Přehled ověřovacího proxy serveru NPS

Tento článek popisuje, jak nakonfigurovat sdílený server NPS tak, aby používal ověřovací proxy server NPS, aby jej bylo možné také použít k odesílání oznámení hovorů do aplikací Webex. Pokud server NPS nepodporuje jiné aplikace, můžete postupovat podle zjednodušeného postupu v příručce k řešení Webex pro Broadworks https://help.webex.com/z9gt5j.

Přehled proxy serveru NPS

Pro kompatibilitu se službou Webex pro Broadworks musí být server NPS opravený, aby podporoval funkci proxy serveru NPS, Push server pro VoIP v řešení UC S.

Tato funkce implementuje nový design serveru Notification Push Server, aby vyřešila zranitelnost zabezpečení při sdílení soukromých klíčů certifikátu push Notification s poskytovateli služeb pro mobilní klienty. Místo sdílení certifikátů a klíčů push notifikace s poskytovatelem služeb používá server NPS nové rozhraní API k získání krátkodobého tokenu push notifikace z backendu UC S a používá tento token k ověření se službami Apple APNS a Google FCM.

Tato funkce také zvyšuje schopnost serveru Notification Push Server odesílat oznámení do zařízení Android prostřednictvím nového rozhraní API Google Firebase Cloud Messaging (FCM) <UNK> v1.

Předpoklady serveru proxy ověřování NPS

XSP (nebo Application Delivery Platform ADP), který je hostitelem serveru NPS, musí splňovat následující požadavky:

Minimální verze a omezení společného pobytu

  • Server NPS musí být aktivován na vyhrazeném serveru XSP/ADP a server NPS musí být jedinou hostovanou aplikací na serveru. Tím se eliminuje rušení při doručování Push notifikací.

  • V nasazení by měla být pouze jedna aplikace NPS. Pokud používáte mobilní aplikaci UC-One Collaboration/Connect nebo UC-One Saas a implementujete aplikaci Webex pro Broadworks, musíte tento jediný server NPS sdílet pro všechny aplikace.

  • Server NPS musí být ve verzi R22 nebo novější XSP nebo ADP.

    R22/R23 XSP je kompatibilní se zásobníkem R21, pokud XSP běží pouze na serveru NPS a AS je R21.SP1. Další informace najdete v tabulce kompatibility Broadworks.

  • Více informací na serveru ADP naleznete na adrese https://xchange.broadsoft.com/node/1051580.

Sdílený server NPS

Před konfigurací sdíleného serveru NPS pro použití proxy serveru NPS si přečtěte tyto poznámky:

  • Pokud je server NPS používán s jinými aplikacemi (nejen s aplikací Webex): Nejprve nakonfigurujte proxy server NPS a poté změňte server NPS z použití staršího rozhraní FCM API na použití rozhraní FCM HTTP v1 API.

  • Poté, co ověříte, že oznámení fungují správně pro starší aplikace pomocí proxy serveru NPS, odstraňte klíč rozhraní FCM API pro aplikaci Android a ověřovací klíč APNS pro aplikaci iOS.

APNS HTTP/2

  • Pokud jste nasadili některé aplikace iOS, které nejsou od společnosti Cisco/Broadsoft, před konfigurací proxy serveru NPS nakonfigurujte tyto aplikace tak, aby používaly protokol HTTP/2 APNS.

  • XSP/ADPs, které již podporují aplikaci Collaborate nebo Saas Broadworks, je třeba migrovat na protokol HTTP/2. Podrobné informace o konfiguraci protokolu HTTP/2 naleznete v tématu Podpora serveru nabízených oznámení pro APNS (migrace serveru NPS na podporu těchto aplikací iOS je shrnuta v tomto článku).

Android F<UNK> v1

  • Pokud jste nasadili některé aplikace pro Android, které nejsou od společnosti Cisco/Broadsoft, před konfigurací proxy serveru NPS nakonfigurujte tyto aplikace tak, aby používaly klíče F<UNK> v1.

  • Pokud server XSP/ADP aktuálně podporuje aplikaci Connect nebo UC-One Saas, povolte klíče F<UNK> v1 po konfiguraci proxy serveru NPS. Doporučujeme migrovat všechny další aplikace na klíče F<UNK> v1, povolit a otestovat a poté zakázat, dokud nebudete připraveni dokončit pokyny pro nastavení (migrační tok je zdokumentován v tomto článku).

Shrnutí migrace proxy serveru NPS
Vizuální shrnutí migrace na ověřovací proxy server NPS
Tabulka 1. Souhrn úloh pro migraci na proxy server NPS

Pořadí

Název úkolu

Kdy/proč je úkol vyžadován?

1

Migrujte server NPS do protokolu HTTP/2 pro aplikace UC-One Saas (nebo Connect) pro systém ios.

