管理與Azure的聯合

Azure只是可用於CXone的支援外部身分識別提供者 (IdP) 之一。本頁將逐步指導您使用 AzureCXone 系統設定驗證。

如果您正在為您的CXone系統進行初次實作,還需考慮完成其他步驟。建議閱讀以下線上說明頁面,其中包括以下注意事項:

按照給定的順序完成每一個任務。

在開始之前,請確保您可以存取 Microsoft Azure ID 管理控制台。您將需要建立應用程式。

使用SAML 2.0建立和配置 Azure 應用程式

  1. 登入 Azure AD 管理帳戶。
  2. 建立應用程式。
    1. 點擊企業應用程式 > 新應用程式
    2. 點擊建立自己的應用程式
    3. 輸入名稱(例如 NICE CXone)。
    4. 選擇整合未在圖庫中找到的任何其他應用程式(非圖庫)
    5. 點擊建立
  3. 適當地指派使用者和組。
  4. 在設定單一登入下,點擊開始,然後選擇 SAML
  5. 在「基本 SAML 配置」面板上,點擊編輯並配置 SAML:
    1. 在「識別碼(實體 ID)」下,點擊新增識別碼並輸入 https://cxone.niceincontact.com/need_to_change。您將把這個值變更為以後收到的 URL。
    2. 在「回覆 URL」下,點擊新增回覆 URL並在受眾 URI 欄位中,輸入 https://cxone.niceincontact.com/need_to_change。您將把這個值變更為以後收到的 URI。
  6. 點擊保存並關閉「基本 SAML 配置」面板。
  7. 在「屬性和要求」區段中,選擇正確的唯一使用者識別碼。您選擇的值將是 CXone 中的 外部身分
  8. Azure AD 應該自動建立 SAML 簽署憑證。下載名為 Certificate (Base64) 的憑證。
  9. 在「SAML 簽署憑證」面板上,點擊編輯,然後單擊:
    1. 簽署選項變更為簽署 SAML 答覆
    2. 點擊儲存並關閉「SAML 簽署憑證」面板。為您的 CXone 配置保留此檔案。
  10. 在「設定 <應用程式名稱>」面板上,複製登入 URL 值。為您的 CXone 配置保留此值。
  11. 讓視窗保持開啟狀態。您將根據下一個任務中收到的值對 Azure 應用程式設定進行變更。

設定位置

所需權限位置管理建立

如果您想要求使用者從特定 IP 位址登入,請用您允許的 IP 位址、IP 位址範圍或 IP 位址子網路建立一個位置。當您需要為使用者配置位置時,該使用者必須擁有正確的認證和 IP 位址才能登入。否則,他們的登入嘗試將會失敗並收到錯誤訊息。您一次最多可以有 20 個位置,每個位置最多 10 個規則。

  1. 點擊應用程式選擇器 並選擇Admin
  2. 前往位置 > 位置定義
  3. 點擊新位置
  4. 為位置提供描述性名稱。如果要新增有關位置的更多詳細資訊,請輸入說明
  5. 您可以選擇設定為預設位置遠端位置以指示位置類型。您只能有一個預設位置。這些欄位目前不會影響任何功能,選擇它們僅供您自己參考。

  6. 使用其餘欄位新增您想要的任何其他資訊,包括實際地址、國家/地區、GPS 座標、時區或指派的群組。這些欄位目前不會有任何影響,其中輸入的資訊僅供您參考。

    如果將群組新增至已指派群組欄位,則會在「已指派使用者」標籤上顯示屬於這些群組的使用者。但是,不對其套用位置設定。如果您為登入驗證器指派位置,則該位置套用於被指派到該登入驗證器的使用者,並根據其 IP 位址限制其登入能力。但是,這些使用者不會出現在「已指派使用者」標籤上。

  7. 點擊儲存

  8. 返回「位置定義」頁面,點擊您剛剛建立的位置將其開啟。

  9. 點擊「自動偵測規則」標籤。

  10. 建立新規則。為此:

