Requisitos de residencia en colaboración

• El servicio de autenticación debe residir en grupo con las aplicaciones Xsi, ya que dichas interfaces deben aceptar tokens de larga duración para obtener autorización del servicio. El servicio de autenticación debe validar esos tokens.

• El servicio de autenticación y Xsi pueden ejecutarse en el mismo puerto, si es necesario.

• Puede separar los otros servicios/aplicaciones según sea necesario para su escala (granja dedicada de administración de dispositivos XSP|ADP, por ejemplo).

• Puede localizar en forma compartida las aplicaciones Xsi, CTI, del servicio de autenticación y de DMS.

• No instale otras aplicaciones o servicios en los ADP XSP|que se utilizan para integrar BroadWorks con Webex.

• No ubique de forma co-ubique la aplicación NPS con ninguna otra aplicación.

Xsi Interfaces

Instale y configure las aplicaciones Xsi-Actions y Xsi-Events como se describe en la Guía de configuración de la interfaz de servicios Xtended de Cisco BroadWorks.

Solo debe implementarse una instancia de las aplicaciones Xsi-Events en el XSP|ADP que se utiliza para la interfaz de CTI.

Todos los Xsi-Events utilizados para integrar Broadworks con Webex deben tener el mismo callControlApplicationName definido en Applications/Xsi-Events/GeneralSettings. Por ejemplo:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> conseguir

callControlApplicationName = com.broadsoft.xsi-events

Cuando se incorpora un usuario a Webex, Webex crea una suscripción para el usuario en el AS a fin de recibir eventos de telefonía para la presencia y el historial de llamadas. La suscripción está asociada con callControlApplicationName y el AS la utiliza para saber a qué Xsi-Events enviar los eventos de telefonía.

Configurar el servicio de autenticación (con validación de token de CI)

Utilice este procedimiento para configurar el servicio de autenticación de modo que utilice la validación de token de CI con TLS. Se recomienda este método de autenticación si está ejecutando R22 o una versión superior y el sistema lo admite.

1. Obtención de credenciales de OAuth para su Webex para Cisco BroadWorks.

2. Instale las siguientes revisiones en cada servidor XSP|ADP. Instale las revisiones adecuadas para su versión:

   • Para R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Para R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Para R24: no se necesita ninguna revisión

   Cualquier referencia a XSP incluye XSP o ADP.

3. Instale la aplicación AuthenticationService en cada servicio de ADP XSP|.

   1. Ejecute el siguiente comando para activar la aplicación AuthenticationService en el ADP XSP|a la ruta de contexto /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activar la aplicación AuthenticationService 22.0_1.1123/authService

   2. Ejecute este comando para implementar AuthenticationService en el ADP de XSP|:

      XSP|ADP_CLI/Maintenance/ManagedObjects> implemente la aplicación /authServiceBroadWorks SW Manager implementando /authService...

4. A partir de la compilación 2022.10 de Broadworks, las autoridades de certificados que vienen con Java ya no se incluyen automáticamente en el almacén de confianza de BroadWorks al cambiar a una nueva versión de java. AuthenticationService abre una conexión TLS a Webex para obtener el token de acceso y debe tener lo siguiente en su almacén de confianza para validar la URL de IDBroker y Webex:

   • IdenTrust, CA raíz comercial 1

   • Go Daddy, Autoridad de certificados raíz - G2

   Verifique que estos certificados estén presentes en la siguiente CLI

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> conseguir

   Si no está presente, ejecute el siguiente comando para importar las listas de confianza de Java predeterminadas:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Como alternativa, puede agregar manualmente estos certificados como anclajes de confianza con el siguiente comando:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Si se mejora el ADP de una versión anterior, las autoridades de emisión de certificados de la versión anterior se importan automáticamente a la nueva versión y seguirán importándose hasta que se eliminen manualmente.

