Přehled proxy serveru nps pro ověřování


Tento článek popisuje, jak nakonfigurovat sdílený server NPS tak, aby používal proxy server pro ověřování serveru NPS, aby se dal také použít k nabízení oznámení o volání do aplikací Webex. Pokud váš server NPS nepodporuje jiné aplikace, můžete postupovat podle zjednodušeného postupu v Průvodci https://help.webex.com/z9gt5jřešením Webex for BroadWorks .

Proxy server NPS – přehled

Z důvodu kompatibility s Webexem pro BroadWorks musí být váš server NPS opraven tak, aby podporoval funkci proxy serveru NPS, Push Server pro VoIP v UCaaS.

Tato funkce implementuje nový návrh serveru Notification Push Server, který řeší chybu zabezpečení sdílení soukromých klíčů certifikátu nabízených oznámení s poskytovateli služeb pro mobilní klienty. Namísto sdílení certifikátů a klíčů nabízených oznámení s poskytovatelem služeb používá server NPS nové rozhraní API k získání tokenu nabízených oznámení s krátkou životností z back-endu UCaaS a používá tento token k ověřování pomocí služeb Apple APNs a Google FCM.

Tato funkce také vylepšuje schopnost serveru Notification Push Server nabízet oznámení do zařízení Android prostřednictvím nového rozhraní Google Firebase Cloud Messaging (FCM) HTTPv1 API.

XSP (nebo Application Delivery Platform ADP), který je hostitelem serveru NPS, musí splňovat následující požadavky:

Minimální verze a omezení společného pobytu

  • Server NPS musí být aktivován ve vyhrazeném XSP/ADP a server NPS musí být jedinou hostovanou aplikací na serveru. To má eliminovat rušení doručování Push notifikací.

  • V nasazení by měla být jenom jedna aplikace NPS. Pokud používáte mobilní UC-One Collaborate/Connect a nebo UC-One SaaS a implementujete Webex pro BroadWorks, musíte sdílet tento jediný NPS pro všechny aplikace.

  • Server NPS musí být ve verzi R22 nebo novější XSP nebo ADP.

    R22/R23 XSP je kompatibilní se zásobníkem R21, pokud XSP spouští pouze SERVER NPS a AS je R21. SP1. Další informace naleznete v matici kompatibility BroadWorks.

  • Více informací o ADP serveru naleznete na . https://xchange.broadsoft.com/node/1051580

Sdílený server NPS

Před konfigurací sdíleného serveru NPS pro použití proxy serveru NPS si přečtěte tyto poznámky:

  • Pokud se váš server NPS používá s jinými aplikacemi (nejen s aplikací Webex): Nejprve nakonfigurujte proxy server NPS a pak změňte server NPS z použití starší verze rozhraní API FCM na použití rozhraní API FCM HTTP v1.

  • Po ověření, že oznámení fungují správně pro starší aplikace s proxy serverem NPS, odeberte klíč rozhraní API FCM pro aplikaci pro Android a ověřovací klíč APNs pro aplikaci pro iOS.

APNs HTTP/2

  • Pokud jste nasadili nějaké aplikace pro iOS, které nejsou od společnosti Cisco/BroadSoft, nakonfigurujte tyto aplikace tak, aby používaly protokol HTTP/2 APNS před konfigurací serveru NPS pro použití proxy serveru NPS.

  • XSP/ADP, které už podporují aplikaci Collaborate nebo SaaS BroadWorks, je potřeba migrovat na HTTP/2. Podrobné informace o konfiguraci protokolu HTTP/2 najdete v tématu Podpora protokolu HTTP/2 pro server nabízených oznámení pro APNS (migrace serveru NPS pro podporu těchto aplikací pro iOS je shrnutá v tomto článku).

Android FCMv1

  • Pokud jste nasadili nějaké aplikace pro Android, které nejsou od společnosti Cisco/BroadSoft, nakonfigurujte tyto aplikace tak, aby používaly klíče FCMv1 před konfigurací serveru NPS pro použití proxy serveru NPS.

  • Pokud XSP/ADP aktuálně podporuje aplikaci Connect nebo UC-One SaaS, povolte po konfiguraci proxy serveru NPS klíče FCMv1. Doporučujeme migrovat všechny další aplikace do klíčů FCMv1, povolit a otestovat a pak zakázat, dokud nebudete připraveni dokončit pokyny k nastavení (tok migrace je popsaný v tomto článku).

Obrázek 1. Vizuální souhrn migrace na proxy ověřování serveru NPS
Tabulka 1. Souhrn úloh migrace na proxy server NPS

Posloupnost

Název úkolu

Kdy/proč je úkol vyžadován?

