متطلبات الإقامة المشتركة

• يجب أن تكون خدمة المصادقة مقيمة بشكل مشترك مع تطبيقات Xsi ، لأن هذه الواجهات يجب أن تقبل الرموز المميزة طويلة العمر لتفويض الخدمة. خدمة المصادقة مطلوبة للتحقق من صحة هذه الرموز المميزة.

• يمكن تشغيل خدمة المصادقة و Xsi على نفس المنفذ إذا لزم الأمر.

• يمكنك فصل الخدمات/التطبيقات الأخرى حسب الحاجة لنطاق عملك (على سبيل المثال، مزرعة XSP|ADP المخصصة لإدارة الأجهزة).

• يمكنك المشاركة في تحديد موقع تطبيقات Xsi وCTI وخدمة المصادقة وDMS.

• لا تقم بتثبيت تطبيقات أو خدمات أخرى على واجهات XSP|ADP المستخدمة لتكامل BroadWorks مع Webex.

• لا تشارك في تحديد موقع تطبيق NPS مع أي تطبيقات أخرى.

واجهات Xsi

قم بتثبيت وتكوين تطبيقات Xsi-Actions و Xsi-Events كما هو موضح في دليل تكوين واجهة خدمات Xtended من Cisco BroadWorks Xtended .

يجب نشر مثيل واحد فقط من تطبيقات Xsi-Events على XSP|ADP المستخدم لواجهة CTI.

يجب أن تحتوي جميع Xsi-Events المستخدمة لدمج Broadworks مع Webex على نفس callControlApplicationName المحدد ضمن التطبيقات/Xsi-Events/GeneralSettings. على سبيل المثال:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> جلب

callControlApplicationName = com.broadsoft.xsi-events

عند ضم مستخدم إلى Webex، يقوم Webex بإنشاء اشتراك للمستخدم في AS من أجل تلقي أحداث الاتصالات الهاتفية الخاصة بالتواجد وسجل المكالمات. يرتبط الاشتراك بـ callControlApplicationName ويستخدمه AS لمعرفة أي Xsi-Events سترسل إليه أحداث الاتصال الهاتفي.

تكوين خدمة المصادقة (مع التحقق من صحة الرمز المميز CI)

استخدم هذا الإجراء لتكوين خدمة المصادقة لاستخدام التحقق من صحة CI Token مع طبقة النقل الآمنة. يوصى باستخدام طريقة المصادقة هذه إذا كنت تقوم بتشغيل R22 أو أعلى وكان نظامك يدعمها.

1. الحصول على بيانات اعتماد OAuth لتطبيق Webex من أجل Cisco BroadWorks.

2. قم بتثبيت التصحيحات التالية على كل خادم XSP|ADP. قم بتثبيت التصحيحات المناسبة للإصدار الخاص بك:

   • بالنسبة إلى R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • بالنسبة إلى R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • بالنسبة إلى R24 - لا يلزم إجراء تصحيح

   تتضمن أي إشارة إلى XSP إما XSP أو ADP.

3. قم بتثبيت تطبيق AuthenticationService على كل خدمة XSP|ADP.

   1. شغّل الأمر التالي لتنشيط تطبيق AuthenticationService على XSP|ADP إلى مسار سياق /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> تنشيط خدمة مصادقة التطبيق 22.0_1.1123/authService

   2. قم بتشغيل هذا الأمر لنشر AuthenticationService على XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> نشر التطبيق /authServiceBroadWorks SW Manager نشر /authService...

4. بدءًا من إصدار Broadworks 2022.10، لن يتم تضمين جهات منح الشهادات التي تأتي باستخدام Java تلقائيًا في مخزن الثقة في BroadWorks عند التبديل إلى إصدار جديد من Java. تفتح Authentication Service اتصال TLS بـ Webex لإحضار رمز الوصول، ويجب أن يكون لديك ما يلي في متجر الثقة الخاص بها للتحقق من صحة عنوان IDBroker وWebex URL:

   • IdenTrust Commercial Root CA 1

   • Go Daddy Root Certification Authority - G2

   تحقق من وجود هذه الشهادات بموجب CLI التالي

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> جلب

   إذا لم يكن موجودًا، فقم بتشغيل الأمر التالي لاستيراد ثقة Java الافتراضية:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> استيرادJavaCATrust

   وبدلاً من ذلك، يمكنك إضافة هذه الشهادات يدويًا كمثبتات ثقة باستخدام الأمر التالي:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   إذا تمت ترقية ADP من إصدار سابق، فسيتم استيراد جهات منح الشهادات من الإصدار القديم تلقائيًا إلى الإصدار الجديد وسيستمر استيرادها حتى تتم إزالتها يدويًا.

   يُعفى تطبيق AuthenticationService من إعداد validatePeerIdentity ضمن ADP_CLI/System/SSLCommonSettings/GeneralSettings، ويقوم دائمًا بالتحقق من صحة هوية النظير. ارجع إلى FD الخاص بالتحقق من صحة شهادة Cisco Broadworks X509 للحصول على مزيد من المعلومات حول هذا الإعداد.

