Преглед на Прокси за удостоверяване на NPS

В тази статия се описва как да конфигурирате споделен NPS да използва nPS прокси сървър за удостоверяване, така че да може да се използва и за натискане на известия за обаждания към приложения на Webex. Ако вашият NPS не поддържа други приложения, можете да следвате опростената процедура в Ръководството за решение Webex for BroadWorks.

Общ преглед на NPS прокси

За съвместимост с Webex за BroadWorks вашата NPS трябва да бъде закърпена, за да поддържа функцията NPS прокси сървър, Push Server за VoIP в UCaaS.

Функцията внедрява нов дизайн в Известяване Push Server за разрешаване на уязвимостта на защитата на споделяне push уведомление сертификат частни ключове с доставчици на услуги за мобилни клиенти. Вместо да споделя сертификати и ключове за push известия с доставчика на услуги, NPS използва нов API, за да получи краткотраен токен за push известия от UCaaS backend-а и използва този токен за удостоверяване с Apple APNs и Google FCM услугите.

Функцията също така повишава възможността на Сървъра за натискане на известията да прокара известия до устройства с Android чрез новия API на Google Firebase Cloud Съобщения (FCM) HTTPv1.

NPS удостоверяване прокси предпоставки

ADP на XSP (или Платформа за доставка на приложения), който е домакин на NPS, трябва да отговаря на следните изисквания:

Минимални версии и Ограничения за съвместно пребиваване

  • NPS трябва да се активира на специализиран XSP/ADP и NPS трябва да бъде единственото хоствано приложение на сървъра. Това е, за да се премахнат смущенията в доставката на известията push.

  • Трябва да има само едно NPS приложение в разполагане. Ако използвате мобилни UC-One Collaborate/Connect и или UC-One SaaS, и внедрявате Webex за BroadWorks, трябва да споделите този единствен NPS за всички приложения.

  • NPS трябва да бъде на версия R22 или по-нова XSP, или ADP.

    R22/R23 XSP е съвместим с R21 стека, ако XSP работи само NPS и AS е R21. SP1. Вижте матрицата за съвместимост на BroadWorks за повече информация.

  • Повече информация за ADP сървъра можете да намерите на Cisco BroadWorks Application Delivery Platform.

Споделена НПС

Прочетете тези бележки, преди да конфигурирате вашия споделен NPS да използва NPS прокси:

  • Ако вашият NPS се използва с други приложения (не само с приложението Webex): Първо конфигурирайте NPS прокси, след това променете NPS от използването на FCM наследство API да използвате FCM HTTP v1 API.

  • След като сте проверили, че известията работят правилно за по-стари приложения с NPS прокси, премахнете FCM API ключа за приложението за Android и APNs auth key за приложението за iOS.

APNs HTTP/2

  • Ако сте внедрили iOS приложения, които не са от Cisco/BroadSoft, конфигурирайте тези приложения да използват HTTP/2 APNS протокол, преди да конфигурирате NPS да използва NPS прокси.

  • XSP/ADPs, които вече поддържат приложението Collaborate или SaaS BroadWorks, трябва да бъдат мигрирани към HTTP/2. За подробна информация относно конфигурирането на HTTP/2 вижте HTTP/2 поддръжка на уведомяване push server за APNS (миграция на NPS за поддръжка на тези приложения iOS е обобщено в тази статия).

Андроид FCMv1

  • Ако сте внедрили приложения за Android, които не са от Cisco/BroadSoft, Конфигурирайте тези приложения да използват FCMv1 ключовете, преди да конфигурирате NPS да използва NPS прокси.

  • Ако XSP/ADP в момента поддържа приложението Connect или UC-One SaaS, след това активирайте FCMv1 ключове след конфигуриране на NPS прокси. Препоръчваме ви да мигрирате всички допълнителни приложения към FCMv1 ключове, да ги активирате и тествате, след което да ги деактивирате, докато не сте готови да изпълните инструкциите за настройка (процесът на миграция е документиран в тази статия).

Резюме на миграцията на прокси прокси в NPS
Визуално обобщение на миграцията към Прокси за удостоверяване на NPS
Таблица 1. Обобщение на задачите за мигриране към NPS прокси

Последователност

Заглавие на задача

Кога/Защо се изисква задача?

1

Мигриране на NPS към HTTP/2 за UC-One SaaS (или Свързване) iOS приложения.

Ако NPS поддържа тези приложения и те все още не са конфигурирани за HTTP/2.

2

Мигрирайте NPS към FCMv1 за UC-One SaaS (или Свържете) приложения за Android.

Ако NPS поддържа тези приложения, и те все още не са конфигурирани за FCMv1.