1

Migrujte SERVER NPS na protokol HTTP/2 pro aplikace UC-One SaaS (nebo Connect) pro iOS.

Pokud server NPS tyto aplikace podporuje a ještě nejsou nakonfigurované pro protokol HTTP/2.

2

Migrujte server NPS na FCMv1 pro aplikace UC-One SaaS (nebo Connect) pro Android.

Pokud server NPS tyto aplikace podporuje a ještě nejsou nakonfigurované pro FCMv1.

3

Povolte režim FCMv1 a otestujte nabízená oznámení.

Pokud server NPS podporuje UC-One Connect a/nebo jiné aplikace pro Android (jiné než Cisco).

4

Znovu povolte starší režim FCM.

Pokud server NPS podporuje UC-One SaaS. Pokud necháte FCMv1 zapnutý, před konfigurací proxy serveru NPS se začnou zobrazovat nabízená oznámení do UC-One SaaS.

5

Nainstalujte opravy proxy serveru pro ověřování serveru NPS.

Pokud je server NPS na XSP R22 nebo XSP R23.

6

Nakonfigurujte server NPS tak, aby používal proxy pro ověřování serveru NPS:

  • Připojení technické podpory z serveru NPS

  • Žádost o účet CI OAuth

  • Vytvoření účtu CI na serveru NPS a konfigurace časového limitu aktualizačního tokenu

  • Přidání ID aplikací pro Android

  • Přidání ID aplikací pro iOS

  • Kontrola/nastavení adres URL a časových limitů připojení

  • Přidání aplikací do seznamu povolených aplikací AS

  • (Re-) Povolit FCMv1

  • Restartujte XSP / ADP

  • Testování PN pro aplikace pro iOS a Android

Vždy vyžadováno.

7

Odeberte starší klíče režimu FCM.

Pro aplikace, které jsou úspěšně podporovány serverem NPS na FCMv1.

Tato úloha je povinná pro nabízená oznámení do aplikací UC-One SaaS a Webex na platformách iOS.

Než začnete

Pokud váš XSP používá R22, musíte před konfigurací aplikace NPS použít ap354313 pro použití protokolu HTTP/2 pro APNS.

1

Nastavte produkční adresu URL a parametry připojení na adrese XSP_CLI/Applications/NotificationPushServer/APNS/Production>

set url https://api.push.apple.com/3/device

set connectionPoolSize 2

set connectionTimeout 3000

set connectionIdleTimeoutInSeconds 600

Poznámka: Nenastavujte časový limit připojení pod 1000.

2

Přidejte ID aplikací do kontextu aplikací APNS a nezapomeňte vynechat ověřovací klíč – nastavte jej na prázdný.

Pro UC-One SaaS: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.broadsoft.uc-one

Pro aplikaci Webex: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

3

Zkontrolujte ověřovací klíče pomocí XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> get

4

Pokud ověřovací klíč není prázdný pro com.broadsoft.uc-one, můžete jej vymazat pomocí XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> clear the-authkey

5

Povolit protokol HTTP/2:

XSP_CLI/Applications/NotificationPushServer/APNS/GeneralSettings> set HTTP2Enabled true

6

Pouze pro aplikace UC-One SaaS: Přihlaste se k portálu pro prodejce a přejděte na configuration > BroadWorks > .

7

Posuňte se dolů do části Notification Push Server a vyberte svou verzi (např. Verze 22) a postupujte podle pokynů uvedených na portálu.

  • Tato úloha se vztahuje na server NPS na XSP. Ignorujte ji, pokud je server NPS na ADP.

  • Tento postup můžete použít pro migraci na oznámení FCMv1 pro aplikace UC-One Connect nebo UC-One SaaS pro Android.

  • FCMv1 musíte použít, pokud chcete použít proxy server NPS k ověření nabízených oznámení do UC-One nebo aplikací Webex pro Android.

  • Tato úloha připraví server NPS pro protokol FCMv1, abyste jej mohli povolit jako součást konfigurace proxy serveru proxy pro ověřování serveru NPS. Nepovolujte FCMv1, dokud nebudete připraveni nakonfigurovat proxy pro ověřování SERVER NPS, jinak se oznámení klientům SaaS nezdaří.

1

Získejte ID projektu z konzole Firebase:

  1. Přihlaste se k console.firebase.google.com.

  2. Vyberte projekt aplikace UC-One (Connect nebo SaaS) a otevřete jeho nastavení projektu.

  3. Otevřete kartu Obecné a zaznamenejte ID projektu.

2

Získejte soukromý klíč účtu služby od Firebase:

  1. Přejděte na kartu Účty služeb v nastavení projektu.

  2. Buď vytvořte nový účet služby a získejte jeho soukromý klíč.

  3. Nebo otevřete existující účet služby a vygenerujte pro něj nový soukromý klíč.

    Poznámka: Účet služby musí mít oprávnění firebaseadmin-sdk .

