Konfigurer tjenester på dit Webex til Cisco BroadWorks XSP|ADP'er

Vi kræver, at NPS-applikationen kører på en anden XSP|ADP. Krav til den pågældende XSP|ADP er beskrevet i Konfigurer opkaldsnotifikationer fra dit netværk.

Du skal bruge følgende applikationer / tjenester på dine XSP|ADP'er.

Tjeneste/applikation

Godkendelse er påkrævet

Tjenesteydelses-/applikationsformål

Xsi-begivenheder

TLS (serveren godkender sig selv til klienter)

Opkaldskontrol, servicemeddelelser

Xsi-handlinger

TLS (serveren godkender sig selv til klienter)

Opkaldskontrol, handlinger

Enhedsadministration

TLS (serveren godkender sig selv til klienter)

Download af konfiguration af opkald

Godkendelsestjeneste

TLS (serveren godkender sig selv til klienter)

Brugerbekræftelse

Integration af computertelefoni

mTLS (klient og server godkend hinanden)

Telefoni tilstedeværelse

Opkaldsindstillinger Webview-applikation

TLS (serveren godkender sig selv til klienter)

Viser brugeropkaldsindstillinger i selvbetjeningsportalen i Webex-appen

Dette afsnit beskriver, hvordan du anvender de nødvendige konfigurationer til TLS og mTLS på disse grænseflader, men du bør henvise til eksisterende dokumentation for at få applikationerne installeret på dine XSP|ADP'er.

Krav til fællesopbevaring

  • Bekræftelsestjenesten skal være co-resident med Xsi-applikationer, da disse grænseflader skal acceptere tokens, der gælder for længe, for at kunne godkende tjenesten. Bekræftelsestjenesten er påkrævet for at validere disse tokens.

  • Godkendelsestjenesten og Xsi kan om nødvendigt køre på den samme port.

  • Du kan adskille den anden services/applications som krævet for din skala (f.eks. dedikeret enhedsstyring XSP|ADP-farm).

  • Du kan finde Xsi-, CTI-, godkendelsesservice- og DMS-applikationer sammen med andre.

  • Installer ikke andre applikationer eller tjenester på XSP|ADP'er, der bruges til at integrere BroadWorks med Webex.

  • Undlad at finde NPS-applikationen sammen med andre applikationer.

Xsi-grænseflader

Installer og konfigurer Xsi-actions- og Xsi-Events-applikationerne som beskrevet i konfigurationsvejledningen til Cisco BroadWorks Xtended Services Interface.

Kun én instans af Xsi-Events-applikationerne bør installeres på den XSP|ADP, der bruges til CTI-grænsefladen.

Alle Xsi-events, der bruges til at integrere Broadworks med Webex, skal have det samme callControlApplicationName defineret under Applications/Xsi-Events/GeneralSettings. Eksempel:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Når en bruger er onboardet til Webex, opretter Webex et abonnement for brugeren på AS'et for at modtage telefonihændelser for tilstedeværelse og opkaldshistorik. Abonnementet er knyttet til callControlApplicationName, og AS'et bruger det til at vide, hvilke Xsi-Events telefonihændelserne skal sendes til.

Ændring af callControlApplicationName, eller manglende brug af det samme navn på alle Xsi-Events webapps, vil påvirke abonnementer og telefonihændelsers funktionalitet.

Konfigurer godkendelsestjeneste (med CI-tokenbekræftelse)

Brug denne procedure til at konfigurere godkendelsestjenesten til at bruge CI-tokenvalidering med TLS. Denne bekræftelsesmetode anbefales, hvis du kører R22 eller nyere, og dit system understøtter den.

Fælles TLS (mTLS) understøttes også som en alternativ bekræftelsesmetode for Auth-tjenesten. Hvis du har flere Webex-organisationer, der kører på den samme XSP|ADP-server, skal du bruge mTLS-godkendelse, fordi CI-tokenvalidering ikke understøtter flere forbindelser til den samme XSP|ADP-godkendelsestjeneste.

For at konfigurere mTLS-godkendelse for Auth-tjenesten i stedet for CI-tokenbekræftelse henvises der til tillægget for Konfigurer tjenester (med mTLS til Auth-tjenesten).

Hvis du i øjeblikket bruger mTLS til Auth-tjenesten, er det ikke obligatorisk, at du konfigurerer igen for at bruge CI-tokenbekræftelse med TLS.

  1. Indhentning af OAuth-legitimationsoplysninger til dit Webex til Cisco BroadWorks.

  2. Installer følgende programrettelser på hver XSP|ADP-server. Installer de programrettelser, der passer til din udgivelse:

    Enhver henvisning til XSP omfatter enten XSP eller ADP.

