Administrar federación con Azure

Azure es solo uno de los proveedores de identidades (IdP) externos admitidos que puede usar con CXone Mpower. Esta página lo guía, paso a paso, en la configuración de la autenticación para su CXone Mpower sistema usando Azure.

Si está realizando la implementación inicial de su CXone Mpower sistema, hay pasos adicionales a considerar. Recomendamos leer las siguientes páginas de ayuda en línea que incluyen estas consideraciones:

Antes de comenzar, asegúrese de tener acceso a laMicrosoft Azure Consola de administración de ID. Deberá crear una aplicación.

Gestionar la federación con Azure a través de SAML 2.0

Complete cada una de estas tareas en el orden dado.

Generar el valor del estado del relé

El valor del estado del relé es necesario para la aplicación SAML Azure que creará en la próxima tarea. Este valor es diferente para cada región en la que opera su organización.

  1. Localice su ID de cliente, que puede obtener en la página de registro de la aplicación AD Azure.

  2. Formatee su ID de cliente como {"clientId":"{UUID}"}, donde UUID es su ID de cliente. Por ejemplo, {"clientId":"{10g9f8e7d6c5b4a3z2y1x}"}.

  3. Codifique en Base64 la cadena del paso anterior. La cadena de ejemplo del paso anterior se convierte en eyJjbGllbnRJZCI6InsxMGc5ZjhlN2Q2YzViNGEzejJ5MXh9In0= cuando se codifica en base64.

  4. Guarde la cadena para usarla en la próxima tarea.

Crear y configurar una aplicación de Azure con SAML 2.0

  1. Inicie sesión en su cuenta de administración de AD Azure con su cuenta de administrador de AD Azure.
  2. Crear una aplicación:
    1. Haga clic en Aplicaciones empresariales >Nueva aplicación.
    2. Haga clic en Cree su propia aplicación.
    3. Entre un Nombre (por ejemplo, CXone Mpower).
    4. Seleccione Integra cualquier otra aplicación que no encuentres en la galería (Sin galería).
    5. Haga clic en Crear.
  3. Asigne usuarios y grupos a la aplicación según corresponda. Vaya a la pestaña Usuarios y Grupos y haga clic en Agregar usuario/grupo.
  4. En la página de administración de la aplicación, localice la sección Administrar. En Configurar inicio de sesión único, haga clic en Empezar y luego seleccione SAML.
  5. En el panel Configuración básica de SAML, haga clic en Editar y configurar SAML:
    1. Ingrese un nombre de aplicación.
    2. En Identificador (ID de Entidad), haga clic en Agregar identificador e ingrese https://need_to_change. En un paso posterior, reemplazará el marcador de posición con el ID de Entidad de su CXone Mpower autenticador de inicio de sesión.
    3. En URL de respuesta, haga clic en Agregar URL de respuesta y en el campo URI de audiencia, ingrese https://need_to_change. Obtendrá el URI del Servicio de Consumidor de Aserciones (ACS) real de su autenticador de inicio de sesión CXone Mpower en un paso posterior.
    4. En el campo Estado del relé de URL de inicio de sesión, ingrese el valor del estado del relé codificado que generó en la tarea anterior.
  6. Haga clic en Guardar y cierre el panel Configuración básica de SAML.
  7. En la sección Atributos y reclamos, seleccione el Identificador de usuario único. El valor que elijas será la Identidad externa en CXone Mpower.
  8. Azure AD debería crear automáticamente un certificado de firma SAML. Descargar el certificado llamado Certificado (Base64). Cargará este certificado en su autenticador de inicio de sesión en CXone Mpower en un paso posterior.
  9. En el panel Certificado de firma SAML, haga clic enEditar y luego:
    1. Elija una Opción de firma.
    2. Haga clic en Guardar y cierre el panel Certificado de firma SAML. Conserve este archivo para su configuración CXone Mpower en un paso posterior.
  10. Si desea habilitar el inicio de sesión iniciado por SP, complete este paso. En la sección Configurar <nombre de la aplicación>, copie el valor URL de inicio de sesión. Guarde esto para su CXone Mpower configuración.
  11. Mantén tu ventana abierta. Realizará cambios en su Azure configuración de la aplicación basada en los valores que recibe en la siguiente tarea.

Definir una ubicación

Permisos necesarios: Administración de ubicación Crear

Si desea exigir que los usuarios inicien sesión desde una dirección IP determinada, cree una ubicación con las direcciones IP, los rangos de direcciones IP o las subredes de direcciones IP que quiera permitir. Cuando se requiere una ubicación configurada para un usuario, ese usuario debe tener tanto las credenciales como la dirección IP correctas para iniciar sesión. De lo contrario, su intento de inicio de sesión falla y recibe un error. Puede tener hasta 20 ubicaciones a la vez y hasta 10 reglas por ubicación.

