Конфигурирайте услуги на вашия Webex за Cisco BroadWorks XSP|ADP

Изискваме NPS приложението да се изпълнява на различен XSP|ADP. Изискванията за този XSP|ADP са описани в Конфигуриране на известия за повиквания от вашата мрежа.

Необходими са ви следните приложения / услуги на вашите XSP|ADP.

Услуга/Приложение

Изисква се удостоверяване

Цел на услугата/приложението

Xsi-Събития

TLS (сървърът се удостоверява пред клиенти)

Управление на обажданията, известия за услуги

Xsi-Действия

TLS (сървърът се удостоверява пред клиенти)

Контрол на обажданията, действия

Управление на устройството

TLS (сървърът се удостоверява пред клиенти)

Изтегляне на конфигурацията на обажданията

Услуга на удостоверяване

TLS (сървърът се удостоверява пред клиенти)

Удостоверяване на потребителя

Компютърна телефония интеграция

mTLS (клиент и сървър се удостоверяват взаимно)

Присъствие на телефония

Повикване Настройки Уебвю приложение

TLS (сървърът се удостоверява пред клиенти)

Излага настройките за потребителски обаждания в портала за самообслужване в рамките на приложението Webex

Този раздел описва как да приложите необходимите конфигурации за TLS и mTLS на тези интерфейси, но трябва да се обърнете към съществуващата документация, за да инсталирате приложенията на вашите XSP|ADP.

Изисквания за съвместно пребиваване

  • Услугата за удостоверяване трябва да бъде съвместно пребиваваща с xsi приложения, защото тези интерфейси трябва да приемат дълготрайни токени за разрешително за сервиз. Услугата за удостоверяване е необходима за валидиране на тези маркери.

  • Услугата за удостоверяване и Xsi могат да се изпълняват на един и същ порт, ако се изисква.

  • Можете да отделите другото services/applications както се изисква за вашия мащаб (например, ADP ферма за управление на специални устройства XSP|).

  • Може да намерите съвместно приложенията Xsi, CTI, Услугата за удостоверяване и DMS.

  • Не инсталирайте други приложения или услуги на XSP|ADP, които се използват за интегриране на BroadWorks с Webex.

  • Не намирайте съвместно приложението NPS с никакви други приложения.

Xsi интерфейси

Инсталирайте и конфигурирайте приложенията Xsi-Actions и Xsi-Events, както е описано в Cisco BroadWorks Xtended Services интерфейс конфигурационно ръководство.

Само един екземпляр от приложенията Xsi-Events трябва да бъде разположен на XSP|ADP, използван за CTI интерфейса.

Всички Xsi-Events, използвани за интегриране на Broadworks с Webex, трябва да имат едно и също callControlApplicationName, дефинирано в Applications/Xsi-Events/GeneralSettings. Например:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Когато потребител се регистрира в Webex, Webex създава абонамент за потребителя в автономната система, за да получава телефонни събития за присъствие и история на обажданията. Абонаментът е свързан с callControlApplicationName и AS го използва, за да знае към кои Xsi-Events да изпраща телефонните събития.

Промяната на callControlApplicationName или липсата на едно и също име във всички уеб приложения на Xsi-Events ще повлияе на абонаментите и функционалността на телефонните събития.

Конфигуриране на услугата за удостоверяване (с проверка на ci маркер)

Използвайте тази процедура, за да конфигурирате услугата за удостоверяване да използва CI маркер проверка с TLS. Този метод на удостоверяване се препоръчва, ако работите с R22 или по-висока и вашата система го поддържа.

Взаимният TLS (mTLS) също се поддържа като алтернативен метод за удостоверяване на услугата Auth. Ако имате няколко Webex организации, работещи на един и същ XSP|ADP сървър, трябва да използвате mTLS удостоверяване, тъй като CI Token Validation не поддържа множество връзки към една и съща XSP|ADP Auth Service.

За да конфигурирате mTLS удостоверяване за услугата Auth вместо ci маркер проверка, вижте приложението за конфигуриране на услуги (с mTLS за услугата Auth).

Ако в момента използвате mTLS за услугата Auth, не е задължително да преконфигурирате да използвате CI маркер проверка с TLS.

  1. Получаване на OAuth идентификационни данни за вашия Webex за Cisco BroadWorks.

  2. Инсталирайте следните корекции на всеки XSP|ADP сървър. Инсталирайте лепенките, които са подходящи за освобождаването Ви:

    Всяко позоваване на XSP включва или XSP, или ADP.

