管理登入驗證器

登入驗證器控制使用者如何登入到CXoneCXone根據指派給使用者的登入驗證器以及該登入驗證器的類型和配置,支援內部和外部驗證。

有關CXone中驗證和授權的更多資訊,請點擊此處

設定位置

所需權限位置管理建立

如果您想要求使用者從特定 IP 位址登入,請用您允許的 IP 位址、IP 位址範圍或 IP 位址子網路建立一個位置。當您需要為使用者配置位置時,該使用者必須擁有正確的認證和 IP 位址才能登入。否則,他們的登入嘗試將會失敗並收到錯誤訊息。您一次最多可以有 20 個位置,每個位置最多 10 個規則。

  1. 點擊應用程式選擇器 並選擇Admin
  2. 前往位置 > 位置定義
  3. 點擊新位置
  4. 為位置提供描述性名稱。如果要新增有關位置的更多詳細資訊,請輸入說明
  5. 您可以選擇設定為預設位置遠端位置以指示位置類型。您只能有一個預設位置。這些欄位目前不會影響任何功能,選擇它們僅供您自己參考。

  6. 使用其餘欄位新增您想要的任何其他資訊,包括實際地址、國家/地區、GPS 座標、時區或指派的群組。這些欄位目前不會有任何影響,其中輸入的資訊僅供您參考。

    如果將群組新增至已指派群組欄位,則會在「已指派使用者」標籤上顯示屬於這些群組的使用者。但是,不對其套用位置設定。如果您為登入驗證器指派位置,則該位置套用於被指派到該登入驗證器的使用者,並根據其 IP 位址限制其登入能力。但是,這些使用者不會出現在「已指派使用者」標籤上。

  7. 點擊儲存

  8. 返回「位置定義」頁面,點擊您剛剛建立的位置將其開啟。

  9. 點擊「自動偵測規則」標籤。

  10. 建立新規則。為此:

    1. 點擊新建規則

    2. 為規則提供描述性名稱

    3. 從下列選項中選擇規則類型

      • 列表:該位置允許使用的特定 IP 位址的清單。例如,100.0.1.100100.0.1.101100.0.1.102

      • 範圍:此位置允許的 IP 位址範圍。例如,100.0.1.100-100.0.1.125

      • 子網路:此位置允許的子網路。例如,100.0.0.1/32

    4. IP 版本指定為以下之一:

      • IPV4:32 位元 IP 位址

      • IPV6:128 位元十六進位位址。

    5. 規則定義欄位輸入實際 IP 位址、範圍或子網路,採用前面步驟中範例的格式。如果您選擇了清單,則最多可以輸入 100 個 IP 位址。如果選擇了範圍子網路,則只能輸入一個值。

    6. 點擊確認

  11. 根據需要新增更多規則。您最多可以有 10 個規則。

  12. 點擊儲存

配置一個系統登入驗證器

所需權限:可以管理密碼,開

CXone 包含一個預設的系統登入驗證器,但您也可以建立自己的系統登入驗證器。為特定角色配置登入驗證器後,當使用者嘗試設定或變更密碼時,密碼欄位會顯示所配置的登入驗證器規則。

  1. 點擊應用程式選擇器 並選擇 Admin
  2. 轉到安全性設定>登入驗證器

  3. 點擊新建登入認證器

  4. 輸入登入驗證器的唯一性名稱

  5. 如有需要,輸入描述

  6. 選擇系統作為驗證類型

    欄位

    詳細資料
    系統 登入驗證器使用 CXone 的內建登入程序,並不透過外部單一登入 (SSO) 身分識別提供者進行驗證。
    SAML SAML 2.0 允許您透過外部身分識別提供者設定單一登入。CXone支援多個 SAML 2.0 執行個體。您現在可以為不同使用者指派不同的執行個體。

  7. 如果您希望要求使用者從某個 IP 位址登入,請選擇您在上一部分中設定的位置

  8. 設定密碼複雜度。

    每個使用者的密碼都會根據常用密碼儲存庫進行檢查。如果其密碼與其中一個常用密碼相符,使用者將被迫建立一個新密碼。一些被拒絕的密碼包括:

