使用Okta設定CXone驗證

本頁將逐步指導您使用 Okta 作為外部身分識別提供者 (IdP) 為 CXone 系統設定驗證。

按照給定的順序完成每一個任務。

開始之前

  • 如果您以前從未設定過這樣的流程,您應基本了解驗證和授權概念和術語。
  • 如果這是您第一次在CXone中使用驗證,請檢閱CXone特定過程
  • 考慮您的真人使用者及其需要的存取級別。決定是否應為有更大存取權限的人提供更高級別的安全保障。
  • 決定是使用自訂密碼要求、多重要素驗證 (MFA),還是同時使用二者來執行。
  • 根據您的決定,列出登入驗證器。該清單應包含您希望用於每個登入驗證器的密碼要求和 MFA 狀態。
  • 考慮是否需要為機器人或智慧虛擬助手 (IVA) 等應用程式包含驗證和授權。如有此需要,您將需要建立存取金鑰。
  • 了解您的驗證通訊協定CXone 支援 SAML 2.0 進行 Okta 整合。
  • 評估 IdP 和通訊協定的組合,以確保您的用例和使用者流程得到支援,並識別潛在的問題。這應包括實際測試。

您的 NICE CXone 團隊可以在此計劃流程中為您提供支援和指導。良好的計劃使執行更順利。在出現緊急需求時執行驗證和授權更有可能導致問題。

按照給定的順序完成每一個任務。

在開始之前,請確保您可以存取 Okta。您將需要建立應用程式。

使用SAML 2.0建立和配置 Okta 應用程式

  1. 登入 Okta 管理帳戶。
  2. 點擊應用程式選單 > 建立應用程式整合
  3. 選擇 SAML 2.0 作為方法,並且點擊下一步
  4. 輸入您想用來識別這個整合的名稱,然後點擊下一步
  5. 配置 SAML:
    1. 單一登入 URL 欄位中輸入佔位符 URL,例如 https://cxone.niceincontact.com/need_to_change。您將把這個值變更為以後收到的 URL。
    2. 受眾 URI 欄位中輸入佔位符 URL,例如 https://cxone.niceincontact.com/need_to_change。您將把這個值變更為以後收到的 URI。
    3. 指定名稱 ID 格式應用程式使用者名稱,以符合您想要使用的使用者識別方式CXone
    4. 點擊顯示進階設定
    5. 判斷提示簽名變更為未簽名。將回應保留位已簽名
    6. 確保判斷提示加密未加密
  6. 點擊下一步,完成回饋,然後點擊「回饋」標籤上的完成
  7. 點擊檢視 SAML 設定說明來打開一個新標籤,然後:
    1. 點擊下載憑證以下載簽署憑證。為您的 CXone 配置保留此檔案。
    2. 複製身份提供者單一登入 URL。為您的 CXone 配置保留此 URL。
    3. 關閉 SAML 設定說明標籤。讓「配置 SAML」標籤保持打開狀態。您將根據接下來得到的 CXone 設定,對您的配置進行變更。

設定位置

所需權限位置管理建立

如果您想要求使用者從特定 IP 位址登入,請用您允許的 IP 位址、IP 位址範圍或 IP 位址子網路建立一個位置。當您需要為使用者配置位置時,該使用者必須擁有正確的認證和 IP 位址才能登入。否則,他們的登入嘗試將會失敗並收到錯誤訊息。您一次最多可以有 20 個位置,每個位置最多 10 個規則。

  1. 點擊應用程式選擇器 並選擇Admin
  2. 前往位置 > 位置定義
  3. 點擊新位置
  4. 為位置提供描述性名稱。如果要新增有關位置的更多詳細資訊,請輸入說明
  5. 您可以選擇設定為預設位置遠端位置以指示位置類型。您只能有一個預設位置。這些欄位目前不會影響任何功能,選擇它們僅供您自己參考。

  6. 使用其餘欄位新增您想要的任何其他資訊,包括實際地址、國家/地區、GPS 座標、時區或指派的群組。這些欄位目前不會有任何影響,其中輸入的資訊僅供您參考。

    如果將群組新增至已指派群組欄位,則會在「已指派使用者」標籤上顯示屬於這些群組的使用者。但是,不對其套用位置設定。如果您為登入驗證器指派位置,則該位置套用於被指派到該登入驗證器的使用者,並根據其 IP 位址限制其登入能力。但是,這些使用者不會出現在「已指派使用者」標籤上。

