使用外部身份提供程序来设置 CXone 身份验证

本页将逐步指导您使用外部身份提供程序 (IdP) 为 CXone 系统设置身份验证。

按照给定的顺序完成以下每一个任务。

在您开始之前

如果您以前从未设置过这样的过程，那么您应该对身份验证和授权的概念和术语进行基本的了解。
如果这是您首次在 CXone 中使用身份验证，请查看CXone-特定流程。
考虑您的真人用户及其需要的访问级别。决定是否应该为有更多访问的人提供更高级别的安全保障。
决定是使用自定义密码要求、多因素身份验证 (MFA)，还是同时执行两者。
根据您的决定，制定一个身份验证程序列表。该列表应该包括您希望用于每个登录验证程序的密码要求和 MFA 状态。如果默认的登录身份验证程序满足您的密码管理需求，则不必创建自定义登录身份验证程序。
考虑是否需要为机器人或智能虚拟助手 (IVA) 等应用程序加入身份验证和授权。如果需要，您将需要创建访问密钥。
识别您的外部 IdP。CXone 支持托管和云服务 IdP。如果需要，请让贵公司的身份验证专家参与此流程。可能已经建立了系统集成流程，比如 CXone 与外部 IdP 的集成。遵循这些流程并满足特定的安全需求最终是您的责任。
定义您的身份验证协议。CXone 支持 SAML 2.0 和 OpenID 连接。
评估 IdP 和协议的组合可确保您的用例和用户流得到支持，并识别潜在的问题。这应该包括实际的测试。

您的 NICE CXone 团队可以在此规划流程中对您提供支持和指导。合理的规划将会让实施工作更加顺畅。在出现紧急需求时实施身份验证和授权更有可能导致问题。

使用 SAML 2.0 创建外部登录身份验证程序

所需权限：登录身份验证程序创建

要使用 OpenID 连接创建外部登录身份验证程序，请跳过本节。登录身份验证程序用于管理密码条件。您可以为不同的员工创建不同的登录身份验证程序。

如果您希望用户的密码由另一个系统或身份提供程序管理，则可以使用外部身份验证。CXone 目前支持 SAML 2.0 和 OpenID 连接联合协议。

您可以使用本节中的步骤设置 IdP 发起的身份验证或 SP 发起的身份验证。

IdP 发起的身份验证：IdP 代表身份提供程序。IdP 发起的身份验证意味着外部身份验证程序启动了登录流程。

SP 发起的身份验证：SP 代表服务提供商。SP 发起的身份验证意味着 CXone 启动了登录流程。

如果使用 Salesforce Agent，则必须为 SP 发起的身份验证配置外部身份提供程序 (IdP)。

确保您拥有访问外部身份提供程序的权限。您需要创建特定于 CXone 的集成。
在外部身份提供程序中创建集成。不同的系统使用不同的集成名称，请参阅 Okta 或 Azure的具体说明。
1. 您需要提供一个此时不知道的实体 ID。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
2. 您需要提供一个此时不知道的 ACS URL。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
3. 身份提供程序将生成必须发送 SAML 请求的特定 URL。复制此 URL 并将其保存到您可以找到的位置。您需要在后面的步骤中输入该值。
4. 身份提供程序将为该集成生成公共签名证书。下载该证书。您需要在后面的步骤中使用它。
在 CXone 中创建外部登录身份验证程序。
1. 单击应用程序选择器并选择管理员。
2. 单击安全 > 登录验证程序。
3. 输入登录身份验证程序的名称和描述。
4. 选择 SAML 作为身份验证类型。
5. 如果选择FICAM，则 SAML 响应必须具有单个 AuthnContextClassRef 条目。此外，断言主题的 NamespaceURI 必须为：urn:oasis:names:tc:SAML:2.0:assertion。AuthnContextClassRef 和 NamespaceURI 字段由身份提供程序控制。
6. 输入您从上述提供程序收到的 SAML 请求端点作为端点 URL。
7. 单击选择文件，然后选择从提供程序收到的公共签名证书。该文件必须为 PEM 文件。它将是一个文本文件，第一行将包含 BEGIN CERTIFICATE 和一些其他类型的文本。
8. 选择已分配的用户选项卡。选择要分配给正在创建的登录身份验证程序的用户。您还可以将用户直接分配给他们的员工配置文件中的登录身份验证程序。
9. 单击保存并激活。
10. 打开登录身份验证程序。
11. 记下实体 ID 和 ACS URL。更新 IdP 设置时您将需要它们。
更新您的身份提供程序设置，将上面使用的占位符替换为您刚刚记下的值。
确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。可以在员工配置文件的安全部分访问此字段。

