Konfigurer tjenester på dit Webex til Cisco BroadWorks XSP|ADP'er

Vi kræver, at NPS-applikationen køres på en anden XSP|ADP. Kravene til denne XSP|ADP er beskrevet i Konfigurer opkaldsbeskeder fra dit netværk.

Du skal bruge følgende applikationer/tjenester på dine XSP|ADP'er.

Tjeneste/applikation

Godkendelse er påkrævet

Tjenesteydelses-/applikationsformål

Xsi-begivenheder

TLS (serveren godkender sig selv til klienter)

Opkaldskontrol, servicemeddelelser

Xsi-handlinger

TLS (serveren godkender sig selv til klienter)

Opkaldskontrol, handlinger

Enhedsadministration

TLS (serveren godkender sig selv til klienter)

Download af konfiguration af opkald

Godkendelsestjeneste

TLS (serveren godkender sig selv til klienter)

Brugerbekræftelse

Integration af computertelefoni

mTLS (klient og server godkend hinanden)

Telefoni tilstedeværelse

Opkaldsindstillinger Webview-applikation

TLS (serveren godkender sig selv til klienter)

Viser brugeropkaldsindstillinger i selvbetjeningsportalen i Webex-appen

Dette afsnit beskriver, hvordan du anvender de nødvendige konfigurationer for TLS og mTLS på disse grænseflader, men du bør henvise til eksisterende dokumentation for at få applikationerne installeret på dine XSP|ADP'er.

Krav til fællesopbevaring

  • Bekræftelsestjenesten skal være co-resident med Xsi-applikationer, da disse grænseflader skal acceptere tokens, der gælder for længe, for at kunne godkende tjenesten. Bekræftelsestjenesten er påkrævet for at validere disse tokens.

  • Godkendelsestjenesten og Xsi kan om nødvendigt køre på den samme port.

  • Du kan adskille de andre tjenester/applikationer efter behov for din skala (f.eks. dedikeret enhedsadministration XSP|ADP-gård).

  • Du kan finde Xsi-, CTI-, godkendelsesservice- og DMS-applikationer sammen med andre.

  • Installer ikke andre applikationer eller tjenester på XSP|ADP'er, der bruges til at integrere BroadWorks med Webex.

  • Undlad at finde NPS-applikationen sammen med andre applikationer.

Xsi-grænseflader

Installer og konfigurer Xsi-actions- og Xsi-Events-applikationerne som beskrevet i konfigurationsvejledningen til Cisco BroadWorks Xtended Services Interface.

Der bør kun installeres én forekomst af Xsi-Events-applikationer på XSP|ADP, der bruges til CTI-grænsefladen.

Alle Xsi-begivenheder, der bruges til at integrere BroadWorks med Webex, skal have det samme opkaldskontrolApplikationNavn defineret under Applikationer/Xsi-begivenheder/Generelle indstillinger. For eksempel:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> få

callControlApplicationName = com.broadsoft.xsi-events

Når en bruger onboardes til Webex, opretter Webex et abonnement til brugeren på AS for at modtage telefonihændelser til tilstedeværelse og opkaldshistorik. Abonnementet er knyttet til callControlApplicationName, og AS bruger det til at vide, til hvilke Xsi-begivenheder telefonihændelserne skal sendes til.

Ændring af callControlApplicationName eller ikke at have det samme navn på alle Xsi-Events-webapps vil påvirke funktionen til abonnementer og telefonibegivenheder.

Konfigurer godkendelsestjeneste (med CI-tokenbekræftelse)

Brug denne procedure til at konfigurere godkendelsestjenesten til at bruge CI-tokenvalidering med TLS. Denne bekræftelsesmetode anbefales, hvis du kører R22 eller nyere, og dit system understøtter den.

Fælles TLS (mTLS) understøttes også som en alternativ bekræftelsesmetode for Auth-tjenesten. Hvis du har flere Webex-organisationer, der kører fra den samme XSP|ADP-server, skal du bruge mTLS-godkendelse, fordi CI-tokenvalidering ikke understøtter flere forbindelser til den samme XSP|ADP-godkendelsestjeneste.

For at konfigurere mTLS-godkendelse for Auth-tjenesten i stedet for CI-tokenbekræftelse henvises der til tillægget for Konfigurer tjenester (med mTLS til Auth-tjenesten).

Hvis du i øjeblikket bruger mTLS til Auth-tjenesten, er det ikke obligatorisk, at du konfigurerer igen for at bruge CI-tokenbekræftelse med TLS.

  1. Opnå OAuth-legitimationsoplysninger til dit Webex til Cisco BroadWorks.

  2. Installer følgende programrettelser på hver XSP|ADP-server. Installer de programrettelser, der passer til din udgivelse:

    Enhver henvisning til XSP omfatter enten XSP eller ADP.