    • 任何包含 「password」的密碼。例如,Password@1234。

    • 包含使用者的電郵地址、使用者名稱、名字、姓氏或系統名稱的任何密碼。

    每當出現以下情況時,都會根據此儲存庫檢查密碼:

    • 啟用新使用者。

    • 使用者密碼過期。

    • 使用者重設密碼。

    欄位詳細資料
    需要小寫字母 (a-z)—要求使用者在密碼中至少使用一個小寫字母。
    需要大寫字母 (A-Z)要求使用者在密碼中至少使用一個大寫字母。
    需要數字 (0-9)要求使用者在密碼中至少使用一個數字。
    要求非英數字元 (!、@、# 等)要求使用者在密碼中至少使用一個非字母數字字元。

  9. 若要啟用多重要素驗證,請選擇需要多重要素驗證。將您的 MFA 類型設定為 HOTP(基於 HMAC) TOTP(基於時間)

    欄位 詳細資料
    要求多因素驗證

    要求使用者輸入多重要素驗證 (MFA) 權杖,以及其登入 CXone 的密碼。MFA 權杖是一種由您提供之硬體權杖或虛擬 MFA 裝置(例如 Google Authenticator 等應用程式)產生的單次密碼。啟用 MFA 後,具有受影響設定檔的使用者在下次登入時必須配置 MFA 秘密金鑰。

    您不得為組織內的主管理員啟用 MFA。如果裝置或密碼遺失,重設 MFA 密碼的唯一方式就是向 NICE CXone 提交票證。
    MFA 類型 指定是否要啟用 TOTP(基於時間)HOTP(基於 HMAC)MFA。

  10. 設定密碼原則。

    欄位 詳細資料
    密碼長度 輸入使用者必須在其密碼中包含的最少總字元數。例如,若輸入 12,則使用者必須在每個密碼中總計至少包含 12 個字元。密碼複雜性設定中所需的字元將計入總字元數。您可以將密碼長度設置為 1224 之間的任何數字。
    啟用密碼年齡 啟用一個文字方塊,在其中可以輸入使用者可以保留密碼的最長天數。在指定的天數後,使用者必須變更密碼。您可以將密碼使用期限設定為 14365 天之間的任意值。
    啟用密碼記錄 輸入使用者在重複使用舊密碼前必須設置的唯一密碼的數量。您可以將密碼歷程記錄期限設定為 450 之間的任意值。例如,若輸入 10,則指派給登入驗證器的使用者不能使用他們過去 10 個密碼中的任何一個作為他們的新密碼。

  11. 點擊儲存並啟用

使用 SAML 2.0 設定外部登入驗證器

當您希望使用者的密碼由其他系統或身份提供者管理時,可以使用外部驗證。CXone目前支援SAML 2.0OpenID Connect 聯合通訊協定。

您可以透過此部分的步驟設定由 IdP 發起的驗證或 SP 發起的驗證。

由 IdP 發起的驗證:IdP 表示身份提供者。由 IdP 發起的驗證是指由外部身分識別提供者啟動登入流程。

由 SP 發起的驗證:SP 表示服務提供者。由 SP 發起的驗證是指由 CXone 啟動登入流程。

如果您使用 Salesforce Agent,那麼外部身份提供者 (IdP) 必須被配置為 SP 發起的驗證。

  1. 確保您可以存取外部身份提供者。您將需要建立 CXone 特定整合。
  2. 建立外部身份提供者整合。不同的系統對這些整合使用不同的名稱,請參閱 OktaAzure 具體說明。
    1. 您將需要提供一個目前還不知道的實體 ID。將 https://cxone.niceincontact.com/need_to_change 預留位置。
    2. 您將需要提供一個目前還不知道的 ACS URL。將 https://cxone.niceincontact.com/need_to_change 預留位置。
    3. 身份提供者將產生一個特定的 URL,而 SAML 請求必須在那裡傳送。複製該 URL 並儲存到您能找到的地方。在後面的步驟中,您將需要輸入該值。
    4. 身份提供者將產生一個共用簽署憑證,以進行整合。下載憑證。在後面的步驟中,您將需要使用該憑證。
  3. CXone 中建立外部登入驗證器。
    1. 點擊應用程式選擇器 並選擇管理
    2. 點擊安全性 > 登入驗證器
    3. 輸入登入驗證器的名稱描述
    4. 選擇 SAML 作為驗證類型