  3. Installer AuthenticationService -applikationen på hver XSP|ADP-tjeneste.

    1. Kør følgende kommando for at aktivere AuthenticationService-applikationen på XSP|ADP'en til /authService kontekststi.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

    2. Kør denne kommando for at implementere AuthenticationService på XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

  4. Fra og med Broadworks build 2022.10 er de certifikatmyndigheder, der følger med Java, ikke længere automatisk inkluderet i BroadWorks-tillidslageret, når der skiftes til en ny version af Java. Godkendelsestjenesten åbner en TLS-forbindelse til Webex for at hente adgangstokenet og skal have følgende i sit truststore for at validere IDBroker og Webex URL'en:

    • IdenTrust Commercial Root CA 1

    • Go Daddy Root Certificate Authority - G2

    Bekræft, at disse certifikater er til stede under følgende CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

    Hvis den ikke findes, skal du køre følgende kommando for at importere standard Java-trusts:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    Alternativt kan du manuelt tilføje disse certifikater som tillidsankre med følgende kommando:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Hvis ADP'en opgraderes fra en tidligere udgivelse, importeres certifikatmyndighederne fra den gamle udgivelse automatisk til den nye udgivelse og vil fortsætte med at blive importeret, indtil de fjernes manuelt.

    AuthenticationService-applikationen er undtaget fra validatePeerIdentity-indstillingen under ADP_CLI/System/SSLCommonSettings/GeneralSettings, og validerer altid peer-identiteten. Se Cisco Broadworks X509-certifikatvaliderings-FD for at få flere oplysninger om denne indstilling.

  5. Konfigurer identitetsudbyderne ved at køre følgende kommandoer på hver XSP|ADP-server:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName – For URLskal du indtaste den IssuerName-URL, der gælder for din CI-klynge. Se følgende tabel.

    • set issuerUrl – For URLskal du indtaste den IssuerUrl, der gælder for din CI-klynge. Se følgende tabel.

    • set tokenInfoUrl – Indtast IDP-proxy-URL-adressen, der gælder for din Teams-klynge. Se den anden tabel nedenfor.

    Tabel 1. Angiv issuerName og issuerURL
    Hvis CI-klyngen er ...Indstil issuerName og issuerURL til...

    USA – A

    https://idbroker.webex.com/idb

    EU

    https://idbroker-eu.webex.com/idb

    USA– B

    https://idbroker-b-us.webex.com/idb

    Hvis du ikke kender din CI-klynge, kan du finde oplysningerne i kundeoplysningerne i helpdesk-visningen i Control Hub.

    Tabel 2. Angiv tokenInfoURL
    Hvis Teams-klynge er ...Indstil tokenInfoURL til...(IdP Proxy URL)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Hvis du ikke kender din Teams Cluster, kan du finde oplysningerne i kundeoplysningerne i Help Desk-visningen i Control Hub.

    • Til test kan du bekræfte, at tokenInfoURL'en er gyldig, ved at erstatte "idp/authenticate"-delen af URL'en med "ping".

  6. Angiv den Webex-berettigelse, der skal være til stede i brugerprofil Webex, ved at køre følgende kommando:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  7. Konfigurer identitetsudbydere til Cisco Federation ved hjælp af følgende kommandoer på hver XSP|ADP-server:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken refresh-Token-From-Step1

  8. Kør følgende kommando for at bekræfte, at din FLS-konfiguration fungerer. Denne kommando returnerer listen over identitetsudbydere:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. Konfigurer tokenhåndtering ved hjælp af følgende kommandoer på hver XSP|ADP-server:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. Generer og del RSA-nøgler. Du skal generere nøgler på én XSP|ADP og derefter kopiere dem til alle andre XSP|ADP'er. Dette skyldes følgende faktorer:

    • Du skal bruge de samme offentlige/private nøglepar til tokenkryptering/dekryptering på tværs af alle forekomster af bekræftelsestjenesten.

    • Nøgleparret genereres af bekræftelsestjenesten, når den først skal udstede en token.

    Hvis du genstarter nøgler eller ændrer nøglelængden, skal du gentage følgende konfiguration og genstarte alle XSP|ADP'er.

