דרישות תושבות משותפת

• שירות האימות חייב להיות תושב משותף עם יישומי Xsi, מכיוון שממשקים אלה חייבים לקבל אסימונים בעלי תוחלת חיים ארוכה עבור הרשאת שירות. שירות האימות נדרש כדי לאמת אסימונים אלה.

• שירות אימות ו- Xsi יכולים לפעול באותה יציאה במידת הצורך.

• אתה יכול להפריד את השני services/applications כנדרש עבור קנה המידה שלך (לדוגמה, חוות ADP לניהול מכשירים ייעודי של XSP|).

• באפשרותך לאתר במשותף את יישומי Xsi, CTI, שירות האימות וה- DMS.

• אין להתקין יישומים או שירותים אחרים על גבי מערכות ה-ADP של XSP|המשמשות לשילוב BroadWorks עם Webex.

• אל תאתר במשותף את יישום NPS עם יישומים אחרים.

Xsi ממשקים

התקן וקבע את תצורת היישומים Xsi-Actions ו- Xsi-Events כמתואר במדריך תצורת ממשק השירותים של Cisco BroadWorks Xtended.

יש לפרוס רק מופע אחד של יישומי Xsi-Events על גבי XSP|ADP המשמש עבור ממשק CTI.

כל אירועי ה-Xsi המשמשים לשילוב Broadworks עם Webex חייבים להיות בעלי אותו callControlApplicationName המוגדר תחת Applications/Xsi-Events/GeneralSettings. לדוגמה:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

כאשר משתמש מצטרף ל-Webex, Webex יוצר מנוי עבור המשתמש ב-AS על מנת לקבל אירועי טלפוניה עבור נוכחות והיסטוריית שיחות. המנוי משויך ל- callControlApplicationName וה-AS משתמש בו כדי לדעת לאילו Xsi-Events לשלוח את אירועי הטלפוניה.

קביעת תצורה של שירות אימות (עם אימות אסימוני CI)

השתמש בהליך זה כדי לקבוע את תצורת שירות האימות לשימוש באימות אסימוני CI עם TLS. שיטת אימות זו מומלצת אם אתה מפעיל R22 ומעלה והמערכת שלך תומכת בה.

1. קבלת אישורי OAuth עבור Webex עבור Cisco BroadWorks שלך.

2. התקן את התיקונים הבאים על כל שרת XSP|ADP. התקן את התיקונים המתאימים לשחרור שלך:

   • עבור R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • עבור R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • עבור R24 - אין צורך בתיקון

   כל התייחסות ל-XSP כוללת גם XSP וגם ADP.

3. התקן את האפליקציה AuthenticationService על כל שירות XSP|ADP.

   1. הפעל את הפקודה הבאה כדי להפעיל את יישום שירות האימות ב-XSP|ADP אל ה- /authService נתיב ההקשר.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. הפעל פקודה זו כדי לפרוס את שירות האימות ב-XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. החל מגירסת 2022.10 של Broadworks, רשויות האישורים שמגיעות עם Java אינן נכללות עוד אוטומטית במאגר האמון של BroadWorks בעת מעבר לגרסה חדשה של Java. שירות האימות פותח חיבור TLS ל-Webex כדי לאחזר את אסימון הגישה, וצריך שיהיו לו הפרטים הבאים במאגר האמון שלו כדי לאמת את כתובת ה-IDBroker ואת כתובת ה-URL של Webex:

   • IdenTrust Commercial Root CA 1

   • Go Daddy Root Certificate Authority - G2

   ודא שאישורים אלה קיימים תחת ממשק שורת הפקודה הבאה

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   אם לא קיים, הפעל את הפקודה הבאה כדי לייבא את אמון ברירת המחדל של Java:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   לחלופין, ניתן להוסיף ידנית את האישורים הללו כעוגני אמון באמצעות הפקודה הבאה:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   אם ה-ADP משודרג מגרסה קודמת, רשויות האישורים מהגרסה הישנה מיובאות אוטומטית לגרסה החדשה וימשיכו להיות מיובאות עד להסרה ידנית.

