Exigences de co-résidence

• Le service d’authentification doit être co-résident avec les applications Xsi, car ces interfaces doivent accepter des jetons depuis le long moment pour l’autorisation du service. Le service d’authentification est requis pour valider ces jetons.

• Le service d’authentification et Xsi peuvent fonctionner sur le même port si nécessaire.

• Vous pouvez séparer l'autre services/applications selon les besoins de votre échelle (gestion de périphériques dédiés XSP|ferme ADP, par exemple).

• Vous pouvez co-localiser les applications Xsi, CTI, Service d’authentification et DMS.

• N'installez pas d'autres applications ou services sur les ADP XSP|utilisés pour l'intégration de BroadWorks avec Webex.

• Ne pas co-localiser l’application NPS avec aucune autre application.

Xsi Interfaces

Installez et configurez les applications Xsi-Actions et Xsi-Events comme décrit dans le Guide de configuration de l’interface des services Cisco BroadWorks Xtended.

Une seule instance des applications Xsi-Events doit être déployée sur le XSP|ADP utilisé pour l'interface CTI.

Tous les événements Xsi utilisés pour l'intégration de Broadworks avec Webex doivent avoir le même callControlApplicationName défini sous Applications/Xsi-Events/GeneralSettings. par exemple

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Lorsqu'un utilisateur est intégré à Webex, Webex crée un abonnement pour l'utilisateur sur l'AS afin de recevoir des événements de téléphonie pour la présence et l'historique des appels. L'abonnement est associé à callControlApplicationName et l'AS l'utilise pour savoir à quels Xsi-Events envoyer les événements de téléphonie.

Configurer le service d’authentification (avec validation du jeton CI)

Utilisez cette procédure pour configurer le service d’authentification pour utiliser la validation du jeton CI avec TLS. Cette méthode d’authentification est recommandée si vous avez la méthode R22 ou supérieure et que votre système la prend en charge.

1. Obtention des informations d'identification OAuth pour votre Webex pour Cisco BroadWorks.

2. Installez les correctifs suivants sur chaque serveur XSP|ADP. Installez les correctifs appropriés à votre version :

   • Pour R22 :

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Pour R23 :

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Pour R24—aucun correctif n’est requis

   Toute référence à XSP inclut soit XSP, soit ADP.

3. Installez l'application AuthenticationService sur chaque service XSP|ADP.

   1. Exécutez la commande suivante pour activer l'application AuthenticationService sur le XSP|ADP sur le /authService chemin de contexte.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Exécutez cette commande pour déployer AuthenticationService sur le XSP|ADP :

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. À partir de la version 2022.10 de Broadworks, les autorités de certification fournies avec Java ne sont plus automatiquement incluses dans le magasin de confiance BroadWorks lors du passage à une nouvelle version de Java. Le AuthenticationService ouvre une connexion TLS à Webex pour récupérer le jeton d'accès et doit avoir les éléments suivants dans son truststore pour valider l'IDBroker et l'URL Webex :

   • IdenTrust Commercial racine CA 1

   • Go Daddy Root Certification Authority - G2

   Vérifiez que ces certificats sont présents sous la CLI suivante

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   S'il n'est pas présent, exécutez la commande suivante pour importer les approbations Java par défaut :

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Alternativement, vous pouvez ajouter manuellement ces certificats comme ancres de confiance avec la commande suivante :

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Si l'ADP est mis à niveau à partir d'une version précédente, les autorités de certification de l'ancienne version sont automatiquement importées dans la nouvelle version et continueront d'être importées jusqu'à ce qu'elles soient supprimées manuellement.

   L'application AuthenticationService est exemptée du paramètre validatePeerIdentity sous ADP_CLI/System/SSLCommonSettings/GeneralSettings, et valide toujours l'identité du pair. Consultez le Cisco Broadworks X509 Certificate Validation FD pour plus d'informations sur ce paramètre.

5. Configurez les fournisseurs d’identité en exécutant les commandes suivantes sur chaque serveur XSP|ADP :

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName — Pour URL, saisissez l’URL IssuerName qui s’applique à votre cluster CI. Voir le tableau suivant.

   • set issuerUrl — Pour URL, saisissez l’IssuerUrl qui s’applique à votre cluster CI. Voir le tableau suivant.

   • set tokenInfoUrl —Saisissez l’URL du proxy IdP qui s’applique à votre cluster Teams. Voir le deuxième tableau qui suit.

   Tableau 1. Définir issuerName et issuerURL

   Si le cluster IC est...	Définissez issuerName et issuerURL sur...
   USA-A	https://idbroker.webex.com/idb
   UE	https://idbroker-eu.webex.com/idb
   USA-B	https://idbroker-b-us.webex.com/idb
   Si vous ne connaissez pas votre CI Cluster, vous pouvez obtenir les informations à partir des détails du client dans la vue Help Desk de Control Hub.

   Tableau 2. Définir tokenInfoURL

   Si le cluster Teams est...	Définir tokenInfoURL sur... (URL du proxy IdP)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Afra	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Si vous ne connaissez pas votre cluster Teams, vous pouvez obtenir les informations à partir des détails du client dans la vue Help Desk de Control Hub. Pour les tests, vous pouvez vérifier que le tokenInfoURL est valide en remplaçant la partie «idp/authenticate  » de l'URL par «ping  ».

