Zahtjevi za suživot

• Usluga provjere autentičnosti mora biti suosnivatelj Xsi aplikacija, jer ta sučelja moraju prihvatiti dugovječne tokene za autorizaciju usluge. Servis za provjeru autentičnosti potreban je za provjeru valjanosti tih tokena.

• Servis za provjeru autentičnosti i Xsi mogu se pokrenuti na istom priključku ako je potrebno.

• Možete odvojiti drugu stranu services/applications prema potrebi za vašu skalu (npr. ADP farma za upravljanje namjenskim uređajima XSP|).

• Možete sulocirati aplikacije Xsi, CTI, Authentication Service i DMS.

• Nemojte instalirati druge aplikacije ili usluge na XSP|ADP-ove koji se koriste za integraciju BroadWorksa s Webexom.

• Nemojte sulocirati NPS aplikaciju s bilo kojom drugom aplikacijom.

Xsi sučelja

Instalirajte i konfigurirajte aplikacije Xsi- Actions i Xsi- Events kao što je opisano u Cisco BroadWorks Xtended Services Interface Configuration Guide.

Samo jedna instanca Xsi-Events aplikacija treba biti implementirana na XSP|ADP-u koji se koristi za CTI sučelje.

Svi Xsi-Events koji se koriste za integraciju Broadworksa s Webexom moraju imati isti callControlApplicationName definiran pod Applications/Xsi-Events/GeneralSettings. Na primjer:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Kada se korisnik registrira na Webex, Webex stvara pretplatu za korisnika na autonomnom sustavu kako bi primao telefonske događaje za prisutnost i povijest poziva. Pretplata je povezana s callControlApplicationName, a AS je koristi kako bi znao kojim Xsi-Eventima treba slati telefonske događaje.

Konfiguriranje servisa za provjeru autentičnosti (s provjerom valjanosti CI tokena)

Ovaj postupak koristite za konfiguriranje servisa za provjeru autentičnosti za korištenje provjere valjanosti CI tokena s TLS-om. Ova metoda provjere autentičnosti preporučuje se ako koristite R22 ili noviji i vaš sustav to podržava.

1. Dobivanje OAuth vjerodajnica za vaš Webex za Cisco BroadWorks.

2. Instalirajte sljedeće zakrpe na svaki XSP|ADP poslužitelj. Instalirajte zakrpe koje odgovaraju vašem izdanju:

   • Za R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Za R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Za R24 – nije potrebna zakrpa

   Svaka referenca na XSP uključuje ili XSP ili ADP.

3. Instalirajte aplikaciju AuthenticationService na svaku XSP|ADP uslugu.

   1. Pokrenite sljedeću naredbu za aktiviranje aplikacije AuthenticationService na XSP|ADP-u za /authService kontekstualni put.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Pokrenite ovu naredbu za implementaciju AuthenticationService na XSP|ADP-u:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. Počevši od Broadworks verzije 2022.10, ovlaštenja za certifikate koja dolaze s Javom više se ne uključuju automatski u Broadworks pohranu povjerenja prilikom prelaska na novu verziju Jave. AuthenticationService otvara TLS vezu s Webexom kako bi dohvatio pristupni token i mora imati sljedeće u svom skladištu povjerenja kako bi provjerio IDBroker i Webex URL:

   • IdenTrust komercijalni korijen CA 1

   • GoDaddy Root Certificate Authority - G2

   Provjerite jesu li ovi certifikati prisutni pod sljedećim CLI-jem

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Ako nije prisutan, pokrenite sljedeću naredbu za uvoz zadanih Java povjerenja:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Alternativno, ove certifikate možete ručno dodati kao sidra povjerenja sljedećom naredbom:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Ako se ADP nadogradi s prethodnog izdanja, tada se ovlaštenja za certifikate iz starog izdanja automatski uvoze u novo izdanje i nastavit će se uvoziti sve dok se ručno ne uklone.

   Aplikacija AuthenticationService izuzeta je od postavke validatePeerIdentity pod ADP_CLI/System/SSLCommonSettings/GeneralSettings, i uvijek potvrđuje identitet peer-a. Za više informacija o ovoj postavci pogledajte Cisco Broadworks X509 Certificate Validation FD.

5. Konfigurirajte pružatelje identiteta pokretanjem sljedećih naredbi na svakom XSP|ADP poslužitelju:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName —Za URLunesite URL IssuerName koji se odnosi na vaš CI klaster. Pogledajte sljedeću tablicu.

   • set issuerUrl —Za URLunesite IssuerUrl koji se odnosi na vaš CI klaster. Pogledajte sljedeću tablicu.

   • set tokenInfoUrl —Unesite URL proxy poslužitelja za IDP koji se primjenjuje na klaster Teams. Pogledajte drugu tablicu koja slijedi.

   Tablica 1. Postavite issuerName i issuerURL

   Ako je CI klaster...	Postavite issuerName i issuerURL na...
   SAD-A	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   US-B	https://idbroker-b-us.webex.com/idb
   Ako ne znate svoj CI klaster, informacije možete dobiti iz podataka o kupcu u prikazu službe za korisnike u Control Hubu.

   Tablica 2 Postavi URL s informacijama o tokenu

   Ako je klaster Teams...	Postavi tokenInfoURL na...(URL IdP proxyja)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AFRA	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Ako ne znate svoj klaster Teams, informacije možete dobiti iz podataka o kupcu u prikazu korisničke podrške u Control Hubu. Za testiranje možete provjeriti je li tokenInfoURL valjan zamjenom dijela "idp/authenticate" URL-a s "ping".

