Anforderungen an die Ko-Residenz

• Der Authentifizierungsdienst muss mit Xsi-Anwendungen zusammen im Benutzer ansässig sein, da diese Schnittstellen langlebige Token für die Dienstautorisierung akzeptieren müssen. Der Authentifizierungsdienst ist erforderlich, um diese Tokens zu validieren.

• Der Authentifizierungsdienst und Xsi können, falls erforderlich, über denselben Port ausgeführt werden.

• Sie können die anderen Dienste/Anwendungen nach Bedarf für Ihre Skalierung trennen (z. B. dedizierte XSP|ADP-Farm für Geräteverwaltung).

• Sie können die Xsi-, CTI-, Authentifizierungsdienst- und DMS-Anwendungen gemeinsam suchen.

• Installieren Sie keine anderen Anwendungen oder Dienste auf den XSP|ADPs, die für die Integration von BroadWorks mit Webex verwendet werden.

• Ko-locateen Sie die NPS-Anwendung nicht mit anderen Anwendungen.

Xsi-Schnittstellen

Installieren und konfigurieren Sie die Xsi-Actions- und Xsi-Events-Anwendungen, wie im Konfigurationshandbuch für die Cisco BroadWorks Xtended Services Interfacebeschrieben.

Auf dem XSP|ADP, das für die CTI-Schnittstelle verwendet wird, sollte nur eine Instanz der Xsi-Events-Anwendungen bereitgestellt werden.

Für alle Xsi-Events, die für die Integration von BroadWorks in Webex verwendet werden, muss unter Anwendungen/Xsi-Events/Allgemeine Einstellungen derselbe callControlApplicationName definiert sein. Beispiel:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> bekommen

callControlApplicationName = com.broadsoft.xsi-events

Wenn ein Benutzer in Webex integriert ist, erstellt Webex ein Abonnement für den Benutzer im Nebensystem, um Telefonieereignisse für Präsenz und Anrufprotokoll zu empfangen. Das Abonnement ist mit dem callControlApplicationName verknüpft. Der AS verwendet es, um zu erkennen, an welche Xsi-Events die Telefonie-Ereignisse gesendet werden.

Konfigurieren des Authentifizierungsdiensts (mit CI Token-Validierung)

Verwenden Sie dieses Verfahren, um den Authentifizierungsdienst für die Verwendung der CI Token-Validierung mit TLS zu konfigurieren. Diese Authentifizierungsmethode wird empfohlen, wenn Sie R22 oder höher verwenden und Ihr System dies unterstützt.

1. Abrufen von OAuth-Anmeldedaten für Webex für Cisco BroadWorks.

2. Installieren Sie die folgenden Patches auf jedem XSP|ADP-Server. Installieren Sie die für Ihre Version geeigneten Patches:

   • Für R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Für R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Für R24 – kein Patch erforderlich

   Jeder Verweis auf XSP umfasst entweder XSP oder ADP.

3. Installieren Sie die Authentifizierungsdienst -Anwendung auf jedem XSP|ADP-Dienst.

   1. Führen Sie den folgenden Befehl aus, um die Anwendung AuthenticationService auf dem XSP|ADP zum /authService-Kontextpfad zu aktivieren.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Führen Sie diesen Befehl aus, um den Authentifizierungsdienst auf dem XSP|ADP bereitzustellen:

      XSP|ADP_CLI/Maintenance/ManagedObjects> Anwendung bereitstellen /authServiceBroadWorks SW Manager bereitstellen /authService...

4. Ab BroadWorks build 2022.10 werden die Zertifizierungsstellen, die mit Java geliefert werden, beim Wechsel zu einer neuen Java-Version nicht mehr automatisch in den BroadWorks-Vertrauensspeicher aufgenommen. Der Authentifizierungsdienst öffnet eine TLS-Verbindung zu Webex, um das Zugriffstoken abzurufen. Um den IDBroker und die Webex-URL zu validieren, muss Folgendes in seinem Truststore vorhanden sein:

   • IdenTrust Commercial Root CA 1

   • Go Daddy Root Certificate Authority - G2

   Überprüfen Sie, ob diese Zertifikate unter der folgenden CLI vorhanden sind.

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> bekommen

   Wenn nicht vorhanden, führen Sie den folgenden Befehl aus, um die standardmäßigen Java-Vertrauenszertifikate zu importieren:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importierenJavaCATrust

   Alternativ können Sie diese Zertifikate mit dem folgenden Befehl manuell als Vertrauensanker hinzufügen:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> UpdateTrust

   Wenn das ADP von einer früheren Version aktualisiert wird, werden die Zertifizierungsstellen der alten Version automatisch in die neue Version importiert und werden weiter importiert, bis sie manuell entfernt werden.