  4. Stáhněte si klíč na bezpečné místo.

3

Zkopírujte klíč do XSP hostujícího server NPS.

4

Přidejte ID projektu a přidružený soukromý klíč do kontextu projektů FCM:

XSP_CLI/Applications/NotificationPushServer/FCM/Projects> add project-id path/to/keyfile

5

Přidejte aplikaci UC-One (Connect nebo SaaS) a přidružené ID projektu do kontextu aplikací FCM:

XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.broadsoft.connect projectId project-id

6

Zkontrolujte konfiguraci pro FCM podle atributů a doporučených hodnot, které jsou zde uvedeny. Použít set verze příkazu pro změnu hodnot v případě potřeby:

Spustit XSP_CLI/Applications/NotificationPushServer/FCM> get

Parametr

Doporučená hodnota

authURL

https://www.googleapis.com/oauth2/v4/token

pushURL

https://fcm.googleapis.com/v1/projects/PROJECT-ID/messages:send

scope

https://www.googleapis.com/auth/firebase.messaging

tokenTimeToLiveInSeconds

3600

connectionPoolSize

10

connectionTimeoutInMilliseconds

3000

connectionIdleTimeoutInSeconds

600

  • Tato úloha se vztahuje na server NPS na ADP. Ignorujte jej, pokud je server NPS na XSP.

  • Tento postup můžete použít pro migraci na oznámení FCMv1 pro aplikace UC-One Connect nebo UC-One SaaS pro Android.

  • FCMv1 musíte použít, pokud chcete použít proxy server NPS k ověření nabízených oznámení do UC-One nebo aplikací Webex pro Android.

  • Tato úloha připraví server NPS pro protokol FCMv1, abyste jej mohli povolit jako součást konfigurace proxy serveru proxy pro ověřování serveru NPS. Nepovolujte FCMv1, dokud nebudete připraveni nakonfigurovat proxy pro ověřování SERVER NPS, jinak se oznámení klientům SaaS nezdaří.

1

Získejte ID projektu z konzole Firebase:

  1. Přihlaste se k console.firebase.google.com.

  2. Vyberte projekt aplikace UC-One (Connect nebo SaaS) a otevřete jeho nastavení projektu.

  3. Otevřete kartu Obecné a zaznamenejte ID projektu.

2

Získejte soukromý klíč účtu služby od Firebase:

  1. Přejděte na kartu Účty služeb v nastavení projektu.

  2. Buď vytvořte nový účet služby a získejte jeho soukromý klíč.

  3. Nebo otevřete existující účet služby a vygenerujte pro něj nový soukromý klíč.

    Poznámka: Účet služby musí mít oprávnění firebaseadmin-sdk .

  4. Stáhněte klíč (soubor .json) do zabezpečeného umístění.

3

Import souboru .json na server ADP /bw/install.

4

Přihlaste se do rozhraní příkazového řádku ADP a přidejte klíč projektu a rozhraní API do kontextu projektů FCM:

ADP_CLI/Applications/NotificationPushServer/FCM/Projects> add connect-ucaas /bw/install/filename.json

5

Přidejte ID aplikace a projektu do kontextu aplikací FCM:

ADP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.broadsoft.ucaas.connect projectId project-id

6

Ověřte konfiguraci:

ADP_CLI/Applications/NotificationPushServer/FCM/Projects> get
Project ID Accountkey
========================
connect-ucaas ********
ADP_CLI/Applications/NotificationPushServer/FCM/Applications> get
Application ID Project ID
===================================
com.broadsoft.ucaas.connect connect-ucaas

To (jako součást migrace) stačí provést pouze v těchto případech:

  • Server NPS se používá pro uc-One SaaS nebo BroadWorks Connect aplikace pro Android.

  • Už jste testovali, že nabízená oznámení o volání do jiných aplikací fungují s rozhraním FCMv1 API.

Dočasně zakazujete FCMv1, protože klíče FCMv1 pro tyto aplikace musí být povolené jenom během procesu konfigurace proxy serveru ověřování NPS.

1

Přihlaste se k XSP hostujícímu sdílený server NPS.

2

Přejděte do kontextu FCM a zakažte FCM v1: XSP_CLI/Applications/NotificationPushServer/FCM> set V1enabled false a vraťte se k používání staršího klíče rozhraní API FCM.