  1. Haga clic en el selector de aplicaciones Icono de selector de aplicaciones y seleccioneAdmin.
  2. Vaya a Ubicaciones >Definiciones de ubicación.
  3. Haga clic en Nueva ubicación.
  4. Asigne un Nombre descriptivo a la ubicación. Si desea agregar más detalles sobre la ubicación, ingrese una Descripción.
  5. Puede seleccionar Definir como ubicación predeterminada o Ubicación remota para indicar el tipo de ubicación. Sólo puede tener una ubicación predeterminada. Estos campos no afectan actualmente a ninguna funcionalidad y su selección es para su propia referencia.

  6. Agregue cualquier otra información que desee utilizando los campos restantes, incluyendo la dirección física, el país, las coordenadas GPS, la zona horaria o los grupos asignados. Estos campos actualmente no afectan a nada, y la información ingresada sería sólo para su propia referencia.

    Si agrega grupos al campo Grupos asignados los usuarios que pertenezcan a esos grupos aparecerán en la pestaña Usuarios asignados. Sin embargo, la configuración de la ubicación no se aplicará a ellos. Si asigna una ubicación a un autenticador de inicio de sesión, la ubicación se aplica a los usuarios asignados a ese autenticador de inicio de sesión y restringe su capacidad para iniciar sesión en función de su dirección IP. Sin embargo, esos usuarios no aparecerán en la pestaña Usuarios asignados.

  7. Hacer clicGuardar.

  8. De vuelta en la página Definiciones de ubicación, haga clic en la ubicación que acaba de crear para abrirla.

  9. Haga clic en la pestaña Reglas de detección automática.

  10. Cree una nueva regla. Para hacerlo:

    1. Hacer clicNueva regla.

    2. Asigne un Nombre descriptivo a la regla.

    3. Seleccione el Tipo de regla entre las siguientes opciones:

      • Lista: Una lista de direcciones IP específicas permitidas para esta ubicación. Por ejemplo, 100.0.1.100, 100.0.1.101, y 100.0.1.102.

      • Rango: Un rango de direcciones IP permitido para esta ubicación. Por ejemplo, 100.0.1.100-100.0.1.125.

      • Subred: Una subred permitida para esta ubicación. Por ejemplo, 100.0.0.1/32.

    4. Especifique la Versión IP como una de las siguientes:

      • IPV4: Una dirección IP de 32 bits

      • IPV6: Una dirección hexadecimal de 128 bits.

    5. Ingrese las direcciones IP reales, el rango o la subred en el campo Definición de regla siguiendo los formatos de los ejemplos de los pasos anteriores. Si seleccionó Lista, puede ingresar hasta 100 direcciones IP. Si seleccionó Rango o Subred, sólo puede ingresar un valor.

    6. Haga clic enConfirmar.

  11. Agregue más reglas según sea necesario. Puede tener hasta 10.

  12. Hacer clicGuardar.

Configurar un autenticador de inicio de sesión con SAML 2.0 en CXone Mpower

Permisos requeridos: Autenticador de inicio de sesión Crear

  1. Haga clic en el selector de aplicaciones Icono de selector de aplicaciones y seleccioneAdmin.
  2. Vaya a Parámetros de seguridad > Autenticador de inicio de sesión.
  3. Haga clic en Nuevo autenticador de inicio de sesión.
  4. Introduzca el Nombre y la Descripción del autenticador de inicio de sesión. Para la descripción, utilice únicamente texto simple. Las URL o el marcado como HTML no se guardarán.
  5. Seleccione SAML como el Tipo de autenticación .

  6. Si desea exigir que los usuarios inicien sesión desde una dirección IP determinada, seleccione la Ubicación que configuró en la sección anterior.

  7. Haga clic en Elija el archivo y seleccione el certificado de firma pública que descargó Azure en la tarea anterior. Este archivo debe ser un archivo PEM. Será un archivo de texto y la primera línea contendrá BEGIN CERTIFICATE con algún otro texto.

  8. Seleccione la pestaña Usuarios asignados. Seleccione los usuarios que desea asignar al autenticador de inicio de sesión que está creando. También puede asignar usuarios directamente al autenticador de inicio de sesión en el perfil de empleado de estos.

  9. Haga clic en Guardar y Activar.
  10. Abra el autenticador de inicio de sesión.

  11. Notará que se muestran dos campos adicionales de solo lectura, ID de entidad y la URL de ACS. Tome nota de estos valores. Los necesitarás en la tarea Agregar CXone Mpower valores a Azure.