5. قم بتكوين موفري التعريف عن طريق تشغيل الأوامر التالية على كل خادم XSP|ADP:

   XSP|ADP_CLI/التطبيقات/AuthenticationService/IdentityProviders/Cisco> الحصول على

   • تعيين clientId client-Id-From-Step1

   • تم تمكين الضبط true

   • تعيين clientSecret client-Secret-From-Step1

   • تعيين ciResponseBodyMaxSizeInBytes 65536

   • تعيين issuerName — بالنسبة لعنوان URL، أدخل عنوان URL الخاص بـ IssuerName الذي ينطبق على مجموعة CI الخاصة بك. انظر الجدول التالي.

   • تعيين issuerUrl — بالنسبة إلى URL، أدخل IssuerUrl الذي ينطبق على مجموعة CI الخاصة بك. انظر الجدول التالي.

   • تعيين tokenInfoUrl — أدخل عنوان URL لوكيل IdP الذي ينطبق على مجموعة الفرق الخاصة بك. انظر الجدول الثاني التالي.

   الجدول رقم 1. تعيين اسم المصدر وعنوان URL للمصدر

   إذا كان CI Cluster هو ...	تعيين اسم المصدر وعنوان URL للمصدر...
   الولايات المتحدة-A	https://idbroker.webex.com/idb
   الاتحاد الأوروبي	https://idbroker-eu.webex.com/idb
   الولايات المتحدة-B	https://idbroker-b-us.webex.com/idb
   إذا كنت لا تعرف مجموعةCI الخاصة بك ، فيمكنك الحصول على المعلومات من تفاصيل العميل في طريقة عرض مكتب المساعدة في مركز التحكم.

   الجدول رقم 2. تعيين الرمز المميزInfoURL

   إذا كانت مجموعة Teams ...	قم بتعيين tokenInfoURL إلى... (عنوان URL لوكيل موفر الهوية)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   عفراء	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   إذا كنت لا تعرف Teams Cluster، فيمكنك الحصول على المعلومات من تفاصيل العميل في طريقة عرض مكتب المساعدة في مركز التحكم. لإجراء الاختبار، يمكنك التحقق من صحة tokenInfoURL عن طريق استبدال الجزء "idp/مصادقة" من عنوان URL بـ "ping".

6. حدد استحقاق Webex الذي يجب أن يكون موجودا في ملف تعريف المستخدم في Webex عن طريق تشغيل الأمر التالي:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> تعيين النطاق broadworks-connector:user

7. قم بتكوين موفري التعريف لاتحاد Cisco باستخدام الأوامر التالية على كل خادم XSP|ADP:

   XSP|ADP_CLI/التطبيقات/AuthenticationService/IdentityProviders/Cisco/Federation> الحصول على

   • تعيين flsUrl https://cifls.webex.com/federation

   • تعيين refreshPeriodInMinutes 60

   • تعيين رمز التحديث الرمز المميز من الخطوة1

8. قم بتشغيل الأمر التالي للتحقق من أن تكوين FLS الخاص بك يعمل. سيقوم هذا الأمر بإرجاع قائمة موفري الهوية:

   XSP|ADP_CLI/التطبيقات/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> الحصول

9. قم بتكوين إدارة الرمز باستخدام الأوامر التالية على كل خادم XSP|ADP:

   • XSP|ADP_CLI/التطبيقات/AuthenticationService/TokenManagement>

   • تعيين BroadWorks tokenIssuer

   • تعيين tokenDurationInHours 720

10. إنشاء مفاتيح RSA ومشاركتها. يجب عليك إنشاء مفاتيح على XSP|ADP واحد ثم نسخها إلى جميع وحدات XSP|ADP الأخرى. ويرجع ذلك إلى العوامل التالية:

    • يجب عليك استخدام نفس أزواج المفاتيح العامة / الخاصة لتشفير / فك تشفير الرمز المميز عبر جميع مثيلات خدمة المصادقة.

    • يتم إنشاء زوج المفاتيح بواسطة خدمة المصادقة عندما يكون مطلوبا لأول مرة لإصدار رمز مميز.

    إذا قمت بدورة المفاتيح أو تغيير طول المفتاح، تحتاج إلى تكرار التكوين التالي وإعادة تشغيل جميع وحدات ADP لـ XSP|.

    1. حدد XSP|ADP واحد لاستخدامه لإنشاء زوج مفاتيح.

    2. استخدم عميل لطلب رمز مشفر من XSP|ADP هذا، عن طريق طلب عنوان URL التالي من مستعرض العميل:

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64 URL(clientPublicKey)

       (يؤدي ذلك إلى إنشاء زوج مفاتيح خاص/عام على XSP|ADP، إذا لم يكن هناك واحد بالفعل)

    3. موقع المتجر الرئيسي غير قابل للتكوين. تصدير المفاتيح:

       XSP|ADP_CLI/التطبيقات/المصادقةService/KeyManagement> تصدير

    4. انسخ الملف الذي تم تصديره /var/broadworks/tmp/authService.keys إلى نفس الموقع على عناوين XSP|ADP الأخرى، واستبدال ملف .keys قديم إذا لزم الأمر.