3

Разрешаване на режим FCMv1 и известия за пробно натискане.

Ако NPS поддържа UC-One Свързване и/или други (не-Cisco) Android приложения.

4

Повторно разрешаване на режим Наследени FCM.

Ако NPS поддържа UC-One SaaS. Ако оставите FCMv1 разрешен, преди да конфигурирате NPS прокси, след това натиснете известия към UC-One SaaS започват да са неуспешни.

5

Инсталирайте NPS прокси кръпки за удостоверяване.

Ако NPS е на XSP R22 или XSP R23.

6

Конфигуриране на NPS да използва nPS удостоверяване прокси:

  • Прикрепете техноподдържане от NPS

  • Заявете CI OAuth акаунт

  • Създаване на CI акаунт на NPS и конфигуриране обновяване маркер изчакване

  • Добавяне на идентификатори на приложения за Android

  • Добавяне на iOS идентификатори на приложения

  • Проверка/задаване на URL адреси и изчакване на връзката

  • Добавяне на приложения към AS списък с разрешения

  • (Повторно) Разрешаване на FCMv1

  • Рестартирайте XSP / ADP

  • Тествайте PNs за приложения за iOS и Android

Винаги се изисква.

7

Премахване на клавишите за наследен режим на FCM.

За приложения, които се поддържат успешно от NPS на FCMv1.
Мигриране на BroadWorks съвместна iOS приложения към HTTP/2

Тази задача е задължителна за push известия до UC-One SaaS и Webex приложения на iOS платформи.

Преди да започнете

Ако вашият XSP работи R22, трябва да приложите ap354313, преди да можете да конфигурирате NPS приложението да използва HTTP/2 за APNS.

1

Задаване на производствения URL адрес и параметрите на връзката при XSP_CLI/Applications/NotificationPushServer/APNS/Production>

set url https://api.push.apple.com/3/device

set connectionPoolSize 2

set connectionTimeout 3000

set connectionIdleTimeoutInSeconds 600

Забележка: Не задавайте времето за изчакване на връзката под 1000.

2

Добавете идентификаторите на приложението в контекста на APNS приложенията, като се уверите, че пропускате ключа Auth – задайте го да се изпразни.

За UC-One SaaS:XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.broadsoft.uc-one

За webex приложение: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

3

Проверете клавишите auth с XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> get

4

Ако ключът за оторизация не е празен за com.broadsoft.uc-one, можете да го изчистите с XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> clear the-authkey

5

Разрешаване на HTTP/2:

XSP_CLI/Applications/NotificationPushServer/APNS/GeneralSettings> set HTTP2Enabled true

6

Само за UC-One SaaS приложения: Влезте в портала за дистрибутори и отидете на Конфигурация > BroadWorks > .

7

Превъртете надолу до секцията „Сървър за известия“ и изберете вашата версия (напр. Версия 22), след което следвайте инструкциите, предоставени в портала.

Мигриране на BroadWorks UC-Едно свързване / SaaS Android приложения към FCMv1

  • Тази задача се отнася за NPS на XSP. Игнорирайте го, ако вашият NPS е на ADP.

  • Можете да използвате тази процедура за мигриране към FCMv1 известия за UC-One Connect или UC-One SaaS Android приложения.

  • Трябва да използвате FCMv1, ако искате да използвате NPS прокси за удостоверяване на известия за натискане на UC-One или приложенията на Webex Android.

  • Тази задача подготвя NPS за FCMv1, така че да можете да го разрешите като част от конфигурацията на NPS удостоверяване прокси. Не разрешавайте FCMv1, докато не сте готови да конфигурирате NPS прокси за удостоверяване, или известията до SaaS клиенти ще са неуспешни.

1

Получете ИД на проекта от конзолата на Firebase:

  1. Влезте в console.firebase.google.com.

  2. Изберете проекта на приложението UC-One (Свързване или SaaS), отворете настройките на проекта му.

  3. Отворете раздела Общи и запишете ИД на проекта.

2

Получете личния ключ на сервизния си акаунт от Firebase:

  1. Навигирайте до раздела Акаунти за услуги в настройките на проекта.

  2. Или създайте нов акаунт за услуги и получете частния му ключ.

  3. Или отворете съществуващ сервизен акаунт и генерирайте нов частен ключ за него.

    Забележка: Сервизният акаунт трябва да има разрешение firebaseadmin-sdk.

  4. Изтеглете ключа на сигурно място.

3

Копирайте ключа в XSP хостинг вашия NPS.