您的身份提供程序确定必须使用的值。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。
让用户登录。他们必须使用最新的登录 URL。如有需要，在输入用户名后会将他们引导至外部身份提供程序。

使用 OpenID 连接创建外部登录身份验证程序

所需权限：登录身份验证程序创建

如果您希望用户的密码由另一个系统或身份提供程序管理，则可以使用外部身份验证。CXone 目前支持 SAML 2.0 和 OpenID 连接联合协议。

您可以使用本节中的步骤设置 IdP 发起的身份验证或 SP 发起的身份验证。

IdP 发起的身份验证：IdP 代表身份提供程序。IdP 发起的身份验证意味着外部身份验证程序启动了登录流程。

SP 发起的身份验证：SP 代表服务提供商。SP 发起的身份验证意味着 CXone 启动了登录流程。

如果使用 Salesforce Agent，则必须为 SP 发起的身份验证配置外部身份提供程序 (IdP)。

确保您拥有访问外部身份提供程序的权限。您需要创建特定于 CXone 的集成。
在外部身份提供程序中创建集成。
1. 您需要提供一个此时不知道的登录重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
2. 您可能需要提供一个此时不知道的注销重定向 URI。使用 https://cxone.niceincontact.com/need_to_change 作为占位符。
3. 身份提供程序将生成一个客户端 ID 和一个客户端密钥。复制这些值并将其保存在您可以找到的位置。您将需要在后续步骤中输入它们。

在 CXone 中创建外部登录身份验证程序。

单击应用程序选择器并选择Admin。
转至安全设置 > 登录身份验证程序。
单击新登录身份验证程序或选择您要编辑的登录身份验证程序。
输入登录身份验证程序的名称和描述。
选择 OIDC 作为身份验证类型。
如果您具有用于 IdP 的发现端点，请单击发现设置。输入您的发现端点，然后单击发现。系统会为您填充其余字段。发现设置不可与 Salesforce 发现端点共同使用。
输入客户端标识符和客户端密码。在客户端确认密码字段中再次键入该密码。客户端标识符是您的 IdP 分配给您帐户的登录 ID。

如果您没有用于 IdP 的发现端点，请输入 IdP 提供的签发方、Json Web 密钥设置端点、授权端点、令牌端点、UserInfo 端点、撤销端点和结束会话端点。

了解有关此步骤中字段的更多信息

字段	详细信息
发行者	无任何参数的 IdP 的 URL。
JsonWebKeySet 端点	IdP JWK 集的 URL。
授权端点	IdP OAuth 2.0 授权端点的 URL。
令牌端点	IdP OAuth 2.0 令牌端点的 URL。
UserInfo 端点	IdP UserInfo 端点的 URL。
撤销端点	IdP 撤销端点的 URL。
结束会话端点	IdP 结束会话端点的 URL。此字段可使您为用户创建单点注销体验。如果配置，当他们注销 CXone 时，他们也将注销其 IdP 帐户。要使单点注销正常工作，您必须将 IdP 中的注销重定向 URI 列入白名单。

选择客户端身份验证方法。您选择的方法必须是您 IdP 支持的身份验证方法。如果您选择 private_key_jwt，则必须输入您的客户端私钥。
您可以选择启用 FICAM 配置文件来打开美国政府特定设置。
选择已分配的用户选项卡。选择要分配给正在创建的登录身份验证程序的用户。您还可以将用户直接分配给他们的员工配置文件中的登录身份验证程序。
单击保存和激活，以验证提供的信息并将您的 CXone 帐户链接到您的 IdP 帐户。
打开登录身份验证程序。
记下登录重定向 URI 和注销重定向 URI。更新 IdP 设置时您将需要它们。

更新您的身份提供程序设置，将上面使用的占位符替换为您刚刚记下的值。
确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。可以在员工配置文件的安全部分访问此字段。