Configurar CXone Mpower Usuarios

Complete esta tarea en CXone Mpower para todos los CXone Mpower usuarios que requieren inicio de sesión único con Azure. También puede completar este paso utilizando la plantilla de carga masiva.

  1. En CXone Mpower, haga clic en el selector de aplicaciones y seleccioneAdmin.

  2. Haga clic en Empleados.

  3. Seleccione el perfil del empleado que desea modificar y haga clic en Editar.

  4. Si aún no lo ha hecho, vaya a la pestaña Seguridad y seleccione el autenticador de inicio de sesión que creó anteriormente.

  5. Asegúrese de que la Identidad externa esté configurada en el valor correcto. El valor debe coincidir exactamente con el Identificador de usuario único en Azure. Si se ha configurado un ID de correo electrónico como ID externo, asegúrese de formatearlo correctamente. En Azure, el formato de ID de correo electrónico es nombre.apellido@dominio.com y distingue entre mayúsculas y minúsculas.

  6. Guarde sus cambios.

Agregue CXone Mpower valores a Azure

  1. Vuelva a su Azure aplicación y en el panel Configuración básica de SAML, haga clic en Editar.
  2. Para Identificador (ID de entidad), ingrese el valor de ID de entidad de su CXone Mpower autenticador de inicio de sesión.
  3. Para la URL de respuesta, ingrese el valor de URL de ACS del autenticador de inicio de sesión de CXone Mpower.
  4. Haga clic en Guardar y cierre el panel Configuración básica de SAML.

Pruebe la integración de SAML

Antes de asignar el autenticador de inicio de sesión SAML a los usuarios en CXone Mpower, debe probar la integración SAML. Si la prueba falla, revise sus configuraciones y realice cambios en los ajustes.

  1. Inicie un inicio de sesión desde el panel de control Azure.
  2. Verifique que el flujo de autenticación SAML funcione como espera.

Verificar el acceso de usuario con Inicio de sesión único de Azure

  1. Haga que uno o más usuarios de prueba inicien sesión utilizando la URL de inicio de sesión de más reciente. Después de ingresar su nombre de usuario, serán dirigidos a Azure si es necesario.

  2. Cuando esté listo, implemente el inicio de sesión único de Azure para todos los empleados.

Gestionar la federación con Azure a través de Conexión OpenID

Complete cada una de estas tareas en el orden dado.

Configurar una aplicación de Azure con Conexión OpenID

  1. Inicie sesión en su cuenta de gestión de Azure.

  2. En Registros de aplicaciones, haga clic en Nuevo registro.

  3. Vaya a Autenticación > Web.

  4. Deberá indicar los URI de redireccionamiento, que todavía no conoce. Use https://cxone.niceincontact.com/need_to_change como marcador de posición.

  5. Haga clic en Certificados y secretos.

  6. Seleccione client_secret_basic o client_secret_post como método de autenticación. El método de autenticación, private_key_jwt, no es compatible actualmente con CXone Mpower.

  7. En el campo Secretos del cliente, seleccione Nuevo secreto del cliente.

  8. Agregue una descripción y seleccione Caduca.

  9. Copie la ID de cliente y el Secreto del cliente y péguelos en un lugar seguro de su dispositivo. Los necesitará al configurar un autenticador de inicio de sesión en CXone Mpower.

  10. Vaya a Configuración del token > Reclamos opcionales.

  11. Haga clic en Agregar reclamo opcional.

  12. Seleccione ID como su Tipo de token.

  13. Seleccione correo electrónico y agregue su dirección de correo electrónico.

  14. Hacer clicGuardar.

Definir una ubicación

Permisos necesarios: Administración de ubicación Crear

Si desea exigir que los usuarios inicien sesión desde una dirección IP determinada, cree una ubicación con las direcciones IP, los rangos de direcciones IP o las subredes de direcciones IP que quiera permitir. Cuando se requiere una ubicación configurada para un usuario, ese usuario debe tener tanto las credenciales como la dirección IP correctas para iniciar sesión. De lo contrario, su intento de inicio de sesión falla y recibe un error. Puede tener hasta 20 ubicaciones a la vez y hasta 10 reglas por ubicación.

  1. Haga clic en el selector de aplicaciones Icono de selector de aplicaciones y seleccioneAdmin.
  2. Vaya a Ubicaciones >Definiciones de ubicación.
  3. Haga clic en Nueva ubicación.
  4. Asigne un Nombre descriptivo a la ubicación. Si desea agregar más detalles sobre la ubicación, ingrese una Descripción.
  5. Puede seleccionar Definir como ubicación predeterminada o Ubicación remota para indicar el tipo de ubicación. Sólo puede tener una ubicación predeterminada. Estos campos no afectan actualmente a ninguna funcionalidad y su selección es para su propia referencia.

