Requisitos de residencia en colaboración

• El servicio de autenticación debe residir en grupo con las aplicaciones Xsi, ya que dichas interfaces deben aceptar tokens de larga duración para obtener autorización del servicio. El servicio de autenticación debe validar esos tokens.

• El servicio de autenticación y Xsi pueden ejecutarse en el mismo puerto, si es necesario.

• Puedes separar al otro services/applications según sea necesario para su escala (granja XSP|ADP de administración de dispositivos dedicados, por ejemplo).

• Puede localizar en forma compartida las aplicaciones Xsi, CTI, del servicio de autenticación y de DMS.

• No instale otras aplicaciones o servicios en los ADP XSP|que se utilizan para integrar BroadWorks con Webex.

• No ubique de forma co-ubique la aplicación NPS con ninguna otra aplicación.

Xsi Interfaces

Instale y configure las aplicaciones Xsi-Actions y Xsi-Events como se describe en la Guía de configuración de la interfaz de servicios Xtended de Cisco BroadWorks.

Solo se debe implementar una instancia de las aplicaciones Xsi-Events en el ADP XSP|utilizado para la interfaz CTI.

Todos los Xsi-Events utilizados para integrar Broadworks con Webex deben tener el mismo callControlApplicationName definido en Applications/Xsi-Events/GeneralSettings. Por ejemplo:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Cuando un usuario se incorpora a Webex, Webex crea una suscripción para el usuario en el AS para recibir eventos de telefonía de presencia e historial de llamadas. La suscripción está asociada con callControlApplicationName y el AS la utiliza para saber a qué Xsi-Events enviar los eventos de telefonía.

Configurar el servicio de autenticación (con validación de token de CI)

Utilice este procedimiento para configurar el servicio de autenticación de modo que utilice la validación de token de CI con TLS. Se recomienda este método de autenticación si está ejecutando R22 o una versión superior y el sistema lo admite.

1. Obtener credenciales de OAuth para su Webex para Cisco BroadWorks.

2. Instale los siguientes parches en cada servidor XSP|ADP. Instale las revisiones adecuadas para su versión:

   • Para R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Para R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Para R24: no se necesita ninguna revisión

   Cualquier referencia a XSP incluye tanto XSP como ADP.

3. Instale la aplicación AuthenticationService en cada servicio ADP XSP|.

   1. Ejecute el siguiente comando para activar la aplicación AuthenticationService en el ADP XSP|/authService ruta de contexto.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Ejecute este comando para implementar AuthenticationService en el ADP XSP|:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. A partir de la versión 2022.10 de Broadworks, las autoridades de certificación que vienen con Java ya no se incluyen automáticamente en el almacén de confianza de BroadWorks cuando se cambia a una nueva versión de Java. El AuthenticationService abre una conexión TLS a Webex para obtener el token de acceso y necesita tener lo siguiente en su almacén de confianza para validar el IDBroker y la URL de Webex:

   • IdenTrust, CA raíz comercial 1

   • Go Daddy, Autoridad de certificados raíz - G2

   Verifique que estos certificados estén presentes en la siguiente CLI

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Si no está presente, ejecute el siguiente comando para importar las confianzas de Java predeterminadas:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Alternativamente, puede agregar manualmente estos certificados como anclajes de confianza con el siguiente comando:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Si se actualiza el ADP desde una versión anterior, las autoridades de certificación de la versión anterior se importan automáticamente a la nueva versión y continuarán importándose hasta que se eliminen manualmente.

   La aplicación AuthenticationService está exenta de la configuración validatePeerIdentity en ADP_CLI/System/SSLCommonSettings/GeneralSettings, y siempre valida la identidad del par. Consulte la FD de validación del certificado Cisco Broadworks X509 para obtener más información sobre esta configuración.

5. Configure los proveedores de identidad ejecutando los siguientes comandos en cada servidor XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName —Para URL, ingrese la URL de IssuerName que se aplica a su clúster de CI. Vea la siguiente tabla.

   • set issuerUrl —Para URL, ingrese el IssuerUrl que se aplica a su clúster CI. Vea la siguiente tabla.

   • set tokenInfoUrl : introduzca la URL del proxy de IdP que se aplica a su grupo de Teams. Vea la segunda tabla que sigue.

   Tabla 1. Establecer issuerName y issuerURL

   Si el grupo de CI está...	Establezca issuerName y issuerURL en...
   EE. UU.-A	https://idbroker.webex.com/idb
   UE	https://idbroker-eu.webex.com/idb
   EE. UU.-B	https://idbroker-b-us.webex.com/idb
   Si no conoce su CI Cluster, puede obtener la información de los detalles del cliente en la vista de la mesa de ayuda del centro de control.

   Tabla 2. Establecer tokenInfoURL

   Si el grupo de Teams está...	Establezca tokenInfoURL en...(URL del proxy de IdP)
   Achm	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Afra	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORTE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Si no conoce su Clúster de equipos, puede obtener la información de los detalles del cliente en la vista de la mesa de ayuda del Centro de control. Para probar, puede verificar que tokenInfoURL sea válido reemplazando la parte "idp/authenticate" de la URL con "ping".

