用 Azure管理联盟

Azure 只是您可以在 CXone Mpower 中使用的受支持的外部身份提供程序 (IdP) 之一。 本页将逐步指导您使用 Azure 为 CXone Mpower 系统设置身份验证。

如果您正在进行 CXone Mpower 系统的初始实现，则需考虑其他步骤。 我们建议阅读下面的联机帮助页面，其中包括以下注意事项：

• CXone Mpower 中的身份验证和授权
• 使用 Azure 作为外部身份提供程序设置身份验证和授权

在开始之前，请确保您有权访问 Microsoft Azure ID 管理控制台。 您将需要创建一个应用程序。

使用 SAML 2.0 管理与 Azure 的联合

生成中继状态值

中继状态值对于将在Azure下一个任务中创建的SAML应用程序是必需的。 对于组织运营的每个区域，此值都不同。

1. 找到客户端 ID，可从 AD 应用注册页获取Azure客户端 ID。

2. 将客户端 ID 格式化为 {"clientId":"{UUID}"}，其中 UUID 是客户端 ID。 例如，{"clientId":"{10g9f8e7d6c5b4a3z2y1x}"}。

3. 对上一步中的字符串进行 Base64 编码。 上一步中的示例字符串在 base64 编码时变为eyJjbGllbnRJZCI6InsxMGc5ZjhlN2Q2YzViNGEzejJ5MXh9In0=。

4. 保存字符串以在下一个任务中使用。

使用 SAML 2.0 创建和配置 Azure 应用程序

1. 使用 Azure AD 管理员帐户登录 Azure AD 管理帐户。
2. 创建应用程序：
   1. 单击企业应用程序 > 新应用程序。
   2. 单击创建您自己的应用程序。
   3. 输入名称（例如，CXone Mpower）。
   4. 选择集成您在库中找不到的任何其他应用程序（非库）。
   5. 单击创建。
3. 根据需要将用户和组分配给应用程序。 转到用户和组选项卡，然后单击添加用户/组。
4. 在应用程序的管理页面中，找到“管理”部分。 在“设置单点登录”下，单击入门，然后选择 SAML。
5. 在“基本 SAML 配置”面板上，单击编辑并配置 SAML：
   1. 输入应用程序名称。
   2. 在标识符（实体 ID）下，点击添加实体标识符并输入https://need_to_change。 在后续步骤中，您将占位符替换为来自您CXone Mpower登录身份验证器的实体 ID。
   3. 在回复URL下，单击添加回复URL，然后在受众URI字段中输入 https：//need_to_change。 您将从 CXone Mpower 登录身份验证器在后面的步骤中获得实际的 Assertion Consumer Service （ACS） URI。
   4. 在登录URL中继状态字段中，输入您在上一个任务中生成的编码中继状态值。
6. 单击保存并关闭“基本 SAML 配置”面板。
7. 在“属性和索赔”部分，选择正确的唯一用户标识符。 您选择的值将是 CXone Mpower 中的外部身份。
8. AzureAD 应自动创建 SAML 签名证书。 下载名为证书 (Base64) 的证书。 您将在CXone Mpower后续步骤中将此证书上传到 中的登录身份验证器。
9. 在“SAML 签名证书”面板上，单击编辑，然后：
   1. 选择签名选项。
   2. 单击保存并关闭“SAML 签名证书”面板。 在CXone Mpower后续步骤中保留此文件以供配置使用。
10. 如果要启用 SP 启动的登录，请完成此步骤。 在设置<应用程序名称>部分中，复制登录URL值。 为您的 CXone Mpower 配置保存此值。
11. 让您的窗口保持打开状态。 您将根据在下一个任务中收到的值更改 Azure 应用程序设置。

设置位置

所需权限：位置管理创建

如果您想要求用户从特定 IP 地址登录，请使用您想要允许的 IP 地址、IP 地址范围或 IP 地址子网创建一个位置。 当对于某个用户您需要一个已配置的位置时，该用户必须拥有正确的凭据和 IP 地址才能登录。否则，他们的登录尝试将失败并收到错误。 您一次最多可以有 20 个位置，每个位置最多有 10 条规则。

1. 单击应用程序选择器 并选择Admin。
2. 转到位置 > 位置定义。
3. 单击新位置。
4. 为此位置提供描述性名称。 如果您想添加有关该位置的更多详情，请输入描述。
5. 您可以选择设置为默认位置或远程位置来指示位置类型。 您只能有一个默认位置。 这些字段目前不会影响任何功能，选择它们仅供您自己参考。

