Rinnakkaisresidenssivaatimukset

• Tunnistuspalvelun on oltava ja Xsi-sovellusten yhteinen, koska näiden rajapintojen on hyväksyttävä pitkäikäiset tunnisteet palvelun valtuuttamista varten. Todentamispalvelun on validoitava nämä tunnisteet.

• Tunnistuspalvelu ja Xsi voivat tarvittaessa käyttää samaa porttia.

• Voit erottaa muut palvelut/sovellukset toisistaan tarpeen mukaan (esimerkiksi oma laitehallinta XSP|ADP-farmi).

• Voit sijoittaa Xsi-, CTI-, Authentication Service- ja DMS-sovellukset samaan paikkaan.

• Älä asenna muita sovelluksia tai palveluita XSP|ADP-laitteisiin, joita käytetään BroadWorksin ja Webexin integrointiin.

• Älä sijoita NPS-sovellusta muiden sovellusten kanssa.

Xsi-liitännät

Asenna ja määritä Xsi-Actions- ja Xsi-Events-sovellukset osoitteessa . Cisco BroadWorks Xtended Services Interface Configuration Guide.

Vain yksi Xsi-Events-sovellusten instanssi tulisi ottaa käyttöön XSP|ADP:ssä, jota käytetään CTI-liitäntänä.

Kaikilla Xsi-Events-tapahtumilla, joita käytetään Broadworksin ja Webexin integrointiin, on oltava sama callControlApplicationName, joka on määritelty kohdassa Applications/Xsi-Events/GeneralSettings. Esimerkiksi:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> Hanki

callControlApplicationName = com.broadsoft.xsi-events

Kun käyttäjä otetaan Webexiin, Webex luo käyttäjälle tilauksen liitännäisjärjestelmään, jotta hän voi vastaanottaa puhelintapahtumia läsnäoloa ja puhelujen historiaa varten. Tilaus liittyy callControlApplicationNameen, ja liitännäisjärjestelmä käyttää sitä tietääkseen, mihin Xsi-tapahtumiin puhelutapahtumat on lähetettävä.

Tunnistuspalvelun määrittäminen (CI-tunnisteen validoinnin kanssa)

Tämän menettelyn avulla voit määrittää todennuspalvelun käyttämään CI Token Validation with TLS -palvelua. Tätä todennusmenetelmää suositellaan, jos käytössäsi on R22 tai uudempi versio ja järjestelmäsi tukee sitä.

1. OAuth-tunnusten hankkiminen Webex for Cisco BroadWorks -palvelua varten.

2. Asenna seuraavat korjaukset kuhunkin XSP|ADP-palvelimeen. Asenna julkaisuusi sopivat korjaukset:

   • R22:lle:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • R23:lle:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • R24:lle - korjausta ei tarvita

   Kaikki viittaukset XSP:hen sisältävät joko XSP:n tai ADP:n.

3. Asenna AuthenticationService -sovellus jokaiseen XSP|ADP-palveluun.

   1. Suorita seuraava komento aktivoidaksesi AuthenticationService-sovellus XSP:ssä|ADP:n /authService-kontekstipolkuun.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Suorita tämä komento AuthenticationService-palvelun käyttöönottamiseksi XSP:ssä|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. Broadworksin versiosta 2022.10 alkaen Javan mukana tulevia varmenteiden myöntäjiä ei enää sisällytetä automaattisesti BroadWorksin luottamussäilöön, kun siirrytään uuteen Java-versioon. AuthenticationService avaa TLS-yhteyden Webexiin noutaakseen käyttöoikeuskoodin, ja sen on oltava luottotietovarastossaan seuraavat tiedot IDBrokerin ja Webexin URL-osoitteen vahvistamiseksi:

   • IdenTrust Commercial Root CA 1

   • Go Daddy juurivarmentaja - G2

   Tarkista, että nämä varmenteet ovat läsnä seuraavassa CLI:ssä

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> Hanki

   Jos sitä ei ole, suorita seuraava komento tuodaksesi oletusarvoiset Java-luottamukset:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Vaihtoehtoisesti voit lisätä nämä varmenteet manuaalisesti luottamusankkureiksi seuraavalla komennolla:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Jos ADP päivitetään aiemmasta versiosta, vanhan version varmenteiden myöntäjät tuodaan automaattisesti uuteen versioon ja tuodaan edelleen, kunnes ne poistetaan manuaalisesti.