  7. 點擊儲存

  8. 返回「位置定義」頁面,點擊您剛剛建立的位置將其開啟。

  9. 點擊「自動偵測規則」標籤。

  10. 建立新規則。為此:

    1. 點擊新建規則

    2. 為規則提供描述性名稱

    3. 從下列選項中選擇規則類型

      • 列表:該位置允許使用的特定 IP 位址的清單。例如,100.0.1.100100.0.1.101100.0.1.102

      • 範圍:此位置允許的 IP 位址範圍。例如,100.0.1.100-100.0.1.125

      • 子網路:此位置允許的子網路。例如,100.0.0.1/32

    4. IP 版本指定為以下之一:

      • IPV4:32 位元 IP 位址

      • IPV6:128 位元十六進位位址。

    5. 規則定義欄位輸入實際 IP 位址、範圍或子網路,採用前面步驟中範例的格式。如果您選擇了清單,則最多可以輸入 100 個 IP 位址。如果選擇了範圍子網路,則只能輸入一個值。

    6. 點擊確認

  11. 根據需要新增更多規則。您最多可以有 10 個規則。

  12. 點擊儲存

透過 SAML 2.0 設定 CXone 登入驗證器

所需權限建立登入驗證器

  1. 點擊應用程式選擇器 並選擇管理
  2. 點擊安全性 > 登入認證器
  3. 點擊新建登入認證器
  4. 輸入登入驗證器的名稱描述
  5. 選擇SAML作為認證類型

  6. 如果您希望要求使用者從某個 IP 位址登入,請選擇您在上一部分中設定的位置

  7. 輸入您從 Okta 收到的身份提供者單一登入 URL作為端點 URL。有關更多詳細資訊,請參閱前述任務的最後一步。
  8. 點擊選擇檔案,然後選擇您在上一個任務中從 Okta 下載的公共簽署憑證。該憑證必須是 PEM 檔案。這將是一個文字檔案,第一行將包含 BEGIN CERTIFICATE 與一些額外文字。

  9. 選擇已指派的使用者標籤。選擇要指派給正在建立的登入身份驗證器的使用者。您也可以在 員工設定檔中直接將使用者指派給登入驗證器。

  10. 點擊儲存並啟用
  11. 開啟登入驗證器。

  12. 您會發現顯示了兩個額外的唯讀欄位:實體 IDACS URL。記錄這些值。您將在將 CXone 值新增至 Okta 任務中需要它們。

使用 OpenID Connect配置 Okta 應用程式

  1. 登入 Okta 管理帳戶。
  2. 點擊應用程式選單 > 建立應用程式整合
  3. 選擇OIDC - OpenID Connect作為登入方法
  4. 選擇Web 應用程式作為應用程式類型,然後點擊下一步
  5. 應用程式整合名稱欄位中,輸入您要用於識別此整合的名稱。
  6. 您需要提供您目前不知道的登入重定向 URI。將 https://cxone.niceincontact.com/need_to_change 預留位置。您將把這個值變更為以後收到的 URI。
  7. 您可能需要提供您目前不知道的登出重定向 URI。將 https://cxone.niceincontact.com/need_to_change 預留位置。您將把這個值變更為以後收到的 URI。
  8. 受控存取下拉清單中,選擇立即跳過群組指派
  9. 點擊儲存
  10. 一般標籤上的用戶端憑證下,選擇用戶端驗證
  11. 選擇以下驗證方法之一:
    1. client_secret_basic:用戶端憑證在驗證期間在基本標頭中傳遞。選擇此方法後,進行以下配置:
      1. 選擇用戶端驗證用戶端密碼
      2. 複製用戶端 ID用戶端秘密並將其貼上到裝置上的安全位置。當您在CXone中配置登入驗證器時,您將需要使用它們。
    2. client_secret_post:用戶端憑證在驗證期間在正文中傳遞。選擇此方法後,進行以下配置:
      1. 選擇用戶端驗證用戶端密碼
      2. 複製用戶端 ID用戶端秘密並將其貼上到裝置上的安全位置。當您在CXone中配置登入驗證器時,您將需要使用它們。
    3. client_secret_jwt:JWT 不記名權杖用於用戶端驗證。選擇此方法後,進行以下配置:
      1. 選擇用戶端驗證用戶端密碼
      2. 複製用戶端 ID用戶端秘密並將其貼上到裝置上的安全位置。當您在CXone中配置登入驗證器時,您將需要使用它們。
    4. private_key_jwt:JWT 不記名權杖用於用戶端驗證。JWT 由您將在後續步驟中提供的用戶端私鑰進行簽署。選擇此方法後,進行以下配置:
      1. 選擇用戶端驗證作為公鑰/私鑰
      2. 新增公鑰欄位中輸入佔位符公鑰。配置登入驗證器時,您需要將佔位符替換為 CXone 提供的金鑰。
  12. 在「指派」標籤上,點擊指派,然後點擊指派給人員
  13. 將使用者指派給該應用程式。