6. 使用其余字段添加您想要的任何其他信息，包括实际地址、国家/地区、GPS 坐标、时区或已分配的组。 这些字段目前不会影响任何内容，其中输入的信息仅供您参考。

   如果将组添加到已分配的组字段，属于这些组的用户将显示在“已分配的用户”选项卡上。 但是，位置设置将不适用于它们。 如果您为登录身份验证程序分配位置，则该位置适用于分配给该登录身份验证程序的用户，并根据其 IP 地址限制他们的登录能力。 但是，这些用户不会出现在“已分配的用户”选项卡上。

7. 单击保存。

8. 返回“位置定义”页面，单击您刚刚创建的位置将其打开。

9. 单击“自动检测规则”选项卡。

10. 创建一条新规则。 为此：

    1. 单击新规则。

    2. 为规则提供描述性名称。

    3. 从以下选项中选择规则类型：

       • 列表：允许用于此位置的特定 IP 地址的列表。 例如，100.0.1.100、100.0.1.101 和 100.0.1.102。

       • 范围：允许用于此位置的 IP 地址范围。 例如，100.0.1.100-100.0.1.125。

       • 子网：允许用于此位置的子网。 例如，100.0.0.1/32。

    4. 将 IP 版本指定为以下之一：

       • IPV4：32 位 IP 地址

       • IPV6：128 位十六进制地址。

    5. 按照先前步骤中示例的格式，在规则定义字段中输入实际 IP 地址、范围或子网。 如果您选择了列表，则最多可以输入 100 个 IP 地址。 如果您选择了范围或子网，则只能输入一个值。

    6. 单击确认。

11. 根据需要添加更多规则。 最多可以有 10 条。

12. 单击保存。

使用 CXone Mpower 中的 SAML 2.0 设置登录身份验证程序

所需权限：登录身份验证程序创建

1. 单击应用程序选择器 并选择管理员。
2. 转至安全设置 > 登录身份验证程序。
3. 单击新登录身份验证程序。
4. 输入登录身份验证程序的名称和描述。 对于描述，请仅使用纯文本。 URL 或标记（例如 HTML）将不会保存。
5. 选择 SAML 作为身份验证类型。

6. 如果您想要求用户从某个 IP 地址登录，请选择您在上一部分中设置的位置。

7. 单击选择文件，然后选择您在上一个任务中从 Azure 下载的公共签名证书。 该文件必须为 PEM 文件。 它将是一个文本文件，第一行将包含 BEGIN CERTIFICATE 和一些额外文本。

8. 选择已分配的用户选项卡。 选择要分配给正在创建的登录身份验证程序的用户。 您还可以将用户直接分配给他们的员工配置文件中的登录身份验证程序。

9. 单击保存并激活。
10. 打开登录身份验证程序。

11. 您会注意到显示的两个额外只读字段，即实体 ID 和 ACS URL。 记录这些值。 您将在将CXone Mpower值添加到Azure任务中需要它们。

配置CXone Mpower用户

在 CXone Mpower 中为需要使用 CXone Mpower 单点登录的所有Azure用户完成此任务。 您还可以使用批量上传模板完成此步骤。

1. 在 CXone Mpower 中单击应用程序选择器 并选择管理员。

2. 单击员工。

3. 选择要修改的员工档案，然后单击编辑。

4. 如果您尚未这样做，请转到“安全”选项卡，然后选择您创建的登录身份验证器以前。

5. 确保 外部身份 设置为正确的值。 该值必须与中的唯一用户标识符Azure完全匹配。 如果电子邮件 ID 已配置为外部 ID，请确保其格式正确。 在Azure中，电子邮件 ID 格式是 firstname.lastname@domain.com 的，并且区分大小写。

6. 保存您的更改。

将 CXone Mpower 值添加到 Azure

1. 返回到您的 Azure 应用程序，然后在“基本 SAML 配置”面板上，单击编辑。
2. 对于标识符（实体 ID），输入来自 CXone Mpower 登录身份验证程序的实体 ID 值。
3. 对于回复 URL，输入来自 CXone Mpower 登录身份验证程序的 ACS URL 值。
4. 单击保存并关闭“基本 SAML 配置”面板。

