Požadavky na společný pobyt

• Ověřovací služba musí být souběžná s aplikacemi Xsi, protože tato rozhraní musí přijímat tokeny s dlouhou životností pro autorizaci služby. Ověřovací služba je nutná k ověření těchto tokenů.

• Ověřovací služba a Xsi mohou v případě potřeby běžet na stejném portu.

• Můžete oddělit ostatní services/applications dle požadavků vašeho měřítka (například ADP farma|XSP pro správu vyhrazených zařízení).

• Můžete společně lokalizovat aplikace Xsi, CTI, Authentication Service a DMS.

• Neinstalujte na ADP XSP|jiné aplikace ani služby, které se používají k integraci BroadWorks s Webexem.

• Neumísťujte aplikaci serveru NPS společně s žádnými jinými aplikacemi.

Rozhraní Xsi

Nainstalujte a nakonfigurujte aplikace Xsi-Actions a Xsi-Events, jak je popsáno v Příručce pro konfiguraci rozhraní Cisco BroadWorks Xtended Services.

Na XSP|ADP používaném pro rozhraní CTI by měla být nasazena pouze jedna instance aplikací Xsi-Events.

Všechny události Xsi používané pro integraci Broadworks s Webexem musí mít stejný název callControlApplicationName definovaný v Applications/Xsi-Events/GeneralSettings. Příklad:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Když se uživatel přihlásí do Webexu, Webex pro něj v autonomním systému vytvoří předplatné, aby mohl přijímat telefonní události týkající se přítomnosti a historie hovorů. Předplatné je přidruženo k názvu callControlApplicationName a AS jej používá k určení, kterým Xsi-Events má odesílat telefonní události.

Konfigurace ověřovací služby (s ověřením tokenu CI)

Tento postup slouží ke konfiguraci ověřovací služby tak, aby používala ověřování tokenu CI s protokolem TLS. Tato metoda ověřování se doporučuje, pokud používáte R22 nebo vyšší a váš systém ji podporuje.

1. Získání přihlašovacích údajů OAuth pro váš Webex pro Cisco BroadWorks.

2. Nainstalujte následující záplaty na každý ADP server XSP|. Nainstalujte opravy, které jsou vhodné pro vaše vydání:

   • Pro R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Pro R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Pro R24 – není nutná žádná oprava

   Jakýkoli odkaz na XSP zahrnuje buď XSP, nebo ADP.

3. Nainstalujte aplikaci AuthenticationService na každou službu XSP|ADP.

   1. Spusťte následující příkaz pro aktivaci aplikace AuthenticationService na XSP|ADP pro /authService kontextová cesta.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Spuštěním tohoto příkazu nasadíte službu AuthenticationService na serveru XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. Počínaje verzí Broadworks 2022.10 se certifikační autority dodávané s Javou již při přechodu na novou verzi Javy automaticky nezahrnují do úložiště důvěryhodných certifikátů Broadworks. Služba AuthenticationService otevírá připojení TLS k Webexu, aby načetla přístupový token, a pro ověření adresy URL IDBrokeru a Webexu potřebuje mít ve svém úložišti důvěryhodných certifikátů následující:

   • IdenTrust Commercial Root CA 1

   • Kořenová certifikační autorita GoDaddy – G2

   Ověřte, zda jsou tyto certifikáty přítomny v následujícím rozhraní CLI.

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Pokud není k dispozici, spusťte následující příkaz pro import výchozích vztahů důvěryhodnosti Java:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Případně můžete tyto certifikáty ručně přidat jako důvěryhodné kotvy pomocí následujícího příkazu:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Pokud je ADP upgradován z předchozí verze, certifikační autority ze staré verze se automaticky importují do nové verze a budou importovány i nadále, dokud nebudou ručně odebrány.

   Aplikace AuthenticationService je vyňata z nastavení validatePeerIdentity v rámci ADP_CLI/System/SSLCommonSettings/GeneralSettings, a vždy ověřuje identitu partnera. Další informace o tomto nastavení naleznete v dokumentu Cisco Broadworks X509 Certificate Validation FD.

5. Nakonfigurujte poskytovatele identity spuštěním následujících příkazů na každém serveru XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName —Do pole URLzadejte adresu URL s názvem vydavatele (IssuerName), která se vztahuje k vašemu clusteru CI. Viz následující tabulka.

   • set issuerUrl —Do pole URLzadejte adresu IssuerUrl, která se vztahuje k vašemu clusteru CI. Viz následující tabulka.

   • set tokenInfoUrl – Zadejte adresu URL proxy idP, která se vztahuje na váš cluster Teams. Viz druhá tabulka, která následuje.

   Tabulka 1. Nastavit název_vydavatele a URL_vydavatele

   Pokud je cluster CI...	Nastavte název_issuera a URL_issuera na...
   US-A	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   US-B	https://idbroker-b-us.webex.com/idb
   Pokud neznáte svůj CI cluster, můžete tyto informace získat z údajů o zákazníkovi v zobrazení Help Desk v Control Hub.

   Tabulka 2. Nastavit URL s informacemi o tokenu

   Pokud je cluster Teams...	Nastavit tokenInfoURL na...(URL proxy serveru IdP)
   Moderátor	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Moderátor	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   MODERÁTOR	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Pokud neznáte svůj cluster Teams, můžete tyto informace získat z údajů o zákazníkovi v zobrazení Help Desk v Control Hub. Pro testování můžete ověřit platnost adresy tokenInfoURL nahrazením části „idp/authenticate“ adresy URL za „ping“.

