متطلبات الإقامة المشتركة

• يجب أن تكون خدمة المصادقة مقيمة بشكل مشترك مع تطبيقات Xsi ، لأن هذه الواجهات يجب أن تقبل الرموز المميزة طويلة العمر لتفويض الخدمة. خدمة المصادقة مطلوبة للتحقق من صحة هذه الرموز المميزة.

• يمكن تشغيل خدمة المصادقة و Xsi على نفس المنفذ إذا لزم الأمر.

• يمكنك فصل الآخر services/applications كما هو مطلوب لمقياسك (إدارة الأجهزة المخصصة XSP|ADP، على سبيل المثال).

• يمكنك المشاركة في تحديد موقع تطبيقات Xsi وCTI وخدمة المصادقة وDMS.

• لا تقم بتثبيت تطبيقات أو خدمات أخرى على XSP|ADPs المستخدمة لدمج BroadWorks مع Webex.

• لا تشارك في تحديد موقع تطبيق NPS مع أي تطبيقات أخرى.

واجهات Xsi

قم بتثبيت وتكوين تطبيقات Xsi-Actions و Xsi-Events كما هو موضح في دليل تكوين واجهة خدمات Xtended من Cisco BroadWorks Xtended .

يجب نشر مثيل واحد فقط من تطبيقات Xsi-Events على XSP|ADP المستخدم لواجهة CTI.

يجب أن يكون لجميع أحداث Xsi المستخدمة لدمج Broadworks مع Webex نفس callControlApplicationName المحدد ضمن Applications/Xsi-Events/GeneralSettings. على سبيل المثال:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

عند انضمام مستخدم إلى Webex، يقوم Webex بإنشاء اشتراك للمستخدم على AS لتلقي أحداث الهاتف الخاصة بالحضور وسجل المكالمات. يرتبط الاشتراك بـ callControlApplicationName ويستخدمه AS لمعرفة Xsi-Events التي يجب إرسال أحداث الهاتف إليها.

تكوين خدمة المصادقة (مع التحقق من صحة الرمز المميز CI)

استخدم هذا الإجراء لتكوين خدمة المصادقة لاستخدام التحقق من صحة CI Token مع طبقة النقل الآمنة. يوصى باستخدام طريقة المصادقة هذه إذا كنت تقوم بتشغيل R22 أو أعلى وكان نظامك يدعمها.

1. الحصول على بيانات اعتماد OAuth لـ Webex الخاص بك لـ Cisco BroadWorks.

2. قم بتثبيت التصحيحات التالية على كل خادم XSP|ADP. قم بتثبيت التصحيحات المناسبة للإصدار الخاص بك:

   • بالنسبة إلى R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • بالنسبة إلى R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • بالنسبة إلى R24 - لا يلزم إجراء تصحيح

   أي إشارة إلى XSP تشمل إما XSP أو ADP.

3. قم بتثبيت التطبيق AuthenticationService على كل خدمة XSP|ADP.

   1. قم بتشغيل الأمر التالي لتنشيط تطبيق AuthenticationService على XSP|ADP إلى /authService مسار السياق.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. قم بتشغيل هذا الأمر لنشر AuthenticationService على XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. بدءًا من إصدار Broadworks 2022.10، لم تعد سلطات الشهادات التي تأتي مع Java تُدرج تلقائيًا في مخزن الثقة الخاص بـ BroadWorks عند التبديل إلى إصدار جديد من java. تفتح خدمة AuthenticationService اتصال TLS مع Webex لجلب رمز الوصول، وتحتاج إلى الحصول على ما يلي في مخزن الثقة الخاص بها للتحقق من صحة عنوان URL الخاص بـ IDBroker وWebex:

   • IdenTrust Commercial Root CA 1

   • Go Daddy Root Certification Authority - G2

   تأكد من وجود هذه الشهادات ضمن واجهة سطر الأوامر التالية

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   إذا لم يكن موجودًا، قم بتشغيل الأمر التالي لاستيراد الثقة الافتراضية لـ Java:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   بدلاً من ذلك، يمكنك إضافة هذه الشهادات يدويًا كمرسيات ثقة باستخدام الأمر التالي:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   إذا تمت ترقية ADP من إصدار سابق، فسيتم استيراد سلطات الشهادات من الإصدار القديم تلقائيًا إلى الإصدار الجديد وسيستمر استيرادها حتى تتم إزالتها يدويًا.