    5. 如果您希望要求使用者從某個 IP 位址登入,請選擇您在上一部分中設定的位置

    6. 如果您選擇 FICAM,SAML 回應必須有一個 AuthnContextClassRef 項。另外,斷言主題的 NamespaceURI 必須是:urn:oasis:names:tc:SAML:2.0:assertionAuthnContextClassRefNamespaceURI 欄位由身份提供者控制。
    7. 輸入您從上文中的提供方處收到的 SAML 請求端點作為端點 URL
    8. 點擊選擇檔案,然後選擇您從提供方處收到的公共簽署憑證。該檔案必須採用 PEM 檔案。這將是一個文字檔案,第一行將包含 BEGIN CERTIFICATE 與一些其他文字。

    9. 選擇已指派的使用者標籤。選擇要指派給正在建立的登入身份驗證器的使用者。您也可以在 員工設定檔中直接將使用者指派給登入驗證器。

    10. 點擊儲存並啟用
    11. 開啟登入驗證器。

    12. 注意 實體 ID ACS URL。更新 IdP 設定時需要它們。

  4. 更新您的身份提供方設定,使用您剛才記錄的值替換上面使用的預留位置。

  5. 確保每個使用登入驗證器的使用者的外部身份設定為正確的值。可以在員工設定檔安全部分存取此欄位。

    您的身分識別提供者會決定必須使用的值。該值必須與您在 CXone 中的外部身份欄位中輸入的值的完全匹配。

  6. 讓使用者登入。他們必須使用最新的登入 URL。輸入他們的使用者名稱後,如果需要,會將他們將引導到身分識別提供者。

使用OpenID Connect建立外部登入驗證器

所需權限建立登入驗證器

當您希望使用者的密碼由其他系統或身份提供者管理時,可以使用外部驗證。CXone目前支援SAML 2.0OpenID Connect 聯合通訊協定。

您可以透過此部分的步驟設定由 IdP 發起的驗證或 SP 發起的驗證。

由 IdP 發起的驗證:IdP 表示身份提供者。由 IdP 發起的驗證是指由外部身分識別提供者啟動登入流程。

由 SP 發起的驗證:SP 表示服務提供者。由 SP 發起的驗證是指由 CXone 啟動登入流程。

如果您使用 Salesforce Agent,那麼外部身份提供者 (IdP) 必須被配置為 SP 發起的驗證。

處於編輯模式的業務單元的「OpenID Connect」標籤的螢幕截圖

  1. 確保您可以存取外部身份提供者。您將需要建立 CXone 特定整合。
  2. 建立外部身份提供者整合。
    1. 您需要提供您目前不知道的登入重定向 URI。將 https://cxone.niceincontact.com/need_to_change 預留位置。
    2. 您可能需要提供您目前不知道的登出重定向 URI。將 https://cxone.niceincontact.com/need_to_change 預留位置。
    3. 身分提供者將產生一個用戶端 ID 和一個用戶端金鑰。複製這些值並將其儲存在您可以找到這些值的位置。您將需要在後續步驟中輸入這些值。
  3. CXone 中建立外部登入驗證器。

    1. 點擊應用程式選擇器 並選擇Admin

    2. 前往安全性設定>登入驗證器

    3. 點擊新的登入驗證器或選擇要編輯的登入驗證器。
    4. 輸入登入驗證器的名稱描述
    5. 選擇 OIDC 作為 驗證類型

    6. 如果您希望要求使用者從某個 IP 位址登入,請選擇您在上一部分中設定的位置

    7. 如果您有 IdP 的發現端點,請點擊發現設定。輸入您的發現端點並點擊發現。其餘欄位即已為您填充。發現設定不適用於Salesforce發現端點。
    8. 輸入您的用戶端識別碼用戶端密碼。在用戶端確認密碼中重新輸入密碼。用戶端識別碼是 IdP 指派給您帳戶的登入 ID。

