to the tenantFechado Alto nível de agrupamento organizacional usado para gerenciar o suporte técnico, cobrança e configurações globais para o seu ambiente CXone time zone unless you change it.
    Login do sistema operacional O sistema operacional que o funcionário usa. O CXone Recording aplicativo requer esta informação para gravação de tela. O campo aceita texto livre e pode conter uma string de texto relacionada a um sistema operacional como o Windows 10.

    Classificação

    Este campo é visível apenas se você tiver CXone WFM em seu ambiente. Ele determina a prioridade ao criar uma programação.

    Atribuído à equipe Atribua o funcionário a uma equipe selecionando uma equipe no menu suspenso.

    Se você ainda não criou equipes ou se o funcionário pertencer a uma nova equipe, basta aceitar a configuração de Equipe padrão e alterá-la posteriormente.

    Grupos Atribuídos Atribua o funcionário a um ou mais grupos selecionando grupos no menu suspenso.
    Designado A Unidade de Agendamento Este campo é visível apenas se o seu sistema incluir CXone WFM. Ele especifica a unidade de programação do funcionário.
    Número de celular O número de telefone móvel ou celular do funcionário. Este campo é apenas para seus registros. CXone não usa esta informação.
    Atributos

    Nesta lista suspensa, selecione os atributos relacionados ao funcionário:

    • Pode ser avaliado/treinado — Este atributo aparece apenas se o seu sistema incluir CXone QM. Ele permite que o funcionário seja avaliado e você será cobrado por CXone QM para esse funcionário.

      O valor padrão é selecionado para novos funcionários. Se você adicionar CXone QM para um sistema que possui usuários existentes, você deve habilitar manualmente essa configuração para esses usuários.

    • Pode ser gravado (tela)—Este atributo aparece apenas se o seu sistema incluir CXone Recording Avançado. Ele permite que a tela do funcionário seja gravada e você será cobrado pela gravação da tela desse funcionário.

      O valor padrão é selecionado para novos funcionários. Se você adicionar CXone Recording Avançado para um sistema que possui usuários existentes, você deve habilitar manualmente esta configuração para esses usuários.

    • Pode ser gravado (Voz)—Este atributo é visível apenas se o seu sistema incluir CXone Recording/CXone Recording Avançado. Permite que a voz do funcionário seja gravada. Você será cobrado pela gravação de voz para este funcionário.

      O valor padrão é selecionado para novos funcionários. Se você adicionar CXone Recording / CXone Recording Avançado para um sistema que possui usuários existentes, você deve habilitar manualmente esta configuração para esses usuários.

    • Pode ser agendado—Este atributo é visível apenas se o seu sistema incluir CXone WFM. Ele permite que o funcionário seja agendado. Você será cobrado por CXone WFM para esse funcionário.

      O valor padrão é selecionado para novos funcionários. Se você adicionar CXone WFM para um sistema que possui usuários existentes, você deve habilitar manualmente essa configuração para esses usuários. Os usuários que não tiverem esse atributo selecionado não aparecerão nas listas de funcionários ao criar regras semanais ou modelos de turno. A remoção desse atributo de um usuário exclui esse usuário de todas as regras semanais ou modelos de turno aos quais o usuário está atribuído.

    • Pode ser analisado—Este atributo aparece apenas se o seu sistema incluir Interaction Analytics. Quando este atributo é selecionado, as interações registradas do funcionário são analisadas por Interaction Analytics. Você será cobrado por Interaction Analytics para esse funcionário.

      O valor padrão é limpo para novos funcionários.

    • Pode editar relatórios BI—Os funcionários com esse atributo selecionado podem editar qualquer um dos relatórios de BI no aplicativo Relatórios, desde que também tenham as permissões corretas.

      O valor padrão é apagado para todos os funcionários, existentes e novos.

    • Pode visualizar relatorios BI—Os funcionários poderão abrir qualquer relatório de BI com este atributo. Os relatórios estão no aplicativo Reporting, mas os funcionários devem ter permissões para visualizar os relatórios lá. Os relatórios de BI não têm taxa de uso para até 10% de seus usuários simultâneos ou configurados, dependendo do seu modelo de preços. Assim que o limite de 10% for ultrapassado, você será cobrado por cada funcionário adicional com esta caixa de seleção marcada.

      O valor padrão é limpo para todos os funcionários, tanto para os existentes quanto para os novos.

    • Cartão do cliente—Esse atributo permite que funcionários que não trabalham com contatos digitais acessem cartões de clientes disponíveis para voz, chat, e-mail e contatos do CXone SMS Messaging.

      O valor padrão é limpo para novos funcionários.

    • Engajamento digital— Este atributo aparece apenas se o seu sistema incluir Digital Experience. Quando este atributo é selecionado, o registro do funcionário é sincronizado com o Digital Experience, e ele pode trabalhar em contatos digitais. Você será cobrado por Digital Experience para esse funcionário. O valor padrão é limpo para novos funcionários.

  8. Clique em Criar para criar o perfil do funcionário e continuar configurando-o. Clique em Criar e convidar se estiver pronto para o usuário ativar a conta e configurar a senha.

Autenticar aplicativos

Usuários e aplicativos são autenticados de maneiras muito semelhantes. A principal diferença é que os aplicativos são autenticados com uma chave de acesso enquanto os usuários são autenticados com um nome de usuário e senha. Ao contrário dos usuários, os aplicativos não precisam interagir por meio de um navegador. Os aplicativos geralmente são funcionalidades de back-office ou agentes virtuais inteligentesFechado Chatbot ou aplicativo similar que interage com um usuário baseado em inteligência artificial. (IVA).

Para configurar um aplicativo para interagir com CXone, crie um perfil de funcionarios e nomeie o perfil após a aplicação. Em seguida, crie uma chave de acesso para o usuário do aplicativo da seguinte maneira:

Permissões necessárias: Editar funcionários

  1. Clique no seletor de aplicativo e selecione Admin.
  2. Clique em  Funcionários e, em seguida, clique no perfil do funcionário que você está editando para abri-lo.
  3. Clique na aba Segurança.

  4. Clique em Adicionar chave de acesso .
  5. Copie a ID da chave de acesso para um local seguro.
  6. Clique em Mostrar chave secreta e copie a chave secreta para um local seguro.
  7. Clique em Salvar.

Autorização no CXone

A autorização é o processo de verificar quais recursos um usuário tem permissão para acessar. Os recursos podem incluir aplicativos, arquivos e dados. Você pode definir o acesso dos usuários aos recursos com perfis de segurança papéis . CXone gerencia a autorização automaticamente durante a autenticação. Quando um usuário é autenticado, ele recebe acesso apenas aos recursos para os quais está autorizado.

O método de autenticação de um usuário não afeta a autorização. CXone usa o mesmo processo de autorização para todos os usuários. Não importa se são autenticados com chaves de acesso ou senhas.