   تطبيق AuthenticationService معفى من إعداد validatePeerIdentity ضمن ADP_CLI/System/SSLCommonSettings/GeneralSettings, ويتم التحقق دائمًا من هوية النظير. راجع Cisco Broadworks X509 Certificate Validation FD للحصول على مزيد من المعلومات حول هذا الإعداد.

5. قم بتكوين موفري الهوية عن طريق تشغيل الأوامر التالية على كل خادم XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName —بالنسبة لـ URL، أدخل عنوان URL الخاص بـ IssuerName الذي ينطبق على مجموعة CI الخاصة بك. انظر الجدول التالي.

   • set issuerUrl —بالنسبة لـ URL، أدخل عنوان IssuerUrl الذي ينطبق على مجموعة CI الخاصة بك. انظر الجدول التالي.

   • set tokenInfoUrl —أدخل عنوان URL لوكيل موفر الهوية الذي ينطبق على مجموعة Teams. انظر الجدول الثاني التالي.

   الجدول 1. تعيين اسم المصدر وعنوان URL للمصدر

   إذا كان CI Cluster هو ...	تعيين اسم المصدر وعنوان URL للمصدر...
   الولايات المتحدة-A	https://idbroker.webex.com/idb
   الاتحاد الأوروبي	https://idbroker-eu.webex.com/idb
   الولايات المتحدة-B	https://idbroker-b-us.webex.com/idb
   إذا كنت لا تعرف مجموعةCI الخاصة بك ، فيمكنك الحصول على المعلومات من تفاصيل العميل في طريقة عرض مكتب المساعدة في مركز التحكم.

   الجدول رقم 2. تعيين الرمز المميزInfoURL

   إذا كانت مجموعة Teams ...	قم بتعيين tokenInfoURL إلى... (عنوان URL لوكيل موفر الهوية)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   عفراء	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   إذا كنت لا تعرف Teams Cluster، فيمكنك الحصول على المعلومات من تفاصيل العميل في طريقة عرض مكتب المساعدة في مركز التحكم. للاختبار، يمكنك التحقق من صحة tokenInfoURL عن طريق استبدال جزء "idp/authenticate" من عنوان URL بـ "ping".

6. حدد استحقاق Webex الذي يجب أن يكون موجودا في ملف تعريف المستخدم في Webex عن طريق تشغيل الأمر التالي:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. قم بتكوين موفري الهوية لاتحاد Cisco باستخدام الأوامر التالية على كل خادم XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. قم بتشغيل الأمر التالي للتحقق من أن تكوين FLS الخاص بك يعمل. سيقوم هذا الأمر بإرجاع قائمة موفري الهوية:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. قم بتكوين إدارة الرمز باستخدام الأوامر التالية على كل خادم XSP|ADP:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. إنشاء مفاتيح RSA ومشاركتها. يجب عليك إنشاء مفاتيح على جهاز XSP|ADP واحد ثم نسخها إلى جميع أجهزة XSP|ADP الأخرى. ويرجع ذلك إلى العوامل التالية:

    • يجب عليك استخدام نفس أزواج المفاتيح العامة / الخاصة لتشفير / فك تشفير الرمز المميز عبر جميع مثيلات خدمة المصادقة.

    • يتم إنشاء زوج المفاتيح بواسطة خدمة المصادقة عندما يكون مطلوبا لأول مرة لإصدار رمز مميز.

    إذا قمت بتدوير المفاتيح أو تغيير طول المفتاح، فستحتاج إلى تكرار التكوين التالي وإعادة تشغيل جميع أجهزة XSP|ADP.

    1. حدد XSP|ADP واحدًا لاستخدامه في إنشاء زوج مفاتيح.

    2. استخدم العميل لطلب رمز مشفر من XSP|ADP، عن طريق طلب عنوان URL التالي من متصفح العميل:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (هذا يولد خاص / زوج المفاتيح العامة على XSP|ADP، إذا لم يكن هناك واحد بالفعل)

    3. موقع المتجر الرئيسي غير قابل للتكوين. تصدير المفاتيح:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. انسخ الملف المُصدَّر /var/broadworks/tmp/authService.keys إلى نفس الموقع على أجهزة XSP|ADP الأخرى، واكتب فوق ملف .keys الأقدم إذا لزم الأمر.