    1. 點擊新建規則

    2. 為規則提供描述性名稱

    3. 從下列選項中選擇規則類型

      • 列表:該位置允許使用的特定 IP 位址的清單。例如,100.0.1.100100.0.1.101100.0.1.102

      • 範圍:此位置允許的 IP 位址範圍。例如,100.0.1.100-100.0.1.125

      • 子網路:此位置允許的子網路。例如,100.0.0.1/32

    4. IP 版本指定為以下之一:

      • IPV4:32 位元 IP 位址

      • IPV6:128 位元十六進位位址。

    5. 規則定義欄位輸入實際 IP 位址、範圍或子網路,採用前面步驟中範例的格式。如果您選擇了清單,則最多可以輸入 100 個 IP 位址。如果選擇了範圍子網路,則只能輸入一個值。

    6. 點擊確認

  11. 根據需要新增更多規則。您最多可以有 10 個規則。

  12. 點擊儲存

使用 CXone 中的 SAML 2.0 設定登入驗證器

所需權限建立登入驗證器

  1. 點擊應用程式選擇器 並選擇管理
  2. 點擊安全性 > 登入認證器
  3. 點擊新建登入認證器
  4. 輸入登入認證器的名稱描述
  5. 選擇SAML作為認證類型

  6. 如果您希望要求使用者從某個 IP 位址登入,請選擇您在上一部分中設定的位置

  7. 輸入您從 Azure 收到的 SAML 請求端點作為端點 URL
  8. 點擊選擇檔案,然後選擇您在上一個任務中從 Azure 下載的公共簽署憑證。該檔案必須採用 PEM 檔案。這將是一個文字檔案,第一行將包含 BEGIN CERTIFICATE 與一些額外文字。

  9. 選擇已指派的使用者標籤。選擇要指派給正在建立的登入身份驗證器的使用者。您也可以在 員工設定檔中直接將使用者指派給登入驗證器。

  10. 點擊儲存並啟用
  11. 開啟登入驗證器。

  12. 您會發現顯示了兩個額外的唯讀欄位,實體 IDACS URL。記錄這些值。您將在「將 CXone 值新增至 Azure」任務中需要這些值。

新增 CXone 值到 Azure

  1. 回到 Azure 應用程式,並在「基本 SAML 配置」面板上,點擊編輯
  2. 對於識別碼(實體 ID),輸入 CXone 登入驗證器中的實體 ID 值。
  3. 對於回覆 URL,輸入CXone登入驗證器的ACS URL 值。
  4. 點擊儲存並關閉「基本 SAML 配置」面板。

  5. 確保每個使用登入驗證器的使用者的外部身份設定為正確的值。

    1. 您的身分識別提供者會決定必須使用的值。該值必須與 Azure 中的唯一使用者識別碼CXone 中的外部身份完全一致。

  6. 讓。他們必須使用最新的登入 URL。輸入他們的使用者名稱後,如果需要,會將他們將引導到身分識別提供者。

使用 Azure 單一登入確認使用者存取

  1. 確保每個使用登入驗證器的員工外部身份設定為正確的值。該值必須與 Azure 中的唯一使用者識別碼CXone 中的外部身完全一致。

  2. 讓一個或多個測試使用者使用最新的登入 URL 登入。輸入他們的使用者名稱後,如果需要,會將他們將引導到 Azure

  3. 準備就緒後,向所有員工推出 Azure 單一登入。

使用 OpenID Connect配置 Azure 應用程式

  1. 登入 Azure 管理帳戶。

  2. 在應用程式註冊下,點擊新註冊

  3. 前往驗證 > Web

  4. 您需要提供重定向 URI,但您目前還不知道此網址。將 https://cxone.niceincontact.com/need_to_change 預留位置。

  5. 點擊憑證和秘密

  6. 選擇client_secret_basicclient_secret_post作為您的驗證方法。CXone 目前不支援驗證方法 private_key_jwt