   Die Anwendung AuthenticationService ist von der validatePeerIdentity-Einstellung unter ADP_CLI/System/SSLCommonSettings/GeneralSettings ausgenommen und validiert die Peer-Identität immer. Weitere Informationen zu dieser Einstellung finden Sie unter Cisco Broadworks X509 Certificate Validation FD .

5. Konfigurieren Sie die Identitätsanbieter, indem Sie die folgenden Befehle auf jedem XSP|ADP-Server ausführen:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> abrufen

   • clientId festlegen client-Id-From-Schritt1

   • aktivieren true festlegen

   • clientSecret client-Secret-From-Schritt1 festlegen

   • ciResponseBodyMaxSizeInBytes 65536 festlegen

   • issuerName festlegen – Geben Sie unter URL die IssuerName-URL ein, die für Ihr CI-Cluster gilt. Siehe folgende Tabelle.

   • issuerUrl festlegen – Geben Sie unter URL die IssuerUrl ein, die für Ihr CI-Cluster gilt. Siehe folgende Tabelle.

   • tokenInfoUrl – Geben Sie die IdP-Proxy-URL ein, die für Ihren Teams-Cluster gilt. Siehe die zweite Tabelle, die folgt.

   Tabelle 1: issuerName und issuerURL festlegen

   Wenn CI Cluster ...	issuerName und issuerURL festlegen auf...
   USA -A	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   USA-B	https://idbroker-b-us.webex.com/idb
   Wenn Sie Ihr CI-Cluster nicht kennen, können Sie die Informationen aus den Kundendetails in der Helpdesk-Ansicht von Control Hub abrufen.

   Tabelle 2. TokenInfoURL festlegen

   Wenn Teams Cluster ist...	TokenInfoURL festlegen auf...(IdP Proxy-URL)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Afra	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Wenn Sie Ihren Teams-Cluster nicht kennen, können Sie die Informationen aus den Kundendetails in der Helpdesk-Ansicht von Control Hub abrufen. Zum Testen können Sie überprüfen, ob die tokenInfoURL gültig ist, indem Sie den Teil „idp/authentifizieren“ der URL durch „ping“ ersetzen.

6. Geben Sie die Webex-Berechtigung an, die in der Benutzerprofil in Webex vorhanden sein muss, indem Sie den folgenden Befehl ausführen:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> Bereich festlegen broadworks-connector:user

7. Konfigurieren Sie Identitätsanbieter für Cisco Federation mithilfe der folgenden Befehle auf jedem XSP|ADP-Server:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> erhalten

   • flsUrl festlegen https://cifls.webex.com/federation

   • aktualisierenPeriodInMinutes 60 festlegen

   • refreshToken refresh-Token-From-Step1 festlegen

8. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Ihre FLS-Konfiguration funktioniert. Mit diesem Befehl wird die Liste der Identitätsanbieter zurück angezeigt:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Abrufen

9. Konfigurieren Sie die Token-Verwaltung mithilfe der folgenden Befehle auf jedem XSP|ADP-Server:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • Festlegen von tokenIssuer BroadWorks

   • TokenDurationInHours 720 festlegen

10. RSA-Schlüssel generieren und freigeben. Sie müssen Schlüssel auf einem XSP|ADP generieren und anschließend in alle anderen XSP|ADPs kopieren. Dies ist auf die folgenden Faktoren zurückzuführen:

    • Sie müssen dieselben öffentlichen/privaten Schlüssel-Paare für die Tokenverschlüsselung/-entschlüsselung für alle Instanzen des Authentifizierungsdiensts verwenden.

    • Das Schlüsselpaar wird vom Authentifizierungsdienst generiert, wenn zum ersten Mal ein Token ausausgabet werden muss.

    Wenn Sie Tasten umschalten oder die Schlüssellänge ändern, müssen Sie die folgende Konfiguration wiederholen und alle XSP|ADPs neu starten.

    1. Wählen Sie einen XSP|ADP aus, der zum Generieren eines Schlüsselpaares verwendet werden soll.

    2. Verwenden Sie einen Client, um ein verschlüsseltes Token von diesem XSP|ADP anzufordern, indem Sie die folgende URL vom Browser des Clients anfordern:

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

       (Dadurch wird ein privates/öffentliches Schlüsselpaar auf dem XSP|ADP generiert, falls noch keines vorhanden war)

    3. Der Speicherort für den Schlüsselspeicher kann nicht konfiguriert werden. Exportieren Sie die Schlüssel:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopieren Sie die exportierte Datei /var/broadworks/tmp/authService.keys an denselben Speicherort auf den anderen XSP|ADPs und überschreiben Sie ggf. eine ältere Datei .keys .