使用 CXone 中的 OpenID Connect 設定登入驗證器

  1. 點擊應用程式選擇器 並選擇Admin

  2. 轉到安全性設定>登入驗證器

  3. 點擊新的登入驗證器或選擇要編輯的登入驗證器。
  4. 輸入登入驗證器的 名稱描述
  5. 選擇 OIDC 作為 驗證類型

  6. 如果您希望要求使用者從某個 IP 位址登入,請選擇您在上一部分中設定的位置

  7. 如果您有來自 Okta 的發現端點,請點擊 發現設定。輸入您的發現端點並點擊發現。其餘欄位即已為您填充。發現設定不適用於Salesforce發現端點。
  8. 輸入您的用戶端識別元用戶端密碼。在用戶端確認密碼中重新輸入密碼。用戶端識別碼Okta指派給您的帳戶的登入 ID。

  9. 如果您沒有 Okta 的發現端點,請輸入 Okta 提供的簽發者JsonWebKeySet 端點授權端點權杖端點UserInfo 端點撤銷端點

    欄位

    詳細資料
    簽發者

    Okta 的 URL,不含任何參數。
    JsonWebKeySet 端點 Okta 的 JWK 集的 URL。
    授權端點 OktaOAuth2.0 授權端點的 URL。
    權杖端點 OktaOAuth2.0 權杖端點的 URL。
    UserInfo 端點 Okta 的 UserInfo 端點的 URL。
    撤銷端點 Okta 的撤銷端點的 URL。
  10. 選擇 用戶端驗證方法。您選擇的方法必須與您在上一個任務中設定的方法相符。此方法必須是Okta支援的驗證方法。如果您選擇private_key_jwt,則必須 輸入您的 用戶端私密金鑰
  11. 您可以選擇啟用 FICAM 設定檔以開啟美國政府特定的設定。此步驟僅適用於 FedRAMP 使用者。

  12. 選擇已指派的使用者標籤。選擇要指派給正在建立的登入身份驗證器的使用者。您也可以在 員工設定檔中直接將使用者指派給登入驗證器。

  13. 點擊儲存並啟動以驗證所提供的資訊,並將您的 CXone 帳戶與 Okta 帳戶相連結。
  14. 開啟登入驗證器。

  15. 請注意登入重定向 URI登出重定向 URI。您將需要這些網址來更新您的Okta設定。

  16. 更新您的Okta設定,將上一個任務中使用的佔位符替換為您剛剛記下的值。

  17. 確保每個使用登入驗證器的使用者的CXone外部身份設定為正確的值。可以在員工設定檔安全部分存取此欄位。

    Okta確定必須使用的值。它可以在Okta中的使用者設定檔中找到。該值必須與您在 CXone 中的外部身份欄位中輸入的值的完全匹配。此欄位的值必須為以下格式:claim(email):{由您的 IdP 配置的電郵}。例如,如果 IdP 中使用者的電郵是 nick.carraway@classics.com,則應輸入 claim(email):nickcarraway@classics.com

  18. 讓使用者登入CXone。他們必須使用最新的登入 URL。輸入他們的使用者名稱後,如果需要,會將他們將引導到 Okta

  19. Okta要求您驗證自己的帳戶時,請以您希望與目前登入的 CXone 帳戶關聯的使用者身分進行驗證。
  20. 如果 CXone中的 OpenID Connect 設定未顯示為已驗證,請使用 Okta 的記錄來診斷問題。

新增 CXone 值到 Okta

  1. 回到您的Okta應用程式,進入「常規」標籤。
  2. 在「SAML 設定」視窗點擊編輯,然後點擊下一步
  3. 對於單一登入 URL,輸入 CXone 登入驗證器中的 ACS URL 值。
  4. 對於受眾 URI(SP 實體 ID),輸入 CXone 登入驗證器中的實體 ID 值。
  5. 點擊下一步,然後點擊完成來完成變更。