   La aplicación AuthenticationService está exenta de la configuración validatePeerIdentity en ADP_CLI/System/SSLCommonSettings/GeneralSettings, y siempre valida la identidad del par. Consulte la FD de validación de certificado X509 de Cisco Broadworks para obtener más información sobre esta configuración.

5. Configure los proveedores de identidad mediante la ejecución de los siguientes comandos en cada servidor XSP|ADP:

   CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get|ADP_

   • establecer clientId client-id-from-step1

   • establecer habilitado como verdadero

   • establecer clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName : para la URL, introduzca la URL de IssuerName que se aplica a su grupo de CI. Consulte la siguiente tabla.

   • set issuerUrl : para la URL, introduzca la IssuerUrl que se aplica a su grupo de CI. Consulte la siguiente tabla.

   • set tokenInfoUrl : introduzca la URL del proxy del IdP que se aplica a su grupo de Teams. Consulte la segunda tabla que sigue.

   Tabla 1. Establecer issuerName y issuerURL

   Si el grupo de CI está...	Establecer issuerName y issuerURL en...
   EE. UU.-A	https://idbroker.webex.com/idb
   UE	https://idbroker-eu.webex.com/idb
   EE. UU.-B	https://idbroker-b-us.webex.com/idb
   Si no conoce su Grupo de CI, puede obtener la información de la Detalles del cliente en la vista de Mesa de ayuda de Control Hub.

   Tabla 2. Establecer tokenInfoURL

   Si el grupo de Teams está...	Establecer tokenInfoURL en... (URL del proxy de IdP)
   Achm	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Afra	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORTE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Si no conoce su grupo de Teams, puede obtener la información de los detalles del cliente en la vista de Mesa de ayuda de Control Hub. Para la prueba, puede verificar que tokenInfoURL sea válida; para ello, reemplace la parte "idp/authenticate" de la URL por "ping".

6. Especifique la autorización de Webex que debe estar presente en la perfil de usuario de Webex mediante la ejecución del siguiente comando:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> establecer alcance broadworks-connector:usuario

7. Configure los proveedores de servicios de identidad para la Federación de Cisco con los siguientes comandos en cada servidor ADP de XSP|:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • establecer flsUrl https://cifls.webex.com/federation

   • configurar actualizarPeriodInMinutes 60

   • establecer refreshToken refresh-Token-From-Step1

8. Ejecute el siguiente comando para validar que su configuración de FLS esté funcionando. Este comando devolverá la lista de proveedores de identidad:

   xsp|adp_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Obtener

9. Configure la administración de tokens mediante los siguientes comandos en cada servidor ADP de XSP|:

   • CLI/Applications/AuthenticationService/TokenManagement de XSP|ADP_>

   • definir TokenIssuer BroadWorks

   • establecer tokenDurationInHours 720

10. Generar y compartir claves RSA. Debe generar claves en un XSP|ADP y luego copiarlas a todos los demás XSP|ADP. Esto se debe a los siguientes factores:

    • Debe utilizar los mismos pares de claves públicas/privadas para el cifrado y descifrado de tokens en todas las instancias del servicio de autenticación.

    • El servicio de autenticación genera el par de claves cuando se le exige por primera vez emitir un token.

    Si realiza ciclos de teclas o cambia la longitud de las teclas, debe repetir la siguiente configuración y reiniciar todos los ADP XSP|ADP.

    1. Seleccione un XSP|ADP para usarlo para generar un par de claves.

    2. Utilice un cliente para solicitar un token cifrado de ese XSP|ADP; para ello, solicite la siguiente URL al navegador del cliente:

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

       (Esto genera un par de claves privada/pública en el ADP XSP|, si ya no existía uno)

    3. La ubicación del almacén de claves no es configurable. Exportar las claves:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Copie el archivo exportado /var/broadworks/tmp/authService.keys a la misma ubicación en los otros ADP de XSP|; de ser necesario, sobrescriba un archivo .keys más antiguo.

