CXone 中的驗證和授權
該頁面詳細介紹了 CXone 中的驗證和授權機制如何運作。 如果這是您首次接觸這些概念,您應該先大致了解驗證和授權的概念的術語。
查閱這些資料後,您即可:
當使用者登入任何應用程式套件(包括 CXone)時,一般會按順序顯示以下兩個步驟:
- 驗證 — 使用者身分是否屬實?
- 授權 — 通過驗證的使用者是否應擁有所請求的存取權限?
所有使用者必須通過驗證並取得授權,然後才能存取 CXone。
使用者可以是人員或應用程式。 例如,聊天機器人和虛擬助理通常由使用者帳戶執行。 大部分應用程式套件都對真人和虛擬使用者使用相同的流程。 在關於驗證和授權的線上說明頁面中,我們將人員和應用程式統一稱作使用者。 若有差異,會有明確說明。
身分驗證的設定可能比較複雜,而且比較難測試和驗證。 為了在 CXone 中設定驗證,您需要了解:
-
CXone 中驗證機制的運作方式
-
內建的 CXone 身分識別提供者
-
外部身分識別提供者
-
驗證真人使用者和應用程式使用者的區別
下圖顯示了 CXone 如何驗證使用者身分並授權:
-
使用者透過受支援的網頁瀏覽器存取 CXone。
-
CXone 要求使用者輸入登入認證。
-
使用者輸入認證。
-
CXone 透過身分識別提供者 (IdP) 驗證使用者。 CXone 自帶內建的 IdP,但也可以使用外部 IdP。
-
使用者通過身分驗證後,CXone 授權伺服器會提供存取 CXone 平台的權限。 CXone 不支援外部授權系統。
使用內建身分識別提供者驗證
內建的 CXone IdP 透過使用者名稱和密碼驗證使用者的身分。 每個使用者名稱在組織中皆具唯一性。 您可以選擇增加多重要素驗證 (MFA),以提升安全性。
應用程式使用者
有時候,應用程式也需要存取 CXone 功能。 CXone 將這些應用程式也視作使用者,例如機器人和互動式虛擬助理 (IVA)。 應用程式使用者僅支援內建驗證。 此外,應用程式使用者亦不使用登入驗證器, 而是使用存取金鑰。
使用者透過內建驗證登入
使用者首先會看到要求其輸入使用者名稱的畫面。 在 CXone 知道使用者名稱之後,才能要求提供其他認證資訊。 CXone 在知道是哪個使用者登入後,僅會要求輸入密碼或 MFA 權標。
使用者輸入使用者名稱並點擊下一步後,會顯示要求使用者輸入密碼的新視窗。 使用者輸入正確的密碼並點擊登入後,CXone 會驗證該使用者的身分並授予他們存取系統的權限。
此視窗對於被配置使用 MFA 的
透過內建驗證管理密碼
可以使用登入驗證器自訂密碼條件。 透過登入驗證器,您可以控制:
-
密碼的必要字元數目
-
密碼的必要字元類型
-
使用者必須在多少天後重設密碼
-
鎖定帳戶之前允許輸錯密碼的次數
-
CXone 記住的密碼數目,可防止使用者重複使用這些密碼
密碼在 CXone 中不會顯示。 出於隱私和安全性考量,密碼將保留在內部,僅可使用忘記密碼或重設密碼流程進行變更。 使用者可使用密碼登入畫面上連結並按照畫面上的說明操作。 如果使用者的密碼已變更,使用者將收到一封電子郵件通知。
CXone 自帶預設登入驗證器,無需自訂登入驗證器時可以使用。 但您仍必須將此預設驗證器指派給您希望其使用該驗證器的
您可以根據需要,設定多個自訂登入驗證器。 例如,您可能要求有權存取重要資訊的使用者設定更複雜的密碼。 每次為使用者帳戶設定不同的驗證要求時,都需要建立新的登入驗證器。 對驗證器的變更將在已指派的使用者下次登入時套用。
您可以使用自訂的登入驗證器設定多重要素驗證 (MFA)。 MFA 會增加額外的驗證層,從而提升安全性。 例如,您可以要求使用者透過使用者名稱和密碼驗證。 然後,您可以要求使用者再透過傳送至其行動裝置的驗證碼進行驗證。 這些驗證碼一般稱為 MFA 權標,雖然並不涉及實體權標。
CXone 主要支援兩種 MFA:
- 基於時間 — 一般由軟體驗證器使用,如 Google
- 基於計數器 — 一般由硬體權標使用
使用單一剔選框即可為多個登入驗證器啟用 MFA。 但是,使用者的特定資訊、其 MFA 設定及其身分都將保留在各員工的帳戶中。
登入驗證器將指派給角色。 這意味著員工的驗證方式取決於為其指派的角色。
使用外部身分識別提供者驗證
使用帳戶從其他站點登入系統時,您將使用外部驗證。 例如,您可能會在手機上使用 Google 帳戶登入應用程式。
外部驗證(有時也成為聯合身分)使用外部身分識別提供者 (IdP) 來幫助驗證使用者。 外部 IdP 與 CXoneIdP 一起工作來驗證使用者。 若要使兩者相結合,兩種 IdP 將依賴驗證通訊協定。
外部 IdP
CXone 支援託管式和雲端服務身分識別提供者。
