用 Okta 管理联盟

Okta 只是您可以在 CXone 中使用的受支持的外部身份提供程序 (IdP) 之一。本页将逐步指导您使用 Okta 为 CXone 系统设置身份验证。

如果您正在进行 CXone 系统的初始实现，则需考虑其他步骤。我们建议阅读下面的联机帮助页面，其中包括以下注意事项：

按照给定的顺序完成以下每一个任务。

在开始之前，请确保您可以访问 Okta。您将需要创建一个应用程序。

使用 SAML 2.0 创建和配置 Okta 应用程序

登录到 Okta 管理帐户。
单击应用程序菜单 > 创建应用程序集成。
选择 SAML 2.0 作为方法，然后单击下一步。
输入要用于标识此集成的名称，然后单击下一步。
配置 SAML：
1. 在单点登录 URL 字段中，输入占位符 URL，例如 https://cxone.niceincontact.com/need_to_change。您将使用稍后收到的 URL 更改此值。
2. 在受众 URI 字段中，输入占位符 URL，例如 https://cxone.niceincontact.com/need_to_change。您将使用稍后收到的 URI 更改此值。
3. 将与您希望如何识别用户相对应的姓名 ID 格式和应用程序用户名指定为 CXone。
4. 单击显示高级设置。
5. 将断言签名更改为未签名。将响应保留为已签名。
6. 确保断言加密为未加密。
单击下一步，完成反馈，然后单击“反馈”选项卡上的完成。
单击查看 SAML 设置说明以打开新选项卡，然后：
1. 单击下载证书以下载签名证书。为您的 CXone 配置保存此文件。
2. 复制身份提供程序单点登录 URL。为您的 CXone 配置保存此 URL。
3. 关闭“SAML 设置说明”选项卡。让“配置 SAML”选项卡保持打开状态。您将根据接下来获得的 CXone 设置更改您的配置。

使用 SAML 2.0 设置 CXone 登录身份验证程序

所需权限：登录身份验证程序创建

单击应用程序选择器并选择管理员。
单击安全 > 登录身份验证程序。
单击新登录身份验证程序。
输入登录身份验证程序的名称和描述。
选择 SAML 作为身份验证类型。
输入您从 Okta 收到的身份提供程序单点登录 URL 作为端点 URL。有关更多详细信息，请参阅上述任务的最后一步。
单击选择文件，然后选择您在上一个任务中从 Okta 下载的公共签名证书。该证书必须为 PEM 文件。它将是一个文本文件，第一行将包含 BEGIN CERTIFICATE 和一些额外文本。
选择已分配的用户选项卡。选择要分配给正在创建的登录身份验证程序的用户。您还可以将用户直接分配给他们的员工配置文件中的登录身份验证程序。
单击保存并激活。
打开登录身份验证程序。
您会注意到显示的两个额外只读字段，即实体 ID 和 ACS URL。记录这些值。您将在“将 CXone 值添加到 Okta” 任务中需要它们。

使用 OpenID 连接配置 Okta 应用程序

登录到 Okta 管理帐户。
单击应用程序菜单 > 创建应用程序集成。
选择 OIDC -OpenID 连接作为登录方法。
选择 Web 应用程序作为应用程序类型，然后单击下一步。
在应用程序集成名称字段中，输入要用于标识此集成的名称。
您需要提供一个此时不知道的登录重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。您将使用稍后收到的 URI 更改此值。
您可能需要提供一个此时不知道的注销重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。您将使用稍后收到的 URI 更改此值。
在受控访问下拉列表中，选择暂时跳过组分配。
单击保存。
在常规选项卡上的客户端凭据下，选择客户端身份验证。
选择以下身份验证方法之一：
1. client_secret_basic：客户端凭据在身份验证期间在基本标题中进行传递。选择此方法后，配置以下内容：
  1. 选择客户端身份验证作为客户端密钥。
  2. 复制客户端 ID 和客户端密钥，然后将其粘贴到设备上的安全位置。当您在 CXone 中配置登录身份验证程序时，您将需要使用它们。
2. client_secret_post：客户端凭据在身份验证期间在正文中进行传递。选择此方法后，配置以下内容：
  1. 选择客户端身份验证作为客户端密钥。
  2. 复制客户端 ID 和客户端密钥，然后将其粘贴到设备上的安全位置。当您在 CXone 中配置登录身份验证程序时，您将需要使用它们。
3. client_secret_jwt：使用 JWT 持有者令牌进行客户端身份验证。选择此方法后，配置以下内容：
  1. 选择客户端身份验证作为客户端密钥。
  2. 复制客户端 ID 和客户端密钥，然后将其粘贴到设备上的安全位置。当您在 CXone 中配置登录身份验证程序时，您将需要使用它们。
4. private_key_jwt：使用 JWT 持有者令牌进行客户端身份验证。您将在后续步骤中提供的客户端私钥对 JWT 进行签名。选择此方法后，配置以下内容：
  1. 选择客户端身份验证作为公钥/私钥。
  2. 在添加公钥字段中，输入占位符公钥。配置登录身份验证程序时，您需要将占位符替换为 CXone 提供的密钥。
在“分配”选项卡上，单击分配，然后单击分配给人员。
将用户分配给该应用程序。