  3. Installer AuthenticationService -applikationen på hver XSP|ADP-tjeneste.

    1. Kør følgende kommando for at aktivere AuthenticationService-applikationen på XSP|ADP til /authService kontekststien.

      XSP|ADP_CLI/Maintenance/ManagedObjects> aktivér applikation AuthenticationService 22.0_1.1123/authService

    2. Kør denne kommando for at installere AuthenticationService på XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> udrul applikation /authServiceBroadWorks SW Manager udrul /authService...

  4. Fra og med Broadworks build 2022.10 medtages de certifikatmyndigheder, der kommer med Java, ikke længere automatisk i BroadWorks-tillidslageret, når der skiftes til en ny version af Java. AuthenticationService åbner en TLS-forbindelse til Webex for at hente adgangstokenet og skal have følgende i sit tillidslager for at validere IDBroker- og Webex-URL-adressen:

    • IdenTrust Commercial Root CA 1

    • Go Daddy Root Certificate Authority - G2

    Bekræft, at disse certifikater findes under følgende CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> få

    Hvis ikke til stede, skal du køre følgende kommando for at importere standard-Java-tillidscertifikater:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    Du kan også manuelt tilføje disse certifikater som tillidsankre med følgende kommando:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Hvis ADP opgraderes fra en tidligere udgivelse, importeres certifikatmyndighederne fra den gamle udgivelse automatisk til den nye udgivelse og vil fortsat blive importeret, indtil de fjernes manuelt.

    AuthenticationService-applikationen er undtaget fra indstillingen validatePeerIdentity under ADP_CLI/System/SSLCommonSettings/GeneralSettings og validerer altid peer Identity. Se Cisco Broadworks X509 Certificate Validation FD for yderligere oplysninger om denne indstilling.

  5. Konfigurer identitetsudbyderne ved at køre følgende kommandoer på hver XSP|ADP-server:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> hent

    • indstil klientId klient-id-fra-trin1

    • indstil aktiveret sand

    • indstil klientSecret klient-Secret-fra-trin1

    • indstil ciResponseBodyMaxSizeInBytes 65536

    • indstil udstedernavn – for URL-adressen skal du indtaste udstedernavnet-URL-adressen, der gælder for din CI-klynge. Se følgende tabel.

    • indstil issuerUrl – for URL-adressen skal du indtaste den IssuerUrl-adresse, der gælder for din CI-klynge. Se følgende tabel.

    • indstil tokenInfoUrl – indtast den IdP-proxy-URL, der gælder for din Teams-klynge. Se den anden tabel, der følger.

    Tabel 1. Angiv udstedersNavn og udstedersURL
    Hvis CI-klyngen er ...Indstil udstederens navn og udsteders URL-adresse til ...

    USA – A

    https://idbroker.webex.com/idb

    EU

    https://idbroker-eu.webex.com/idb

    USA– B

    https://idbroker-b-us.webex.com/idb

    Hvis du ikke kender din CI-klynge, kan du få oplysningerne fra kundeoplysningerne i Help Desk-visningen i Control Hub.

    Tabel 2. Sæt tokenInfoURL
    Hvis Teams-klynge er ...Indstil tokenInfoURL til...(IdP-proxy-URL)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Hvis du ikke kender din Teams-klynge, kan du få oplysningerne fra kundeoplysningerne i Help Desk-visningen i Control Hub.

    • Til test kan du bekræfte, at tokenInfoURL'en er gyldig, ved at erstatte "idp/godkend"-delen af URL-adressen med "ping".

  6. Angiv den Webex-berettigelse, der skal være til stede i brugerprofil Webex, ved at køre følgende kommando:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> indstil område BroadWorks-forbindelse:bruger

  7. Konfigurer identitetsudbydere for Cisco Federation ved hjælp af følgende kommandoer på hver XSP|ADP-server:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> få

    • indstil flsUrl https://cifls.webex.com/federation

    • indstil refreshPeriodInMinutes 60

    • indstil refreshToken refresh-token-fra-trin1

  8. Kør følgende kommando for at bekræfte, at din FLS-konfiguration fungerer. Denne kommando returnerer listen over identitetsudbydere:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Hent

  9. Konfigurer tokenadministration ved hjælp af følgende kommandoer på hver XSP|ADP-server:

    • XSP|ADP_CLI/Applikationer/AuthenticationService/TokenManagement>

    • indstil tokenIssuer BroadWorks

    • indstil tokenDurationInHours 720

  10. Generer og del RSA-nøgler. Du skal generere nøgler på en XSP|ADP og derefter kopiere dem til alle andre XSP|ADP'er. Dette skyldes følgende faktorer:

    • Du skal bruge de samme offentlige/private nøglepar til tokenkryptering/dekryptering på tværs af alle forekomster af bekræftelsestjenesten.

    • Nøgleparret genereres af bekræftelsestjenesten, når den først skal udstede en token.

    Hvis du cykler taster eller ændrer nøglelængden, skal du gentage følgende konfiguration og genstarte alle XSP|ADP'er.

