Požadavky na společný pobyt

• Ověřovací služba musí být souběžná s aplikacemi Xsi, protože tato rozhraní musí přijímat tokeny s dlouhou životností pro autorizaci služby. Ověřovací služba je nutná k ověření těchto tokenů.

• Ověřovací služba a Xsi mohou v případě potřeby běžet na stejném portu.

• Ostatní služby/aplikace můžete oddělit podle potřeby vašeho měřítka (například vyhrazená farma XSP|ADP pro správu zařízení).

• Můžete společně lokalizovat aplikace Xsi, CTI, Authentication Service a DMS.

• Na XSP ADP nenainstalujte jiné aplikace ani služby,|které se používají pro integraci BroadWorks s Webexem.

• Neumísťujte aplikaci serveru NPS společně s žádnými jinými aplikacemi.

Rozhraní Xsi

Nainstalujte a nakonfigurujte aplikace Xsi-Actions a Xsi-Events, jak je popsáno v Příručce pro konfiguraci rozhraní Cisco BroadWorks Xtended Services.

Na XSP ADP použitém pro rozhraní CTI|by měla být nasazena pouze jedna instance aplikací Xsi-Events.

Všechny události Xsi-Events používané k integraci Broadworks s Webexem musí mít stejný název callControlApplicationName definovaný v části Applications/Xsi-Events/GeneralSettings. Příklad:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> Dostat

callControlApplicationName = com.broadsoft.xsi-events

Když je uživatel zaregistrován do služby Webex, Webex vytvoří pro uživatele v AS předplatné, aby mohl přijímat telefonické události pro přítomnost a historii volání. Předplatné je přidruženo k položce callControlApplicationName a AS jej používá ke zjištění, kterým Xsi-Events mají být odeslány telefonické události.

Konfigurace ověřovací služby (s ověřením tokenu CI)

Tento postup slouží ke konfiguraci ověřovací služby tak, aby používala ověřování tokenu CI s protokolem TLS. Tato metoda ověřování se doporučuje, pokud používáte R22 nebo vyšší a váš systém ji podporuje.

1. Získání přihlašovacích údajů OAuth pro vaši aplikaci Webex pro Cisco BroadWorks.

2. Na každý server XSP|ADP nainstalujte následující opravy. Nainstalujte opravy, které jsou vhodné pro vaše vydání:

   • Pro R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     Přístupový bod.xsp.22.0.1123.ap368601

   • Pro R23:

     Přístupový bod.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Pro R24 – není nutná žádná oprava

   Jakýkoli odkaz na XSP zahrnuje buď XSP nebo ADP.

3. Nainstalujte aplikaci AuthenticationService do každé služby XSP|ADP.

   1. Spuštěním následujícího příkazu aktivujte aplikaci AuthenticationService na XSP|ADP na kontextovou cestu /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> aktivovat službu AuthenticationService 22.0_1.1123/authService

   2. Spusťte tento příkaz k nasazení služby AuthenticationService na XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> nasaďte aplikaci /authServiceBroadWorks SW Manager nasazení /authService...

4. Od sestavení Broadworks 2022.10 již certifikační autority, které dodávají s jazykem Java, nejsou při přechodu na novou verzi jazyka Java automaticky zahrnuty do důvěryhodného úložiště BroadWorks. Služba AuthenticationService otevře připojení TLS k aplikaci Webex pro načtení přístupového tokenu a musí mít ve svém důvěryhodném úložišti následující položky, aby bylo možné ověřit IDBroker a adresu URL služby Webex:

   • IdenTrust Commercial Root CA 1

   • Kořenová certifikační autorita Go Daddy G2

   Ověřte, že jsou tyto certifikáty přítomny v rámci následujícího rozhraní příkazového řádku

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> Dostat

   Pokud nejsou přítomny, spusťte následující příkaz a importujte výchozí certifikáty jazyka Java:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Tyto certifikáty můžete také přidat ručně jako klíče typu „trust anchor“ následujícím příkazem:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Pokud je ADP upgradován z předchozí verze, certifikační autority staré verze se automaticky importují do nové verze a budou v importu pokračovat, dokud nebudou odstraněny ručně.