测试 SAML 集成

在将 SAML 登录身份验证器分配给 CXone Mpower 中的用户之前，您应该测试 SAML 集成。 如果测试失败，请检查您的配置并更改设置。

1. 从 Azure 仪表板启动登录。
2. 验证 SAML 身份验证流程是否按预期工作。

使用 Azure 单点登录验证用户访问

1. 让一位或多位测试用户使用最新的 登录 URL 登录。 如有需要，在输入用户名后会将他们引导至 Azure。

2. 准备就绪后，向所有员工推出 Azure 单点登录。

使用 OpenID 连接 管理与 Azure 的联合

使用 OpenID 连接 配置 Azure 应用程序

1. 登录到 Azure 管理帐户。

2. 在应用程序注册下，单击新注册。

3. 转到身份验证 > Web。

4. 您需要提供一个此时您不知道的重定向 URI。 使用 https://cxone.niceincontact.com/need_to_change 作为占位符。

5. 单击证书和密钥。

6. 选择 client_secret_basic 或 client_secret_post 作为身份验证方法。 在 CXone Mpower 中目前不支持身份验证方法 private_key_jwt。

7. 在客户端密钥字段中，选择新客户端密钥。

8. 添加说明，然后选择过期。

9. 复制客户端 ID 和客户端密钥，然后将其粘贴到设备上的安全位置。 当您在 CXone Mpower 中配置登录身份验证程序时，您将需要使用它们。

10. 转到令牌配置 > 可选声明。

11. 单击添加可选声明。

12. 选择 ID 作为您的令牌类型。

13. 选择电子邮件，然后添加您的电子邮件地址。

14. 单击保存。

设置位置

所需权限：位置管理创建

如果您想要求用户从特定 IP 地址登录，请使用您想要允许的 IP 地址、IP 地址范围或 IP 地址子网创建一个位置。 当对于某个用户您需要一个已配置的位置时，该用户必须拥有正确的凭据和 IP 地址才能登录。否则，他们的登录尝试将失败并收到错误。 您一次最多可以有 20 个位置，每个位置最多有 10 条规则。

1. 单击应用程序选择器 并选择Admin。
2. 转到位置 > 位置定义。
3. 单击新位置。
4. 为此位置提供描述性名称。 如果您想添加有关该位置的更多详情，请输入描述。
5. 您可以选择设置为默认位置或远程位置来指示位置类型。 您只能有一个默认位置。 这些字段目前不会影响任何功能，选择它们仅供您自己参考。

6. 使用其余字段添加您想要的任何其他信息，包括实际地址、国家/地区、GPS 坐标、时区或已分配的组。 这些字段目前不会影响任何内容，其中输入的信息仅供您参考。

   如果将组添加到已分配的组字段，属于这些组的用户将显示在“已分配的用户”选项卡上。 但是，位置设置将不适用于它们。 如果您为登录身份验证程序分配位置，则该位置适用于分配给该登录身份验证程序的用户，并根据其 IP 地址限制他们的登录能力。 但是，这些用户不会出现在“已分配的用户”选项卡上。

7. 单击保存。

8. 返回“位置定义”页面，单击您刚刚创建的位置将其打开。

9. 单击“自动检测规则”选项卡。

10. 创建一条新规则。 为此：

    1. 单击新规则。

    2. 为规则提供描述性名称。

    3. 从以下选项中选择规则类型：

       • 列表：允许用于此位置的特定 IP 地址的列表。 例如，100.0.1.100、100.0.1.101 和 100.0.1.102。

       • 范围：允许用于此位置的 IP 地址范围。 例如，100.0.1.100-100.0.1.125。

       • 子网：允许用于此位置的子网。 例如，100.0.0.1/32。

    4. 将 IP 版本指定为以下之一：

       • IPV4：32 位 IP 地址

       • IPV6：128 位十六进制地址。

    5. 按照先前步骤中示例的格式，在规则定义字段中输入实际 IP 地址、范围或子网。 如果您选择了列表，则最多可以输入 100 个 IP 地址。 如果您选择了范围或子网，则只能输入一个值。

    6. 单击确认。

11. 根据需要添加更多规则。 最多可以有 10 条。

12. 单击保存。

使用 OpenID 连接 设置 CXone Mpower 登录身份验证程序

1. 单击应用程序选择器 并选择Admin。

2. 转至安全设置 > 登录身份验证程序。

3. 单击新登录身份验证程序或选择您要编辑的登录身份验证程序。
4. 输入登录身份验证程序的名称和描述。
5. 选择 OIDC 作为身份验证类型。

6. 如果您想要求用户从某个 IP 地址登录，请选择您在上一部分中设置的位置。

7. 如果您有来自 Azure 的发现端点，请单击发现设置。 输入您的发现端点，然后单击发现。 系统会为您填充其余字段。 发现设置不可与 Salesforce 发现端点共同使用。
8. 输入客户端标识符和客户端密码。 在客户端确认密码字段中再次键入该密码。 客户端标识符是 Azure 分配给您帐户的登录 ID。

