管理登录身份验证程序

登录身份验证程序控制用户如何登录到 CXone。根据分配给用户的登录身份验证程序以及该登录身份验证程序的类型和配置,CXone 支持内部和外部身份验证。

有关 CXone 中的身份验证和授权的更多信息,请单击此处

设置位置

所需权限位置管理创建

如果您想要求用户从特定 IP 地址登录,请使用您想要允许的 IP 地址、IP 地址范围或 IP 地址子网创建一个位置。当对于某个用户您需要一个已配置的位置时,该用户必须拥有正确的凭据和 IP 地址才能登录。否则,他们的登录尝试将失败并收到错误。您一次最多可以有 20 个位置,每个位置最多有 10 条规则。

  1. 单击应用程序选择器 并选择Admin
  2. 转到位置 > 位置定义
  3. 单击新位置
  4. 为此位置提供描述性名称。如果您想添加有关该位置的更多详情,请输入描述
  5. 您可以选择设置为默认位置远程位置来指示位置类型。您只能有一个默认位置。这些字段目前不会影响任何功能,选择它们仅供您自己参考。

  6. 使用其余字段添加您想要的任何其他信息,包括实际地址、国家/地区、GPS 坐标、时区或已分配的组。这些字段目前不会影响任何内容,其中输入的信息仅供您参考。

    如果将组添加到已分配的组字段,属于这些组的用户将显示在“已分配的用户”选项卡上。但是,位置设置将不适用于它们。如果您为登录身份验证程序分配位置,则该位置适用于分配给该登录身份验证程序的用户,并根据其 IP 地址限制他们的登录能力。但是,这些用户不会出现在“已分配的用户”选项卡上。

  7. 单击保存

  8. 返回“位置定义”页面,单击您刚刚创建的位置将其打开。

  9. 单击“自动检测规则”选项卡。

  10. 创建一条新规则。为此:

    1. 单击新规则

    2. 为规则提供描述性名称

    3. 从以下选项中选择规则类型

      • 列表:允许用于此位置的特定 IP 地址的列表。例如,100.0.1.100100.0.1.101100.0.1.102

      • 范围:允许用于此位置的 IP 地址范围。例如,100.0.1.100-100.0.1.125

      • 子网:允许用于此位置的子网。例如,100.0.0.1/32

    4. IP 版本指定为以下之一:

      • IPV4:32 位 IP 地址

      • IPV6:128 位十六进制地址。

    5. 按照先前步骤中示例的格式,在规则定义字段中输入实际 IP 地址、范围或子网。如果您选择了列表,则最多可以输入 100 个 IP 地址。如果您选择了范围子网,则只能输入一个值。

    6. 单击确认

  11. 根据需要添加更多规则。最多可以有 10 条。

  12. 单击保存

配置系统登录身份验证程序

所需权限:可以管理密码,开启

CXone 包括默认的系统登录身份验证程序,但您也可以创建自己的登录身份验证程序。为特定角色配置登录验证程序后,当用户尝试设置或更改密码时,密码字段会显示配置的登录验证程序规则。

  1. 单击应用程序选择器 并选择 Admin
  2. 转至安全设置 > 登录身份验证程序

  3. 单击新登录身份验证程序

  4. 输入登录验证器的唯一名称

  5. 如果需要,请输入描述

  6. 选择系统作为身份验证类型

    字段

    详细信息
    系统 登录验证器使用内置的登录过程CXone .它不使用外部单点登录 (SSO) 身份提供程序进行身份验证。
    SAML SAML 2.0SAML 允许通过外部身份提供程序设置单点登录。CXone 支持 SAML 2.0 的多个实例。您可以为不同的用户分配不同的实例。

  7. 如果您想要求用户从某个 IP 地址登录,请选择您在上一部分中设置的位置

  8. 设置密码复杂性。

    每个用户的密码都会对照常用密码存储库进行检查。如果他们的密码与一个常用密码匹配,则会强制他们创建一个新密码。一些被拒绝的密码包括:

    • 任何包含单词“password”的密码。例如,Password@1234。

    • 任何包含用户的电子邮件地址、用户名、名字、姓氏或系统名称的密码。

    每当为以下情况时,都会对照此存储库检查密码:

    • 激活新用户。

    • 用户的密码过期。

    • 用户重置密码。

    字段详细信息
    要求小写 (a-z)要求用户在密码中至少使用一个小写字母。
    要求大写 (A-Z)要求用户在密码中至少使用一个大写字母。
    要求数字 (0-9)要求用户在密码中至少使用一个数字。
    要求非字母数字(!、@、# 等)要求用户在密码中至少使用一个非字母数字字符。

  9. 如果要启用多因素身份验证,请选择要求多因素身份验证。将 MFA 类型 设为 HOTP(基于 HMAC)TOTP(基于时间)

    字段 详细信息
    需要多因素认证

    除了输入密码外,还要求用户输入多因素身份验证 (MFA) 令牌才能登录 CXone。MFA 令牌是您提供的硬件令牌或虚拟 MFA 设备(例如 Google Authenticator 等应用程序)生成的一次性密码。当您启用 MFA 后,具有相关配置文件的用户在他们下次登录时必须配置 MFA 密钥。

    请勿为您组织中的主管理员启用 MFA。如果设备或密钥已丢失,则重置 MFA 密钥的唯一方法是使用 NICE CXone 提交票证。
    MFA 类型 指定是否要启用 TOTP(基于时间)HOTP (基于 HMAC) MFA。

  10. 设置密码策略。

    字段 详细信息
    密码长度 输入用户必须在其密码中包含的全部字符的最小数量。例如,如果输入 12,则用户在每个密码中必须至少包含 12 个字符。“密码复杂性”设置中所需的字符计入总字符数。您可以将密码长度设置为 1224 之间的任意数字。
    启用密码使用期限 启用一个文本框,您可以在其中输入用户可以保留密码的最大天数。在指定的天数后,用户必须更改其密码。您可以将密码期限设置为 14365 天之间的任意天数。
    启用密码历史记录 输入用户在重新使用旧密码之前必须设置的唯一密码数。您可以将密码历史记录设置为 450 天之间的任意数字。例如,如果输入 10,则分配给登录身份验证程序的用户不能使用其最近 10 个密码中的任何一个作为新密码。

  11. 单击保存并激活

通过 SAML 2.0 设置外部登录身份验证程序

如果您希望用户的密码由另一个系统或身份提供程序管理,则可以使用外部身份验证。CXone 目前支持 SAML 2.0OpenID 连接 联合协议。

您可以使用本节中的步骤设置 IdP 发起的身份验证或 SP 发起的身份验证。

IdP 发起的身份验证:IdP 代表身份提供程序。IdP 发起的身份验证意味着外部身份验证程序启动了登录流程。

SP 发起的身份验证:SP 代表服务提供商。SP 发起的身份验证意味着 CXone 启动了登录流程。

如果使用 Salesforce Agent,则必须为 SP 发起的身份验证配置外部身份提供程序 (IdP)。

  1. 确保您拥有访问外部身份提供程序的权限。您需要创建特定于 CXone 的集成。
  2. 在外部身份提供程序中创建集成。不同的系统使用不同的集成名称,请参阅 OktaAzure的具体说明。
    1. 您需要提供一个此时不知道的实体 ID。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    2. 您需要提供一个此时不知道的 ACS URL。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    3. 身份提供程序将生成必须发送 SAML 请求的特定 URL。复制此 URL 并将其保存到您可以找到的位置。您需要在后面的步骤中输入该值。
    4. 身份提供程序将为该集成生成公共签名证书。下载该证书。您需要在后面的步骤中使用它。
  3. CXone 中创建外部登录身份验证程序。
    1. 单击应用程序选择器 并选择管理员
    2. 单击安全 > 登录验证程序
    3. 输入登录身份验证程序的名称描述
    4. 选择 SAML 作为 身份验证类型

