Exigences de co-résidence

• Le service d’authentification doit être co-résident avec les applications Xsi, car ces interfaces doivent accepter des jetons depuis le long moment pour l’autorisation du service. Le service d’authentification est requis pour valider ces jetons.

• Le service d’authentification et Xsi peuvent fonctionner sur le même port si nécessaire.

• Vous pouvez séparer les autres services/applications selon les besoins de votre échelle (gestion des périphériques dédiée XSP|ADP farm, par exemple).

• Vous pouvez co-localiser les applications Xsi, CTI, Service d’authentification et DMS.

• N'installez pas d'autres applications ou services sur les ADP XSP|qui sont utilisés pour intégrer BroadWorks à Webex.

• Ne pas co-localiser l’application NPS avec aucune autre application.

Xsi Interfaces

Installez et configurez les applications Xsi-Actions et Xsi-Events comme décrit dans le Guide de configuration de l’interface des services Cisco BroadWorks Xtended.

Une seule instance des applications Xsi-Events doit être déployée sur le XSP|ADP utilisé pour l'interface CTI.

Tous les Xsi-Events utilisés pour intégrer Broadworks à Webex doivent avoir le même callControlApplicationName défini sous Applications/Xsi-Events/GeneralSettings. Par exemple :

ADP_CLI/Applications/Xsi-Events/GeneralSettings> avoir

callControlApplicationName = com.broadsoft.xsi-events

Lorsqu’un utilisateur est intégré à Webex, Webex crée un abonnement pour l’utilisateur sur le AS afin de recevoir des événements téléphoniques pour la présence et l’historique des appels. L'abonnement est associé à callControlApplicationName et le AS l'utilise pour savoir à quel Xsi-Events envoyer les événements téléphoniques.

Configurer le service d’authentification (avec validation du jeton CI)

Utilisez cette procédure pour configurer le service d’authentification pour utiliser la validation du jeton CI avec TLS. Cette méthode d’authentification est recommandée si vous avez la méthode R22 ou supérieure et que votre système la prend en charge.

1. Obtenir les identifiants OAuth pour votre Webex pour Cisco BroadWorks.

2. Installez les correctifs suivants sur chaque serveur XSP|ADP. Installez les correctifs appropriés à votre version :

   • Pour R22 :

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Pour R23 :

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Pour R24—aucun correctif n’est requis

   Toute référence à XSP inclut soit XSP, soit ADP.

3. Installez l'application AuthenticationService sur chaque service |XSP ADP.

   1. Exécutez la commande suivante pour activer l'application AuthenticationService sur le XSP|ADP vers le chemin du contexte /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> active l'application AuthenticationService 22.0_1.1123/authService

   2. Exécutez cette commande pour déployer AuthenticationService sur le XSP|ADP :

      XSP|ADP_CLI/Maintenance/ManagedObjects> déployer l'application /authServiceBroadWorks SW Manager déployant /authService...

4. À partir de la version 2022.10 de Broadworks, les autorités de certification qui arrivent avec Java ne sont plus automatiquement incluses dans le magasin de confiance BroadWorks lors du passage à une nouvelle version de Java. Le service d’authentification ouvre une connexion TLS à Webex pour récupérer le jeton d’accès et doit avoir ce qui suit dans sa banque de vérification des données pour valider l’IDBroker et l’URL Webex :

   • IdenTrust Commercial racine CA 1

   • Go Daddy Root Certification Authority - G2

   Vérifiez que ces certificats sont présents sous les CLI suivants

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> avoir

   S'il n'est pas présent, exécutez la commande suivante pour importer les certificats de sécurité Java par défaut :

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importerJavaCATrust

   Sinon, vous pouvez ajouter manuellement ces certificats en tant qu'ancres de confiance à l'aide de la commande suivante :

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Si l'ADP est mise à niveau à partir d'une version précédente, alors les autorités de certification de l'ancienne version sont automatiquement importées vers la nouvelle version et continueront à être importées jusqu'à ce qu'elles soient supprimées manuellement.

   L'application AuthenticationService est exempte du paramètre validatePeerIdentity sous ADP_CLI/System/SSLCommonSettings/GeneralSettings et valide toujours l'identité du pair. Voir la FD de validation du certificat Cisco Broadworks X509 pour plus d'informations sur ce paramètre.

