Konfigurirajte usluge na svom Webexu za Cisco BroadWorks XSP|ADP-ove

Zahtijevamo da se NPS aplikacija izvodi na drugom XSP|ADP-u. Zahtjevi za to XSP|ADP opisani su u Konfiguriranje obavijesti poziva sa svoje mreže.

Trebaju vam sljedeće aplikacije/usluge na XSP|ADP-ovima.

Servis/aplikacija

Potrebna je provjera autentičnosti

Svrha servisa/aplikacije

Xsi-događaji

TLS (poslužitelj se autentifikuje klijentima)

Kontrola poziva, obavijesti o servisu

Xsi-akcije

TLS (poslužitelj se autentifikuje klijentima)

Kontrola poziva, akcije

Upravljanje uređajima

TLS (poslužitelj se autentifikuje klijentima)

Preuzimanje konfiguracije pozivanja

Usluga za provjeru autentičnosti

TLS (poslužitelj se autentifikuje klijentima)

Provjera autentičnosti korisnika

Integracija računalne telefonije

mTLS (klijent i poslužitelj autentikatiju jedni druge)

Prisutnost telefonije

Aplikacija Webview postavki poziva

TLS (poslužitelj se autentifikuje klijentima)

Izlaže postavke korisničkog poziva na portalu za samozapošljavanje u aplikaciji Webex

Ovaj odjeljak opisuje kako primijeniti potrebne konfiguracije za TLS i mTLS na ta sučelja, ali trebali biste referencirati postojeću dokumentaciju kako biste instalirali aplikacije na vašim XSP|ADP-ovima.

Zahtjevi za suživot

  • Usluga provjere autentičnosti mora biti suosnivatelj Xsi aplikacija, jer ta sučelja moraju prihvatiti dugovječne tokene za autorizaciju usluge. Servis za provjeru autentičnosti potreban je za provjeru valjanosti tih tokena.

  • Servis za provjeru autentičnosti i Xsi mogu se pokrenuti na istom priključku ako je potrebno.

  • Druge usluge/aplikacije možete odvojiti prema potrebi za svoju veličinu (na primjer, namjensko upravljanje uređajima XSP|ADP farma).

  • Možete sulocirati aplikacije Xsi, CTI, Authentication Service i DMS.

  • Nemojte instalirati druge aplikacije ili usluge na XSP|ADP-ove koje se koriste za integraciju BroadWorksa s Webexom.

  • Nemojte sulocirati NPS aplikaciju s bilo kojom drugom aplikacijom.

Xsi sučelja

Instalirajte i konfigurirajte aplikacije Xsi- Actions i Xsi- Events kao što je opisano u Cisco BroadWorks Xtended Services Interface Configuration Guide.

Na XSP|ADP-u koji se koristi za CTI sučelje treba implementirati samo jedna instanca aplikacija Xsi-Events.

Svi Xsi-Events koji se upotrebljavaju za integraciju Broadworksa s Webexom moraju imati isti callControlApplicationName definiran u Applications/Xsi-Events/GeneralSettings. Na primjer:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> dobiti

callControlApplicationName = com.broadsoft.xsi-events

Kada se korisnik omogući u Webex, Webex stvara pretplatu za korisnika na AS kako bi mogao primati događaje telefonije za prisutnost i povijest poziva. Pretplata je povezana s nazivom callControlApplicationName, a AS je upotrebljava kako bi znao na koji Xsi-Events šalje događaje telefonije.

promjena pozivaControlApplicationName ili ako nemate isti naziv na svim web-aplikacijama Xsi-Events utjecat će na funkcionalnost pretplata i događaja telefonije.

Konfiguriranje servisa za provjeru autentičnosti (s provjerom valjanosti CI tokena)

Ovaj postupak koristite za konfiguriranje servisa za provjeru autentičnosti za korištenje provjere valjanosti CI tokena s TLS-om. Ova metoda provjere autentičnosti preporučuje se ako koristite R22 ili noviji i vaš sustav to podržava.

Mutual TLS (mTLS) također je podržan kao alternativni način provjere autentičnosti za Auth Uslugu. Ako imate više Webex organizacija koje izvode isti XSP|ADP poslužitelj, morate upotrebljavati mTLS provjeru autentičnosti jer provjera valjanosti CI tokena ne podržava više veza na istu uslugu XSP|ADP provjere autentičnosti.