9. 如果您没有来自 Azure 的发现端点，请输入您 Azure 提供的发行者、JsonWebKeySet 端点、授权端点、令牌端点、UserInfo 端点、撤销端点和结束会话端点。

   在此步骤中了解有关字段的更多信息

   字段	详细信息
   发行者	Azure 的 URL，不带任何参数。
   JsonWebKeySet 端点	Azure 的 JWK 集的 URL。
   授权端点	Azure 的 OAuth 2.0 授权端点的 URL。
   令牌端点	Azure 的 OAuth 2.0 令牌端点的 URL。
   用户信息端点	Azure 的 UserInfo 端点的 URL。
   撤销端点	Azure 的撤销端点的 URL。
   结束会话端点	Azure 的结束会话端点的 URL。 此字段可使您为用户创建单点注销体验。 如果配置，当他们注销 CXone Mpower 时，他们也将注销其 Azure 帐户。 要使单点注销正常工作，您必须将 Azure 中的注销重定向 URI 列入白名单。 如果 Salesforce 是您的 IdP，则您需要在 Salesforce 中配置注销 URL。 要执行此操作，请转到设置 > 安全性 > 会话设置 > 注销页面设置。 更新注销 URL 字段。 您将使用此 URL 作为结束会话端点。

10. 选择客户端身份验证方法。 您选择的方法必须与您在上一个任务中设置的方法相匹配。 它必须是 Azure 支持的身份验证方法。
11. 您可以选择启用 FICAM 配置文件来打开美国政府特定设置。 此步骤仅适用于 FedRAMP 用户。

12. 选择已分配的用户选项卡。 选择要分配给正在创建的登录身份验证程序的用户。 您还可以将用户直接分配给他们的员工配置文件中的登录身份验证程序。

13. 单击保存和激活，以验证提供的信息并将您的 CXone Mpower 帐户链接到您的 Azure 帐户。
14. 打开登录身份验证程序。

15. 记下登录重定向 URI 和注销重定向 URI。 当您更新 Azure 设置时，您将需要它们。

16. 更新您的 Azure 设置，将上一个任务中使用的占位符替换为您刚刚记下的值。

17. 确保将每个使用登录身份验证程序的用户的 CXone Mpower 外部身份设置为正确的值。 可以在员工配置文件的安全部分访问此字段。

    Azure 确定必须使用的值。 它可以在 Azure 中的用户配置文件中找到。 该值必须与您在 CXone Mpower 中的外部身份字段中输入的值完全匹配。 此字段的值必须采用以下格式：claim(email):{您 IdP 配置的电子邮件}。 例如，如果 IdP 中用户的电子邮件为 nick.carraway@classics.com，您将输入 claim(email):nickcarraway@classics.com。

18. 让用户登录到 CXone Mpower。 他们必须使用最新的登录 URL。 如有需要，在输入用户名后会将他们引导至 Azure。

19. 当 Azure 要求您使用自己的帐户进行身份验证时，请以您希望与您当前所登录的 CXone Mpower 帐户相关联的 Azure 上的用户身份进行身份验证。
20. 如果您在 CXone Mpower 中的 OpenID 连接 设置没有显示为已验证，请使用 Azure 日志诊断问题。

将 CXone Mpower 值添加到 Azure

1. 返回到您的 Azure 应用程序，然后在“基本 SAML 配置”面板上，单击编辑。
2. 对于标识符（实体 ID），输入来自 CXone Mpower 登录身份验证程序的实体 ID 值。
3. 对于回复 URL，输入来自 CXone Mpower 登录身份验证程序的 ACS URL 值。
4. 单击保存并关闭“基本 SAML 配置”面板。

5. 确保将每个使用登录身份验证程序的用户的外部身份设置为正确的值。

   1. 您的身份提供程序确定必须使用的值。 此值必须与 Azure 中的唯一用户标识符和 CXone Mpower 中的外部身份完全匹配。

6. 让用户登录。 他们必须使用最新的 登录 URL。 如有需要，在输入用户名后会将他们引导至外部身份提供程序。

使用 Azure 单点登录验证用户访问

1. 确保将每个使用登录身份验证程序的员工的外部身份设置为正确的值。 此值必须与 Azure 中的唯一用户标识符和 CXone Mpower 中的外部身份完全匹配。

2. 让一位或多位测试用户使用最新的 登录 URL 登录。 如有需要，在输入用户名后会将他们引导至 Azure。

3. 准备就绪后，向所有员工推出 Azure 单点登录。