6. Spécifiez les droits Webex qui doivent être présents dans les Profil d'utilisateur webex en exécutant la commande suivante :

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Configurez les fournisseurs d'identité pour Cisco Federation à l'aide des commandes suivantes sur chaque serveur XSP|ADP :

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Exécutez la commande suivante pour valider que votre configuration FLS fonctionne. Cette commande retournera la liste des fournisseurs d’identité :

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Configurez la gestion des jetons à l’aide des commandes suivantes sur chaque serveur XSP|ADP :

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. Générer et partager les clés RSA. Vous devez générer des clés sur un XSP|ADP puis les copier sur tous les autres XSP|ADP. Cela est dû aux facteurs suivants :

    • Vous devez utiliser les mêmes paires de clés publiques/privées pour le chiffrement/déchiffrage du jeton dans toutes les instances du service d’authentification.

    • La paire de clés est générée par le service d’authentification lorsqu’un jeton est requis pour la première fois.

    Si vous effectuez un cycle de clés ou modifiez la longueur de clé, vous devez répéter la configuration suivante et redémarrer tous les ADP XSP|.

    1. Sélectionnez un XSP|ADP à utiliser pour générer une paire de clés.

    2. Utilisez un client pour demander un jeton chiffré à partir de ce XSP|ADP, en demandant l'URL suivante à partir du navigateur du client :

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Cela génère un privé / paire de clés publiques sur le XSP|ADP, s'il n'y en avait pas déjà une)

    3. L’emplacement de la boutique de clés n’est pas configurable. Exporter les clés :

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Copiez le fichier exporté /var/broadworks/tmp/authService.keys vers le même emplacement sur les autres ADP XSP|, en écrasant un fichier .keys plus ancien si nécessaire.

    5. Importez les clés sur chacun des autres ADP XSP| :

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Fournissez l’URL du service auth vers le conteneur Web. Le conteneur Web XSP|ADP a besoin de l'URL authService pour pouvoir valider les jetons. Sur chacun des ADP XSP| :

    1. Ajouter l’URL du service d’authentification en tant que service d’authentification externe pour l’utilitaire BroadWorks Communications :

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Ajoutez l’URL du service d’authentification au conteneur :

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Ceci permet à Webex d’utiliser le service d’authentification pour valider les jetons présentés comme identifiants.

    3. Vérifiez le paramètre avec get.

    4. Redémarrez le XSP|ADP.

Exigence de suppression de l’authentification du client pour le service d’authentification (R24 uniquement)

Si le service d’authentification est configuré avec la validation du jeton CI sur R24, vous devez également supprimer l’exigence d’authentification du client pour le service d’authentification. Exécutez la commande CLI suivante :

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Configurer TLS et Ciphers sur les interfaces HTTP (pour XSI et le service d’authentification)

Les applications Authentification, Xsi-Actions et Xsi-Events utilisent les interfaces de serveur HTTP. Les niveaux de configuration TLS pour ces applications sont les suivants :

Plus général = Système > Transport >'interface HTTP > serveur HTTP = Plus spécifique

Les contextes CLI que vous utilisez pour afficher ou modifier les différents paramètres SSL sont :

Lecture de la configuration de l'interface TLS du serveur HTTP sur le XSP|ADP

1. Connectez-vous au XSP|ADP et accédez à XSP|ADP_CLI/Interface/Http/HttpServer>

2. Entrez la commande get et lisez les résultats. Vous devez voir les interfaces (adresses IP) et, pour chacune d’elles, si elles sont sécurisées et si elles nécessitent une authentification client.

Un certificat est mandate pour chaque interface sécurisée ; le système génère un certificat auto-signé s’il en a besoin.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Ajouter le protocole TLS 1.2 à l’interface du serveur HTTP

L’interface HTTP qui interagit avec le Cloud Webex doit être configurée pour TLSv1.2. Le Cloud ne négociera pas les versions antérieures du protocole TLS.

Pour configurer le protocole TLSv1.2 sur l’interface du serveur HTTP :

1. Connectez-vous au XSP|ADP et accédez à XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Entrez la commande get 443 pour voir quels protocoles sont déjà utilisés sur cette interface.

3. Saisissez la commande add 443 TLSv1.2 pour garantir que l’interface peut utiliser TLS 1.2 lors de la communication avec le cloud.

Modifier la configuration des ciphers TLS sur l’interface du serveur HTTP

Pour configurer les chiffrements requis :

1. Connectez-vous au XSP|ADP et accédez à XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Entrez la commande get 443 pour voir quels chiffrements sont déjà utilisés sur cette interface. Il doit y avoir au moins une des suites recommandées par Cisco (voir XSP|ADP Identity and Security Requirements dans la section Présentation).

3. Entrez la commande add 443 pour ajouter un chiffrement à l'interface du serveur HTTP.

   L'interface de ligne de commande XSP|ADP requiert le nom de la suite de chiffrement standard IANA, et non le nom de la suite de chiffrement openSSL. Par exemple, pour ajouter le chiffrement openSSL ECDHE-ECDSA-CHACHA20-POLY1305 à l'interface du serveur HTTP, vous utiliseriez : XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Voir https://ciphersuite.info/ pour trouver la suite par l’un ou l’autre nom.

Configurer la gestion des périphériques sur XSP|ADP, serveur d'applications et serveur de profils

Le serveur de profils et XSP|ADP sont obligatoires pour la gestion des périphériques. Elles doivent être configurées conformément aux instructions du Guide de configuration de la gestion des périphériques BroadWorks.