Gérer la fédération avec Azure

Azure n'est que l'un des nombreux fournisseurs d'identité externe (IdP) que vous pouvez utiliser avec CXone Mpower. Cette page vous guide, étape par étape, dans la configuration de l'authentification pour votre système CXone Mpower à l'aide du fournisseur de Azure.

Si vous procédez à l'implémentation initiale de votre système CXone Mpower, des étapes supplémentaires sont à prendre en compte. Nous recommandons de lire les pages d'aide en ligne suivantes qui portent également sur ces considérations :

Avant de commencer, assurez-vous que vous avez accès à l'ID de console de gestion de Microsoft Azure. Vous allez devoir créer une application.

Gestion de la fédération avec Azure à l’aide de SAML 2.0

Effectuez chacune de ces tâches dans l'ordre indiqué.

Générer la valeur d'état du relais

La valeur de l'état du relais est requise pour l'application SAML Azure que vous créerez dans la tâche prochaine. Cette valeur varie selon les régions dans lesquelles votre organisation exerce ses activités.

  1. Localisez votre ID client, que vous pouvez obtenir à partir de la page d'enregistrement de l'application AD Azure.

  2. Formatez votre ID client comme {"clientId":"{UUID}"}, où UUID est votre ID client. Par exemple, {"clientId":"{10g9f8e7d6c5b4a3z2y1x}"}.

  3. Encodez la chaîne de caractères de l'étape précédente en Base64. La chaîne d'exemple de l'étape précédente devient eyJjbGllbnRJZCI6InsxMGc5ZjhlN2Q2YzViNGEzejJ5MXh9In0= lorsqu'elle est encodée en base64.

  4. Enregistrez la chaîne de caractères pour l'utiliser dans la tâche suivante.

Création et configuration d'une application Azure avec SAML 2.0

  1. Connectez-vous à votre compte de gestion AD Azure avec votre compte d'administrateur AD Azure.
  2. Créer une application :
    1. Cliquez sur Applications entreprise > Nouvelle application.
    2. Cliquez sur Créer votre propre application.
    3. Entrez un Nom (par exemple, CXone Mpower).
    4. Sélectionnez Intégrer une autre application que vous ne trouvez pas dans la galerie (ne figurant pas dans la galerie).
    5. Cliquez sur Créer.
  3. Attribuez les utilisateurs et les groupes à l'application selon les besoins. Allez dans l'onglet Utilisateurs et groupes et cliquez sur Ajouter un utilisateur/groupe.
  4. Dans la page de gestion de l'application, repérez la section Gérer. Dans la section Configurer l'authentification unique, cliquez sur Commencer, puis sélectionnez SAML.
  5. Dans le panneau Configuration SAML de base, cliquez sur Modifier, puis configurez SAML :
    1. Saisissez un Nom d'application.
    2. Sous Identifiant (ID d'entité), cliquez sur Ajouter un identifiant et entrez https://need_to_change. Dans une étape ultérieure, vous remplacerez l'espace réservé par l'ID d'entité de votre CXone Mpower authentificateur de connexion.
    3. Sous URL de réponse, cliquez sur Ajouter une URL de réponse et dans le champ URI de l'audience, saisissez https://need_to_change. Vous obtiendrez l'URI réel du service de consommation d'assertion (ACS) à partir de votre authentificateur de connexion CXone Mpower dans une étape ultérieure .
    4. Dans le champ État du relais d'URL de signature, entrez la valeur d'état de relais encodée que vous avez générée dans la tâche précédente.
  6. Cliquez sur Enregistrer et fermez le volet Configuration SAML de base.
  7. Dans la section Attributs et demandes, sélectionnez l'Identificateur d’utilisateur unique. La valeur que vous choisissez deviendra l'identité externe dans CXone Mpower.
  8. Azure AD crée automatiquement un certificat de signature SAML. Téléchargez le certificat (Base64). Vous téléchargerez ce certificat sur votre authentificateur de connexion dans CXone Mpower à une étape ultérieure.
  9. Dans le volet Certificat de signature SAML, cliquez sur Modifier puis :
    1. Choisissez une option de signature.
    2. Cliquez sur Enregistrer et fermez le volet Certificat de signature SAML. Conservez ce fichier pour votre configuration CXone Mpower dans une étape ultime.
  10. Si vous souhaitez activer la connexion initiée par SP, suivez cette étape. Dans la section Configurer <nom de l'application>, copiez la valeur de l'URL de connexion . Conservez-la pour la configuration de CXone Mpower.
  11. Laissez la fenêtre ouverte. Vous allez modifier votre application Azure en fonction des valeurs renvoyées par la tâche suivante.