5. Configurez les fournisseurs d'identité en exécutant les commandes suivantes sur chaque serveur XSP|ADP :

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> obtenir

   • configurer l'ID du client client-Id-From-Step1

   • a activé true (vrai)

   • configurer clientSecret client-Secret-From-Step1

   • configurer ciResponseBodyMaxSizeInBytes 65536

   • configurer issuerName –Pour l'URL, saisissez l'URL IssuerName qui s'applique à votre cluster CI. Voir le tableau suivant.

   • set issuerUrl –Pour l'URL, saisissez l'IssuerUrl qui s'applique à votre cluster CI. Reportez-vous au tableau suivant.

   • set tokenInfoUrl –Saisissez l'URL du proxy IdP qui s'applique à votre cluster Teams. Reportez-vous au deuxième tableau qui suit.

   Tableau 1. Définir le nom de l'émetteur et l'URL de l'émetteur

   Si le cluster IC est...	Définir le nom de l'émetteur et l'URL de l'émetteur sur...
   USA-A	https://idbroker.webex.com/idb
   UE	https://idbroker-eu.webex.com/idb
   USA-B	https://idbroker-b-us.webex.com/idb
   Si vous ne connaissez pas votre cluster CI, vous pouvez obtenir les informations à partir des détails du client dans la vue Bureau d’assistance du Control Hub.

   Tableau 2. Configurer tokenInfoURL

   Si le cluster Teams est...	Configurer tokenInfoURL sur... (URL du proxy IdP)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Afra	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Si vous ne connaissez pas votre cluster Teams, vous pouvez obtenir les informations à partir des détails du client dans la vue Bureau d’assistance du Control Hub. Pour les tests, vous pouvez vérifier que le tokenInfoURL est valide en remplaçant la partie « idp/authenticate » de l'URL par « ping ».

6. Spécifiez les droits Webex qui doivent être présents dans les Profil d'utilisateur webex en exécutant la commande suivante :

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> définir la portée broadworks-connector:user

7. Configurez les fournisseurs d'identité pour la fédération Cisco en utilisant les commandes suivantes sur chaque serveur XSP|ADP :

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> obtenir

   • définir flsUrl https://cifls.webex.com/federation

   • configurer actualiserPeriodInMinutes 60

   • configurer refreshToken refresh-Token-From-Step1

8. Exécutez la commande suivante pour valider que votre configuration FLS fonctionne. Cette commande retournera la liste des fournisseurs d’identité :

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Obtenir

9. Configurez la gestion des jetons à l'aide des commandes suivantes sur chaque serveur XSP|ADP :

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • définir un jetonIssuer BroadWorks

   • configurer laduration du jetonInHours 720

10. Générer et partager les clés RSA. Vous devez générer des clés sur un ADP XSP|puis les copier dans tous les autres ADP XSP|. Cela est dû aux facteurs suivants :

    • Vous devez utiliser les mêmes paires de clés publiques/privées pour le chiffrement/déchiffrage du jeton dans toutes les instances du service d’authentification.

    • La paire de clés est générée par le service d’authentification lorsqu’un jeton est requis pour la première fois.

    Si vous faites tourner les clés ou modifiez la longueur de la clé, vous devez répéter la configuration suivante et redémarrer tous les ADP XSP|.

    1. Sélectionnez un XSP|ADP à utiliser pour générer une paire de clés.

    2. Utilisez un client pour demander un jeton chiffré à partir de ce XSP|ADP, en demandant l’URL suivante à partir du navigateur du client :

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

       (Ceci génère une paire de clés privée/publique sur le XSP|ADP, s’il n’y en avait pas déjà une)

    3. L’emplacement de la boutique de clés n’est pas configurable. Exporter les clés :

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Copiez le fichier exporté /var/broadworks/tmp/authService.keys vers le même emplacement sur les autres ADP XSP|, en écrasant un fichier .keys plus ancien si nécessaire.