Pokud server NPS tyto aplikace podporuje a zatím nejsou nakonfigurovány pro protokol HTTP/2.

2

Migrujte server NPS na verzi F<UNK> v1 pro aplikace UC-One Saas (nebo Connect) pro Android.

Pokud server NPS tyto aplikace podporuje a zatím nejsou nakonfigurovány pro F<UNK> v1.

3

Povolte režim F<UNK> v1 a otestujte nabízená oznámení.

Pokud server NPS podporuje aplikaci UC-One Connect a/nebo jiné aplikace pro Android (jiné než Cisco).

4

Znovu povolte starší režim FCM.

Pokud server NPS podporuje aplikaci UC-One Saas. Pokud necháte zapnutou funkci F<UNK> v1, než nakonfigurujete proxy server NPS, nabízená oznámení do aplikace UC-One Saas začnou selhávat.

5

Nainstalujte opravy ověřovacího proxy serveru NPS.

Pokud je server NPS na XSP R22 nebo XSP R23.

6

Nakonfigurujte server NPS pro použití ověřovacího proxy serveru NPS:

  • Připojte technickou podporu z NPS

  • Požádat o účet CI OAuth

  • Vytvořte účet CI na serveru NPS a nakonfigurujte časový limit obnovovacího tokenu

  • Přidat ID aplikace pro Android

  • Přidat ID aplikace iOS

  • Zkontrolovat/nastavit <UNK> a časový limit připojení

  • Přidat aplikace do seznamu povolených položek AS

  • (Znovu) Povolit F<UNK> v1

  • Restartovat XSP / ADP

  • Test PNpro aplikace iOS a Android

Vždy vyžadováno.

7

Odeberte klíče staršího režimu FCM.

Pro aplikace, které jsou úspěšně podporovány serverem NPS na platformě F<UNK> v1.
Migrovat aplikace Broadworks Collaboration pro iOS do protokolu HTTP/2

Tato úloha je povinná pro nabízená oznámení aplikacím UC-One Saas a Webex na platformách iOS.

Než začnete

Pokud váš XSP běží R22, musíte použít ap354313, než budete moci nakonfigurovat aplikaci NPS tak, aby používala protokol HTTP/2 pro APNS.

1

Nastavte produkční adresu URL a parametry připojení na XSP_CLI/Applications/NotificationPushServer/APNS/Production>

set url https://api.push.apple.com/3/device

set connectionPoolSize 2

set connectionTimeout 3000

set connectionIdleTimeoutInSeconds 600

Poznámka: Nenastavujte časový limit připojení pod 1000.

2

Přidejte aplikační IDS do kontextu aplikací APNS a nezapomeňte vynechat ověřovací klíč – nastavte jej na prázdný.

Pro UC-One Saas: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.broadsoft.uc-one

Pro aplikaci Webex: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

3

Zkontrolujte ověřovací klíče pomocí XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> get

4

Pokud ověřovací klíč není prázdný pro com.broadsoft.uc-one, můžete to vyčistit pomocí XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> clear the-authkey

5

Povolit protokol HTTP/2:

XSP_CLI/Applications/NotificationPushServer/APNS/GeneralSettings> set HTTP2Enabled true

6

Pouze pro aplikace UC-One Saas: Přihlaste se k portálu prodejce a přejděte na (ROZCESTNÍK) Nastavení > Broadworks > .

7

Posuňte se dolů do části Server nabízených oznámení, vyberte verzi (např. Release 22) a postupujte podle pokynů uvedených na portálu.

Migrovat aplikace Broadworks UC-One Connect / Saas pro Android do F<UNK> v1

  • Tato úloha platí pro server NPS na serveru XSP. Ignorujte ji, pokud je server NPS na platformě ADP.

  • Tento postup můžete použít pro migraci do oznámení F<UNK> v1 pro aplikace UC-One Connect nebo UC-One Saas Android.

  • Pokud chcete proxy server NPS použít k ověřování nabízených oznámení do aplikací UC-One nebo Webex pro Android, musíte použít protokol F<UNK> v1.

  • Tato úloha připraví server NPS pro server F<UNK> v1, abyste jej mohli povolit jako součást konfigurace ověřovacího proxy serveru NPS. Nepovolujte protokol F<UNK> v1, dokud nebudete připraveni nakonfigurovat ověřovací proxy server NPS, jinak se oznámení klientům Saas nezdaří.

1

Získání ID projektu z konzole Firebase:

  1. Přihlaste se na console.firebase.google.com.

  2. Vyberte projekt aplikace UC-One (Connect nebo Saas) a otevřete jeho nastavení.

  3. Otevřete kartu General a zaznamenejte ID projektu.

2

Získejte soukromý klíč účtu služby z Firebase:

  1. V nastavení projektu přejděte na kartu Servisní účty.

  2. Buď vytvořte nový účet služby a získejte jeho soukromý klíč.

  3. Nebo otevřete existující účet služby a vygenerujte pro něj nový soukromý klíč.

    Poznámka: Účet služby musí mít oprávnění firebaseadmin-sdk.