   אפליקציית AuthenticationService פטורה מהגדרת validatePeerIdentity תחת ADP_CLI/System/SSLCommonSettings/GeneralSettings, ותמיד מאמת את זהות העמית. עיין ב- מדריך אימות אישורים של Cisco Broadworks X509 לקבלת מידע נוסף על הגדרה זו.

5. הגדר את ספקי הזהויות על ידי הפעלת הפקודות הבאות בכל שרת XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName —עבור URL, הזן את כתובת ה-URL של IssuerName שחלה על אשכול ה-CI שלך. ראה הטבלה הבאה.

   • set issuerUrl —עבור URL, הזן את IssuerUrl שחלה על אשכול ה-CI שלך. ראה את הטבלה הבאה.

   • set tokenInfoUrl —הזן את כתובת ה- URL של Proxy של IdP החלה על אשכול Teams שלך. ראה את הטבלה השנייה הבאה.

   טבלה 1. הגדרת שם מנפיק ומנפיקURL

   אם אשכול CI הוא...	הגדר את שם המנפיק ואת המנפיקURL ל...
   ארה"ב-א	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   US-B	https://idbroker-b-us.webex.com/idb
   אם אינך מכיר את אשכולה- CI שלך , באפשרותך לקבל את המידע מפרטי הלקוח בתצוגת צוות התמיכה של מרכז הבקרה.

   טבלה 2. הגדר טוקןInfoURL

   אם אשכול Teams הוא...	הגדר אסימוןInfoURL ל... (כתובת URL של פרוקסי IdP)
   אח"ם	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   אפרה	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   אאור	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   אם אינך מכיר את אשכולTeams שלך , באפשרותך לקבל את המידע מפרטי הלקוח בתצוגת צוות התמיכה של מרכז הבקרה. לצורך בדיקה, ניתן לוודא שכתובת ה-tokenInfoURL תקינה על ידי החלפת החלק "idp/authenticate" של כתובת ה-URL ב-"ping".

6. ציין את הזכאות של Webex שחייבת להיות נוכחת בפרופיל המשתמש ב- Webex על-ידי הפעלת הפקודה הבאה:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. הגדר ספקי זהויות עבור Cisco Federation באמצעות הפקודות הבאות בכל שרת XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. הפעל את הפקודה הבאה כדי לאמת שתצורת FLS שלך פועלת. פקודה זו תחזיר את רשימת ספקי הזהויות:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. הגדר את ניהול האסימונים באמצעות הפקודות הבאות בכל שרת XSP|ADP:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. צור ושתף מפתחות RSA. עליך ליצור מפתחות ב-XSP|ADP אחד ולאחר מכן להעתיק אותם לכל שאר ה-XSP|ADPs. זאת בשל הגורמים הבאים:

    • עליך להשתמש באותם זוגות מפתחות ציבוריים/פרטיים להצפנה/פענוח של אסימונים בכל המופעים של שירות האימות.

    • זוג המפתחות נוצר על-ידי שירות האימות כאשר הוא נדרש לראשונה להנפיק אסימון.

    אם תשתמשו במחזורי מקשים או תשנו את אורך המפתח, תצטרכו לחזור על התצורה הבאה ולהפעיל מחדש את כל רכיבי ה-ADP של XSP|.

    1. בחר XSP|ADP אחד לשימוש ליצירת זוג מפתחות.

    2. השתמש בלקוח כדי לבקש אסימון מוצפן מאותו XSP|ADP, על ידי בקשת כתובת ה-URL הבאה מדפדפן הלקוח:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (זה יוצר פרטי / זוג מפתחות ציבוריים ב-XSP|ADP, אם עדיין לא היה כזה)

    3. מיקום חנות המפתח אינו ניתן להגדרה. ייצא את המפתחות:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. העתק את הקובץ המיוצא /var/broadworks/tmp/authService.keys לאותו מיקום ב-ADPs האחרים של XSP|ודרוס קובץ ישן יותר .keys במידת הצורך.