  3. Инсталирайте приложението AuthenticationService на всяка XSP|ADP услуга.

    1. Изпълнете следната команда, за да активирате приложението AuthenticationService на XSP|ADP към /authService контекстен път.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

    2. Изпълнете тази команда, за да разположите AuthenticationService на XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

  4. Започвайки с версия 2022.10 на Broadworks, сертификационните центрове, които идват с Java, вече не се включват автоматично в хранилището за доверени сертификати на Broadworks при преминаване към нова версия на Java. Услугата за удостоверяване (AuthenticationService) отваря TLS връзка към Webex, за да извлече маркера за достъп, и трябва да има следното в хранилището си за доверени данни, за да валидира URL адреса на IDBroker и Webex:

    • Търговски корен IdenTrust CA 1

    • GoDaddy Root Certificate Authority - G2

    Проверете дали тези сертификати са налични в следния CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

    Ако не е налично, изпълнете следната команда, за да импортирате Java trusts по подразбиране:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    Като алтернатива, можете ръчно да добавите тези сертификати като точки за доверие със следната команда:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Ако ADP се надгражда от предишна версия, сертифициращите органи от старата версия се импортират автоматично в новата версия и ще продължат да се импортират, докато не бъдат премахнати ръчно.

    Приложението AuthenticationService е освободено от настройката validatePeerIdentity в ADP_CLI/System/SSLCommonSettings/GeneralSettings, и винаги валидира идентичността на партньора. Вижте Cisco Broadworks X509 Certificate Validation FD за повече информация относно тази настройка.

  5. Конфигурирайте доставчиците на идентичност, като изпълните следните команди на всеки XSP|ADP сървър:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName —За URLвъведете URL адреса на IssuerName, който се отнася за вашия CI клъстер. Вижте следващата таблица.

    • set issuerUrl —За URLвъведете IssuerUrl, който се отнася за вашия CI клъстер. Вижте следната таблица.

    • set tokenInfoUrl —Въведете IdP прокси URL адреса, който се отнася за вашия Екипен клъстер. Вижте втората таблица, която следва.

    Таблица 1. Задайте име на издателя и URL адрес на издателя
    Ако CI клъстер е...Задайте issuerName и issuerURL на...

    US-A

    https://idbroker.webex.com/idb

    ЕС

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    Ако не знаете вашия CI клъстер, можете да получите информацията от данните на клиента в изгледа „Помощно бюро“ на Control Hub.

    Таблица 2. Задаване на URL адрес за информация за токена
    Ако "Отбори Клъстър" е...Задайте tokenInfoURL на... (URL адрес на IdP прокси)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    АФРА

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Ако не знаете вашия клъстер Teams, можете да получите информацията от данните за клиента в изгледа „Помощно бюро“ на Control Hub.

    • За тестване можете да проверите дали tokenInfoURL е валиден, като замените частта „idp/authenticate“ от URL адреса с „ping“.

  6. Задайте webex правото, което трябва да присъства в потребителския профил в Webex, като изпълните следната команда:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  7. Конфигурирайте доставчици на идентичност за Cisco Federation, като използвате следните команди на всеки XSP|ADP сървър:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken refresh-Token-From-Step1

  8. Изпълнете следната команда, за да валидирате, че вашата FLS конфигурация работи. Тази команда ще върне списъка на Доставчиците на самоличност:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. Конфигурирайте управлението на токени, като използвате следните команди на всеки XSP|ADP сървър:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. Генериране и споделяне на RSA ключове. Трябва да генерирате ключове на един XSP|ADP, след което да ги копирате на всички останали XSP|ADP. Това се дължи на следните фактори:

    • Трябва да използвате едни и същи двойки публични/частни ключове за шифроване/дешифриране на маркери във всички екземпляри на услугата за удостоверяване.

    • Двойката ключове се генерира от услугата за удостоверяване, когато за първи път е необходимо да издаде маркер.

    Ако сменяте ключовете или променяте дължината на ключа, трябва да повторите следната конфигурация и да рестартирате всички XSP|ADP.

    1. Изберете един XSP|ADP, който да се използва за генериране на двойка ключове.