1

Vytvořte žádost o službu se svým onboardingovým kontaktem nebo s TAC, abyste zřídili svůj klientský účet OAuth (Webex Common Identity). Pojmenujte požadavek na službu Konfigurace serveru NPS pro nastavení proxy serveru pro ověřování.

Společnost Cisco vám poskytne ID klienta OAuth, tajný klíč klienta a obnovovací token, který je platný po dobu 60 dnů. Pokud platnost tokenu vyprší před jeho použitím se serverem NPS, můžete vyvolat další požadavek.
2

Vytvořte klientský účet na serveru NPS:

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set clientId client-Id-From-Step1

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set clientSecret
New Password: client-Secret-From-Step1
XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set RefreshToken
New Password: Refresh-Token-From-Step1

Chcete-li ověřit, zda se zadané hodnoty shodují s tím, co jste zadali, spusťte příkaz XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> get

3

Zadejte adresu URL proxy serveru NPS a nastavte interval aktualizace tokenu (doporučuje se 30 minut):

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set url https://nps.uc-one.broadsoft.com/nps/

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set VOIPTokenRefreshInterval 1800

4

(Pro oznámení systému Android) Přidejte ID aplikací pro Android do kontextu aplikací FCM na serveru NPS.

Pro aplikaci Webex v systému Android: XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add com.cisco.wx2.android

Pro aplikaci UC-One v systému Android: XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add com.broadsoft.connect

5

(Pro oznámení Apple iOS) Přidejte ID aplikace do kontextu aplikací APNS a nezapomeňte vynechat ověřovací klíč – nastavte jej na prázdný.

Pro aplikaci Webex v systému iOS: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

Pro aplikaci UC-One v systému iOS: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

6

Nakonfigurujte následující adresy URL serveru NPS:

Tabulka 2.

Kontext rozhraní příkazového řádku XSP

Parametr

Hodnota

XSP_CLI/Applications/NotificationPushServer/FCM>

authURL

https://www.googleapis.com/oauth2/v4/token

pushURL

https://fcm.googleapis.com/v1/projects//messages:send

scope

https://www.googleapis.com/auth/firebase.messaging

XSP_CLI/Applications/NotificationPushServer/APNS/Production>

url

https://api.push.apple.com/3/device

7

Nakonfigurujte následující parametry připojení serveru NPS na zobrazené doporučené hodnoty:

Tabulka 3.

Kontext rozhraní příkazového řádku XSP

Parametr

Hodnota

XSP_CLI/Applications/NotificationPushServer/FCM>

tokenTimeToLiveInSeconds

3600

connectionPoolSize

10

connectionTimeoutInMilliseconds

3000

connectionIdleTimeoutInSeconds

600

XSP_CLI/Applications/NotificationPushServer/APNS/Production>

connectionTimeout

3000

connectionPoolSize

2

connectionIdleTimeoutInSeconds

600

8

Zkontrolujte, zda aplikační server kontroluje ID aplikací, protože možná budete muset přidat aplikace Webex do seznamu povolených aplikací:

  1. Spustit AS_CLI/System/PushNotification> get a zkontrolujte hodnotu enforceAllowedApplicationList. Pokud je true, musíte dokončit tento dílčí úkol. V opačném případě přeskočte zbytek dílčí úlohy.

  2. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.wx2.android “Webex Android”

  3. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.squared “Webex iOS”

1

Restartujte XSP:

bwrestart
2

Otestujte oznámení o volání do systému Android voláním od předplatitele BroadWorks do volajícího klienta v systému Android. Ověřte, zda se na zařízení Android zobrazuje oznámení o hovoru.

Poznámka: Pokud nabízená oznámení začnou selhávat pro aplikaci UC-One pro Android, je možné, že došlo k nesprávné konfiguraci. Pokud se jedná o vaši situaci, můžete se vrátit ke starší verzi FCM následujícím způsobem:

  1. Zakázat FCMv1: XSP_CLI/Applications/NotificationPushServer/FCM> set V1Enabled false

  2. Restartujte XSP: bwrestart

  3. Zkontrolujte konfiguraci.

  4. Znovu povolte FCMv1 a restartujte XSP.

  5. Opakujte test.

3

Otestujte oznámení o volání do iOS voláním z předplatitele BroadWorks do volajícího klienta v systému iOS. Ověřte, že se na iOS zařízení zobrazuje oznámení o hovoru.

Poznámka: Pokud nabízená oznámení začnou selhávat pro aplikaci UC-One pro iOS, je možné, že došlo k nesprávné konfiguraci. Pokud je to vaše situace, můžete se vrátit ke staršímu binárnímu rozhraní pomocí set HTTP2Enabled false