   Aplikace AuthenticationService je vyňata z nastavení validatePeerIdentity v části ADP_CLI/System/SSLCommonSettings/GeneralSettings a vždy ověří identitu Partnera. Další informace o tomto nastavení naleznete v dokumentu Cisco Broadworks X509 Certificate Validation FD .

5. Nakonfigurujte poskytovatele identity spuštěním následujících příkazů na každém serveru XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco>get

   • Nastavit parametr clientId client-Id-From-Step1

   • nastavit povoleno true

   • nastavit clientSecret client-Secret-From-Step1

   • nastavit ciResponseBodyMaxSizeInBytes 65536

   • set issuerName – U adresy URL zadejte adresu URL issuerName platnou pro váš cluster CI. Viz následující tabulka.

   • set issuerUrl – U adresy URL zadejte adresu IssuerUrl platnou pro váš cluster CI. Viz následující tabulka.

   • set tokenInfoUrl – Zadejte adresu URL proxy serveru IdP, která platí pro cluster týmů. Viz následující druhou tabulku.

   Tabulka 1. Nastavení vydavateleName a issuerURL

   Pokud je cluster CI...	Nastavit vydavateleName a issuerURL na...
   US-A	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   US-B	https://idbroker-b-us.webex.com/idb
   Pokud Cluster CI neznáte, informace můžete získat z podrobností o zákazníkovi v zobrazení technické podpory v centru Control Hub.

   Tabulka 2. Nastavit tokenInfoURL

   Pokud je cluster Teams...	Nastavit tokenInfoURL na... (URL proxy serveru IdP)
   Moderátor	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Moderátor	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   MODERÁTOR	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Pokud svůj cluster týmů neznáte, můžete informace získat z podrobností o zákazníkovi v zobrazení technické podpory v prostředí Control Hub. Pro testování můžete ověřit, zda je tokenInfoURL platná, a to nahrazením části „idp/authenticate“ adresy URL za „ping“.

6. Zadejte oprávnění Webex, které musí být přítomno v profilu uživatele ve Webexu spuštěním následujícího příkazu:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> nastavit rozsah konektoru broadworks-connector:user

7. Nakonfigurujte poskytovatele identity pro službu Cisco Federation pomocí následujících příkazů na každém serveru XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation>get

   • nastavit adresu flsUrl https://cifls.webex.com/federation

   • nastavit refreshPeriodInMinutes 60

   • nastavit obnovovací token refresh-Token-From-Step1

8. Spuštěním následujícího příkazu ověřte, zda konfigurace FLS funguje. Tento příkaz vrátí seznam zprostředkovatelů identity:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap>Získat

9. Nakonfigurujte správu tokenu pomocí následujících příkazů na každém serveru XSP|ADP:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • nastavit vydavatele tokenBroadWorks

   • nastavit tokenDurationInHours 720

10. Generování a sdílení klíčů RSA. Musíte vygenerovat klíče na jednom XSP|ADP a pak je zkopírovat do všech ostatních |XSP ADP. To je způsobeno následujícími faktory:

    • Pro šifrování a dešifrování tokenu ve všech instancích ověřovací služby je nutné použít stejné páry veřejného a privátního klíče.

    • Pár klíčů je generován ověřovací službou při prvním požadavku na vydání tokenu.

    Pokud obnovíte klávesy nebo změníte délku klíče, je třeba opakovat následující konfiguraci a restartovat všechny platformy XSP|ADP.

    1. Vyberte jeden XSP|ADP, který se má použít k vygenerování páru klíčů.

    2. Chcete-li požádat o zašifrovaný token z tohoto serveru XSP|ADP, použijte klienta vyžádání následující adresy URL z prohlížeče klienta:

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL (clientPublicKey)

       (Tím se vygeneruje pár soukromého/veřejného klíče na XSP|ADP, pokud žádný předtím nebyl.)

    3. Umístění úložiště klíčů nelze konfigurovat. Export klíčů:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Zkopírujte exportovaný soubor /var/broadworks/tmp/authService.keys do stejného umístění na ostatních serverech XSP|ADP a v případě potřeby přepište starší soubor .keys .