4

Добавете ИД на проекта и свързания частен ключ към контекста на проектите на FCM:

XSP_CLI/Applications/NotificationPushServer/FCM/Projects> add project-id path/to/keyfile

5

Добавете приложението UC-One (Свързване или SaaS) и свързан ид на проект в контекста на Приложенията на FCM:

XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.broadsoft.connect projectId project-id

6

Проверете конфигурацията за FCM спрямо атрибутите и препоръчителните стойности, показани тук. Използвайте set версията на командата, за да промените стойностите, ако е необходимо:

Изпълни XSP_CLI/Applications/NotificationPushServer/FCM> get

Параметър

Препоръчилна стойност

authURL

https://www.googleapis.com/oauth2/v4/token

pushURL

https://fcm.googleapis.com/v1/projects/PROJECT-ID/messages:send

scope

https://www.googleapis.com/auth/firebase.messaging

tokenTimeToLiveInSeconds

3600

connectionPoolSize

10

connectionTimeoutInMilliseconds

3000

connectionIdleTimeoutInSeconds

600

Мигриране на BroadWorks UC-Едно свързване / SaaS Android приложения към FCMv1 (на ADP)

  • Тази задача се отнася за NPS на ADP. Игнорирайте го, ако вашият NPS е на XSP.

  • Можете да използвате тази процедура за мигриране към FCMv1 известия за UC-One Connect или UC-One SaaS Android приложения.

  • Трябва да използвате FCMv1, ако искате да използвате NPS прокси за удостоверяване на известия за натискане на UC-One или приложенията на Webex Android.

  • Тази задача подготвя NPS за FCMv1, така че да можете да го разрешите като част от конфигурацията на NPS удостоверяване прокси. Не разрешавайте FCMv1, докато не сте готови да конфигурирате NPS прокси за удостоверяване, или известията до SaaS клиенти ще са неуспешни.

1

Получете ИД на проекта от конзолата на Firebase:

  1. Влезте в console.firebase.google.com.

  2. Изберете проекта на приложението UC-One (Свързване или SaaS), отворете настройките на проекта му.

  3. Отворете раздела Общи и запишете ИД на проекта.

2

Получете личния ключ на сервизния си акаунт от Firebase:

  1. Навигирайте до раздела Акаунти за услуги в настройките на проекта.

  2. Или създайте нов акаунт за услуги и получете частния му ключ.

  3. Или отворете съществуващ сервизен акаунт и генерирайте нов частен ключ за него.

    Забележка: Сервизният акаунт трябва да има разрешение firebaseadmin-sdk.

  4. Изтеглете ключа (.json файл) на защитено място.

3

Импортирайте .json файла на ADP сървъра /bw/install.

4

Вход в ADP CLI и добавете проекта и API ключ към контекста на проектите на FCM:

ADP_CLI/Applications/NotificationPushServer/FCM/Projects> add connect-ucaas /bw/install/filename.json

5

Добавете приложението и ИД на проекта в контекста на приложенията на FCM:

ADP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.broadsoft.ucaas.connect projectId project-id

6

Проверете конфигурацията си:

ADP_CLI/Applications/NotificationPushServer/FCM/Projects> get
Project ID Accountkey
========================
connect-ucaas ********
ADP_CLI/Applications/NotificationPushServer/FCM/Applications> get
Application ID Project ID
===================================
com.broadsoft.ucaas.connect connect-ucaas
Повторно разрешаване на Режим Наследени FCM

Трябва да направите това (като част от миграцията), само ако:

  • Вашият NPS се използва за приложения за UC-One SaaS или BroadWorks Connect Android.

  • Вече тествахте, че известията за натискане на обажданията до други приложения работят с FCMv1 API.

Временно забранявате FCMv1, защото FCMv1 ключове за тези приложения трябва да са активирани само по време на процеса на конфигуриране на прокси сървъра за удостоверяване на NPS.

1

Влезте в XSP хостинг на вашия споделен NPS.

2

Навигирайте до контекста на FCM и деактивирайте FCM v1: XSP_CLI/Applications/NotificationPushServer/FCM> set V1enabled false , за да се обърнете към използването на Ключа за API за наследени FCM.

Инсталиране на NPS удостоверяване прокси кръпки
Конфигуриране на NPS за използване на прокси за удостоверяване
1

Създайте заявка за услуга с вашия бордови контакт, или с ТАС, за да осигурите вашия (Webex Обща самоличност) OAuth клиентски акаунт. Заглавие на вашата заявка за услуга NPS конфигурация за Настройкана прокси сървъра на Auth.