您應該熟悉所使用的身分識別提供者。 如果還不熟悉,請與管理驗證的公司團隊合作。 如果沒有合適的人員,設定聯合身分可能會比較困難。 貴組織可能已建立用於整合 CXone 等系統與身分識別提供者的流程。 您有責任按照這些流程操作並滿足您的特定安全性需求。 NICE CXone 團隊將全程為您提供支援。
驗證通訊協定
由 IdP 發起的流程適用於單個應用程式,而不是整個 CXone 套件。 例如,您可以使用該流程啟動主要的使用者介面應用程式,但您不能使用該流程啟動其他應用程式,比如 Studio。 為了使整個套件順暢運作,需要由 IdP 發起的流程。
驗證通訊協定用於在不同 IdP 之間建立通訊和信任。 CXone 支援被稱為 SAML 2.0 的驗證通訊協定。
SAML 2.0 是一種比較成熟的技術,比 OpenID Connect 等新技術使用得更廣泛。 其支援由服務提供者 (SP) 發起的驗證流程。 這是很多應用程式和網站都使用的流程和模型。 其使用者體驗為:
- 使用者在 CXone 中輸入認證資訊(即使用者登入)。
- CXone 利用內建的 IdP 與外部 IdP 通訊,以驗證其使用者身分。
- CXone 利用內建的授權機制驗證已通過身分驗證之使用者的存取級別。
- CXone 為通過身分驗證且已取得授權的使用者提供相應的存取權限。
SAML 2.0 還支援由不常見的 IdP 發起的流程。 在此流程中,使用者輸入 IdP 的認證資訊。 然後,IdP 會啟動 CXone。
對於 SAML 2.0,CXone 僅支援對訊息/回覆進行簽名,而不是判斷提示進行簽名。
您的使用者可能比較熟悉這兩種驗證流程中的一種或兩種。 如果您使用 SAML 2.0,需要了解每種流程的限制。 這些限制將在下一部分詳細討論。
CXone 不支援某些驗證通訊協定額外提供的加密功能。
評估組合
CXone 套件並不支援應用程式、外部 IdP 和驗證通訊協定的每一種組合。 在某些情況下,可能會不支援。 在其他情況下,會有因應措施方面的限制。 由於很難顯示每種組合和場景的潛在問題,因此您應該測試身分識別提供者的設定。 測試時應考慮不同的用例和使用者流程。 下表可幫助引導您完成評估。
CXone 應用程式 | 外部 IdP | 驗證通訊協定 | 限制和因應措施 |
---|---|---|---|
CXone 平台和所有應用程式 | 全部 | 全部 | 不支援申索加密。 |
CXone 平台和所有應用程式 | 全部 | SAML 2.0 | 僅支援訊息簽署。 必須在回應中包含公用憑證。 |
CXone 平台 | 全部 | OpenID Connect | 不支援。 |
僅主要的 Web 應用程式支援由 IdP 發起的 SAML 2.0 流程。 需要存取 Studio 或各種客服專員應用程式的使用者必須使用內建驗證或由 IdP 發起的流程。
建立信任
身分識別提供者必須相互信任才能通訊。 每個提供者都必須擁有對方的資訊。 所需的資訊取決於驗證通訊協定。 資訊獲取方式取決於 IdP。
有幾個配置參數可用於與 SAML 2.0 建立信任。 與您的CXone 客戶代表配合,使用這些參數在您的CXone租戶 用於管理 CXone 環境的技術支援、計費和全域設定的高級組織分組和您的外部 IdP 之間建立一個信任關係。
欄位 |
詳細資料 |
---|---|
實體 ID |
當使用 SAML 2.0 通訊協定時,您的外部 IdP 可能要求您輸入的預先填入、不可編輯的全域唯一 ID。 IdP 將其包含在 SAML 2.0 請求訊息中作為簽發者的實體 ID。 某些 IdP(包括 Okta 和 OneLogin)不要求您在其一側設定實體 ID。 包括 Salesforce 在內的其他公司也是如此。 |
端點 URL |
您的 IdP 提供的端點 URL。 |
斷言 URL |
IdP 設定任何 SAML 2.0 流程所需的預先填入、不可編輯的 URL。 它用作接收和解析驗證斷言的端點 URL。 您必須在 IdP 配置中輸入此 ID,通常在 ACS URL 欄位中。 一些 IdP 稱其為 ACS 以外的其他名稱。 例如,在 Okta SAML 2.0 範本中,您在單一登入 URL 欄位中輸入此 URL。 |
憑證 | 您的 IdP 將為您提供安全性憑證。 |
應用程式的驗證
使用者和應用程式的驗證方式非常相似。 主要的區別是,應用程式使用存取金鑰進行驗證,而使用者則使用使用者名稱和密碼進行驗證。 與使用者不同,應用程式無需透過瀏覽器進行互動。 可以在後台環境中運作。
您可以建立
CXone 中的授權
授權是指確認允許使用者存取哪些資源的過程。 資源可能包括應用程式、檔案和資料。 您可以利用
使用者的驗證方法不影響授權。 CXone 對所有使用者使用相同的授權流程。 無論是使用存取金鑰還是密碼驗證都沒關係。