Конфигуриране на услуги във вашия Webex за Cisco BroadWorks XSP|ADP

Изискваме NPS приложението да се изпълнява на друг XSP|ADP. Изискванията за този XSP|ADP са описани в Конфигуриране на известия за повиквания от вашата мрежа.

Имате нужда от следните приложения/услуги на вашите XSP|ADP.

Услуга/Приложение

Изисква се удостоверяване

Цел на услугата/приложението

Xsi-Събития

TLS (сървърът се удостоверява пред клиенти)

Управление на обажданията, известия за услуги

Xsi-Действия

TLS (сървърът се удостоверява пред клиенти)

Контрол на обажданията, действия

Управление на устройството

TLS (сървърът се удостоверява пред клиенти)

Изтегляне на конфигурацията на обажданията

Услуга на удостоверяване

TLS (сървърът се удостоверява пред клиенти)

Удостоверяване на потребителя

Компютърна телефония интеграция

mTLS (клиент и сървър се удостоверяват взаимно)

Присъствие на телефония

Повикване Настройки Уебвю приложение

TLS (сървърът се удостоверява пред клиенти)

Излага настройките за потребителски обаждания в портала за самообслужване в рамките на приложението Webex

Този раздел описва как да се приложат необходимите конфигурации за TLS и mTLS към тези интерфейси, но трябва да направите справка със съществуващата документация, за да получите инсталираните приложения на вашите XSP|ADP.

Изисквания за съвместно пребиваване

  • Услугата за удостоверяване трябва да бъде съвместно пребиваваща с xsi приложения, защото тези интерфейси трябва да приемат дълготрайни токени за разрешително за сервиз. Услугата за удостоверяване е необходима за валидиране на тези маркери.

  • Услугата за удостоверяване и Xsi могат да се изпълняват на един и същ порт, ако се изисква.

  • Можете да отделите другите услуги/приложения, както се изисква за вашия мащаб (например специализирано управление на устройства XSP|ADP ферма).

  • Може да намерите съвместно приложенията Xsi, CTI, Услугата за удостоверяване и DMS.

  • Не инсталирайте други приложения или услуги на XSP|ADP, които се използват за интегриране на BroadWorks с Webex.

  • Не намирайте съвместно приложението NPS с никакви други приложения.

Xsi интерфейси

Инсталирайте и конфигурирайте приложенията Xsi-Actions и Xsi-Events, както е описано в Cisco BroadWorks Xtended Services интерфейс конфигурационно ръководство.

Само един екземпляр на приложенията Xsi-Events трябва да бъде разгърнат на XSP|ADP, използван за интерфейса за CTI.

Всички Xsi-Events, използвани за интегриране на Broadworks с Webex, трябва да имат едно и също callControlApplicationName, дефинирано в „Приложения/Xsi-Events/GeneralSettings“. Например:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> вземане

callControlApplicationName = com.broadsoft.xsi-events

Когато потребител е включен в Webex, Webex създава абонамент за потребителя на AS, за да получава събития за телефония за присъствие и хронология на повикванията. Абонаментът е свързан с callControlApplicationName и AS го използва, за да знае към кои Xsi-Events да се изпращат телефонните събития.

Промяната на callControlApplicationName или липсата на едно и също име във всички уеб приложения на Xsi-Events ще засегне функционалността на абонаментите и телефонните събития.

Конфигуриране на услугата за удостоверяване (с проверка на ci маркер)

Използвайте тази процедура, за да конфигурирате услугата за удостоверяване да използва CI маркер проверка с TLS. Този метод на удостоверяване се препоръчва, ако работите с R22 или по-висока и вашата система го поддържа.

Взаимният TLS (mTLS) също се поддържа като алтернативен метод за удостоверяване на услугата Auth. Ако имате няколко Webex организации, изпълняващи един и същ XSP|ADP сървър, трябва да използвате mTLS удостоверяване, защото валидирането на CI маркери не поддържа множество връзки към една и съща XSP|ADP услуга за удостоверяване.

За да конфигурирате mTLS удостоверяване за услугата Auth вместо ci маркер проверка, вижте приложението за конфигуриране на услуги (с mTLS за услугата Auth).

Ако в момента използвате mTLS за услугата Auth, не е задължително да преконфигурирате да използвате CI маркер проверка с TLS.

  1. Получаване на идентификационни данни за OAuth за вашия Webex за Cisco BroadWorks.

  2. Инсталирайте следните корекции на всеки XSP|ADP сървър. Инсталирайте лепенките, които са подходящи за освобождаването Ви:

    Всяко позоваване на XSP включва или XSP, или ADP.

  3. Инсталирайте приложението AuthenticationService на всяка XSP| ADP услуга.