    5. ייבא את המפתחות בכל אחד מ-XSP|ADPs האחרים:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. ספק את כתובת ה- URL authService למיכל האינטרנט. מיכל האינטרנט של XSP|ADP זקוק לכתובת URL של authService כדי שיוכל לאמת אסימונים. בכל אחד מ-XSP|ADPs:

    1. הוסף את כתובת ה- URL של שירות האימות כשירות אימות חיצוני עבור כלי התקשורת של BroadWorks:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. הוסף את כתובת ה- URL של שירות האימות לגורם המכיל:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       פעולה זו מאפשרת ל- Webex להשתמש בשירות האימות כדי לאמת אסימונים המוצגים כאישורים.

    3. בדוק את הפרמטר באמצעות get.

    4. הפעל מחדש את XSP|ADP.

הסרת דרישת אימות לקוח עבור שירות Auth (R24 בלבד)

אם יש לך את תצורת שירות האימות עם אימות אסימוני CI ב- R24, עליך גם להסיר את דרישת אימות הלקוח עבור שירות האימות. הפעל את הפקודה הבאה CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

קביעת תצורה של TLS ו- Ciphers בממשקי HTTP (עבור XSI ושירות אימות)

יישומי שירות האימות, Xsi-Actions ו-Xsi-Events משתמשים בממשקי שרת HTTP. רמות התצורה של TLS עבור יישומים אלה הן כדלקמן:

הכללי ביותר = > > תעבורת > HTTP ממשק שרת HTTP > = הספציפי ביותר

ההקשרים של CLI שבהם אתה משתמש כדי להציג או לשנות את הגדרות SSL השונות הם:

קריאת תצורת ממשק TLS של שרת HTTP ב-XSP|ADP

1. היכנס ל-XSP|ADP ונווט אל XSP|ADP_CLI/Interface/Http/HttpServer>

2. הזן את הפקודה get וקרא את התוצאות. אתה אמור לראות את הממשקים (כתובות IP) ועבור כל אחד מהם, האם הם מאובטחים והאם הם דורשים אימות לקוח.

Apache tomcat מחייב אישור עבור כל ממשק מאובטח; המערכת יוצרת אישור בחתימה עצמית אם היא זקוקה לו.

XSP|ADP_CLI/Interface/Http/HttpServer> get

הוספת פרוטוקול TLS 1.2 לממשק שרת HTTP

יש להגדיר את ממשק ה- HTTP המקיים אינטראקציה עם ענן Webex עבור TLSv1.2. הענן אינו מנהל משא ומתן על גרסאות קודמות של פרוטוקול TLS.

כדי לקבוע את תצורת פרוטוקול TLSv1.2 בממשק שרת HTTP:

1. היכנס ל-XSP|ADP ונווט אל XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. הזן את הפקודה get 443 כדי לראות אילו פרוטוקולים כבר נמצאים בשימוש בממשק זה.

3. הזן את הפקודה add 443 TLSv1.2 כדי לוודא שהממשק יכול להשתמש ב-TLS 1.2 בעת תקשורת עם הענן.

עריכת תצורת צפנים TLS בממשק שרת HTTP

כדי להגדיר את הצפנים הנדרשים:

1. היכנס ל-XSP|ADP ונווט אל XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. הזן את הפקודה get 443 כדי לראות אילו צפנים כבר בשימוש בממשק זה. חייבת להיות לפחות אחת מהחבילות המומלצות של סיסקו (ראה XSP|ADP Identity and Security Requirements בסעיף סקירה כללית).

3. הזן את הפקודה add 443 כדי להוסיף צופן לממשק שרת ה-HTTP.

   ממשק שורת פקודה (CLI) של XSP|ADP דורש את שם חבילת ההצפנה הסטנדרטית של IANA, ולא את שם חבילת ההצפנה של openSSL. לדוגמה, כדי להוסיף את צופן openSSL ECDHE-ECDSA-CHACHA20-POLY1305 לממשק שרת ה-HTTP, תשתמשו ב: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   ראה https://ciphersuite.info/ למצוא את הסוויטה בכל אחד מהשמות.

הגדרת ניהול התקנים ב-XSP|ADP, שרת יישומים ושרת פרופילים

שרת פרופילים ו-XSP|ADP הם חובה עבור ניהול התקנים. יש להגדיר אותם בהתאם להוראות במדריךהתצורה של ניהול ההתקנים של BroadWorks.