Configurer un emplacement

Autorisations requises : Gestion d'emplacement – Créer

Si vous souhaitez exiger que les utilisateurs se connectent à partir d'une certaine adresse IP, créez un emplacement avec les adresses IP, les plages d'adresses IP ou les sous-réseaux d'adresses IP que vous souhaitez autoriser. Lorsque vous exigez un emplacement configuré pour un utilisateur, celui-ci doit disposer à la fois des informations d'identification et de l'adresse IP correctes pour se connecter. Dans le cas contraire, sa tentative de connexion échoue et il reçoit un message d'erreur. Vous pouvez définir jusqu'à 20 emplacements à la fois et jusqu'à 10 règles par emplacement.

  1. Cliquez sur le sélecteur d'applications icône du sélecteur d'applications et sélectionnez Admin.
  2. Accédez à EmplacementsDéfinitions de l'emplacement.
  3. Cliquez sur Nouvel emplacement.
  4. Donnez un nom descriptif à l’emplacement. Si vous souhaitez ajouter des détails supplémentaires sur l'emplacement, saisissez une description.
  5. Vous pouvez sélectionner l’option Définir comme emplacement par défaut ou Emplacement distant pour indiquer le type d'emplacement. Vous ne pouvez définir qu'un seul emplacement par défaut. Ces champs n'ont actuellement aucune incidence sur les fonctionnalités ; vous les sélectionnez uniquement pour votre propre référence.

  6. Ajoutez toute autre information qui vous intéresse dans les champs restants, y compris l'adresse physique, le pays, les coordonnées GPS, le fuseau horaire ou les groupes assignés. Ces champs n'ont actuellement aucune incidence sur les fonctionnalités ; vous les renseignez uniquement pour votre propre référence.

    Si vous ajoutez des groupes au champ Groupes assignés, les utilisateurs appartenant à ces groupes figurent dans l'onglet Utilisateurs assignés. Cependant, les paramètres de localisation ne s'y appliquent pas. Si vous attribuez un emplacement à un authentificateur de connexion, l'emplacement s'applique aux utilisateurs qui sont affectés à cet authentificateur de connexion et limite leur capacité à se connecter en fonction de leur adresse IP. Néanmoins, ces utilisateurs ne figurent pas dans l'onglet Utilisateurs assignés.

  7. Cliquez sur Enregistrer.

  8. Revenez à la page Définitions d'emplacement, puis cliquez sur l'emplacement que vous venez de créer pour l'ouvrir.

  9. Cliquez sur l’onglet Règles d'autodétection.

  10. Créez une nouvelle règle. Pour ce faire :

    1. Cliquez sur Nouvelle règle.

    2. Donnez un nom descriptif à la règle.

    3. Sélectionnez le type de règle dans les champs suivants :

      • Liste : liste des adresses IP spécifiques autorisées pour cet emplacement. Par exemple, 100.0.1.100, 100.0.1.101 et 100.0.1.102.

      • Plage : plage d'adresses IP autorisée pour cet emplacement. Par exemple, 100.0.1.100-100.0.1.125.

      • Sous-réseau : sous-réseau autorisé pour cet emplacement. Par exemple, 100.0.0.1/32.

    4. Spécifiez l’une des versions IP suivantes :

      • IPV4 : adresse IP de 32 bits

      • IPV6 : adresse hexadécimale de 128 bits.

    5. Saisissez les adresses IP réelles, la plage ou le sous-réseau dans le champ Définition de la règle, en suivant les formats des exemples des étapes précédentes. Si vous avez sélectionné Liste, vous pouvez saisir jusqu'à 100 adresses IP. Si vous avez sélectionné Plage ou Sous-réseau, vous ne pouvez saisir qu'une seule valeur.