6. Especifique la autorización de Webex que debe estar presente en la perfil de usuario de Webex mediante la ejecución del siguiente comando:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Configure proveedores de identidad para Cisco Federation utilizando los siguientes comandos en cada servidor XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Ejecute el siguiente comando para validar que su configuración de FLS esté funcionando. Este comando devolverá la lista de proveedores de identidad:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Configure la administración de tokens utilizando los siguientes comandos en cada servidor XSP|ADP:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. Generar y compartir claves RSA. Debe generar claves en un ADP XSP|y luego copiarlas a todos los demás ADP XSP|. Esto se debe a los siguientes factores:

    • Debe utilizar los mismos pares de claves públicas/privadas para el cifrado y descifrado de tokens en todas las instancias del servicio de autenticación.

    • El servicio de autenticación genera el par de claves cuando se le exige por primera vez emitir un token.

    Si recicla claves o cambia la longitud de la clave, deberá repetir la siguiente configuración y reiniciar todos los ADP XSP|.

    1. Seleccione un XSP|ADP para utilizar para generar un par de claves.

    2. Utilice un cliente para solicitar un token cifrado de ese XSP|ADP, solicitando la siguiente URL desde el navegador del cliente:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Esto genera una cuenta privada / par de claves públicas en el ADP XSP|, si no había uno ya)

    3. La ubicación del almacén de claves no es configurable. Exportar las claves:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Copie el archivo exportado /var/broadworks/tmp/authService.keys a la misma ubicación en los otros ADP XSP|, sobrescribiendo un archivo .keys más antiguo si es necesario.

    5. Importe las claves en cada uno de los otros ADP XSP|:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Proporcione la URL del servicio de autenticación al contenedor web. El contenedor web de XSP|ADP necesita la URL de authService para poder validar tokens. En cada uno de los ADP XSP|:

    1. Agregue la URL del servicio de autenticación como servicio de autenticación externa para la utilidad BroadWorks Communications:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Agregue la URL del servicio de autenticación al contenedor:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Esto permite que Webex utilice el servicio de autenticación para validar los tokens presentados como credenciales.

    3. Compruebe el parámetro con get.

    4. Reinicie el XSP|ADP.

Eliminar el requisito de autenticación de cliente para el servicio de autenticación (solo R24)

Si tiene el servicio de autenticación configurado con validación de token de CI en R24, también tiene que eliminar el requisito de autenticación del cliente para el servicio de autenticación. Ejecute el siguiente comando de CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Configuración de TLS y cifrados en las interfaces HTTP (para XSI y el servicio de autenticación)

Las aplicaciones de Servicio de autenticación, Xsi-Actions y Xsi-Events utilizan interfaces del servidor HTTP. Los niveles de configuración de TLS para estas aplicaciones son los siguientes:

Más general = Transporte > sistema > HTTP > la interfaz del servidor HTTP = Más específico

Los contextos de la CLI que utiliza para ver o modificar las diferentes configuraciones de SSL son los siguientes:

Lectura de la configuración de la interfaz TLS del servidor HTTP en XSP|ADP

1. Inicie sesión en XSP|ADP y navegue hasta XSP|ADP_CLI/Interface/Http/HttpServer>

2. Introduzca el comando get y lea los resultados. Verá las interfaces (direcciones IP) y, para cada una, si son seguras y si requieren autenticación de cliente.

Apache tomcat exige un certificado para cada interfaz segura; el sistema genera un certificado de firma propia si necesita uno.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Adición del protocolo TLS 1.2 a la interfaz del servidor HTTP

La interfaz HTTP que está interactuando con la nube de Webex debe configurarse para TLSv1.2. La nube no negocia versiones anteriores del protocolo TLS.

Para configurar el protocolo TLSv1.2 en la interfaz del servidor HTTP:

1. Inicie sesión en XSP|ADP y navegue hasta XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Introduzca el comando get 443 para ver qué protocolos ya se utilizan en esta interfaz.

3. Ingrese el comando add 443 TLSv1.2 para garantizar que la interfaz pueda usar TLS 1.2 al comunicarse con la nube.

Editar la configuración de cifrados TLS en la interfaz del servidor HTTP

Para configurar los cifrados obligatorios:

1. Inicie sesión en XSP|ADP y navegue hasta XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Introduzca el comando get 443 para ver qué cifrados ya se utilizan en esta interfaz. Debe haber al menos una de las suites recomendadas por Cisco (consulte XSP|Requisitos de identidad y seguridad de ADP en la sección Descripción general).

3. Introduzca el comando add 443 para agregar un cifrado a la interfaz del servidor HTTP.

   La CLI de XSP|ADP requiere el nombre del conjunto de cifrado estándar de IANA, no el nombre del conjunto de cifrado openSSL. Por ejemplo, para agregar el cifrado openSSL ECDHE-ECDSA-CHACHA20-POLY1305 a la interfaz del servidor HTTP, utilizaría: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Consulte https://ciphersuite.info/ para encontrar la suite por cualquiera de los dos nombres.

Configurar la administración de dispositivos en XSP|ADP, servidor de aplicaciones y servidor de perfiles

El servidor de perfiles y XSP|ADP son obligatorios para la administración de dispositivos. Deben configurarse de acuerdo con las instrucciones de la Guía de configuración de administración de dispositivos de BroadWorks.