6. Navedite pravo na Webex koje mora biti prisutno u korisničkom profilu na Webexu pokretanjem sljedeće naredbe:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Konfigurirajte pružatelje identiteta za Cisco Federation pomoću sljedećih naredbi na svakom XSP|ADP poslužitelju:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Pokrenite sljedeću naredbu da biste provjerili radi li vaša FLS konfiguracija. Ova naredba vratit će popis davatelja identiteta:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Konfigurirajte upravljanje tokenima pomoću sljedećih naredbi na svakom XSP|ADP poslužitelju:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. Generirajte i zajednički koristite RSA ključeve. Morate generirati ključeve na jednom XSP|ADP-u, a zatim ih kopirati na sve ostale XSP|ADP-ove. Razlog tome su sljedeći čimbenici:

    • Za šifriranje/dešifriranje tokena morate koristiti iste parove javnog/privatnog ključa u svim slučajevima usluge provjere autentičnosti.

    • Ključni par generira servis za provjeru autentičnosti kada je prvi put potrebno izdati token.

    Ako mijenjate ključeve ili duljinu ključa, morate ponoviti sljedeću konfiguraciju i ponovno pokrenuti sve XSP|ADP-ove.

    1. Odaberite jedan XSP|ADP koji će se koristiti za generiranje para ključeva.

    2. Pomoću klijenta zatražite šifrirani token od tog XSP|ADP-a tako da od preglednika klijenta zatražite sljedeći URL:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Ovo generira privatni / par javnih ključeva na XSP|ADP-u, ako već nije postojao)

    3. Mjesto spremišta ključeva nije moguće konfigurirati. Izvezi ključeve:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopirajte izvezenu datoteku /var/broadworks/tmp/authService.keys na istu lokaciju na ostalim XSP|ADP-ovima, prepisujući stariju .keys datoteku ako je potrebno.

    5. Uvezite ključeve na svaki od ostalih XSP|ADP-ova:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. U web-spremnik navedite URL servisa authService. Web kontejner XSP|ADP-a treba URL authService-a kako bi mogao validirati tokene. Na svakom od XSP|ADP-ova:

    1. Url usluge provjere autentičnosti dodajte kao vanjski servis za provjeru autentičnosti za uslužni program BroadWorks Communications:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. U spremnik dodajte URL servisa za provjeru autentičnosti:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       To webexu omogućuje korištenje servisa za provjeru autentičnosti za provjeru valjanosti tokena prikazanih kao vjerodajnice.

    3. Provjerite parametar pomoću get.

    4. Ponovno pokrenite XSP|ADP.

Uklanjanje zahtjeva za provjeru autentičnosti klijenta za Auth uslugu (samo R24)

Ako ste servis za provjeru autentičnosti konfigurirali s provjerom valjanosti CI tokena na servisu R24, morate ukloniti i zahtjev za provjeru autentičnosti klijenta za uslugu provjere autentičnosti. Pokrenite sljedeću CLI naredbu:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Konfiguriranje TLS-a i šifri na HTTP sučeljima (za XSI i uslugu provjere autentičnosti)

Servis za provjeru autentičnosti, aplikacije Xsi-Actions i Xsi-Events koriste sučelja HTTP poslužitelja. Razine podesivosti TLS-a za ove aplikacije su sljedeće:

Najopćenitije = Prijenos sustava > > HTTP > HTTP server sučelje = Najspecifičnije

CLI konteksti koje koristite za prikaz ili izmjenu različitih SSL postavki su:

Čitanje konfiguracije TLS sučelja HTTP poslužitelja na XSP-u|ADP

1. Prijavite se na XSP|ADP i idite na XSP|ADP_CLI/Interface/Http/HttpServer>

2. Unesite naredbu get i pročitajte rezultate. Trebali biste vidjeti sučelja (IP adrese) i, za svaku, jesu li sigurna i zahtijevaju li provjeru autentičnosti klijenta.

Apache tomcat nalaže certifikat za svako sigurno sučelje; sustav generira samopotpisani certifikat ako mu je potreban.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Dodavanje protokola TLS 1.2 u sučelje HTTP poslužitelja

HTTP sučelje koje komunicira s Webex cloudom mora biti konfigurirano za TLSv1.2. Oblak ne pregovara o ranijim verzijama TLS protokola.

Da biste konfigurirali protokol TLSv1.2 na sučelju HTTP poslužitelja:

1. Prijavite se na XSP|ADP i idite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Unesite naredbu get 443 da biste vidjeli koji se protokoli već koriste na ovom sučelju.

3. Unesite naredbu add 443 TLSv1.2 kako biste osigurali da sučelje može koristiti TLS 1.2 prilikom komunikacije s oblakom.

Uređivanje konfiguracije TLS šifri na http poslužiteljskom sučelju

Da biste konfigurirali potrebne šifre:

1. Prijavite se na XSP|ADP i idite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Unesite naredbu get 443 kako biste vidjeli koje se šifre već koriste na ovom sučelju. Mora postojati barem jedan iz Cisco preporučenih paketa (vidi XSP|ADP Zahtjevi za identitet i sigurnost u odjeljku Pregled).

3. Unesite naredbu add 443 za dodavanje šifre sučelju HTTP poslužitelja.

   XSP|ADP CLI zahtijeva IANA standardni naziv šifrirnog paketa, a ne openSSL naziv šifrirnog paketa. Na primjer, za dodavanje openSSL šifre ECDHE-ECDSA-CHACHA20-POLY1305 u HTTP poslužiteljsko sučelje, koristili biste: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Pogledajte https://ciphersuite.info/ kako biste pronašli paket pod bilo kojim imenom.

Konfiguriranje upravljanja uređajima na XSP-u|ADP, aplikacijski poslužitelj i poslužitelj profila

Profile Server i XSP|ADP su obavezni za upravljanje uređajima. Moraju se konfigurirati prema uputama u Vodiču za konfiguraciju upravljanja uređajima BroadWorks.