    6. Cliquez sur Confirmer.

  11. Ajoutez d’autres règles, si nécessaire. Vous pouvez en ajouter jusqu'à 10.

  12. Cliquez sur Enregistrer.

Configuration d’un authentificateur de connexion avec SAML 2.0 dans CXone Mpower

Autorisations requises:Authentificateur de connexion - Créer

  1. Cliquez sur le sélecteur d'applications icône du sélecteur d'applications et sélectionnez Administrateur.
  2. Allez dans Paramètres de sécurité > Authentificateur de connexion.
  3. Cliquez sur Nouvel authentificateur de connexion.
  4. Entrez le Nom et la description de l'authentificateur de connexion. Pour la description, utilisez uniquement du texte brut. Les URL et les balises telles que le HTML ne seront pas enregistrées.
  5. Sélectionnez SAML en tant que Type d'authentification .

  6. Si vous souhaitez exiger que les utilisateurs se connectent à partir d'une certaine adresse IP, sélectionnez l'option Emplacement que vous avez définie dans la section précédente.

  7. Cliquez sur Choisir fichier et sélectionnez le certificat de signature publique que vous avez téléchargé depuis Azure lors de la tâche précédente. Ce fichier doit être de type PEM. Il s'agit d'un fichier texte et la première ligne doit contenir BEGIN CERTIFICATE suivi d'un texte.

  8. Sélectionnez l’onglet Utilisateurs affectés. Sélectionnez les utilisateurs que vous souhaitez affecter à l'authentificateur de connexion que vous créez. Vous pouvez également affecter des utilisateurs directement à l’authentificateur de connexion dans leur profil d’employé.

  9. Cliquez sur Enregistrer et activer.
  10. Ouvrez l'authentificateur de connexion.

  11. Vous pouvez constater que deux champs en lecture seule s'affichent, ID de l'entité et URL ACS. Notez ces valeurs. Vous en aurez besoin dans la tâche Ajouter les valeurs CXone Mpower à Azure.

Configurer CXone Mpower Utilisateurs

Effectuez cette tâche dans CXone Mpower pour tous les utilisateurs CXone Mpower qui nécessitent une authentification unique avec Azure. Vous pouvez également effectuer cette étape en utilisant le modèle de téléchargement en masse .

  1. Dans CXone Mpower, cliquez sur le sélecteur d'application et sélectionnezAdministrateur.

  2. Cliquez sur Des employés.

  3. Sélectionnez le profil de l'employé à modifier et cliquez sur Modifier.

  4. Si vous ne l'avez pas déjà fait, allez dans l'onglet Sécurité et sélectionnez l'authentificateur de connexion que vous avez créé précédemment.

  5. Assurez-vous que l'identité externe est définie sur la valeur correcte. La valeur doit correspondre exactement à l'identifiant unique de l'utilisateur dans Azure. Si une adresse électronique a été configurée comme identifiant externe, assurez-vous de la formater correctement. Dans Azure, le format de l'identifiant de courriel est prénom.nom@domaine.com et il est sensible à la casse.

  6. Enregistrez vos modifications.

Ajout de valeurs CXone Mpower dans Azure

  1. Revenez dans votre application Azure et dans le volet Configuration SAML de base, cliquez sur Modifier.
  2. Pour l'Identificateur (ID entité), entrez la valeur de l'ID d'entité provenant de votre authentificateur de connexion CXone Mpower.
  3. Pour l'URL de réponse, saisissez la valeur de l'URL ACS provenant de votre authentificateur de connexion CXone Mpower.
  4. Cliquez sur Enregistrer et fermez le volet Configuration SAML de base.

Tester l'intégration SAML

Avant d'attribuer l'authentificateur de connexion SAML aux utilisateurs dans CXone Mpower, vous devez tester l'intégration SAML. Si le test échoue, vérifiez vos configurations et modifiez les paramètres.

  1. Lancez une connexion depuis le tableau de bord Azure.
  2. Vérifiez que le flux d'authentification SAML fonctionne comme prévu.

Vérifiez l'accès utilisateur avec l'authentification unique d'Azure

  1. Demandez à au moins un utilisateur de test de se connecter avec l'URL de connexion la plus récente. Ils doivent saisir leur nom d'utilisateur, puis sont dirigés vers Azure si nécessaire.