   AuthenticationService-sovellus on vapautettu ADP_CLI/System/SSLCommonSettings/GeneralSettings -kohdassa olevasta validatePeerIdentity-asetuksesta, ja se validoi aina vertaisverkon identiteetin. Lisätietoja tästä asetuksesta on osoitteessa Cisco Broadworks X509 Certificate Validation FD .

5. Määritä tunnistuspalvelimet suorittamalla seuraavat komennot kussakin XSP|ADP-palvelimessa:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName -Kohtaan URL-osoite kirjoita CI-klusteriin sovellettava IssuerName-URL-osoite. Katso seuraava taulukko.

   • set issuerUrl -Kohtaan URL kirjoita CI-klusteriin sovellettava IssuerUrl. Katso seuraava taulukko.

   • set tokenInfoUrl -Kirjoita Teams-klusteriin sovellettava IdP-välityspalvelimen URL-osoite. Katso seuraava toinen taulukko.

   Taulukko 1. Aseta issuerName ja issuerURL.

   Jos CI-klusteri on...	Aseta issuerName ja issuerURL...
   US-A	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   US-B	https://idbroker-b-us.webex.com/idb
   Jos et tiedä CI-klusteriasi, saat tiedot Control Hubin Help Desk -näkymän asiakastiedoista.

   Taulukko 2. Set tokenInfoURL

   Jos Teams Cluster on...	Set tokenInfoURL to...(IdP Proxy URL)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AFRA	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Jos et tiedä Teams-klusteriasi, saat tiedot Control Hubin Help Desk -näkymän asiakastiedoista. Testausta varten voit tarkistaa, että tokenInfoURL on kelvollinen, korvaamalla URL-osoitteen "idp/authenticate" -osion osalla "ping".

6. Määritä Webex-oikeudet, joiden on oltava Webexin käyttäjäprofiilissa, suorittamalla seuraava komento:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Määritä Identity Providers for Cisco Federation seuraavien komentojen avulla kussakin XSP|ADP-palvelimessa:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Suorita seuraava komento varmistaaksesi, että FLS-konfiguraatiosi toimii. Tämä komento palauttaa luettelon identiteetin tarjoajista:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Määritä Token Management seuraavien komentojen avulla kussakin XSP|ADP-palvelimessa:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. RSA-avaimien luominen ja jakaminen. Sinun on luotava avaimet yhdessä XSP|ADP:ssä ja kopioitava ne sitten kaikkiin muihin XSP|ADP:iin. Tämä johtuu seuraavista tekijöistä:

    • Sinun on käytettävä samoja julkisia/yksityisiä avainpareja tunnisteiden salaukseen ja salauksen purkamiseen kaikissa todennuspalvelun instansseissa.

    • Todentamispalvelu luo avainparin, kun sitä vaaditaan ensimmäistä kertaa myöntämään tunniste.

    Jos kierrätät näppäimiä tai muutat näppäimen pituutta, sinun on toistettava seuraava määritys ja käynnistettävä kaikki XSP|ADP:t uudelleen.

    1. Valitse yksi XSP|ADP, jota käytetään avainparin luomiseen.

    2. Pyydä asiakkaan avulla salattua tokenia kyseiseltä XSP|ADP:ltä pyytämällä asiakkaan selaimesta seuraava URL-osoite:

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

       (Tämä luo yksityisen/julkisen avainparin XSP|ADP:hen, jos sellaista ei ole jo olemassa).

    3. Avainsäilön sijainti ei ole määritettävissä. Vie avaimet:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopioi viety tiedosto /var/broadworks/tmp/authService.keys samaan paikkaan muissa XSP:n|ADP:ssä ja korvaa tarvittaessa vanhempi .keys -tiedosto.

    5. Tuo kunkin muun XSP|ADP:n avaimet:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Anna authService URL-osoite web-säiliölle. XSP|ADP:n web-säiliö tarvitsee authService URL-osoitteen, jotta se voi validoida tunnukset. Kussakin XSP|ADP:ssä:

    1. Lisää todennuspalvelun URL-osoite BroadWorks Communications Utility -apuohjelman ulkoiseksi todennuspalveluksi:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Lisää todennuspalvelun URL-osoite säiliöön:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Tämän avulla Webex voi käyttää todennuspalvelua valtakirjoina esitettyjen tunnisteiden vahvistamiseen.