  6. Agregue cualquier otra información que desee utilizando los campos restantes, incluyendo la dirección física, el país, las coordenadas GPS, la zona horaria o los grupos asignados. Estos campos actualmente no afectan a nada, y la información ingresada sería sólo para su propia referencia.

    Si agrega grupos al campo Grupos asignados los usuarios que pertenezcan a esos grupos aparecerán en la pestaña Usuarios asignados. Sin embargo, la configuración de la ubicación no se aplicará a ellos. Si asigna una ubicación a un autenticador de inicio de sesión, la ubicación se aplica a los usuarios asignados a ese autenticador de inicio de sesión y restringe su capacidad para iniciar sesión en función de su dirección IP. Sin embargo, esos usuarios no aparecerán en la pestaña Usuarios asignados.

  7. Hacer clicGuardar.

  8. De vuelta en la página Definiciones de ubicación, haga clic en la ubicación que acaba de crear para abrirla.

  9. Haga clic en la pestaña Reglas de detección automática.

  10. Cree una nueva regla. Para hacerlo:

    1. Hacer clicNueva regla.

    2. Asigne un Nombre descriptivo a la regla.

    3. Seleccione el Tipo de regla entre las siguientes opciones:

      • Lista: Una lista de direcciones IP específicas permitidas para esta ubicación. Por ejemplo, 100.0.1.100, 100.0.1.101, y 100.0.1.102.

      • Rango: Un rango de direcciones IP permitido para esta ubicación. Por ejemplo, 100.0.1.100-100.0.1.125.

      • Subred: Una subred permitida para esta ubicación. Por ejemplo, 100.0.0.1/32.

    4. Especifique la Versión IP como una de las siguientes:

      • IPV4: Una dirección IP de 32 bits

      • IPV6: Una dirección hexadecimal de 128 bits.

    5. Ingrese las direcciones IP reales, el rango o la subred en el campo Definición de regla siguiendo los formatos de los ejemplos de los pasos anteriores. Si seleccionó Lista, puede ingresar hasta 100 direcciones IP. Si seleccionó Rango o Subred, sólo puede ingresar un valor.

    6. Haga clic enConfirmar.

  11. Agregue más reglas según sea necesario. Puede tener hasta 10.

  12. Hacer clicGuardar.

Configurar un autenticador de inicio de sesión de CXone Mpower con Conexión OpenID

  1. Haga clic en el selector de aplicaciones Icono de selector de aplicaciones y seleccioneAdmin.

  2. Vaya a Parámetros de seguridad > Autenticador de inicio de sesión.

  3. Haga clic en Nuevo autenticador de inicio de sesión o seleccione el autenticador de inicio de sesión que desea editar.
  4. Introduzca el Nombre y una Descripción para el autenticador de inicio de sesión.
  5. Seleccione OIDC como Tipo de autenticación .

  6. Si desea exigir que los usuarios inicien sesión desde una dirección IP determinada, seleccione la Ubicación que configuró en la sección anterior.

  7. Si tiene un terminal de descubrimiento de Azure, haga clic en Descubrir ajustes. Ingrese su punto final de descubrimiento y haga clic en Descubrir. Los campos restantes se completan automáticamente. Descubrir ajustes no funciona con los terminales de descubrimiento de Salesforce.
  8. Entre su Identificador de cliente y Contraseña del cliente. Vuelva a escribir la contraseña enCliente Confirmar Contraseña. El Identificador de cliente es la ID de inicio de sesión que Azure asignó a su cuenta.

  9. Si no tiene un terminal de descubrimiento de Azure, ingrese los siguientes datos proporcionados por Azure: Emisor, Terminal JsonWebKeySet, Terminal de autorización, Terminal de token, Terminal de información de usuario, Terminal de revocación y Terminal de final de sesión.

    Campo

    Detalles
    Emisor

    URL de Azure sin ningún parámetro.
    Terminal JsonWebKeySet La URL del Conjunto de JWK de Azure.
    Terminal de autorización La URL del Terminal de autorización 2.0 OAuth de Azure.
    Terminal de señal La URL del Terminal de token 2.0 OAuth de Azure.
    Terminal de información de usuario La URL del Terminal de información de usuario de Azure.
    Endpoint de revocación La URL del Terminal de revocación de Azure.
    Terminal de final de sesión

    La URL del Terminal de final de sesión de Azure. Este campo le permite crear una experiencia de cierre de sesión único para sus usuarios. Si está configurada, cuando los usuarios cierran su sesión en CXone Mpower, también la cierran en su cuenta de Azure. Para que el cierre de sesión único funcione, debe incluir la URI de redireccionamiento de cierre de sesión de Azure en la lista blanca.