  2. Lorsque vous êtes prêt, déployez l'authentification unique d'Azure pour tous les employés.

Gestion de la fédération avec Azure à l’aide de OpenID Connect

Effectuez chacune de ces tâches dans l'ordre indiqué.

Configuration d’une application Azure avec OpenID Connect

  1. Connectez-vous à votre compte de gestion Azure.

  2. Sous Inscriptions d’applications, cliquez sur Nouvelle inscription.

  3. Accédez à Authentification > Web.

  4. Vous devrez fournir des URI de redirection, que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé.

  5. Cliquez sur Certificats et secrets.

  6. Sélectionnez client_secret_basic ou client_secret_post comme méthode d’authentification. La méthode d'authentification private_key_jwt n'est pas prise en charge actuellement dans CXone Mpower.

  7. Dans le champ Secrets des clients, sélectionnez Nouveau secret de client.

  8. Ajoutez une description puis sélectionnez Expire.

  9. Copiez l'identifiant du client et le secret du client et collez-les dans un emplacement sûr de votre appareil. Vous devrez les utiliser lorsque vous configurerez un authentificateur de connexion dans CXone Mpower.

  10. Accédez à Configuration du jeton > Revendications optionnelles.

  11. Cliquez sur Ajouter une revendication optionnelle.

  12. Sélectionnez ID comme type de jeton.

  13. Sélectionnez e-mail et ajoutez votre adresse e-mail.

  14. Cliquez sur Enregistrer.

Configurer un emplacement

Autorisations requises : Gestion d'emplacement – Créer

Si vous souhaitez exiger que les utilisateurs se connectent à partir d'une certaine adresse IP, créez un emplacement avec les adresses IP, les plages d'adresses IP ou les sous-réseaux d'adresses IP que vous souhaitez autoriser. Lorsque vous exigez un emplacement configuré pour un utilisateur, celui-ci doit disposer à la fois des informations d'identification et de l'adresse IP correctes pour se connecter. Dans le cas contraire, sa tentative de connexion échoue et il reçoit un message d'erreur. Vous pouvez définir jusqu'à 20 emplacements à la fois et jusqu'à 10 règles par emplacement.

  1. Cliquez sur le sélecteur d'applications icône du sélecteur d'applications et sélectionnez Admin.
  2. Accédez à EmplacementsDéfinitions de l'emplacement.
  3. Cliquez sur Nouvel emplacement.
  4. Donnez un nom descriptif à l’emplacement. Si vous souhaitez ajouter des détails supplémentaires sur l'emplacement, saisissez une description.
  5. Vous pouvez sélectionner l’option Définir comme emplacement par défaut ou Emplacement distant pour indiquer le type d'emplacement. Vous ne pouvez définir qu'un seul emplacement par défaut. Ces champs n'ont actuellement aucune incidence sur les fonctionnalités ; vous les sélectionnez uniquement pour votre propre référence.

  6. Ajoutez toute autre information qui vous intéresse dans les champs restants, y compris l'adresse physique, le pays, les coordonnées GPS, le fuseau horaire ou les groupes assignés. Ces champs n'ont actuellement aucune incidence sur les fonctionnalités ; vous les renseignez uniquement pour votre propre référence.

    Si vous ajoutez des groupes au champ Groupes assignés, les utilisateurs appartenant à ces groupes figurent dans l'onglet Utilisateurs assignés. Cependant, les paramètres de localisation ne s'y appliquent pas. Si vous attribuez un emplacement à un authentificateur de connexion, l'emplacement s'applique aux utilisateurs qui sont affectés à cet authentificateur de connexion et limite leur capacité à se connecter en fonction de leur adresse IP. Néanmoins, ces utilisateurs ne figurent pas dans l'onglet Utilisateurs assignés.

  7. Cliquez sur Enregistrer.

  8. Revenez à la page Définitions d'emplacement, puis cliquez sur l'emplacement que vous venez de créer pour l'ouvrir.

  9. Cliquez sur l’onglet Règles d'autodétection.

  10. Créez une nouvelle règle. Pour ce faire :

    1. Cliquez sur Nouvelle règle.

    2. Donnez un nom descriptif à la règle.

    3. Sélectionnez le type de règle dans les champs suivants :

      • Liste : liste des adresses IP spécifiques autorisées pour cet emplacement. Par exemple, 100.0.1.100, 100.0.1.101 et 100.0.1.102.