    5. استيراد المفاتيح على كل من أجهزة XSP|ADP الأخرى:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. قم بتوفير عنوان URL الخاص ب authService إلى حاوية الويب. تحتاج حاوية الويب الخاصة بـ XSP|ADP إلى عنوان URL الخاص بـ authService حتى تتمكن من التحقق من صحة الرموز. في كل من XSP|ADPs:

    1. إضافة عنوان URL لخدمة المصادقة كخدمة مصادقة خارجية للأداة المساعدة للاتصالات BroadWorks:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. أضف عنوان URL لخدمة المصادقة إلى الحاوية:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       وهذا يمكن Webex من استخدام خدمة المصادقة للتحقق من صحة الرموز المميزة المقدمة كبيانات اعتماد.

    3. تحقق من المعلمة باستخدام get.

    4. أعد تشغيل XSP|ADP.

إزالة متطلبات مصادقة العميل لخدمة المصادقة (R24 فقط)

إذا كان لديك خدمة المصادقة التي تم تكوينها مع التحقق من صحة CI Token على R24، فستحتاج أيضا إلى إزالة متطلبات مصادقة العميل لخدمة المصادقة. قم بتشغيل الأمر CLI التالي:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

تكوين طبقة النقل الآمنة (TLS) والأصفار على واجهات HTTP (لخدمة XSI والمصادقة)

تستخدم تطبيقات "خدمة المصادقة" و"إجراءات Xsi" و"Xsi-Events" واجهات خادم HTTP. مستويات تكوين طبقة النقل الآمنة لهذه التطبيقات هي كما يلي:

الأكثر عمومية = > نقل النظام > HTTP > واجهة خادم HTTP = الأكثر تحديدا

سياقات CLI التي تستخدمها لعرض إعدادات SSL المختلفة أو تعديلها هي:

قراءة تكوين واجهة TLS لخادم HTTP على XSP|ADP

1. قم بتسجيل الدخول إلى XSP|ADP وانتقل إلى XSP|ADP_CLI/Interface/Http/HttpServer>

2. أدخل الأمر get واقرأ النتائج. يجب أن ترى الواجهات (عناوين IP) ، وبالنسبة لكل منها ، ما إذا كانت آمنة وما إذا كانت تتطلب مصادقة العميل.

يفرض Apache tomcat شهادة لكل واجهة آمنة. يقوم النظام بإنشاء شهادة موقعة ذاتيا إذا كان بحاجة إلى واحدة.

XSP|ADP_CLI/Interface/Http/HttpServer> get

إضافة بروتوكول TLS 1.2 إلى واجهة خادم HTTP

يجب تكوين واجهة HTTP التي تتفاعل مع Webex Cloud ل TLSv1.2. لا تتفاوض السحابة على الإصدارات السابقة من بروتوكول TLS.

لتكوين بروتوكول TLSv1.2 على واجهة خادم HTTP:

1. قم بتسجيل الدخول إلى XSP|ADP وانتقل إلى XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. أدخل الأمر get 443 لمعرفة البروتوكولات المستخدمة بالفعل على هذه الواجهة.

3. أدخل الأمر add 443 TLSv1.2 للتأكد من أن الواجهة يمكنها استخدام TLS 1.2 عند الاتصال بالسحابة.

تحرير تكوين رموز TLS على واجهة خادم HTTP

لتكوين الأصفار المطلوبة:

1. قم بتسجيل الدخول إلى XSP|ADP وانتقل إلى XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. أدخل الأمر get 443 لمعرفة الشفرات المستخدمة بالفعل على هذه الواجهة. يجب أن يكون هناك على الأقل واحد من مجموعات Cisco الموصى بها (راجع XSP|متطلبات الهوية والأمان ADP في قسم النظرة العامة).

3. أدخل الأمر add 443 لإضافة شفرة إلى واجهة خادم HTTP.

   يتطلب XSP|ADP CLI اسم مجموعة تشفير IANA القياسية، وليس اسم مجموعة تشفير openSSL. على سبيل المثال، لإضافة تشفير openSSL ECDHE-ECDSA-CHACHA20-POLY1305 إلى واجهة خادم HTTP، يمكنك استخدام: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   انظر https://ciphersuite.info/ للعثور على الجناح بأي من الاسمين.

تكوين إدارة الأجهزة على XSP|ADP وخادم التطبيقات وخادم الملفات الشخصية

يعد خادم الملف الشخصي وXSP|ADP إلزاميين لإدارة الأجهزة. يجب تكوينها وفقا للإرشادات الواردة في دليل تكوين إدارة أجهزة BroadWorks.