    1. Изпълнете следната команда, за да активирате приложението AuthenticationService в XSP|ADP към контекстния път /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> активиране на приложението AuthenticationService 22.0_1.1123/authService

    2. Изпълнете тази команда, за да разположите услугата за удостоверяване на XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> разполагане на приложение /authServiceBroadWorks SW Manager разполагане /authService...

  4. Започвайки с BroadWorks build 2022.10, сертифициращите органи, които идват с Java, вече не се включват автоматично в хранилището за доверие на BroadWorks при преминаване към нова версия на Java. AuthenticationService отваря TLS връзка към Webex, за да извлече маркера за достъп, и трябва да има следното в хранилището на доверие, за да валидира IDBroker и URL адреса на Webex:

    • Търговски корен IdenTrust CA 1

    • Go Daddy Root Certificate Authority - G2

    Проверете дали тези сертификати присъстват под следния CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> вземане

    Ако не присъства, изпълнете следната команда, за да импортирате гаранциите на Java по подразбиране:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> импортиране JavaCATrust

    Като алтернатива, можете ръчно да добавите тези сертификати като доверени котви със следната команда:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Ако ADP бъде надстроен от предишно издание, тогава органите за сертифициране от старата версия се импортират автоматично в новата и ще продължат да се импортират, докато не бъдат премахнати ръчно.

    Приложението AuthenticationService е освободено от настройката validatePeerIdentity в ADP_CLI/System/SSLCommonSettings/GeneralSettings и винаги валидира партньорската самоличност. Вижте FD за валидиране на сертификати на Cisco Broadworks X509 за повече информация относно тази настройка.

  5. Конфигурирайте доставчиците на самоличност, като изпълните следните команди на всеки XSP|ADP сървър:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> получите

    • задайте ид на клиент клиент-ИД-От-Стъпка1

    • задайте активирано вярно

    • задаване на clientSecret client-Secret-From-Step1

    • задаване на ciResponseBodyMaxSizeInBytes 65536

    • задайте issuerName – за URLадреса въведете URL адреса на IssuerName, който се отнася за вашия CI клъстер. Вижте следващата таблица.

    • задайте issuerUrl – за URL въведете IssuerUrl, който се отнася за вашия CI клъстер. Вижте следващата таблица.

    • задаване на tokenInfoUrl – въведете URL адреса на прокси сървъра на IdP, който се прилага за вашия клъстер на Teams. Вижте втората таблица по-долу.

    Таблица 1. Задаване на issuerName и issuerURL
    Ако CI клъстер е...Задаване на issuerName и issuerURL на...

    US-A

    https://idbroker.webex.com/idb

    ЕС

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    Ако не знаете своя CI клъстер, можете да получите информацията от подробностите за клиента в изгледа „Помощен център“ на Control Hub.

    Таблица 2. Задаване на маркерInfoURL
    Ако "Отбори Клъстър" е...Задаване на маркерInfoURL на...(IdP прокси URL)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    АФРА

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Ако не знаете своя клъстер на Teams, можете да получите информацията от подробностите за клиента в изгледа „Помощен център“ на Control Hub.

    • За тестване можете да потвърдите, че tokenInfoURL е валиден, като замените частта „idp/authenticate“ от URL адреса с „ping“.

  6. Задайте webex правото, което трябва да присъства в потребителския профил в Webex, като изпълните следната команда:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> зададе обхват на Broadworks-connector:user

  7. Конфигурирайте доставчиците на самоличност за Cisco Federation, като използвате следните команди на всеки XSP ADP|сървър:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Федериране> получите

    • задаване на flsUrl https://cifls.webex.com/federation

    • задаване на refreshPeriodInMinutes 60

    • задаване на обновяванеМаркер обновяване-Маркер-От-Step1

  8. Изпълнете следната команда, за да валидирате, че вашата FLS конфигурация работи. Тази команда ще върне списъка на Доставчиците на самоличност:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. Конфигурирайте управлението на маркери, като използвате следните команди на всеки XSP|ADP сървър:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • задаване на маркер BroadWorks

    • задаване на маркерDurationInHours 720

  10. Генериране и споделяне на RSA ключове. Трябва да генерирате ключове на един XSP|ADP, след което да ги копирате във всички други XSP|ADP. Това се дължи на следните фактори:

    • Трябва да използвате едни и същи двойки публични/частни ключове за шифроване/дешифриране на маркери във всички екземпляри на услугата за удостоверяване.

    • Двойката ключове се генерира от услугата за удостоверяване, когато за първи път е необходимо да издаде маркер.

    Ако циклите бутоните или промените дължината на ключа, трябва да повторите следната конфигурация и да рестартирате всички XSP|ADP.

    1. Изберете един XSP|ADP, който да се използва за генериране на двойка ключове.