      • Plage : plage d'adresses IP autorisée pour cet emplacement. Par exemple, 100.0.1.100-100.0.1.125.

      • Sous-réseau : sous-réseau autorisé pour cet emplacement. Par exemple, 100.0.0.1/32.

    4. Spécifiez l’une des versions IP suivantes :

      • IPV4 : adresse IP de 32 bits

      • IPV6 : adresse hexadécimale de 128 bits.

    5. Saisissez les adresses IP réelles, la plage ou le sous-réseau dans le champ Définition de la règle, en suivant les formats des exemples des étapes précédentes. Si vous avez sélectionné Liste, vous pouvez saisir jusqu'à 100 adresses IP. Si vous avez sélectionné Plage ou Sous-réseau, vous ne pouvez saisir qu'une seule valeur.

    6. Cliquez sur Confirmer.

  11. Ajoutez d’autres règles, si nécessaire. Vous pouvez en ajouter jusqu'à 10.

  12. Cliquez sur Enregistrer.

Configuration d’un authentificateur de connexion CXone Mpower avec OpenID Connect

  1. Cliquez sur le sélecteur d'applications icône du sélecteur d'applications et sélectionnez Admin.

  2. Allez dans Paramètres de sécurité > Authentificateur de connexion.

  3. Cliquez sur Nouvel authentificateur de connexion ou sélectionnez l’authentificateur de connexion à modifier.
  4. Entrez le Nom et la description de l'authentificateur de connexion.
  5. Sélectionnez OIDC en tant que Type d'authentification.

  6. Si vous souhaitez exiger que les utilisateurs se connectent à partir d'une certaine adresse IP, sélectionnez l'option Emplacement que vous avez définie dans la section précédente.

  7. Si vous disposez d'un point de sortie de découverte de Azure, cliquez surParamètres de découverte. Entrez votre point de terminaison de découverte et cliquez sur Découvrir. Les champs restants sont renseignés pour vous. Paramètres de découverte ne fonctionne pas avec les points de sortie de découverte Salesforce .
  8. Entrez votre Identifiant du client et Mot de passe du client. Retapez le mot de passe dans Client Confirmer le mot de passe. L’identifiant client est l’ID de connexion affecté à votre compte par Azure.

  9. Si vous ne disposez pas d'un point de sortie de découverte de Azure, entrez l’émetteur, l’extrémité JsonWebKeySet, l’extrémité d'autorisation, l’extrémité de jeton, l’extrémité d'informations utilisateur, l’extrémité de révocation et le point de terminaison de session de fin. Toutes ces informations sont fournies par Azure.

    Champ

    Détails
    Émetteur

    URL de Azuresans aucun paramètre.
    DéfinirCléWebJSON Terminal L’URL de l’ensemble JWK de Azure.
    Terminal de l'autorisation L’URL de l’extrémité d'autorisation OAuth 2.0 de Azure.
    Terminal du jeton L’URL de l’extrémité de jeton OAuth 2.0 de Azure.
    Terminal UserInfo L’URL de l’extrémité d'informations utilisateur de Azure.
    Terminal de révocation L’URL de l’extrémité de révocation de Azure.
    Terminaison de session de fin

    L’URL du point de terminaison de session de fin de Azure. Ce champ vous permet de créer une expérience de déconnexion unique pour vos utilisateurs. S’il est configuré, lorsque les utilisateurs se déconnectent de CXone Mpower, ils sont également déconnectés de leur compte Azure. Pour que la déconnexion unique fonctionne, vous devez mettre sur liste blanche l'URI de redirection de déconnexion dans Azure.

    Si Salesforce est votre fournisseur d’identité, vous devez configurer une URL de déconnexion dans Salesforce. Pour ce faire, accédez à Paramètres > Sécurité >Paramètres de session > Paramètres de la page de déconnexion. Mettez à jour le champ URL de déconnexion. Vous utiliserez cette URL comme point de terminaison de session de fin.
  10. Sélectionnez une méthode d'authentification du client. La méthode sélectionnée doit correspondre à celle que vous avez définie dans la tâche précédente. Il doit s'agir d'une méthode d'authentification prise en charge par Azure .
  11. Vous pouvez sélectionner Activer le profil FICAM pour activer les paramètres propres à la législation américaine. Cette étape est uniquement destinée aux utilisateurs FedRAMP.