  4. Stáhněte klíč do zabezpečeného umístění.

3

Zkopírujte klíč na server XSP hostující server NPS.

4

Přidejte ID projektu a přidružený soukromý klíč do kontextu projektů FCM:

XSP_CLI/Applications/NotificationPushServer/FCM/Projects> add project-id path/to/keyfile

5

Přidejte aplikaci UC-One (Connect nebo Saas) a přidružené ID projektu do kontextu aplikací FCM:

XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.broadsoft.connect projectId project-id

6

Zkontrolujte konfiguraci FCM podle zde uvedených atributů a doporučených hodnot. Použít set verze příkazu ke změně hodnot v případě potřeby:

Spusťte XSP_CLI/Applications/NotificationPushServer/FCM> get

Parametr

Doporučená hodnota

authURL

https://www.googleapis.com/oauth2/v4/token

pushURL

https://fcm.googleapis.com/v1/projects/PROJECT-ID/messages:send

scope

https://www.googleapis.com/auth/firebase.messaging

tokenTimeToLiveInSeconds

3600 (číslo)

connectionPoolSize

10

connectionTimeoutInMilliseconds

3000

connectionIdleTimeoutInSeconds

600 kusů

Migrovat aplikace Broadworks UC-One Connect / Saas pro Android do F<UNK> v1 (na ADP)

  • Tato úloha platí pro server NPS v síti ADP. Ignorujte ji, pokud je server NPS na XSP.

  • Tento postup můžete použít pro migraci do oznámení F<UNK> v1 pro aplikace UC-One Connect nebo UC-One Saas Android.

  • Pokud chcete proxy server NPS použít k ověřování nabízených oznámení do aplikací UC-One nebo Webex pro Android, musíte použít protokol F<UNK> v1.

  • Tato úloha připraví server NPS pro server F<UNK> v1, abyste jej mohli povolit jako součást konfigurace ověřovacího proxy serveru NPS. Nepovolujte protokol F<UNK> v1, dokud nebudete připraveni nakonfigurovat ověřovací proxy server NPS, jinak se oznámení klientům Saas nezdaří.

1

Získání ID projektu z konzole Firebase:

  1. Přihlaste se na console.firebase.google.com.

  2. Vyberte projekt aplikace UC-One (Connect nebo Saas) a otevřete jeho nastavení.

  3. Otevřete kartu General a zaznamenejte ID projektu.

2

Získejte soukromý klíč účtu služby z Firebase:

  1. V nastavení projektu přejděte na kartu Servisní účty.

  2. Buď vytvořte nový účet služby a získejte jeho soukromý klíč.

  3. Nebo otevřete existující účet služby a vygenerujte pro něj nový soukromý klíč.

    Poznámka: Účet služby musí mít oprávnění firebaseadmin-sdk.

  4. Stáhněte klíč (soubor .json) do zabezpečeného umístění.

3

Importovat soubor .json na server ADP /bw/install.

4

Přihlaste se k rozhraní příkazového řádku ADP a přidejte projekt a klíč rozhraní API do kontextu projektů FCM:

ADP_CLI/Applications/NotificationPushServer/FCM/Projects> add connect-ucaas /bw/install/filename.json

5

Přidejte ID aplikace a projektu do kontextu aplikací FCM:

ADP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.broadsoft.ucaas.connect projectId project-id

6

Ověřte konfiguraci:

ADP_CLI/Applications/NotificationPushServer/FCM/Projects> get
Project ID Accountkey
========================
connect-ucaas ********
ADP_CLI/Applications/NotificationPushServer/FCM/Applications> get
Application ID Project ID
===================================
com.broadsoft.ucaas.connect connect-ucaas
Znovu povolit starší režim FCM

Tuto akci musíte provést (jako součást migrace), pouze pokud:

  • Server NPS se používá pro aplikace UC-One Saas nebo Broadworks Connect pro Android.

  • Již jste otestovali, že oznámení nabízených hovorů jiným aplikacím pracují s rozhraním F<UNK> v1 API.

Dočasně zakazujete funkci F<UNK> v1, protože klíče F<UNK> v1 pro tyto aplikace musí být povoleny pouze během procesu konfigurace ověřovacího proxy serveru NPS.

1

Přihlaste se k XSP hostujícímu sdílený server NPS.

2

Přejděte do kontextu FCM a zakažte FCM v1: XSP_CLI/Applications/NotificationPushServer/FCM> set V1enabled false chcete-li se vrátit k použití klíče staršího rozhraní API FCM.