    2. Използвайте клиент, за да заявите криптиран токен от този XSP|ADP, като заявите следния URL адрес от браузъра на клиента:

      https:///authService/token?key=BASE64URL(clientPublicKey)

      (Това генерира частен / двойка публични ключове на XSP|ADP, ако вече не е имало такава)

    3. Местоположението на хранилището на ключове не е конфигурируемо. Експортиране на клавишите:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Копирайте експортирания файл /var/broadworks/tmp/authService.keys на същото място на другите XSP|ADP устройства, като презапишете по-стар .keys файл, ако е необходимо.

    5. Импортирайте ключовете на всеки от другите XSP|ADP:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Предоставете URL адреса на authService на уеб контейнера. Уеб контейнерът на XSP|ADP се нуждае от URL адреса на authService, за да може да валидира токени. На всеки от XSP|ADP-тата:

    1. Добавете URL адреса на услугата за удостоверяване като услуга за външно удостоверяване за помощната програма за комуникации на BroadWorks:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Добавете URL адреса на услугата за удостоверяване към контейнера:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Това дава възможност на Webex да използва услугата за удостоверяване, за да валидира маркерите, представени като идентификационни данни.

    3. Проверете параметъра с get.

    4. Рестартирайте XSP|ADP.

Премахване на изискване за удостоверяване на клиент за Auth услуга (само R24)

Ако имате услугата за удостоверяване конфигуриран с CI маркер проверка на R24, вие също трябва да премахнете клиента удостоверяване изискване за услугата за удостоверяване. Изпълнете следната команда CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Конфигуриране на TLS и шифри на HTTP интерфейсите (за XSI и услуга за удостоверяване)

Услугата за удостоверяване, Xsi-действия и Xsi-Събития приложения използват HTTP сървър интерфейси. Нива на TLS конфигурируемост за тези приложения са както следва:

Най-общи = Система > транспорт > HTTP > HTTP Сървър интерфейс = Най-специфични

Контекстите на CLI, които използвате за преглед или промяна на различните SSL настройки, са:

Специфичност Контекст на CLI
Система (глобална)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Транспортни протоколи за тази система

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP на тази система

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Специфични HTTP сървърни интерфейси на тази система

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Четене на конфигурацията на TLS интерфейса на HTTP сървъра на XSP|ADP

  1. Влезте в XSP|ADP и отидете до XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Въведете командата get и прочетете резултатите. Трябва да видите интерфейсите (IP адресите) и, за всеки, дали те са сигурни и дали те изискват удостоверяване на клиента.

Apache tomcat мандат сертификат за всеки защитен интерфейс; системата генерира самоподписан сертификат, ако се нуждае от такъв.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Резултати, показани след въвеждане на командата get, показващи интерфейсите (IP адресите) и за всеки от тях дали са защитени и дали изискват удостоверяване на клиента.

Добавяне на TLS 1.2 протокол към интерфейса на HTTP сървъра

HTTP интерфейсът, който взаимодейства с Webex облака, трябва да бъде конфигуриран за TLSv1.2. Облакът не преговаря по-ранни версии на Протокола TLS.

За да конфигурирате протокола TLSv1.2 на интерфейса на HTTP сървъра:

  1. Влезте в XSP|ADP и отидете до XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Въведете командата get 443, за да видите кои протоколи вече се използват на този интерфейс.

  3. Въведете командата add 443 TLSv1.2, за да гарантирате, че интерфейсът може да използва TLS 1.2 при комуникация с облака.

Редактиране на TLS шифри конфигурация на HTTP сървър интерфейс

За да конфигурирате необходимите шифри:

  1. Влезте в XSP|ADP и отидете до XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Въведете командата get 443, за да видите кои шифри вече се използват на този интерфейс. Трябва да има поне един от препоръчаните от Cisco пакети (вижте XSP|ADP Identity and Security Requirements в раздела „Общ преглед“).

  3. Въведете командата add 443 , за да добавите шифър към интерфейса на HTTP сървъра.

    CLI на XSP|ADP изисква името на стандартния шифрован пакет на IANA, а не името на шифрования пакет на openSSL. Например, за да добавите openSSL шифъра ECDHE-ECDSA-CHACHA20-POLY1305 към интерфейса на HTTP сървъра, ще използвате: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Вижте https://ciphersuite.info/ да намерите суита по двете имена.

Конфигуриране на управление на устройства на XSP|ADP, сървър на приложения и сървър за профили

Profile Server и XSP|ADP са задължителни за управление на устройства. Те трябва да бъдат конфигурирани според инструкциите в ръководството за конфигуриране на управлението на устройства на BroadWorks.