    5. Importer les clés sur chacune des autres ADP XSP| :

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Fournissez l’URL du service auth vers le conteneur Web. Le conteneur Web de XSP|ADP nécessite l’URL authService pour valider les jetons. Sur chacun des ADP XSP| :

    1. Ajouter l’URL du service d’authentification en tant que service d’authentification externe pour l’utilitaire BroadWorks Communications :

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> configurer l'url http://127.0.0.1:80/authService

    2. Ajoutez l’URL du service d’authentification au conteneur :

       XSP|ADP_CLI/Maintenance/ContainerOptions> ajouter tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Ceci permet à Webex d’utiliser le service d’authentification pour valider les jetons présentés comme identifiants.

    3. Vérifiez le paramètre avec obtenir.

    4. Redémarrez XSP|ADP.

Exigence de suppression de l’authentification du client pour le service d’authentification (R24 uniquement)

Si le service d’authentification est configuré avec la validation du jeton CI sur R24, vous devez également supprimer l’exigence d’authentification du client pour le service d’authentification. Exécutez la commande CLI suivante :

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> configurer AuthenticationService clientAuthReq false (faux)

Configurer TLS et Ciphers sur les interfaces HTTP (pour XSI et le service d’authentification)

Les applications Authentification, Xsi-Actions et Xsi-Events utilisent les interfaces de serveur HTTP. Les niveaux de configuration TLS pour ces applications sont les suivants :

Plus général = Système > Transport >'interface HTTP > serveur HTTP = Plus spécifique

Les contextes CLI que vous utilisez pour afficher ou modifier les différents paramètres SSL sont :

Lecture de la configuration de l'interface TLS du serveur HTTP sur XSP|ADP

1. Connectez-vous à XSP|ADP et allez à XSP|ADP_CLI/Interface/Http/HttpServer>

2. Saisissez la commande Obtenir et lisez les résultats. Vous devez voir les interfaces (adresses IP) et, pour chacune d’elles, si elles sont sécurisées et si elles nécessitent une authentification client.

Un certificat est mandate pour chaque interface sécurisée ; le système génère un certificat auto-signé s’il en a besoin.

XSP|ADP_CLI/Interface/Http/HttpServer> obtenir

Ajouter le protocole TLS 1.2 à l’interface du serveur HTTP

L’interface HTTP qui interagit avec le Cloud Webex doit être configurée pour TLSv1.2. Le Cloud ne négociera pas les versions antérieures du protocole TLS.

Pour configurer le protocole TLSv1.2 sur l’interface du serveur HTTP :

1. Connectez-vous à XSP|ADP et allez à XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Saisissez la commande get 443 pour voir quels protocoles sont déjà utilisés sur cette interface.

3. Saisissez la commande ajouter 443 TLSv1.2 pour vous assurer que l’interface peut utiliser TLS 1.2 lors de la communication avec le Cloud.

Modifier la configuration des ciphers TLS sur l’interface du serveur HTTP

Pour configurer les chiffrements requis :

1. Connectez-vous à XSP|ADP et allez à XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Saisissez la commande get 443 pour voir quels codes de chiffrement sont déjà utilisés sur cette interface. Il doit y en avoir au moins une parmi les suites recommandées par Cisco (voir XSP|Exigences en matière d'identité et de sécurité ADP dans la section Aperçu).

3. Saisissez la commande ajouter 443 pour ajouter un chiffrement à l'interface du serveur HTTP.

   L'interface de ligne de commande XSP|ADP nécessite le nom de la suite de chiffrement standard IANA, et non le nom de la suite de chiffrement openSSL. Par exemple, pour ajouter le chiffrement OPENSSL ECDHE-ECDSA-CHACHA20-POLY1305 à l’interface du serveur HTTP, vous utiliseriez : XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>ajoutez 192.0.2.7 443 TLS_ECDHE_ECDSA_AVEC_CHACHA20_POLY1305

   Voir https://ciphersuite.info/ pour trouver la suite par l’un ou l’autre nom.

Configurer la gestion des périphériques sur XSP|ADP, le serveur d'applications et le serveur de profil

Le serveur de profil et XSP|ADP sont obligatoires pour la gestion des périphériques. Elles doivent être configurées conformément aux instructions du Guide de configuration de la gestion des périphériques BroadWorks.