Instalace oprav ověřovacího proxy serveru NPS
Konfigurace serveru NPS pro použití ověřovacího proxy serveru
1

Vytvořte požadavek na službu se svým kontaktem pro registraci nebo službou TAC, abyste mohli zřídit účet klienta OAuth (Webex Common Identity). Nastavte název konfigurace serveru NPS pro nastavení autorizovaného proxy serveru.

Společnost Cisco vám poskytne ID klienta OAuth, tajný klíč klienta a obnovovací token platný po dobu 60 dnů. Pokud platnost tokenu vyprší před jeho použitím se serverem NPS, můžete vyvolat další požadavek.
2

Vytvořte účet klienta na serveru NPS:

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set clientId client-Id-From-Step1

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set clientSecret
New Password: client-Secret-From-Step1

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set RefreshToken
New Password: Refresh-Token-From-Step1

Chcete-li ověřit hodnoty, které jste zadali, že odpovídají zadaným hodnotám, spusťte XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> get

3

Zadejte adresu URL proxy serveru NPS a nastavte interval obnovování tokenu (doporučeno 30 minut):

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set url https://nps.uc-one.broadsoft.com/nps/

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set VOIPTokenRefreshInterval 1800

4

(Pro oznámení systému Android) Přidejte IDS aplikace Android do kontextu aplikací FCM na serveru NPS.

Pro aplikaci Webex v systému Android: XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add com.cisco.wx2.android

Pro aplikaci UC-One v systému Android: XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add com.broadsoft.connect

5

(Pro oznámení Apple iOS) Přidejte ID aplikace do kontextu aplikací APNS a vynechejte ověřovací klíč – nastavte jej na prázdný.

Pro aplikaci Webex v systému iOS: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

Pro aplikaci UC-One v systému iOS: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

6

Nakonfigurujte následující NPS <UNK>:

Kontext rozhraní příkazového řádku XSP

Parametr

Hodnota

XSP_CLI/Applications/NotificationPushServer/FCM>

authURL

https://www.googleapis.com/oauth2/v4/token

pushURL

https://fcm.googleapis.com/v1/projects//messages:send

scope

https://www.googleapis.com/auth/firebase.messaging

XSP_CLI/Applications/NotificationPushServer/APNS/Production>

url

https://api.push.apple.com/3/device

7

Nakonfigurujte následující parametry připojení NPS na zobrazené doporučené hodnoty:

Kontext rozhraní příkazového řádku XSP

Parametr

Hodnota

XSP_CLI/Applications/NotificationPushServer/FCM>

tokenTimeToLiveInSeconds

3600 (číslo)

connectionPoolSize

10

connectionTimeoutInMilliseconds

3000

connectionIdleTimeoutInSeconds

600 kusů

XSP_CLI/Applications/NotificationPushServer/APNS/Production>

connectionTimeout

3000

connectionPoolSize

2

connectionIdleTimeoutInSeconds

600 kusů

8

Zkontrolujte, zda aplikační server kontroluje IDS aplikací, protože možná budete muset přidat aplikace Webex do seznamu povolených položek:

  1. Spusťte AS_CLI/System/PushNotification> get a zkontrolujte hodnotu enforceAllowedApplicationList. Pokud je true, musíte dokončit tento dílčí úkol. Jinak přeskočte zbytek dílčího úkolu.

  2. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.wx2.android “Webex Android”

  3. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.squared “Webex iOS”

Restartujte server NPS a otestujte nabízená oznámení
1

Restartovat soubor XSP:

bwrestart
2

Otestujte oznámení hovorů do systému Android uskutečněním hovorů od předplatitele Broadworks do volajícího klienta v systému Android. Ověřte, zda se v zařízení se systémem Android zobrazí oznámení o hovoru.

Poznámka: Pokud se nabízená oznámení pro aplikaci UC-One pro Android nezdaří, je možné, že došlo k nesprávné konfiguraci. Pokud je to vaše situace, můžete se vrátit ke starší verzi FCM následovně:

  1. Zakázat F<UNK> v1: XSP_CLI/Applications/NotificationPushServer/FCM> set V1Enabled false

  2. Restartovat XSP: bwrestart

  3. Zkontrolujte konfiguraci.

  4. Znovu povolte F<UNK> v1 a restartujte XSP.

  5. Test opakujte.

3

Otestujte oznámení hovorů do systému iOS uskutečněním hovorů od předplatitele služby Broadworks do volajícího klienta v systému iOS. Ověřte, zda se na zařízení se systémem iOS zobrazuje oznámení o hovoru.

Poznámka: Pokud se nabízená oznámení pro aplikaci UC-One iOS nezačnou zobrazovat, je možné, že došlo k chybě konfigurace. Pokud je to vaše situace, můžete se vrátit ke staršímu binárnímu rozhraní pomocí set HTTP2Enabled false