    5. Importieren Sie die Schlüssel auf jedem der anderen XSP|ADPs:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Stellen Sie die AuthService-URL für den Web-Container zur Verfügung. Der Web-Container von XSP|ADP benötigt die authService-URL, damit Token validiert werden können. Auf jedem der XSP|ADPs:

    1. Fügen Sie die Authentifizierungsdienst-URL als externen Authentifizierungsdienst für das BroadWorks Communications-Dienstprogramm hinzu:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> URL festlegen http://127.0.0.1:80/authService

    2. Fügen Sie die Authentifizierungsdienst-URL zum Container hinzu:

       XSP|ADP_CLI/Maintenance/ContainerOptions> Tomcat bw.authservice.authServiceUrl hinzufügen http://127.0.0.1:80/authService

       Dies ermöglicht es Webex, den Authentifizierungsdienst zu verwenden, um tokens als Anmeldeinformationen zu validieren.

    3. Überprüfen Sie den Parameter mit get.

    4. Starten Sie XSP|ADP neu.

Entfernen der Client-Authentifizierungsanforderung für den Auth-Dienst (nur R24)

Wenn Sie den Authentifizierungsdienst mit CI Token-Validierung auf R24 konfiguriert haben, müssen Sie auch die Client-Authentifizierungsanforderung für den Authentifizierungsdienst entfernen. Führen Sie den folgenden CLI-Befehl aus:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> AuthenticationService clientAuthReq false festlegen

Konfiguration von TLS und Verschlüsselungen in den HTTP-Schnittstellen (für XSI und Authentifizierungsdienst)

Die Authentifizierungsdienst-, Xsi-Actions- und Xsi-Events-Anwendungen verwenden HTTP-Serverschnittstellen. Die TLS-Konfigurationsfähigkeit für diese Anwendungen erfolgt wie folgt:

Allgemein = System > Transport > HTTP > HTTP Server-Schnittstelle = Spezifisch

Die CLI-Kontexte, die Sie zum Anzeigen oder Ändern der unterschiedlichen SSL-Einstellungen verwenden, sind:

Lesen der TLS-Schnittstellenkonfiguration des HTTP-Servers auf dem XSP|ADP

1. Melden Sie sich bei XSP|ADP an und navigieren Sie zu XSP|ADP_CLI/Interface/Http/HttpServer>

2. Geben Sie den Befehl ""Get"" ein, und lesen Sie die Ergebnisse. Sie sollten die Schnittstellen (IP-Adressen) sehen und für jede davon, ob sie sicher sind und ob sie eine Client-Authentifizierung erfordern.

Ssl-Tomcat unterstützt ein Zertifikat für jede sichere Schnittstelle; Das System generiert ein selbstsigniertes Zertifikat, wenn es eines benötigt.

XSP|ADP_CLI/Schnittstelle/Http/HttpServer> abrufen

Hinzufügen des TLS 1.2-Protokolls zur HTTP-Serverschnittstelle

Die HTTP-Schnittstelle, die mit der Webex Cloud interagiert, muss für TLSv1.2 konfiguriert werden. Die Cloud verhandeln nicht über frühere Versionen des TLS-Protokolls.

So konfigurieren Sie das TLSv1.2-Protokoll auf der HTTP-Server-Schnittstelle:

1. Melden Sie sich bei XSP|ADP an und navigieren Sie zu XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Geben Sie den Befehl get 443 ein, um zu sehen, welche Protokolle auf dieser Schnittstelle bereits verwendet werden.

3. Geben Sie den Befehl add 443 TLSv1.2 ein, um sicherzustellen, dass die Schnittstelle TLS 1.2 bei der Kommunikation mit der Cloud verwenden kann.

Tls-Verschlüsselungskonfiguration auf der HTTP-Serverschnittstelle bearbeiten

So konfigurieren Sie die erforderlichen Verschlüsselungen:

1. Melden Sie sich bei XSP|ADP an und navigieren Sie zu XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Geben Sie den Befehl get 443 ein, um zu sehen, welche Schlüssel bereits auf dieser Schnittstelle verwendet werden. Es muss mindestens eine der von Cisco empfohlenen Suiten vorhanden sein (siehe XSP|ADP Identitäts- und Sicherheitsanforderungen im Abschnitt „Übersicht“).

3. Geben Sie den Befehl add 443 ein, um eine Verschlüsselung zur HTTP-Serverschnittstelle hinzuzufügen.

   Für die XSP|ADP-CLI ist der Name der IANA-Standard-Verschlüsselungssuite erforderlich, nicht der Name der openSSL-Verschlüsselungssuite. Um der HTTP-Serverschnittstelle beispielsweise die openSSL-Verschlüsselung ECDHE-ECDSA-CHACHA20-POLY1305 hinzuzufügen, würden Sie Folgendes verwenden: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Siehe, https://ciphersuite.info/ um die Suite mit einem der beiden Namen zu finden.

Konfigurieren der Geräteverwaltung auf XSP|ADP, Anwendungsserver und Profilserver

Profilserver und XSP|ADP sind für die Geräteverwaltung obligatorisch. Sie müssen gemäß den Anweisungen im Konfigurationshandbuch für BroadWorks Device Management konfiguriertwerden.