    3. Tarkista parametri osoitteesta get.

    4. Käynnistä XSP|ADP uudelleen.

Poista asiakkaan todennusvaatimus Auth-palvelusta (vain R24).

Jos todennuspalvelu on määritetty R24:ssä CI-tunnisteen validoinnin kanssa, sinun on myös poistettava todennuspalvelun asiakastodennusvaatimus. Suorita seuraava CLI-komento:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

TLS:n ja salakirjoitusten määrittäminen HTTP-liitännöissä (XSI- ja todennuspalvelua varten Service).

Tunnistuspalvelu, Xsi-Actions ja Xsi-Events -sovellukset käyttävät HTTP-palvelinrajapintoja. TLS:n konfiguroitavuuden tasot näissä sovelluksissa ovat seuraavat:

Yleisin = Järjestelmä > Kuljetus > HTTP > HTTP-palvelimen käyttöliittymä = Spesifisin

CLI-kontekstit, joilla voit tarkastella tai muuttaa eri SSL-asetuksia, ovat:

HTTP-palvelimen TLS-liitännän konfiguraation lukeminen XSP:ssä|ADP:ssä.

1. Kirjaudu sisään XSP:hen|ADP ja siirry osoitteeseen XSP|ADP_CLI/Interface/Http/HttpServer>.

2. Anna komento get ja lue tulokset. Sinun pitäisi nähdä liitännät (IP-osoitteet) ja kunkin liitännän osalta, ovatko ne suojattuja ja vaativatko ne asiakkaan todennusta.

Apache tomcat vaatii varmenteen jokaista suojattua rajapintaa varten; järjestelmä luo itse allekirjoitetun varmenteen, jos se tarvitsee sellaisen.

XSP|ADP_CLI/Interface/Http/HttpServer> get

TLS 1.2 -protokollan lisääminen HTTP-palvelimen käyttöliittymään

Webex Cloudin kanssa vuorovaikutuksessa oleva HTTP-liittymä on määritettävä TLSv1.2:lle. Pilvi ei neuvottele TLS-protokollan aiempia versioita.

TLSv1.2-protokollan määrittäminen HTTP-palvelimen käyttöliittymään:

1. Kirjaudu sisään XSP|ADP:hen ja siirry osoitteeseen XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>.

2. Anna komento get 443 nähdäksesi, mitkä protokollat ovat jo käytössä tässä liitännässä.

3. Anna komento add 443 TLSv1.2 varmistaaksesi, että liitäntä voi käyttää TLS 1.2:ta kommunikoidessaan pilven kanssa.

TLS-salausten määritysten muokkaaminen HTTP-palvelimen käyttöliittymässä

Tarvittavien salakirjoitusten määrittäminen:

1. Kirjaudu sisään XSP|ADP:hen ja siirry osoitteeseen XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>.

2. Anna komento get 443 nähdäksesi, mitkä salakirjoitukset ovat jo käytössä tässä liitännässä. On oltava vähintään yksi Ciscon suosittelemista sviiteistä (katso XSP|ADP Identity and Security Requirements kohdassa Overview).

3. Anna komento add 443 lisätäksesi salauksen HTTP-palvelimen käyttöliittymään.

   XSP|ADP CLI vaatii IANA-standardin mukaisen salauspaketin nimen, ei openSSL-salauspaketin nimeä. Jos haluat esimerkiksi lisätä openSSL-salauksen ECDHE-ECDSA-CHACHA20-POLY1305 HTTP-palvelimen käyttöliittymään, käytä seuraavaa: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Katso https://ciphersuite.info/ löytääksesi sviitin kummallakin nimellä.

Laitehallinnan määrittäminen XSP:ssä|ADP, sovelluspalvelin ja profiilinhallinta palvelin

Profiilipalvelin ja XSP|ADP ovat pakollisia laitehallintaa varten. Ne on määritettävä BroadWorks Device Management Configuration Guide-oppaan ohjeiden mukaisesti.