6. Zadejte oprávnění Webex, které musí být přítomno v profilu uživatele ve Webexu spuštěním následujícího příkazu:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Nakonfigurujte poskytovatele identit pro Cisco Federation pomocí následujících příkazů na každém serveru XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Spuštěním následujícího příkazu ověřte, zda konfigurace FLS funguje. Tento příkaz vrátí seznam zprostředkovatelů identity:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Nakonfigurujte správu tokenů pomocí následujících příkazů na každém ADP serveru XSP|:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. Generování a sdílení klíčů RSA. Musíte vygenerovat klíče na jednom XSP|ADP a poté je zkopírovat do všech ostatních XSP|ADP. To je způsobeno následujícími faktory:

    • Pro šifrování a dešifrování tokenu ve všech instancích ověřovací služby je nutné použít stejné páry veřejného a privátního klíče.

    • Pár klíčů je generován ověřovací službou při prvním požadavku na vydání tokenu.

    Pokud cyklicky přepínáte klíče nebo měníte délku klíče, je nutné zopakovat následující konfiguraci a restartovat všechny XSP|ADP.

    1. Vyberte jeden XSP|ADP, který se má použít pro generování páru klíčů.

    2. Použijte klienta k vyžádání šifrovaného tokenu z daného XSP|ADP vyžádáním následující adresy URL z prohlížeče klienta:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Tím se vygeneruje soukromý / pár veřejných klíčů na XSP|ADP, pokud již žádný nebyl)

    3. Umístění úložiště klíčů nelze konfigurovat. Export klíčů:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Zkopírujte exportovaný soubor /var/broadworks/tmp/authService.keys do stejného umístění na ostatních XSP|ADP a v případě potřeby přepište starší soubor .keys.

    5. Importujte klíče na každém z ostatních XSP|ADP:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Zadejte adresu URL authService webového kontejneru. Webový kontejner XSP|ADP potřebuje URL adresu authService, aby mohl ověřovat tokeny. Na každém z XSP|ADP:

    1. Přidejte adresu URL ověřovací služby jako externí ověřovací službu pro nástroj BroadWorks Communications Utility:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Přidejte adresu URL ověřovací služby do kontejneru:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       To umožňuje Webexu používat ověřovací službu k ověřování tokenů prezentovaných jako přihlašovací údaje.

    3. Zkontrolujte parametr pomocí get.

    4. Restartujte XSP|ADP.

Odebrání požadavku na ověření klienta pro ověřovací službu (pouze R24)

Pokud máte ověřovací službu nakonfigurovanou s ověřováním tokenu CI na R24, musíte také odebrat požadavek na ověření klienta pro ověřovací službu. Spusťte následující příkaz rozhraní příkazového řádku:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Konfigurace protokolů TLS a šifer v rozhraních HTTP (pro XSI a ověřovací službu)

Aplikace Ověřovací služba, Xsi-Actions a Xsi-Events používají serverová rozhraní HTTP. Úrovně konfigurovatelnosti protokolu TLS pro tyto aplikace jsou následující:

Nejobecnější = Přenos systémových > > rozhraní HTTP > HTTP Server = Nejspecifičtější

Kontexty rozhraní příkazového řádku, které používáte k zobrazení nebo úpravě různých nastavení SSL, jsou:

Čtení konfigurace rozhraní TLS HTTP serveru na XSP|ADP

1. Přihlaste se do XSP|ADP a přejděte na XSP|ADP_CLI/Interface/Http/HttpServer>

2. Zadejte příkaz get a přečtěte si výsledky. Měli byste vidět rozhraní (IP adresy) a pro každé z nich, zda jsou zabezpečená a zda vyžadují ověření klienta.

Apache tomcat nařizuje certifikát pro každé zabezpečené rozhraní; systém vygeneruje certifikát podepsaný svým držitelem, pokud jej potřebuje.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Přidání protokolu TLS 1.2 do rozhraní serveru HTTP

Rozhraní HTTP, které spolupracuje s webex cloudem, musí být nakonfigurováno pro TLSv1.2. Cloud nevyjednává starší verze protokolu TLS.

Konfigurace protokolu TLSv1.2 v rozhraní serveru HTTP:

1. Přihlaste se do XSP|ADP a přejděte na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Zadejte příkaz get 443 a zjistěte, které protokoly se na tomto rozhraní již používají.

3. Zadejte příkaz add 443 TLSv1.2, abyste zajistili, že rozhraní může při komunikaci s cloudem používat TLS 1.2.

Úprava konfigurace šifer TLS v rozhraní serveru HTTP

Konfigurace požadovaných šifer:

1. Přihlaste se do XSP|ADP a přejděte na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Zadejte příkaz get 443 a zjistěte, které šifry se na tomto rozhraní již používají. Musí existovat alespoň jeden z doporučených sad Cisco (viz XSP|Požadavky na identitu a zabezpečení ADP v části Přehled).

3. Zadejte příkaz add 443 pro přidání šifry do rozhraní HTTP serveru.

   Rozhraní CLI XSP|ADP vyžaduje standardní název šifrovací sady IANA, nikoli název šifrovací sady openSSL. Například pro přidání šifry openSSL ECDHE-ECDSA-CHACHA20-POLY1305 do rozhraní HTTP serveru byste použili: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Podívejte https://ciphersuite.info/ se, jak najít sadu podle obou jmen.

Konfigurace správy zařízení na XSP|ADP, aplikačním serveru a profilovém serveru

Profilový server a XSP|ADP jsou pro správu zařízení povinné. Musí být nakonfigurovány podle pokynů v BroadWorks Device Management Configuration Guide.