使用 CXone 中的 OpenID 连接设置登录身份验证程序

单击应用程序选择器并选择Admin
转至安全设置 > 登录身份验证程序。
单击新登录身份验证程序或选择您要编辑的登录身份验证程序。
输入登录身份验证程序的名称和描述。
选择 OIDC 作为身份验证类型。
如果您有来自 Okta 的发现端点，请单击发现设置。输入您的发现端点，然后单击发现。系统会为您填充其余字段。发现设置不可与 Salesforce 发现端点共同使用。
输入客户端标识符和客户端密码。在客户端确认密码字段中再次键入该密码。客户端标识符是 Okta 分配给您帐户的登录 ID。

如果您没有来自 Okta 的发现端点，请输入您 Okta 提供的发行者、Json Web 密钥设置端点、授权端点、令牌端点、用户信息端点和撤销端点。

在此步骤中了解有关字段的更多信息

字段	详细信息
发行者	Okta 的 URL，不带任何参数。
JsonWebKeySet 端点	Okta 的 JWK 集的 URL。
授权端点	Okta 的 OAuth 2.0 授权端点的 URL。
令牌端点	Okta 的 OAuth 2.0 令牌端点的 URL。
UserInfo 端点	Okta 的 UserInfo 端点的 URL。
撤销端点	Okta 的撤销端点的 URL。

选择客户端身份验证方法。您选择的方法必须与您在上一个任务中设置的方法相匹配。它必须是 Okta 支持的身份验证方法。如果您选择 private_key_jwt，则必须输入您的客户端私钥。
您可以选择启用 FICAM 配置文件来打开美国政府特定设置。此步骤仅适用于 FedRAMP 用户。
选择已分配的用户选项卡。选择要分配给正在创建的登录身份验证程序的用户。您还可以将用户直接分配给他们的员工配置文件中的登录身份验证程序。
单击保存和激活，以验证提供的信息并将您的 CXone 帐户链接到您的 Okta 帐户。
打开登录身份验证程序。
记下登录重定向 URI 和注销重定向 URI。您将需要它们来更新您的 Okta 设置。
更新您的 Okta 设置，将上一个任务中使用的占位符替换为您刚刚记下的值。
确保将每个使用登录身份验证程序的用户的 CXone 外部身份设置为正确的值。可以在员工配置文件的安全部分访问此字段。

Okta 确定必须使用的值。它可以在 Okta 中的用户配置文件中找到。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。此字段的值必须采用以下格式：claim(email):{您 IdP 配置的电子邮件}。例如，如果 IdP 中用户的电子邮件为 nick.carraway@classics.com，您将输入 claim(email):nickcarraway@classics.com。
让用户登录到 CXone。他们必须使用最新的登录 URL。如有需要，在输入用户名后会将他们引导至 Okta。
当 Okta 要求您使用自己的帐户进行身份验证时，请以您希望与您当前所登录的 CXone 帐户相关联的用户身份进行身份验证。
如果您在 CXone 中的 OpenID 连接设置没有显示为已验证，请使用 Okta 日志诊断问题。

将 CXone 值添加到 Okta

返回到 Okta 应用程序并转至“常规”选项卡。
单击“SAML 设置”窗口上的编辑，然后单击下一步。
对于单点登录 URL，输入来自 CXone 登录身份验证程序的 ACS URL 值。
对于受众 URI（SP 实体 ID），输入来自 CXone 登录身份验证程序的实体 ID 值。
单击下一步，然后单击完成以完成更改。

使用 Okta 单点登录验证用户访问

确保将每个使用登录身份验证程序的员工的外部身份设置为正确的值。该值必须与 CXone 中的外部身份完全匹配。外部身份字段区分大小写。
让一位或多位测试用户使用最新的登录 URL https://cxone.niceincontact.com 登录。对于 FedRAMP，请使用 https://cxone-gov.niceincontact.com。如有需要，在输入用户名后会将他们引导至 Okta。
准备就绪后，向所有员工推出 Okta 单点登录。