您的身份提供程序确定必须使用的值。该值必须与您在 CXone 中的外部身份字段中输入的值完全匹配。此字段的值必须采用以下格式：claim(email):{您 IdP 配置的电子邮件}。例如，如果 IdP 中用户的电子邮件为 nick.carraway@classics.com，您将输入 claim(email):nickcarraway@classics.com。
让用户登录。他们必须使用最新的登录 URL。如有需要，在输入用户名后会将他们引导至外部身份提供程序。
当 IdP 要求您进行身份验证时，请以您希望与您当前所登录之 CXone 帐户相关联的 IdP 上的用户身份进行身份验证。
如果您在 CXone 中的 OpenID 连接设置没有显示为已验证，请使用 IdP 日志诊断问题。

使用基于声明的 OpenID 连接链接新用户

CXone 可以使用不同的声明值，如电子邮件地址，以在用户首次登录时建立用户身份。然后，CXone 自动切换至唯一的 OpenID 连接主题标识符。这允许您预先配置用户的联合身份。

用于前端身份验证的 PKCE

您可能在使用 OpenID 连接授权代码流程时遇到困难。此流程需要 client_secret 作为令牌交换的一部分。将 client_secret 编码到 Web 应用程序中存在安全风险。OpenID 连接允许进行称为 PKCE（代码交换证明密钥）的替代流程。PKCE 使用不同的身份验证方法。NICE CXone 支持用于前端集成的 PKCE 流程。

创建或编辑员工

需要的权限：员工创建

如果使用外部 IdP 为现有 CXone 业务单位设置身份验证，则不需要创建新的用户帐户。但是，您将需要编辑用户帐户，并配置外部身份类型和联合身份字段。对于通过外部 IdP 进行身份验证的每个用户都必须这样操作。该任务的第 8 步已经解释了这些字段。

您可以使用以下各项添加员工帐户：

创建员工 — 使用创建员工窗口创建个人帐户。
导入员工 — 导入多个员工帐户。

此处的说明适用于在应用程序中创建单个员工帐户。如果您的公司正在使用 ACD，您还需要为此员工配置 ACD 用户设置。

CXone 提供许多自定义员工的选项和设置。通读整个任务。确保在开始之前知道需要配置的设置。

要添加员工：

单击应用程序选择器并选择Admin。
单击员工 > 创建员工。
输入员工的名字和姓氏。中间名为可选项。
输入有效的电子邮件地址。CXone 在此处发送激活邀请和密码验证码等电子邮件。您可以为多个员工使用相同的电子邮件地址。当您编辑员工的电子邮件地址后，验证电子邮件会发送到新的电子邮件地址。
输入要分配给员工的用户名。用户名必须采用电子邮件地址的形式。此字段通过电子邮件地址字段自动填充。如果您愿意，可以对其进行编辑。
在下拉列表中将主要角色分配给员工。

