Anforderungen an die Ko-Residenz

• Der Authentifizierungsdienst muss mit Xsi-Anwendungen zusammen im Benutzer ansässig sein, da diese Schnittstellen langlebige Token für die Dienstautorisierung akzeptieren müssen. Der Authentifizierungsdienst ist erforderlich, um diese Tokens zu validieren.

• Der Authentifizierungsdienst und Xsi können, falls erforderlich, über denselben Port ausgeführt werden.

• Sie können die anderen trennen services/applications je nach Bedarf für Ihre Waage (z. B. dedizierte Geräteverwaltung XSP|ADP-Farm).

• Sie können die Xsi-, CTI-, Authentifizierungsdienst- und DMS-Anwendungen gemeinsam suchen.

• Installieren Sie keine anderen Anwendungen oder Dienste auf den XSP|ADPs, die für die Integration von BroadWorks mit Webex verwendet werden.

• Ko-locateen Sie die NPS-Anwendung nicht mit anderen Anwendungen.

Xsi-Schnittstellen

Installieren und konfigurieren Sie die Xsi-Actions- und Xsi-Events-Anwendungen, wie im Konfigurationshandbuch für die Cisco BroadWorks Xtended Services Interfacebeschrieben.

Auf dem für die CTI-Schnittstelle verwendeten XSP|ADP sollte nur eine Instanz der Xsi-Events-Anwendungen bereitgestellt werden.

Alle Xsi-Events, die für die Integration von Broadworks mit Webex verwendet werden, müssen denselben callControlApplicationName haben, der unter Applications/Xsi-Events/GeneralSettings. Beispiel:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Wenn ein Benutzer bei Webex angemeldet wird, erstellt Webex ein Abonnement für den Benutzer auf dem AS, um Telefonieereignisse für Anwesenheit und Anrufverlauf zu erhalten. Das Abonnement ist mit dem callControlApplicationName verknüpft und der AS verwendet es, um zu wissen, an welche Xsi-Events die Telefonieereignisse gesendet werden sollen.

Konfigurieren des Authentifizierungsdiensts (mit CI Token-Validierung)

Verwenden Sie dieses Verfahren, um den Authentifizierungsdienst für die Verwendung der CI Token-Validierung mit TLS zu konfigurieren. Diese Authentifizierungsmethode wird empfohlen, wenn Sie R22 oder höher verwenden und Ihr System dies unterstützt.

1. OAuth-Anmeldeinformationen für Ihr Webex für Cisco BroadWorks abrufen.

2. Installieren Sie die folgenden Patches auf jedem XSP|ADP-Server. Installieren Sie die für Ihre Version geeigneten Patches:

   • Für R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Für R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Für R24 – kein Patch erforderlich

   Jeder Verweis auf XSP schließt entweder XSP oder ADP ein.

3. Installieren Sie die AuthenticationService -Anwendung auf jedem XSP|ADP-Dienst.

   1. Führen Sie den folgenden Befehl aus, um die AuthenticationService-Anwendung auf dem XSP|ADP zu aktivieren. /authService Kontextpfad.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Führen Sie diesen Befehl aus, um den AuthenticationService auf dem XSP|ADP bereitzustellen:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. Ab Broadworks Build 2022.10 werden die mit Java gelieferten Zertifizierungsstellen beim Wechsel auf eine neue Java-Version nicht mehr automatisch in den BroadWorks Trust Store aufgenommen. Der AuthenticationService öffnet eine TLS-Verbindung zu Webex, um das Zugriffstoken abzurufen, und muss Folgendes in seinem Truststore haben, um den IDBroker und die Webex-URL zu validieren:

   • IdenTrust Commercial Root CA 1

   • Go Daddy Root Certificate Authority - G2

   Überprüfen Sie, ob diese Zertifikate unter der folgenden CLI vorhanden sind

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Falls nicht vorhanden, führen Sie den folgenden Befehl aus, um die standardmäßigen Java-Vertrauensstellungen zu importieren:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Alternativ können Sie diese Zertifikate mit dem folgenden Befehl manuell als Vertrauensanker hinzufügen:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Wenn ADP von einer früheren Version aktualisiert wird, werden die Zertifizierungsstellen der alten Version automatisch in die neue Version importiert und bleiben so lange importiert, bis sie manuell entfernt werden.