Предоставяме ви OAuth клиентски идентификатор, клиентска тайна и токен за опресняване, валиден 60 дни. Ако маркерът изтече, преди да го използвате с вашия NPS, можете да повдигнете друга заявка.
2

Създаване на клиентския акаунт на NPS:

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set clientId client-Id-From-Step1

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set clientSecret
New Password: client-Secret-From-Step1

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set RefreshToken
New Password: Refresh-Token-From-Step1

Изпълнете командата, за да проверите дали въведените от вас стойности съвпадат с предоставените ви. XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> get

3

Въведете NPS Прокси URL адреса и задайте интервала за обновяване на маркера (препоръчват се 30 минути):

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set url https://nps.uc-one.broadsoft.com/nps/

За да подобрите скоростта на преобразуване на DNS, вместо текущото FQDN име nps.uc-one.broadsoft.com, ви препоръчваме да използвате подходящото FQDN име, базирано на вашия регион.

Регионално базирани FQDN имена:

САЩ Изток:

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set url https://broadworks-idp-proxy-a.wbx2.com/nps/

Западна част на САЩ:

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set url https://broadworks-idp-proxy-r.wbx2.com/nps/

Европа:

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set url https://broadworks-idp-proxy-k.wbx2.com/nps/

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set VOIPTokenRefreshInterval 1800

Ако времето за изчакване на push известията изтече поради забавяне в разрешаването на DNS, увеличете стойността на времето за изчакване в "/etc/resolv.conf" файл на сървъра BroadWorks.

4

(За известия за Android) Добавете Идентификаторите на приложенията за Android към контекста на приложенията на FCM на NPS.

За приложението Webex на Android: XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add com.cisco.wx2.android

За приложението UC-One на Android: XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add com.broadsoft.connect

5

(За известия на Apple iOS) Добавете ИД на приложението в контекста на приложенията APNS, като се уверите, че пропускате ключа Auth – задайте го да се изпразни.

За приложението Webex на iOS: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

За приложение UC-One на iOS: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

6

Конфигуриране на следните NPS URL адреси:

Контекст на XSP CLI

Параметър

Стойност

XSP_CLI/Applications/NotificationPushServer/FCM>

authURL

https://www.googleapis.com/oauth2/v4/token

pushURL

https://fcm.googleapis.com/v1/projects//messages:send

scope

https://www.googleapis.com/auth/firebase.messaging

XSP_CLI/Applications/NotificationPushServer/APNS/Production>

url

https://api.push.apple.com/3/device

7

Конфигурирайте следните параметри на NPS връзка към показаните препоръчителни стойности:

XSP CLI контекст

Параметър

Стойност

XSP_CLI/Applications/NotificationPushServer/FCM>

tokenTimeToLiveInSeconds

3600

connectionPoolSize

10

connectionTimeoutInMilliseconds

3000

connectionIdleTimeoutInSeconds

600

XSP_CLI/Applications/NotificationPushServer/APNS/Production>

connectionTimeout

3000

connectionPoolSize

2

connectionIdleTimeoutInSeconds

600

8

Проверете дали Сървърът за приложения скрининг приложение Идентификатори, защото може да се наложи да добавите приложенията webex към списъка с разрешения:

  1. Изпълнете AS_CLI/System/PushNotification> get и проверете стойността на enforceAllowedApplicationList. Ако е true, трябва да изпълните тази подзадача. В противен случай пропуснете останалата част от под задачата.

  2. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.wx2.android “Webex Android”

  3. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.squared “Webex iOS”

Рестартирайте NPS и тест push известия
1

Рестартирайте XSP:

bwrestart
2

Тествайте известията за обаждания до Android, като провеждате обаждания от абонат на BroadWorks до повикващия клиент на Android. Проверете дали известието за повикване се появява на устройството с Android.

Забележка: Ако push известията започнат да се провалят за приложението за Android UC-One, възможно е да има погрешна конфигурация. Ако това е вашата ситуация, можете да се обърнете към наследството FCM, както следва:

  1. Забрани FCMv1: XSP_CLI/Applications/NotificationPushServer/FCM> set V1Enabled false

  2. Рестартиране на XSP: bwrestart

  3. Проверете конфигурацията си.

  4. Активирайте отново FCMv1 и рестартирайте XSP.

  5. Повторете теста.

3

Тествайте известията за обаждания до iOS, като провеждате обаждания от абонат на BroadWorks до повикващия клиент на iOS. Проверете дали известието за повикване се появява на iOS устройството.

Забележка: Ако push известията започнат да са неуспешни за UC-One iOS приложението, е възможно да има погрешна конфигурация. Ако това е вашата ситуация, можете да се обърнете към наследен двоичен интерфейс с set HTTP2Enabled false