  12. Sélectionnez l’onglet Utilisateurs affectés. Sélectionnez les utilisateurs que vous souhaitez affecter à l'authentificateur de connexion que vous créez. Vous pouvez également affecter des utilisateurs directement à l’authentificateur de connexion dans leur profil d’employé.

  13. Cliquez sur Enregistrer et activer pour valider les informations fournies et pour lier votre compte CXone Mpower à votre compte Azure.
  14. Ouvrez l'authentificateur de connexion.

  15. Notez l'URI de redirection de connexion et l'URI de redirection de déconnexion. Vous en aurez besoin lorsque vous mettrez à jour vos paramètres Azure.

  16. Mettez à jour vos paramètres Azure et entrez les valeurs que vous avez notées dans les emplacements réservés ci-dessus.

  17. Assurez-vous que l'identité externe CXone Mpower de tout utilisateur exécutant l'authentificateur de connexion est définie sur la valeur correcte. Ce champ est accessible dans la section sécurité du profil de l'employé.

    Azure détermine la valeur à utiliser. Elle se trouve dans le profil de l'utilisateur dans Azure. Cette valeur doit correspondre exactement à ce que vous avez entré dans le champ Identité externe dans CXone Mpower. La valeur de ce champ doit être au format claim(email):{e-mail configuré par votre fournisseur d’identité}. Par exemple, si l’e-mail de l’utilisateur est nick.carraway@classics.com pour le fournisseur d’identité, vous devez entrer claim(email):nickcarraway@classics.com.

  18. Demandez à l'utilisateur de se connecter à CXone Mpower. Il doit pour cela disposer de l'URL de connexion la plus récente. Il doit saisir son nom d'utilisateur, puis est dirigé vers Azure si nécessaire.

  19. Lorsque Azure vous demande de vous authentifier, faites-le en tant qu'utilisateur de Azure que vous souhaitez associer au compte CXone Mpower actuellement connecté.
  20. Si vos paramètres OpenID Connect dans CXone Mpower, ne sont pas validés, utilisez les fichiers journaux créés par Azure pour diagnostiquer le problème.

Ajout de valeurs CXone Mpower dans Azure

  1. Revenez dans votre application Azure et dans le volet Configuration SAML de base, cliquez sur Modifier.
  2. Pour l'Identificateur (ID entité), entrez la valeur de l'ID d'entité provenant de votre authentificateur de connexion CXone Mpower.
  3. Pour l'URL de réponse, saisissez la valeur de l'URL ACS provenant de votre authentificateur de connexion CXone Mpower.
  4. Cliquez sur Enregistrer et fermez le volet Configuration SAML de base.

  5. Assurez-vous que l'Identité externe de tout utilisateur exécutant l'authentificateur de connexion est définie sur la valeur correcte.

    1. La valeur exacte à utiliser dépend de votre fournisseur d'identité. Cette valeur doit correspondre exactement à l'Identificateur utilisateur unique dans Azure et à l'Identité externe dans CXone Mpower.

  6. Demandez à l'utilisateur de se connecter à . Il doit utiliser pour cela l'URL de connexion la plus récente. Une fois son nom d'utilisateur entré, il est dirigé vers le fournisseur d'identité externe si nécessaire.

Vérifiez l'accès utilisateur avec l'authentification unique d'Azure

  1. Assurez-vous que l'Identité externe de chaque employé utilisant l'authentificateur de connexion est définie sur la bonne valeur. Cette valeur doit correspondre exactement à l' Identificateur utilisateur unique défini dans Azure et à l'identité externe dans CXone Mpower.

  2. Demandez à au moins un utilisateur de test de se connecter avec l'URL de connexion la plus récente. Ils doivent saisir leur nom d'utilisateur, puis sont dirigés vers Azure si nécessaire.

  3. Lorsque vous êtes prêt, déployez l'authentification unique d'Azure pour tous les employés.