使用 Okta 單一登入確認使用者存取

  1. 確保每個使用登入驗證器的員工外部身份設定為正確的值。該值必須與 CXone 中的外部身份完全相符。外部身份欄位區分大小寫。

  2. 讓一個或多個測試使用者使用最新的登入 URL 登入 https://cxone.niceincontact.com。對於 FedRAMP,使用 https://cxone-gov.niceincontact.com。輸入他們的使用者名稱後,如果需要,會將他們將引導到 Okta

  3. 準備就緒後,向所有員工推出 Okta 單一登入。

建立角色

所需權限建立角色管理

  1. 點擊應用程式選擇器 並選擇管理
  2. 前往安全設定 > 角色和權限
  3. 點擊新角色

  4. 為角色輸入名稱描述(可選)

    角色描述不能超過 200 個字元。

  5. 點擊權限標籤。

  6. 配置該角色的權限。權限是按 CXone 應用程式分類的,您只能看到屬於 CXone 系統一部分的應用程式。點擊左側的角色類別可在角色類別之間移動。

  7. 如果您正在建立(或編輯)的角色具有與 CXone 的四個既有 (OOTB) 角色之一類似的權限,則從下拉式清單點擊設定為預設,選擇相關的 OOTB 角色(客服專員經理管理員評估者),然後點擊套用。權限是根據所選的既有角色設定的。根據角色的需要,對權限進行變更。
  8. 完成權限配置後,點擊儲存將角色儲存為「草稿」狀態,或點擊儲存並啟用,將角色儲存為「有效」狀態。在您啟用角色之前,您無法為角色指派使用者。

建立或編輯員工

所需權限建立員工

您可以透過以下方式新增員工帳戶:

此處的說明適用於在應用程式中建立單一員工帳戶。如果您的公司使用 ACD,您還需要為該員工配置 ACD 使用者設定

CXone 提供多種選項和設定,以便您自訂員工。仔細閱讀整個任務。確保在開始之前已了解需要配置哪些設定。

編輯員工設定檔頁面的「一般」標籤螢幕截圖。

若要新增員工:

  1. 點擊應用程式選擇器 並選擇Admin

  2. 點擊員工 > 建立員工

  3. 輸入員工的名字姓氏中間名是可選的。

  4. 輸入有效電郵位址CXone 在此處傳送啟用邀請和密碼驗證碼等電郵。您可以為多名員工使用相同的電郵位址。當您編輯員工的電郵位址時,會向新的電郵位址傳送一封驗證電郵。

  5. 輸入要指派給此員工的使用者名稱。使用者名稱必須是電郵地址的形式。該欄位由電郵地址欄位自動填寫。如有需要,您可以編輯。

  6. 從下拉式清單中為員工指派主要角色

  7. 完成「一般」標籤中的欄位。

    詳細了解一般標籤中的欄位

    欄位

    詳細資料
    顯示名稱 輸入要指派給此員工的顯示名稱。其他團隊的使用者可以檢視該顯示名稱。但他們無法檢視該員工的其他資訊,除非他們擁有檢視員工權限。
    類型 除了角色團隊之外,還可以使用類型組織員工。該類型與權限或不可用代碼無關。這可以方便報告。您可以從下拉式清單中選擇之前建立的類型。您還可以透過在搜尋列中輸入文字,然後點擊建立來建立新類型。
    聘用日期 僱用員工的日期。此欄位僅供記錄。CXone 不使用此資訊。
    時區 除非您變更,否則員工會自動指派到租戶Closed 用於管理 CXone 環境的技術支援、計費和全域設定的高級組織分組時區。
    OS 登入 員工使用的作業系統。CXone Recording應用程式 需要此資訊進行螢幕錄影。該欄位接受任意文字,可能包含與作業系統(如 Windows 10)相關的文字字串。

    排名

    此欄位僅在您的環境中有 CXone WFM 時才顯示。它確定建立排程時的優先次序。
    已獲指派至團隊 透過從下拉式選單中選擇團隊來為員工指派團隊

    如果您還未建立團隊,或者如果員工屬於新團隊,則您只需先接受預設團隊設定,以後再變更即可。
    指派給群組 透過從下拉式選單中選擇群組來為員工指派一個或多個群組
    指派給排程單元 此欄位僅在您的系統包括 CXone WFM 時才顯示。用於為員工指定排程單元
    手機號碼 員工的手機或手機號碼。此欄位僅供記錄。CXone 不使用此資訊。
    屬性

    在下拉式清單中,選擇與員工相關的屬性:

    • 可以評估/指導—此屬性僅在您的系統包括 CXone QM 時才顯示。它使員工能夠被評估,而您將被因這名員工 CXone QM 而被收費。

      為新員工選擇預設值。如果把 CXone QM 新增至附現有使用者的系統,您必須為這些使用者手動啟用此設定。

    • 可錄製(螢幕)—此屬性僅在您的系統包括 CXone Recording 時才顯示。它使員工的螢幕能夠被錄製,而您將因進行此員工的螢幕錄影而被收費。

      為新員工選擇預設值。如果將 CXone Recording Advanced 新增至附現有使用者的系統,您必須為這些使用者手動啟用此設定。

    • 可錄製(語音)—此屬性僅在您的系統包括 CXone Recording/CXone Recording 時才顯示。它使員工的語音能夠被錄製。您將被要求為該員工支付語音錄製費用。

      為新員工選擇預設值。如果將 CXone Recording/CXone Recording Advanced 新增至附現有使用者的系統,您必須為這些使用者手動啟用此設定。

    • 可以安排—此屬性僅在您的系統包括 CXone WFM 時才顯示。它使員工能被安排計劃。您將被要求為該員工支付 CXone WFM 費用。

      為新員工選擇預設值。如果把 CXone WFM 新增至附現有使用者的系統,您必須為這些使用者手動啟用此設定。建立每週規則或值班範本時,未選擇此屬性的使用者不會出現在員工清單上。從使用者刪除此屬性會將該使用者從為其指派的任何每週規則或值班範本中刪除。

    • 可以分析—此屬性僅在您的系統包括 Interaction Analytics 時才顯示。當此屬性被選中時,該員工的記錄互動會被Interaction Analytics分析。您將被要求為該員工支付 Interaction Analytics 費用。

      為新員工清除預設值。

    • 可以編輯 BI 報告—選擇了此屬性的員工只要擁有正確的權限,就可以在報告應用程式中編輯任何 BI 報告。

      為所有現有員工和新員工清除預設值。

    • 可以檢視 BI 報告—員工可以用此屬性打開任何 BI 報告。報告位於報告應用程式中,員工應該擁有檢視報告的權限。根據您的定價模型,對於高達 10% 的並行使用者或已配置使用者,BI 報告不收取使用費。一旦超過 10% 的臨界值,將針對選中此剔選框的每個額外員工向您收費。

      為所有現有員工和新員工清除預設值。

    • 客戶卡—此屬性允許不處理數位聯絡人的員工存取全通道路由語音、聊天、電郵和 CXone SMS 訊息 聯絡人的可用客戶卡。

      為新員工清除預設值。

    • Digital Engagement—此屬性僅在您的系統包括 Digital Experience 時才顯示。選擇此屬性後,員工的記錄將同步到 Digital Experience,該員工可以處理數位聯絡人。您將被要求為該員工支付 Digital Experience 費用。為新員工清除預設值。

  8. 點擊建立即可建立員工設定檔並繼續進行設定。如果您已準備好讓使用者啟用其帳戶並設定其密碼,請點擊建立和邀請

驗證應用程式

使用者和應用程式的驗證方式非常相似。主要的區別是,應用程式使用存取金鑰進行驗證,而使用者則使用使用者名稱和密碼進行驗證。與使用者不同,應用程式無需透過瀏覽器進行互動。應用程式通常是後台辦公功能或智慧虛擬客服專員Closed 基於人工智慧的聊天機器人或用於與使用者互動的類型應用程式 (IVA)。

要設定應用程式與 CXone 互動,請建立員工設定檔,並在應用程式後為設定檔命名。然後為應用程式使用者建立存取金鑰,如下所示:

所需權限員工編輯

員工檔案安全標籤,在左下角顯示新增訪問金鑰按鈕。
  1. 點擊應用程式選擇器 並選擇 管理
  2. 點擊員工,然後點擊您要編輯的員工設定檔以將其開啟。

  3. 點擊 安全性 標籤。

  4. 點擊新增存取金鑰
  5. 將存取金鑰 ID 複製到一個安全的地方。
  6. 點擊顯示秘密金鑰並將秘密金鑰複製到安全位置。
  7. 點擊儲存

CXone 中的授權

授權是指確認允許使用者存取哪些資源的過程。資源可能包括應用程式、檔案和資料。您可以透過基於角色的存取控制來定義使用者對資源的存取權。CXone 會在驗證期間自動管理授權。如果使用者通過驗證,將僅為他們授予其被授權使用之資源的存取權限。

使用者的驗證方法不影響授權。CXone 對所有使用者使用相同的授權流程。無論是使用存取金鑰還是密碼驗證都沒關係。