    5. 如果您想要求用户从某个 IP 地址登录,请选择您在上一部分中设置的位置

    6. 如果选择FICAM,则 SAML 响应必须具有单个 AuthnContextClassRef 条目。此外,断言主题的 NamespaceURI 必须为:urn:oasis:names:tc:SAML:2.0:assertionAuthnContextClassRefNamespaceURI 字段由身份提供程序控制。
    7. 输入您从上述提供程序收到的 SAML 请求端点作为端点 URL
    8. 单击选择文件,然后选择从提供程序收到的公共签名证书。该文件必须为 PEM 文件。它将是一个文本文件,第一行将包含 BEGIN CERTIFICATE 和一些其他类型的文本。

    9. 选择已分配的用户选项卡。选择要分配给正在创建的登录身份验证程序的用户。您还可以将用户直接分配给他们的员工配置文件中的登录身份验证程序。

    10. 单击保存并激活
    11. 打开登录身份验证程序。

    12. 记下实体 IDACS URL。更新 IdP 设置时您将需要它们。

  4. 更新您的身份提供程序设置,将上面使用的占位符替换为您刚刚记下的值。

  5. 确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。可以在员工配置文件的安全部分访问此字段。

    您的身份提供程序确定必须使用的值。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。

  6. 让用户登录。他们必须使用最新的登录 URL。如有需要,在输入用户名后会将他们引导至外部身份提供程序。

使用 OpenID 连接 创建外部登录身份验证程序

所需权限登录身份验证程序创建

如果您希望用户的密码由另一个系统或身份提供程序管理,则可以使用外部身份验证。CXone 目前支持 SAML 2.0OpenID 连接 联合协议。

您可以使用本节中的步骤设置 IdP 发起的身份验证或 SP 发起的身份验证。

IdP 发起的身份验证:IdP 代表身份提供程序。IdP 发起的身份验证意味着外部身份验证程序启动了登录流程。

SP 发起的身份验证:SP 代表服务提供商。SP 发起的身份验证意味着 CXone 启动了登录流程。

如果使用 Salesforce Agent,则必须为 SP 发起的身份验证配置外部身份提供程序 (IdP)。

编辑模式下业务单位的“OpenID Connect”选项卡的屏幕截图

  1. 确保您拥有访问外部身份提供程序的权限。您需要创建特定于 CXone 的集成。
  2. 在外部身份提供程序中创建集成。
    1. 您需要提供一个此时不知道的登录重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    2. 您可能需要提供一个此时不知道的注销重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
    3. 身份提供程序将生成一个客户端 ID 和一个客户端密钥。复制这些值并将其保存在您可以找到的位置。您将需要在后续步骤中输入它们。
  3. CXone 中创建外部登录身份验证程序。

    1. 单击应用程序选择器 并选择Admin

    2. 转至安全设置 > 登录身份验证程序

    3. 单击新登录身份验证程序或选择您要编辑的登录身份验证程序。
    4. 输入登录身份验证程序的名称描述
    5. 选择 OIDC 作为 身份验证类型

    6. 如果您想要求用户从某个 IP 地址登录,请选择您在上一部分中设置的位置

    7. 如果您具有用于 IdP 的发现端点,请单击发现设置。输入您的发现端点,然后单击发现。系统会为您填充其余字段。发现设置不可与 Salesforce 发现端点共同使用。
    8. 输入客户端标识符客户端密码。在客户端确认密码字段中再次键入该密码。客户端标识符是您的 IdP 分配给您帐户的登录 ID。