   Die AuthenticationService-Anwendung ist von der Einstellung validatePeerIdentity unter ADP ausgenommen_CLI/System/SSLCommonSettings/GeneralSettings, und validiert immer die Peer-Identität. Weitere Informationen zu dieser Einstellung finden Sie unter Cisco Broadworks X509 Certificate Validation FD.

5. Konfigurieren Sie die Identitätsanbieter, indem Sie die folgenden Befehle auf jedem XSP|ADP-Server ausführen:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName – Geben Sie für URLdie IssuerName-URL ein, die für Ihren CI-Cluster gilt. Siehe folgende Tabelle.

   • set issuerUrl – Geben Sie für URLdie IssuerUrl ein, die für Ihren CI-Cluster gilt. Siehe folgende Tabelle.

   • set tokenInfoUrl – Geben Sie die IdP-Proxy-URL ein, die für Ihren Teams-Cluster gilt. Siehe die zweite folgende Tabelle.

   Tabelle 1. Legen Sie issuerName und issuerURL fest

   Wenn CI Cluster ...	Legen Sie issuerName und issuerURL fest auf ...
   USA -A	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   USA-B	https://idbroker-b-us.webex.com/idb
   Wenn Sie Ihren CI-Clusternicht kennen, können Sie die Informationen aus den Kundendetails in der Helpdesk-Ansicht von Control Hub abrufen.

   Tabelle 2. TokenInfoURL festlegen

   Wenn Teams Cluster ist...	Setzen Sie tokenInfoURL auf ... (IdP-Proxy-URL).
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Afra	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Wenn Sie Ihren Teams-Clusternicht kennen, können Sie die Informationen aus den Kundendetails in der Helpdesk-Ansicht von Control Hub abrufen. Zum Testen können Sie überprüfen, ob die TokenInfoURL gültig ist, indem Sie den Teil „idp/authenticate“ der URL durch „ping“ ersetzen.

6. Geben Sie die Webex-Berechtigung an, die in der Benutzerprofil in Webex vorhanden sein muss, indem Sie den folgenden Befehl ausführen:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Konfigurieren Sie Identitätsanbieter für Cisco Federation mit den folgenden Befehlen auf jedem XSP|ADP-Server:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Ihre FLS-Konfiguration funktioniert. Mit diesem Befehl wird die Liste der Identitätsanbieter zurück angezeigt:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Konfigurieren Sie die Token-Verwaltung mit den folgenden Befehlen auf jedem XSP|ADP-Server:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. RSA-Schlüssel generieren und freigeben. Sie müssen Schlüssel auf einem XSP|ADP generieren und sie dann auf alle anderen XSP|ADPs kopieren. Dies ist auf die folgenden Faktoren zurückzuführen:

    • Sie müssen dieselben öffentlichen/privaten Schlüssel-Paare für die Tokenverschlüsselung/-entschlüsselung für alle Instanzen des Authentifizierungsdiensts verwenden.

    • Das Schlüsselpaar wird vom Authentifizierungsdienst generiert, wenn zum ersten Mal ein Token ausausgabet werden muss.

    Wenn Sie Schlüssel wechseln oder die Schlüssellänge ändern, müssen Sie die folgende Konfiguration wiederholen und alle XSP|ADPs neu starten.

    1. Wählen Sie einen XSP|ADP aus, der zum Generieren eines Schlüsselpaars verwendet werden soll.

    2. Verwenden Sie einen Client, um ein verschlüsseltes Token von diesem XSP|ADP anzufordern, indem Sie die folgende URL vom Browser des Clients anfordern:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Dies erzeugt eine private / öffentliches Schlüsselpaar auf dem XSP|ADP, falls noch keines vorhanden war)

    3. Der Speicherort für den Schlüsselspeicher kann nicht konfiguriert werden. Exportieren Sie die Schlüssel:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopieren Sie die exportierte Datei /var/broadworks/tmp/authService.keys an denselben Speicherort auf den anderen XSP|ADPs und überschreiben Sie gegebenenfalls eine ältere .keys Datei.

    5. Importieren Sie die Schlüssel auf jedem der anderen XSP|ADPs:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Stellen Sie die AuthService-URL für den Web-Container zur Verfügung. Der Webcontainer des XSP|ADP benötigt die AuthService-URL, damit er Token validieren kann. Auf jedem der XSP|ADPs:

    1. Fügen Sie die Authentifizierungsdienst-URL als externen Authentifizierungsdienst für das BroadWorks Communications-Dienstprogramm hinzu:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Fügen Sie die Authentifizierungsdienst-URL zum Container hinzu:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Dies ermöglicht es Webex, den Authentifizierungsdienst zu verwenden, um tokens als Anmeldeinformationen zu validieren.