    5. استيراد المفاتيح الموجودة على كل من XSP|ADP الأخرى:

       XSP|ADP_CLI/Applications/AuthenticationService/KeyManagement> استيرادالمفاتيح /var/broadworks/tmp/authService.keys

11. قم بتوفير عنوان URL الخاص ب authService إلى حاوية الويب. تحتاج حاوية ويب XSP|ADP إلى عنوان authService URL حتى تتمكن من التحقق من صحة الرموز المميزة. على كل من موفري XSP|ADP:

    1. إضافة عنوان URL لخدمة المصادقة كخدمة مصادقة خارجية للأداة المساعدة للاتصالات BroadWorks:

       XSP|ADP_CLI/النظام/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> تعيين عنوان URL http://127.0.0.1:80/authService

    2. أضف عنوان URL لخدمة المصادقة إلى الحاوية:

       XSP|ADP_CLI/Maintenance/ContainerOptions> إضافة tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       وهذا يمكن Webex من استخدام خدمة المصادقة للتحقق من صحة الرموز المميزة المقدمة كبيانات اعتماد.

    3. تحقق من المعلمة باستخدام get.

    4. أعد تشغيل ADP لـ XSP|.

إزالة متطلبات مصادقة العميل لخدمة المصادقة (R24 فقط)

إذا كان لديك خدمة المصادقة التي تم تكوينها مع التحقق من صحة CI Token على R24، فستحتاج أيضا إلى إزالة متطلبات مصادقة العميل لخدمة المصادقة. قم بتشغيل الأمر CLI التالي:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> قم بتعيين AuthenticationService clientAuthReq false

تكوين طبقة النقل الآمنة (TLS) والأصفار على واجهات HTTP (لخدمة XSI والمصادقة)

تستخدم تطبيقات "خدمة المصادقة" و"إجراءات Xsi" و"Xsi-Events" واجهات خادم HTTP. مستويات تكوين طبقة النقل الآمنة لهذه التطبيقات هي كما يلي:

الأكثر عمومية = > نقل النظام > HTTP > واجهة خادم HTTP = الأكثر تحديدا

سياقات CLI التي تستخدمها لعرض إعدادات SSL المختلفة أو تعديلها هي:

قراءة تكوين واجهة TLS لخادم HTTP على XSP|ADP

1. تسجيل الدخول إلى XSP|ADP وانتقل إلى XSP|ADP_CLI/Interface/Http/HttpServer>

2. أدخل الأمر get واقرأ النتائج. يجب أن ترى الواجهات (عناوين IP) ، وبالنسبة لكل منها ، ما إذا كانت آمنة وما إذا كانت تتطلب مصادقة العميل.

يفرض Apache tomcat شهادة لكل واجهة آمنة. يقوم النظام بإنشاء شهادة موقعة ذاتيا إذا كان بحاجة إلى واحدة.

XSP|ADP_CLI/Interface/Http/HttpServer> احصل على

إضافة بروتوكول TLS 1.2 إلى واجهة خادم HTTP

يجب تكوين واجهة HTTP التي تتفاعل مع Webex Cloud ل TLSv1.2. لا تتفاوض السحابة على الإصدارات السابقة من بروتوكول TLS.

لتكوين بروتوكول TLSv1.2 على واجهة خادم HTTP:

1. تسجيل الدخول إلى XSP|ADP وانتقل إلى XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. أدخل الأمر get 443 لمعرفة البروتوكولات المستخدمة بالفعل على هذه الواجهة.

3. أدخل الأمر إضافة 443 TLSv1.2 للتأكد من أن الواجهة يمكن أن تستخدم TLS 1.2 عند الاتصال بالسحابة.

تحرير تكوين رموز TLS على واجهة خادم HTTP

لتكوين الأصفار المطلوبة:

1. تسجيل الدخول إلى XSP|ADP وانتقل إلى XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. أدخل الأمر get 443 لمعرفة التشفيرات المستخدمة بالفعل على هذه الواجهة. يجب وجود مجموعة واحدة على الأقل من مجموعات Cisco الموصى بها (ارجع إلى XSP|متطلبات هوية ADP والأمان في قسم النظرة العامة).

3. أدخل الأمر إضافة 443 لإضافة تشفير إلى واجهة خادم HTTP.

   يتطلب XSP|ADP CLI اسم مجموعة تشفير IANA القياسية، وليس اسم مجموعة تشفير openSSL. على سبيل المثال، لإضافة تشفير openSSL ECDHE-ECDSA-CHACHA20-POLY1305 إلى واجهة خادم HTTP، ستستخدم: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>أضف 192.0.2.7 443 TLS_ECDHE_ECDSA_مع_CHACHA20_POLY1305

   انظر https://ciphersuite.info/ للعثور على الجناح بأي من الاسمين.

تكوين إدارة الأجهزة على XSP|ADP وخادم التطبيق وخادم ملف التعريف

خادم ملف التعريف وXSP|ADP إلزاميان لإدارة الأجهزة. يجب تكوينها وفقا للإرشادات الواردة في دليل تكوين إدارة أجهزة BroadWorks.