    2. Използвайте клиент, за да заявите шифрован маркер от този XSP|ADP, като заявите следния URL адрес от браузъра на клиента:

      https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

      (Това генерира двойка частен/публичен ключ на XSP|ADP, ако вече не е имало такава)

    3. Местоположението на хранилището на ключове не е конфигурируемо. Експортиране на клавишите:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Копирайте експортирания файл /var/broadworks/tmp/authService.keys в същото местоположение на другите XSP|ADP, като презапишете по-стария .keys файл, ако е необходимо.

    5. Импортирайте ключовете на всеки от другите XSP|ADP:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Предоставете URL адреса на authService на уеб контейнера. Уеб контейнерът на XSP|ADP се нуждае от URL адреса на AuthService, така че да може да валидира маркери. На всеки от XSP|ADP:

    1. Добавете URL адреса на услугата за удостоверяване като услуга за външно удостоверяване за помощната програма за комуникации на BroadWorks:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> задайте url адрес http://127.0.0.1:80/authService

    2. Добавете URL адреса на услугата за удостоверяване към контейнера:

      XSP|ADP_CLI/Maintenance/ContainerOptions> добавете tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Това дава възможност на Webex да използва услугата за удостоверяване, за да валидира маркерите, представени като идентификационни данни.

    3. Проверете параметъра с get.

    4. Рестартирайте XSP|ADP.

Премахване на изискване за удостоверяване на клиент за Auth услуга (само R24)

Ако имате услугата за удостоверяване конфигуриран с CI маркер проверка на R24, вие също трябва да премахнете клиента удостоверяване изискване за услугата за удостоверяване. Изпълнете следната команда CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> задаване на AuthenticationService clientAuthReq false

Конфигуриране на TLS и шифри на HTTP интерфейсите (за XSI и услуга за удостоверяване)

Услугата за удостоверяване, Xsi-действия и Xsi-Събития приложения използват HTTP сървър интерфейси. Нива на TLS конфигурируемост за тези приложения са както следва:

Най-общи = Система > транспорт > HTTP > HTTP Сървър интерфейс = Най-специфични

Контекстите на CLI, които използвате за преглед или промяна на различните SSL настройки, са:

Специфичност Контекст на CLI
Система (глобална)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Транспортни протоколи за тази система

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP на тази система

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Специфични HTTP сървърни интерфейси на тази система

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Четене на конфигурацията на TLS интерфейса на HTTP сървъра на XSP|ADP

  1. Влезте в XSP|ADP и се придвижете до XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Въведете командата get и прочетете резултатите. Трябва да видите интерфейсите (IP адресите) и, за всеки, дали те са сигурни и дали те изискват удостоверяване на клиента.

Apache tomcat мандат сертификат за всеки защитен интерфейс; системата генерира самоподписан сертификат, ако се нуждае от такъв.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Добавяне на TLS 1.2 протокол към интерфейса на HTTP сървъра

HTTP интерфейсът, който взаимодейства с Webex облака, трябва да бъде конфигуриран за TLSv1.2. Облакът не преговаря по-ранни версии на Протокола TLS.

За да конфигурирате протокола TLSv1.2 на интерфейса на HTTP сървъра:

  1. Влезте в XSP|ADP и се придвижете до XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Въведете командата get 443 , за да видите кои протоколи вече се използват в този интерфейс.

  3. Въведете командата Добавяне на 443 TLSv1.2 , за да сте сигурни, че интерфейсът може да използва TLS 1.2 при комуникация с облака.

Редактиране на TLS шифри конфигурация на HTTP сървър интерфейс

За да конфигурирате необходимите шифри:

  1. Влезте в XSP|ADP и се придвижете до XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Въведете командата получаване на 443 , за да видите кои шифри вече се използват в този интерфейс. Трябва да има поне един от препоръчаните от Cisco пакети (вижте XSP|ADP Identity и Security Requirements в раздела „Общ преглед“).

  3. Въведете командата Добавяне на 443 , за да добавите шифър към интерфейса на HTTP сървъра.

    XSP|ADP CLI изисква име на стандартен пакет за шифроване IANA, не име на пакета за шифроване openSSL. Например, за да добавите шифъра openSSL ECDHE-ECDSA-CHACHA20-POLY1305 към интерфейса на HTTP сървъра, ще използвате: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>добавете 192.0.2.7 443 TLS ECDHE__ECDSA_С_CHACHA20_POLY1305

    Вижте https://ciphersuite.info/ да намерите суита по двете имена.

Конфигуриране на управлението на устройства на XSP|ADP, сървър за приложения и сървър за профили

Сървърът на профила и XSP|ADP са задължителни за управлението на устройства. Те трябва да бъдат конфигурирани според инструкциите в ръководството за конфигуриране на управлението на устройства на BroadWorks.