    5. Importar las claves de cada uno de los otros ADP de XSP|:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Proporcione la URL del servicio de autenticación al contenedor web. El contenedor web de XSP|ADP necesita la URL de authService para poder validar los tokens. En cada uno de los ADP de XSP|:

    1. Agregue la URL del servicio de autenticación como servicio de autenticación externa para la utilidad BroadWorks Communications:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> establecer URL http://127.0.0.1:80/authService

    2. Agregue la URL del servicio de autenticación al contenedor:

       XSP|ADP_CLI/Maintenance/ContainerOptions> agregar tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Esto permite que Webex utilice el servicio de autenticación para validar los tokens presentados como credenciales.

    3. Verifique el parámetro con get.

    4. Reinicie el XSP|ADP.

Eliminar el requisito de autenticación de cliente para el servicio de autenticación (solo R24)

Si tiene el servicio de autenticación configurado con validación de token de CI en R24, también tiene que eliminar el requisito de autenticación del cliente para el servicio de autenticación. Ejecute el siguiente comando de CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> establecer clientAuthReq de AuthenticationService

Configuración de TLS y cifrados en las interfaces HTTP (para XSI y el servicio de autenticación)

Las aplicaciones de Servicio de autenticación, Xsi-Actions y Xsi-Events utilizan interfaces del servidor HTTP. Los niveles de configuración de TLS para estas aplicaciones son los siguientes:

Más general = Transporte > sistema > HTTP > la interfaz del servidor HTTP = Más específico

Los contextos de la CLI que utiliza para ver o modificar las diferentes configuraciones de SSL son los siguientes:

Lectura de la configuración de la interfaz TLS del servidor HTTP en XSP|ADP

1. Inicie sesión en XSP|ADP y navegue hasta XSP|ADP_CLI/Interface/Http/HttpServer>

2. Ingrese el comando obtener y lea los resultados. Verá las interfaces (direcciones IP) y, para cada una, si son seguras y si requieren autenticación de cliente.

Apache tomcat exige un certificado para cada interfaz segura; el sistema genera un certificado de firma propia si necesita uno.

XSP|ADP_CLI/Interfaz/Http/HttpServer> obtener

Adición del protocolo TLS 1.2 a la interfaz del servidor HTTP

La interfaz HTTP que está interactuando con la nube de Webex debe configurarse para TLSv1.2. La nube no negocia versiones anteriores del protocolo TLS.

Para configurar el protocolo TLSv1.2 en la interfaz del servidor HTTP:

1. Inicie sesión en XSP|ADP y navegue hasta XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Introduzca el comando get 443 para ver qué protocolos ya se utilizan en esta interfaz.

3. Introduzca el comando add 443 TLSv1.2 para garantizar que la interfaz pueda utilizar TLS 1.2 cuando se comunique con la nube.

Editar la configuración de cifrados TLS en la interfaz del servidor HTTP

Para configurar los cifrados obligatorios:

1. Inicie sesión en XSP|ADP y navegue hasta XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Introduzca el comando get 443 para ver qué cifrados ya se utilizan en esta interfaz. Debe haber al menos uno de los conjuntos recomendados por Cisco (consulte XSP|Requisitos de identidad y seguridad de ADP en la sección Descripción general).

3. Introduzca el comando add 443 para agregar un cifrado a la interfaz del servidor HTTP.

   La CLI de ADP XSP|requiere el nombre del conjunto de cifrado estándar de IANA, no el nombre del conjunto de cifrado openSSL. Por ejemplo, para agregar el cifrado openSSL ECDHE-ECDSA-CHACHA20-POLY1305 a la interfaz del servidor HTTP, utilizará: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_CON_CHACHA20_POLY1305

   Consulte https://ciphersuite.info/ para encontrar la suite por cualquiera de los dos nombres.

Configurar la administración de dispositivos en XSP|ADP, servidor de aplicaciones y servidor de perfiles

Profile Server y XSP|ADP son obligatorios para la administración de dispositivos. Deben configurarse de acuerdo con las instrucciones de la Guía de configuración de administración de dispositivos de BroadWorks.