    1. Vælg én XSP|ADP, der skal bruges til at generere et nøglepar.

    2. Brug en klient til at anmode om et krypteret token fra den pågældende XSP|ADP ved at anmode om følgende URL fra klientens browser:

      https:///authService/token?key=BASE64URL(clientPublicKey)

      (Dette genererer en privat / offentligt nøglepar på XSP|ADP, hvis der ikke allerede var et)

    3. Nøglelagerplaceringen kan ikke konfigureres. Eksportér nøglerne:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopier den eksporterede fil /var/broadworks/tmp/authService.keys til samme placering på de andre XSP|ADP'er, og overskriv om nødvendigt en ældre .keys fil.

    5. Importer nøglerne på hver af de andre XSP|ADP'er:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Angiv AUthService URL-adressen til web-beholderen. XSP|ADP'ens webcontainer skal bruge authService-URL'en, så den kan validere tokens. På hver af XSP|ADP'erne:

    1. Tilføj BEKRÆFTELSEstjenestens URL-adresse som en ekstern godkendelsestjeneste for hjælpeprogrammet BroadWorks Communications:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Tilføj URL-adressen til bekræftelsestjenesten i beholderen:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Dette gør Webex i stand til at bruge godkendelsestjenesten til at validere tokens, der vises som legitimationsoplysninger.

    3. Tjek parameteren med get.

    4. Genstart XSP|ADP'en.

Fjern krav til klientbekræftelse for Auth Service (kun R24)

Hvis du har bekræftelsestjenesten konfigureret med CI-tokenvalidering på R24, skal du også fjerne kravet til klientbekræftelse for godkendelsestjenesten. Kør følgende CLI-kommando:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Konfigurering af TLS og kode på HTTP-grænseflader (til XSI og godkendelsestjeneste)

Godkendelsestjenesten, Xsi-handlinger og Xsi-Events-applikationer bruger HTTP-servergrænseflader. Niveauerne for TLS-konfigurering for disse applikationer er som følger:

Mest generelle = System > Transport > HTTP > HTTP Server-grænseflade = Mest specifik

Cli kontekster, du bruger til at se eller modificere de forskellige SSL-indstillinger, er:

Specificitet CLI-kontekst
System (globalt)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Transportprotokoller til dette system

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP på dette system

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Specifikke HTTP-servergrænseflader på dette system

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Læsning af HTTP-serverens TLS-grænsefladekonfiguration på XSP|ADP

  1. Log ind på XSP|ADP og naviger til XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Indtast kommandoen get og læs resultaterne. Du bør se grænsefladerne (IP-adresser) og for hver, om de er sikre, og om de kræver klientbekræftelse.

Slørings tomcat kræver et certifikat for hver sikker grænseflade; systemet opretter et selv underskrevet certifikat, hvis det har brug for et.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Resultater vist efter indtastning af get-kommandoen, der viser grænseflader (IP-adresser) og for hver af dem, om de er sikre, og om de kræver klientgodkendelse.

Tilføjelse af TLS 1.2-protokol til HTTP-servergrænsefladen

HTTP-grænsefladen, som interagerer med Webex Cloud, skal konfigureres til TLSv1.2. Skyen forhandler ikke tidligere versioner af TLS-protokollen.

Sådan konfigureres TLSv1.2-protokollen på HTTP-servergrænsefladen:

  1. Log ind på XSP|ADP og naviger til XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Indtast kommandoen get 443 for at se, hvilke protokoller der allerede bruges på denne grænseflade.

  3. Indtast kommandoen add 443 TLSv1.2 for at sikre, at grænsefladen kan bruge TLS 1.2, når der kommunikeres med skyen.

Redigering af TLS Ciphers-konfiguration på HTTP-servergrænsefladen

Sådan konfigurerer du de påkrævede koder:

  1. Log ind på XSP|ADP og naviger til XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Indtast kommandoen get 443 for at se, hvilke cifre der allerede bruges på denne grænseflade. Der skal være mindst én fra de anbefalede Cisco-pakker (se XSP|ADP-identitets- og sikkerhedskrav i afsnittet Oversigt).

  3. Indtast kommandoen add 443 for at tilføje en kryptering til HTTP-servergrænsefladen.

    XSP|ADP CLI kræver IANA-standardnavnet på krypteringspakken, ikke navnet på openSSL-krypteringspakken. For eksempel, for at tilføje openSSL-krypteringen ECDHE-ECDSA-CHACHA20-POLY1305 til HTTP-servergrænsefladen, skal du bruge: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Se https://ciphersuite.info/ for at finde pakken med et af disse navne.

Konfigurer enhedsstyring på XSP|ADP, applikationsserver og profilserver

Profile Server og XSP|ADP er obligatoriske for Enhedsstyring. De skal konfigureres i overensstemmelse med vejledningerne i Konfigurationsvejledningen til BroadWorks Device Management.