    3. Überprüfen Sie den Parameter mit get.

    4. Starten Sie den XSP|ADP neu.

Entfernen der Client-Authentifizierungsanforderung für den Auth-Dienst (nur R24)

Wenn Sie den Authentifizierungsdienst mit CI Token-Validierung auf R24 konfiguriert haben, müssen Sie auch die Client-Authentifizierungsanforderung für den Authentifizierungsdienst entfernen. Führen Sie den folgenden CLI-Befehl aus:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Konfiguration von TLS und Verschlüsselungen in den HTTP-Schnittstellen (für XSI und Authentifizierungsdienst)

Die Authentifizierungsdienst-, Xsi-Actions- und Xsi-Events-Anwendungen verwenden HTTP-Serverschnittstellen. Die TLS-Konfigurationsfähigkeit für diese Anwendungen erfolgt wie folgt:

Allgemein = System > Transport > HTTP > HTTP Server-Schnittstelle = Spezifisch

Die CLI-Kontexte, die Sie zum Anzeigen oder Ändern der unterschiedlichen SSL-Einstellungen verwenden, sind:

Lesen der TLS-Schnittstellenkonfiguration des HTTP-Servers auf dem XSP|ADP

1. Melden Sie sich beim XSP|ADP an und navigieren Sie zu XSP|ADP_CLI/Interface/Http/HttpServer>

2. Geben Sie den Befehl get ein und lesen Sie die Ergebnisse. Sie sollten die Schnittstellen (IP-Adressen) sehen und für jede davon, ob sie sicher sind und ob sie eine Client-Authentifizierung erfordern.

Ssl-Tomcat unterstützt ein Zertifikat für jede sichere Schnittstelle; Das System generiert ein selbstsigniertes Zertifikat, wenn es eines benötigt.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Hinzufügen des TLS 1.2-Protokolls zur HTTP-Serverschnittstelle

Die HTTP-Schnittstelle, die mit der Webex Cloud interagiert, muss für TLSv1.2 konfiguriert werden. Die Cloud verhandeln nicht über frühere Versionen des TLS-Protokolls.

So konfigurieren Sie das TLSv1.2-Protokoll auf der HTTP-Server-Schnittstelle:

1. Melden Sie sich beim XSP|ADP an und navigieren Sie zu XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Geben Sie den Befehl get 443 ein, um zu sehen, welche Protokolle auf dieser Schnittstelle bereits verwendet werden.

3. Geben Sie den Befehl add 443 TLSv1.2 ein, um sicherzustellen, dass die Schnittstelle bei der Kommunikation mit der Cloud TLS 1.2 verwenden kann.

Tls-Verschlüsselungskonfiguration auf der HTTP-Serverschnittstelle bearbeiten

So konfigurieren Sie die erforderlichen Verschlüsselungen:

1. Melden Sie sich beim XSP|ADP an und navigieren Sie zu XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Geben Sie den Befehl get 443 ein, um zu sehen, welche Chiffren auf dieser Schnittstelle bereits verwendet werden. Es muss mindestens eine der von Cisco empfohlenen Suiten vorhanden sein (siehe XSP|ADP-Identitäts- und Sicherheitsanforderungen im Abschnitt „Übersicht“).

3. Geben Sie den Befehl add 443 ein, um der HTTP-Serverschnittstelle eine Verschlüsselung hinzuzufügen.

   Die XSP|ADP CLI erfordert den Namen der IANA-Standard-Chiffre-Suite, nicht den Namen der OpenSSL-Chiffre-Suite. Um beispielsweise die OpenSSL-Verschlüsselung ECDHE-ECDSA-CHACHA20-POLY1305 zur HTTP-Serverschnittstelle hinzuzufügen, verwenden Sie: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Siehe, https://ciphersuite.info/ um die Suite mit einem der beiden Namen zu finden.

Konfigurieren Sie die Geräteverwaltung auf XSP|ADP, Anwendungsserver und Profilserver

Profile Server und XSP|ADP sind für die Geräteverwaltung obligatorisch. Sie müssen gemäß den Anweisungen im Konfigurationshandbuch für BroadWorks Device Management konfiguriertwerden.