    Si Salesforce es su IdP, debe configurar una URL de cierre de sesión en Salesforce. Para hacerlo, vaya a Configuración > Seguridad > Parámetros de seguridad > Configuración de la página de cierre de sesión. Actualice el campo de la URL de cierre de sesión. Usará esta URL como su Terminal de final de sesión.
  10. Seleccione un Método de autenticación del cliente. El método que seleccione debe coincidir con lo que había configurado en la tarea anterior. Debe ser un método de autenticación que sea compatible con Azure.
  11. Puede seleccionar Habilitar perfil FICAM para activar la configuración específica del gobierno de los Estados Unidos. Este paso es solo para los usuarios de FedRAMP.

  12. Seleccione la pestaña Usuarios asignados. Seleccione los usuarios que desea asignar al autenticador de inicio de sesión que está creando. También puede asignar usuarios directamente al autenticador de inicio de sesión en el perfil de empleado de estos.

  13. Haga clic en Guardar y activar para validar la información proporcionada y vincular su cuenta de CXone Mpower con la cuenta de su Azure.
  14. Abra el autenticador de inicio de sesión.

  15. Tome nota de la URI de redireccionamiento de inicio de sesión y la URI de redireccionamiento de cierre de sesión. Las necesitará para actualizar su configuración de Azure.

  16. Actualice su configuración de Azure, reemplazando los marcadores de posición utilizados en la tarea anterior con los valores que acaba de anotar.

  17. Verifique que la Identidad externa de CXone Mpower para cada usuario que utiliza el autenticador de inicio de sesión tenga definido el valor correcto. Es posible acceder a este campo en la sección de seguridad del perfil del empleado.

    Azure determina el valor que se debe utilizar. Puede encontrarlo en el perfil del usuario en Azure. El valor debe coincidir exactamente con lo que puso en el campo Identidad externa en CXone Mpower. El valor de este campo debe tener este formato: claim(email):{correo electrónico configurado por su IdP}. Por ejemplo, si el correo electrónico del usuario en el IdP es nick.carraway@classics.com, debe escribir claim(email):nickcarraway@classics.com.

  18. Haga que el usuario inicie sesión en CXone Mpower. Debe usar la URL de inicio de sesión más reciente. Después de ingresar su nombre de usuario, será redirigido a Azure, si fuera necesario.

  19. Cuando Azure le solicite que autentique su propia cuenta, hágalo como el usuario de Azure que desea asociar con su cuenta de CXone Mpower que tiene una sesión activa en este momento.
  20. Si su configuración de Conexión OpenID en CXone Mpower no aparece como validada, use los registros de Azure para diagnosticar el problema.

Agregue CXone Mpower valores a Azure

  1. Vuelva a su Azure aplicación y en el panel Configuración básica de SAML, haga clic en Editar.
  2. Para Identificador (ID de entidad), ingrese el valor de ID de entidad de su CXone Mpower autenticador de inicio de sesión.
  3. Para la URL de respuesta, ingrese el valor de URL de ACS del autenticador de inicio de sesión de CXone Mpower.
  4. Haga clic en Guardar y cierre el panel Configuración básica de SAML.

  5. Asegúrese de que la Identidad externa para cada usuario que utiliza el autenticador de inicio de sesión se establece en el valor correcto.

    1. Su proveedor de identidad determina el valor que se debe utilizar. El valor debe coincidir exactamente con el Identificador de usuario único en Azure y la Identidad externa en CXone Mpower.

  6. Haga que el usuario iniciar sesión en . Deben usar la URL más reciente de . Después de ingresar su nombre de usuario, serán dirigidos al proveedor de identidad externo, si es necesario.

Verificar el acceso de usuario con Inicio de sesión único de Azure

  1. Asegúrese de que la Identidad externa para cada empleado quién utiliza el autenticador de inicio de sesión se establece en el valor correcto. El valor debe coincidir exactamente con el Identificador de usuario único en Azure y la Identidad externa en CXone Mpower.

  2. Haga que uno o más usuarios de prueba inicien sesión utilizando la URL de inicio de sesión de más reciente. Después de ingresar su nombre de usuario, serán dirigidos a Azure si es necesario.

  3. Cuando esté listo, implemente el inicio de sesión único de Azure para todos los empleados.