    5. Importujte klíče na obou ostatních serverů XSP|ADP:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Zadejte adresu URL authService webového kontejneru. Webový kontejner XSP|ADP potřebuje adresu URL authService, aby mohl ověřit tokeny. U každého z XSP|ADP:

    1. Přidejte adresu URL ověřovací služby jako externí ověřovací službu pro nástroj BroadWorks Communications Utility:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> nastavit adresu URL http://127.0.0.1:80/authService

    2. Přidejte adresu URL ověřovací služby do kontejneru:

       XSP|ADP_CLI/Maintenance/ContainerOptions> přidat adresu tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       To umožňuje Webexu používat ověřovací službu k ověřování tokenů prezentovaných jako přihlašovací údaje.

    3. Zkontrolujte parametr pomocí možnosti get.

    4. Restartujte XSP|ADP.

Odebrání požadavku na ověření klienta pro ověřovací službu (pouze R24)

Pokud máte ověřovací službu nakonfigurovanou s ověřováním tokenu CI na R24, musíte také odebrat požadavek na ověření klienta pro ověřovací službu. Spusťte následující příkaz rozhraní příkazového řádku:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> nastavte AuthenticationService clientAuthReq false

Konfigurace protokolů TLS a šifer v rozhraních HTTP (pro XSI a ověřovací službu)

Aplikace Ověřovací služba, Xsi-Actions a Xsi-Events používají serverová rozhraní HTTP. Úrovně konfigurovatelnosti protokolu TLS pro tyto aplikace jsou následující:

Nejobecnější = Přenos systémových > > rozhraní HTTP > HTTP Server = Nejspecifičtější

Kontexty rozhraní příkazového řádku, které používáte k zobrazení nebo úpravě různých nastavení SSL, jsou:

Načítání konfigurace rozhraní TLS serveru HTTP na serveru XSP|ADP

1. Přihlaste se k XSP|ADP a přejděte na XSP|ADP_CLI/Interface/Http/HttpServer>

2. Zadejte příkaz získat a přečtěte si výsledky. Měli byste vidět rozhraní (IP adresy) a pro každé z nich, zda jsou zabezpečená a zda vyžadují ověření klienta.

Apache tomcat nařizuje certifikát pro každé zabezpečené rozhraní; systém vygeneruje certifikát podepsaný svým držitelem, pokud jej potřebuje.

XSP|ADP_CLI/rozhraní/Http/HttpServer> get

Přidání protokolu TLS 1.2 do rozhraní serveru HTTP

Rozhraní HTTP, které spolupracuje s webex cloudem, musí být nakonfigurováno pro TLSv1.2. Cloud nevyjednává starší verze protokolu TLS.

Konfigurace protokolu TLSv1.2 v rozhraní serveru HTTP:

1. Přihlaste se k XSP|ADP a přejděte na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Zadáním příkazu get 443 zjistíte, které protokoly jsou v tomto rozhraní již používány.

3. Zadáním příkazu přidat 443 TLSv1.2 zajistěte, aby rozhraní mohlo při komunikaci s cloudem používat protokol TLS 1.2.

Úprava konfigurace šifer TLS v rozhraní serveru HTTP

Konfigurace požadovaných šifer:

1. Přihlaste se k XSP|ADP a přejděte na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Zadáním příkazu get 443 zjistíte, které šifry jsou v tomto rozhraní již používány. Musí být přítomna alespoň jedna z doporučených sad Cisco (viz část XSP|Požadavky na identitu a zabezpečení ADP v části Přehled).

3. Zadáním příkazu add 443 přidejte šifrování do rozhraní serveru HTTP.

   Rozhraní příkazového řádku XSP|ADP vyžaduje název standardní šifrovací sady IANA, nikoli název šifrovací sady openSSL. Chcete-li například přidat šifrování openSSL ECDHE-ECDSA-CHACHA20-POLY1305 do rozhraní serveru HTTP, použijte: XSP|ADP_CLI/rozhraní/Http/HttpServer/SSLSettings/Ciphers>přidat 192.0.2.7 443 TLS_ECDHE_ECDSA_S_CHACHA20_POLY1305

   Podívejte https://ciphersuite.info/ se, jak najít sadu podle obou jmen.

Konfigurace správy zařízení na serveru XSP|ADP, aplikačním serveru a serveru profilu

Profilový server a XSP|ADP jsou pro správu zařízení povinné. Musí být nakonfigurovány podle pokynů v BroadWorks Device Management Configuration Guide.