完成“常规”选项卡上的字段。

了解有关常规选项卡上字段的更多信息

字段	详细信息
显示名称	输入要分配给员工的显示名称。其他团队的用户可以查看显示名称。除非启用了查看员工权限，否则他们无法查看该员工的其他信息。
类型	使用类型来组织所分配角色和团队之外的员工。类型并未绑定到权限或不可用代码。这样可以简化报告。您可以从下拉列表中选择先前创建的类型。您还可以通过在搜索栏中输入文本并单击创建来创建新类型。
聘用日期	您雇用员工的日期。此字段仅供您记录之用。CXone 不会使用此信息。
时区	除非您更改此字段，否则员工会自动分配到租户用于管理 CXone环境的技术支持、计费和全局设置的高级组织分组时区。
操作系统登录	员工使用的操作系统。CXone Recording应用需要此信息以进行屏幕录制。该字段接受自由文本，并可能包含与 Windows 10 等操作系统相关的文本字符串。
级别	此字段只有在您的环境中具有 CXone WFM 时才会可见。在创建计划表时，它将确定优先级。
分配给团队	通过从下拉菜单中选择一个团队，将员工分配到一个团队。如果您还没有创建团队，或者该员工将属于一个新的团队，那么您可以接受默认团队设置，稍后再行更改。
分配至群组	通过从下拉菜单中选择群组，将员工分配到一个或多个群组。
分配至调度单位	此字段只有在系统包含 CXone WFM 时才会可见。它将为员工指定调度单位。
手机号码	员工的手机号码。此字段仅供您记录之用。CXone 不会使用此信息。
属性	在此下拉列表下选择与该员工相关的属性：可被评估/指导 — 此属性只有在系统包含 CXone QM 时才会显示。它会对员工启用评估，并且您将会收到该员工的 CXone QM计费。系统会为新员工选择默认值。如果您将 CXone QM添加到已有用户的系统中，则必须手动为这些用户启用此设置。可以录制（屏幕）— 此属性只有在系统包含 CXone Recording Advanced 时才会显示。它会对员工的屏幕启用记录，并且您将会收到该员工的屏幕录制计费。系统会为新员工选择默认值。如果您将 CXone Recording Advanced 添加到已有用户的系统中，则必须手动为这些用户启用此设置。可以录制（语音）— 此属性只有在系统包含 CXone Recording/CXone Recording Advanced 时才会可见。它会对员工语音启用录制。您将会收到该员工的语音录制计费。系统会为新员工选择默认值。如果您将 CXone Recording/CXone Recording Advanced 添加到已有用户的系统中，则必须手动为这些用户启用此设置。可以安排 — 此属性只有在系统包含 CXone WFM 时才会可见。它会对员工启用调度。您将会收到该员工的 CXone WFM 计费。系统会为新员工选择默认值。如果您将 CXone WFM添加到已有用户的系统中，则必须手动为这些用户启用此设置。在创建每周规则或班次模板时没有选中此属性的用户不会出现在员工列表中。从用户移除此属性将从分配至该用户的所有每周规则或班次模板中删除该用户。可被分析 — 此属性只有在系统包含 Interaction Analytics 时才会显示。当选择此属性时，员工已录制的交互由 Interaction Analytics 进行分析。您将会收到该员工的 Interaction Analytics 计费。系统会为新员工清空默认值。可编辑 BI 报告 — 只要选择了此属性的员工也拥有正确的权限，他们就可以在报告应用程序中编辑任何 BI 报告。系统会为所有员工（不论是现有员工还是新员工）清空默认值。可查看 BI 报告 — 员工将能够打开具有此属性的任何 BI 报告。报告位于报告应用程序中，但员工应该具有查看此处报告的权限。BI 报告会针对最多 10 % 的并发用户或已配置用户收取使用费，具体取决于您的定价模型。在勾选此复选框的情况下，一旦超过 10% 的阈值，您将为每一个增加的员工支付费用。系统会为所有员工（不论是现有员工还是新员工）清空默认值。客户卡 — 此属性允许不使用数字联系的员工访问可用的客户卡，以进行全渠道路由的语音、聊天、电子邮件和 CXone SMS 消息传递联系。系统会为新员工清空默认值。数字参与 — 此属性只有在系统包含 Digital Experience 时才会显示。选中此属性后，员工的记录将同步到 Digital Experience，他们可以处理数字联系人。您将会收到该员工的 Digital Experience 计费。系统会为新员工清空默认值。

单击创建以创建员工配置文件，然后继续设置它。如果您已准备好让用户激活其帐户并设置其密码，请单击创建并邀请。

身份验证应用程序

用户和应用程序的身份验证方式非常相似。主要的区别是，应用程序使用访问密钥进行身份验证，而用户则使用用户名和密码进行身份验证。与用户不同，应用程序不需要通过浏览器进行交互。应用程序通常是后台功能或智能虚拟坐席聊天机器人或基于人工智能与用户交互的类似应用程序 (IVA)。

要设置要与 CXone 交互的应用程序，请创建一个员工配置文件，然后以该应用程序的名称命名配置文件。然后为应用程序用户创建一个访问密钥，如下所示：

所需权限：员工编辑

单击应用程序选择器并选择管理员。
单击员工，然后单击您要编辑的员工配置文件，以将其打开。
单击安全选项卡。
单击添加访问密钥。
将访问密钥 ID 复制到安全位置。
单击显示机密密钥，然后将机密密钥复制到一个安全的位置。
单击保存。

CXone 中的授权

授权指验证用户可以访问哪些资源的过程。资源包括应用程序、文件和数据。您可根据基于角色的访问控制定义用户对资源的访问权限。CXone 在身份验证期间自动管理授权。当用户通过身份验证时，他们仅能访问获得授权的资源。

用户的身份验证方法不会影响授权。CXone 对所有用户采用相同的授权流程。无论是通过访问密钥还是密码进行身份验证都无关紧要。