    9. 如果您的 IdP 沒有發現端點,請輸入 IdP 提供的簽發者JsonWebKeySet 端點授權端點權杖端點UserInfo 端點撤銷端點結束會話端點

      欄位

      詳細資料

      簽發者

      您的 IdP 的 URL,不含任何參數。

      JsonWebKeySet 端點您的 IdP 的 JWK 集的 URL。
      授權端點您的 IdP 的 OAuth 2.0 授權端點的 URL。
      權杖端點您的 IdP 的 OAuth 2.0 權杖端點的 URL。
      UserInfo 端點您的 IdP 的 UserInfo 端點的 URL。
      撤銷端點您的 IdP 的撤銷端點的 URL。
      結束會話端點您的 IdP 的結束會話端點的 URL。此欄位可讓您為使用者建立單一登出體驗。如果配置,當使用者登出CXone 時,使用者也將登出其 IdP 帳戶。若要讓單一登出正常使用,您必須將 IdP 中的登出重定向 URI 列入白名單。
    10. 選擇用戶端驗證方法。您選擇的方法必須是 IdP 支援的驗證方法。如果您選擇private_key_jwt,則必須 輸入您的 用戶端私密金鑰
    11. 您可以選擇啟用 FICAM 設定檔開啟美國政府特定設定。

    12. 選擇已指派的使用者標籤。選擇要指派給正在建立的登入身份驗證器的使用者。您也可以在 員工設定檔中直接將使用者指派給登入驗證器。

    13. 點擊儲存並啟動以驗證所提供的資訊,並將您的 CXone 帳戶與 IdP 帳戶相連結。
    14. 開啟登入驗證器。

    15. 請注意登入重定向 URI登出重定向 URI。更新 IdP 設定時需要它們。

  4. 更新您的身份提供方設定,使用您剛才記錄的值替換上面使用的預留位置。

  5. 確保每個使用登入驗證器的使用者的外部身份設定為正確的值。可以在員工設定檔安全部分存取此欄位。

    您的身分識別提供者會決定必須使用的值。該值必須與您在 CXone 中的外部身份欄位中輸入的值的完全匹配。此欄位的值必須為以下格式:claim(email):{由您的 IdP 配置的電郵}。例如,如果 IdP 中使用者的電郵是 nick.carraway@classics.com,則應輸入 claim(email):nickcarraway@classics.com

  6. 讓使用者登入。他們必須使用最新的登入 URL。輸入他們的使用者名稱後,如果需要,會將他們將引導到身分識別提供者。

  7. 當您的 IdP 要求您進行身分驗證時,請以您希望與目前登入的 CXone 帳戶關聯的 IdP 上的使用者身分進行驗證。
  8. 如果 CXone 中的 OpenID Connect 設定未顯示為已驗證,請使用 IdP 記錄來診斷問題。

將新使用者與支援宣告的 OpenID Connect 連結

CXone 可以使用不同的宣告值,如電郵位址,在使用者首次登入時建立使用者身分。CXone 會自動切換至 OpenID Connect 主體識別元。這允許您預先配置使用者的聯合身分

用於前端驗證的 PKCE

您在使用OpenID Connect授權代碼流程時可能會遇到困難。此流程需要 client_secret 作為權杖交換的一部分。在 Web 應用程式中編碼 client_secret 會帶來安全風險。OpenID Connect 允許使用名為 PKCE(代碼交換證明金鑰)的替代流程。PKCE 使用不同的驗證方法。NICE CXone 支援用於前端整合的 PKCE 流程。

停用登入驗證器

所需權限登入驗證器停用

您可以在登入驗證器頁面上停用系統和 SAML 2.0 登入驗證器。

所有指派給已停用的登入驗證器 (LA) 的使用者都將失去對 CXone 的存取權。這些使用者也無法使用忘記密碼連結來啟動其帳戶或更改其密碼。使用者不會收到失去存取權限的通知。使用者將無法重新獲得存取權限,除非您:

  • 將其分配給活躍 LA。

  • 重新啟用其指派的 LA。

為了避免撤銷使用者的存取權限,請在停用之前將其指派到不同的 LA。

  1. 點擊應用程式選擇器 並選擇Admin
  2. 前往安全設定 > 登入驗證器
  3. 找到您要停用的登入驗證器。
  4. 點擊動作 登入驗證器右側的三點堆疊圖示。
  5. 點擊停用