    1. Vælg en XSP|ADP, der skal bruges til at generere et nøglepar.

    2. Brug en klient til at anmode om et krypteret token fra denne XSP|ADP ved at anmode om følgende URL-adresse fra klientens browser:

      https://<XSP|ADP-IPddress>/authService/token?key=BASE64URL(clientPublicKey)

      (Dette genererer et privat/offentligt nøglepar på XSP|ADP, hvis der ikke allerede var et)

    3. Nøglelagerplaceringen kan ikke konfigureres. Eksportér nøglerne:

      XSP|ADP_CLI/applikationer/authenticationService/KeyManagement> exportKeys

    4. Kopiér den eksporterede fil /var/broadworks/tmp/authService.keys til samme placering på den anden XSP|ADP'er, overskriver en ældre .keys fil, hvis nødvendigt.

    5. Importer nøglerne på hver af de andre XSP|ADP'er:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Angiv AUthService URL-adressen til web-beholderen. XSP|ADP's webcontainer skal bruge authService URL-adressen, så den kan validere tokens. På hver af XSP|ADP'erne:

    1. Tilføj BEKRÆFTELSEstjenestens URL-adresse som en ekstern godkendelsestjeneste for hjælpeprogrammet BroadWorks Communications:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> indstil URL-adresse http://127.0.0.1:80/authService

    2. Tilføj URL-adressen til bekræftelsestjenesten i beholderen:

      XSP|ADP_CLI/Maintenance/ContainerOptions> tilføj tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Dette gør Webex i stand til at bruge godkendelsestjenesten til at validere tokens, der vises som legitimationsoplysninger.

    3. Kontroller parameteren med hent.

    4. Genstart XSP|ADP.

Fjern krav til klientbekræftelse for Auth Service (kun R24)

Hvis du har bekræftelsestjenesten konfigureret med CI-tokenvalidering på R24, skal du også fjerne kravet til klientbekræftelse for godkendelsestjenesten. Kør følgende CLI-kommando:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> indstil AuthenticationService-klientAuthReq false

Konfigurering af TLS og kode på HTTP-grænseflader (til XSI og godkendelsestjeneste)

Godkendelsestjenesten, Xsi-handlinger og Xsi-Events-applikationer bruger HTTP-servergrænseflader. Niveauerne for TLS-konfigurering for disse applikationer er som følger:

Mest generelle = System > Transport > HTTP > HTTP Server-grænseflade = Mest specifik

Cli kontekster, du bruger til at se eller modificere de forskellige SSL-indstillinger, er:

Specificitet CLI-kontekst
System (globalt)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Transportprotokoller til dette system

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP på dette system

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Specifikke HTTP-servergrænseflader på dette system

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Læsning af konfiguration af HTTP-server TLS-grænseflade på XSP|ADP

  1. Log ind på XSP|ADP, og naviger til XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Indtast kommandoen Få, og læs resultaterne. Du bør se grænsefladerne (IP-adresser) og for hver, om de er sikre, og om de kræver klientbekræftelse.

Slørings tomcat kræver et certifikat for hver sikker grænseflade; systemet opretter et selv underskrevet certifikat, hvis det har brug for et.

XSP|ADP_CLI/Interface/Http/HttpServer> hent

Tilføjelse af TLS 1.2-protokol til HTTP-servergrænsefladen

HTTP-grænsefladen, som interagerer med Webex Cloud, skal konfigureres til TLSv1.2. Skyen forhandler ikke tidligere versioner af TLS-protokollen.

Sådan konfigureres TLSv1.2-protokollen på HTTP-servergrænsefladen:

  1. Log ind på XSP|ADP, og naviger til XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Indtast kommandoen få 443 for at se, hvilke protokoller der allerede bruges på denne grænseflade.

  3. Indtast kommandoen tilføj 443 TLSv1.2 for at sikre, at grænsefladen kan bruge TLS 1.2, når den kommunikerer med skyen.

Redigering af TLS Ciphers-konfiguration på HTTP-servergrænsefladen

Sådan konfigurerer du de påkrævede koder:

  1. Log ind på XSP|ADP, og naviger til XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Indtast kommandoen få 443 for at se, hvilke krypteringer der allerede bruges på denne grænseflade. Der skal være mindst én fra de Cisco anbefalede pakker (se XSP|ADP-identitets- og sikkerhedskrav i afsnittet Oversigt).

  3. Indtast kommandoen tilføj 443 for at tilføje en kode til HTTP-servergrænsefladen.

    XSP|ADP CLI kræver IANA-standardkrypteringsservicenavnet, ikke openSSL-krypteringsservicenavnet. For eksempel, for at tilføje openSSL-kode ECDHE-ECDSA-CHACHA20-POLY1305 til HTTP-servergrænsefladen, skal du bruge: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>tilføj 192.0.2.7 443 TLS_ECDHE_ECDSA_MED_CHACHA20_POLY1305

    Se https://ciphersuite.info/ for at finde pakken med et af disse navne.

Konfigurer enhedsadministration på XSP|ADP-, applikationsserver- og profilserver

Profilserver og XSP|ADP er obligatoriske for enhedsadministration. De skal konfigureres i overensstemmelse med vejledningerne i Konfigurationsvejledningen til BroadWorks Device Management.