    9. 如果您没有用于 IdP 的发现端点,请输入 IdP 提供的签发方Json Web 密钥设置端点授权端点令牌端点UserInfo 端点撤销端点结束会话端点

      字段

      详细信息

      发行者

      无任何参数的 IdP 的 URL。

      JsonWebKeySet 端点IdP JWK 集的 URL。
      授权端点IdP OAuth 2.0 授权端点的 URL。
      令牌端点IdP OAuth 2.0 令牌端点的 URL。
      UserInfo 端点IdP UserInfo 端点的 URL。
      撤销端点IdP 撤销端点的 URL。
      结束会话端点IdP 结束会话端点的 URL。此字段可使您为用户创建单点注销体验。如果配置,当他们注销 CXone 时,他们也将注销其 IdP 帐户。要使单点注销正常工作,您必须将 IdP 中的注销重定向 URI 列入白名单。
    10. 选择客户端身份验证方法。您选择的方法必须是您 IdP 支持的身份验证方法。如果您选择 private_key_jwt,则必须输入您的客户端私钥
    11. 您可以选择启用 FICAM 配置文件来打开美国政府特定设置。

    12. 选择已分配的用户选项卡。选择要分配给正在创建的登录身份验证程序的用户。您还可以将用户直接分配给他们的员工配置文件中的登录身份验证程序。

    13. 单击保存和激活,以验证提供的信息并将您的 CXone 帐户链接到您的 IdP 帐户。
    14. 打开登录身份验证程序。

    15. 记下登录重定向 URI注销重定向 URI。更新 IdP 设置时您将需要它们。

  4. 更新您的身份提供程序设置,将上面使用的占位符替换为您刚刚记下的值。

  5. 确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。可以在员工配置文件的安全部分访问此字段。

    您的身份提供程序确定必须使用的值。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。此字段的值必须采用以下格式:claim(email):{您 IdP 配置的电子邮件}。例如,如果 IdP 中用户的电子邮件为 nick.carraway@classics.com,您将输入 claim(email):nickcarraway@classics.com

  6. 让用户登录。他们必须使用最新的登录 URL。如有需要,在输入用户名后会将他们引导至外部身份提供程序。

  7. 当 IdP 要求您进行身份验证时,请以您希望与您当前所登录之 CXone 帐户相关联的 IdP 上的用户身份进行身份验证。
  8. 如果您在 CXone 中的 OpenID 连接 设置没有显示为已验证,请使用 IdP 日志诊断问题。

使用基于声明的 OpenID 连接 链接新用户

CXone 可以使用不同的声明值,如电子邮件地址,以在用户首次登录时建立用户身份。然后,CXone 自动切换至唯一 的 OpenID 连接 主题标识符。这允许您预先配置用户的联合身份

用于前端身份验证的 PKCE

您可能在使用 OpenID 连接 授权代码流程时遇到困难。此流程需要 client_secret 作为令牌交换的一部分。将 client_secret 编码到 Web 应用程序中存在安全风险。OpenID 连接 允许进行称为 PKCE(代码交换证明密钥)的替代流程。PKCE 使用不同的身份验证方法。NICE CXone 支持用于前端集成的 PKCE 流程。

停用登录身份验证程序

所需权限登录身份验证程序禁用

您可以在“登录身份验证程序”页面上停用系统和 SAML 2.0 登录身份验证程序。

分配给已停用登录身份验证程序 (LA) 的所有用户都将失去对 CXone 的访问权限。这些用户也将无法使用忘记密码链接来激活其帐户或更改其密码。用户不会收到失去访问权限的通知。他们将无法重新获得访问权限,除非您:

  • 将他们分配给活动 LA。

  • 重新激活已分配给他们的 LA。

为避免撤销用户的访问权限,请在停用之前将他们分配到不同的 LA。

  1. 单击应用程序选择器 并选择Admin
  2. 转至安全设置登录身份验证程序
  3. 找到您要停用的登录身份验证程序。
  4. 单击操作 登录身份验证程序右侧的三个堆叠点图标。
  5. 单击停用