  7. 用戶端秘密欄位中,選擇新用戶端秘密

  8. 新增說明並選擇過期

  9. 複製用戶端 ID用戶端秘密並將其貼上到裝置上的安全位置。當您在CXone中配置登入驗證器時,您將需要使用它們。

  10. 前往權杖配置 > 可選聲明

  11. 點擊新增可選聲明

  12. 選擇 ID 作為您的權杖類型

  13. 選擇電郵並新增您的電郵位址。

  14. 點擊儲存

透過 OpenID Connect 設定 CXone 登入驗證器

  1. 點擊應用程式選擇器 並選擇Admin

  2. 轉到安全性設定>登入驗證器

  3. 點擊新的登入驗證器或選擇要編輯的登入驗證器。
  4. 輸入登入驗證器的 名稱描述
  5. 選擇 OIDC 作為 驗證類型

  6. 如果您希望要求使用者從某個 IP 位址登入,請選擇您在上一部分中設定的位置

  7. 如果您有來自 Azure 的發現端點,請點擊 發現設定。輸入您的發現端點並點擊發現。其餘欄位即已為您填充。發現設定不適用於Salesforce發現端點。
  8. 輸入您的用戶端識別元用戶端密碼。在用戶端確認密碼中重新輸入密碼。用戶端識別碼Azure指派給您的帳戶的登入 ID。

  9. 如果您沒有 Azure 的發現端點,請輸入 Azure 提供的簽發者JsonWebKeySet 端點授權端點權杖端點UserInfo 端點撤銷端點結束會話端點

    欄位

    詳細資料
    簽發者

    Azure 的 URL,不含任何參數。
    JsonWebKeySet 端點 Azure 的 JWK 集的 URL。
    授權端點 AzureOAuth2.0 授權端點的 URL。
    權杖端點 AzureOAuth2.0 權杖端點的 URL。
    UserInfo 端點 Azure 的 UserInfo 端點的 URL。
    撤銷端點 Azure 的撤銷端點的 URL。
    結束工作階段端點

    Azure 的結束會話端點的 URL。此欄位可讓您為使用者建立單一登出體驗。如果配置,當使用者登出CXone 時,使用者也將登出其 Azure 帳戶。若要讓單一登出正常使用,您必須將 Azure 中的登出重定向 URI 列入白名單。

    如果 Salesforce 是您的 IdP,則您需要在 Salesforce 中設定登出 URL。為此,請前往設定 > 安全 > 會話設定 > 登出頁面設定。更新登出 URL 欄位。您將使用此 URL 作為您的結束會話端點
  10. 選擇 用戶端驗證方法。您選擇的方法必須與您在上一個任務中設定的方法相符。此方法必須是Azure支援的驗證方法。
  11. 您可以選擇啟用 FICAM 設定檔以開啟美國政府特定的設定。此步驟僅適用於 FedRAMP 使用者。

  12. 選擇已指派的使用者標籤。選擇要指派給正在建立的登入身份驗證器的使用者。您也可以在 員工設定檔中直接將使用者指派給登入驗證器。

  13. 點擊儲存並啟動以驗證所提供的資訊,並將您的 CXone 帳戶與 Azure 帳戶相連結。
  14. 開啟登入驗證器。

  15. 請注意登入重定向 URI登出重定向 URI。當您更新 Azure 設定時,您將需要這些網址。

  16. 更新您的Azure設定,將上一個任務中使用的佔位符替換為您剛剛記下的值。

  17. 確保每個使用登入驗證器的使用者的CXone外部身份設定為正確的值。可以在員工設定檔安全部分存取此欄位。

    Azure確定必須使用的值。它可以在Azure中的使用者設定檔中找到。該值必須與您在 CXone 中的外部身份欄位中輸入的值的完全匹配。此欄位的值必須為以下格式:claim(email):{由您的 IdP 配置的電郵}。例如,如果 IdP 中使用者的電郵是 nick.carraway@classics.com,則應輸入 claim(email):nickcarraway@classics.com

  18. 讓使用者登入CXone。他們必須使用最新的登入 URL。輸入他們的使用者名稱後,如果需要,會將他們將引導到 Azure

  19. Azure要求您驗證自己的帳戶時,請以您希望與目前登入的CXone帳戶關聯的Azure中使用者身分進行驗證。
  20. 如果 CXone中的 OpenID Connect 設定未顯示為已驗證,請使用 Azure 的記錄來診斷問題。