Da biste konfigurirali mTLS provjeru autentičnosti za Auth uslugu umjesto provjere valjanosti CI tokena, pogledajte Dodatak za konfiguriranje servisa (s mTLS-om za Auth uslugu).

Ako trenutno koristite mTLS za Auth uslugu, nije obavezno ponovno konfigurirati korištenje provjere valjanosti CI tokena s TLS-om.

  1. Dobivanje OAuth vjerodajnica za svoj Webex za Cisco BroadWorks.

  2. Instalirajte sljedeće zakrpe na svaki XSP|ADP poslužitelj. Instalirajte zakrpe koje odgovaraju vašem izdanju:

    Bilo koja referenca na XSP uključuje XSP ili ADP.

  3. Instalirajte aplikaciju AuthenticationService na svaku uslugu XSP|ADP.

    1. Pokrenite sljedeću naredbu za aktiviranje aplikacije AuthenticationService na XSP|ADP-u na /authService kontekstnom putu.

      XSP|ADP_CLI/Maintenance/ManagedObjects> aktiviraj aplikaciju AuthenticationService 22.0_1.1123/authService

    2. Pokrenite ovu naredbu za implementaciju usluge provjere autentičnosti na XSP|ADP-u:

      XSP|ADP_CLI/Maintenance/ManagedObjects> implementacija aplikacije /authServiceBroadWorks SW Manager implementacija /authService...

  4. Počevši od Broadworks izrade 2022.10, tijela za izdavanje certifikata koja dolaze s Javom više se ne uključuju automatski u spremište vjerodajnica BroadWorks kada se prebacuju na novu verziju Jave. Usluga provjere autentičnosti otvara TLS vezu s Webexom za dohvaćanje pristupnog tokena i mora imati sljedeće u svojoj pouzdanoj trgovini za provjeru valjanosti IDBroker i Webex URL-a:

    • IdenTrust komercijalni korijen CA 1

    • Idi Daddy Root Certificate Authority - G2

    Provjeri nalaze li se ti certifikati u sljedećem CLI- u

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> dobiti

    Ako nema sadržaja, izvršite sljedeću naredbu za uvoz zadanih Java vjerodajnica:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> JavaCATrust

    Alternativno, možete ručno dodati ove certifikate kao sidra povjerenja sa sljedećom naredbom:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Ako se ADP nadograđuje s prethodnog izdanja, tada se autoriteti certifikata iz starog izdanja automatski uvoze u novo izdanje i nastavit će s uvozom dok se ručno ne uklone.

    Aplikacija AuthenticationService izuzeta je iz postavke validatePeerIdentity pod ADP_CLI/System/SSLCommonSettings/GeneralSettings i uvijek potvrđuje identitet ravnopravnog člana. Pogledajte FD provjere valjanosti certifikata Cisco Broadworks X509 za više informacija o ovoj postavci.

  5. Konfigurirajte davatelje identiteta pokretanjem sljedećih naredbi na svakom XSP|ADP poslužitelju:

    XSP|ADP_CLI/Aplikacije/AuthenticationService/IdentityProviders/Cisco>preuzimanje

    • postavi clientId client-Id-From-Step1

    • postavi omogućeno istinito

    • postavi clientSecret klijent-Secret-From-Step1

    • postavi ciResponseBodyMaxSizeInBytes 65536

    • postavi issuerName – za URL unesite URL IssuerName koji se primjenjuje na vaš CI klaster. Pogledajte sljedeću tablicu.

    • postavi issuerUrl – za URL unesite IssuerUrl koji se primjenjuje na vaš CI klaster. Pogledajte sljedeću tablicu.

    • postavi tokenInfoUrl – unesite URL IdP proxy poslužitelja koji se primjenjuje na vaš klaster usluge Teams. Pogledajte drugu tablicu koja slijedi.

    Tablica 1. Postavi izdavačaName and issuerURL
    Ako je CI klaster...Postavite izdavateljName and issuerURL na...

    SAD-A

    https://idbroker.webex.com/idb

    EU

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    Ako ne znate svoj CI klaster, informacije možete dobiti iz pojedinosti o korisniku u prikazu korisničke službe okruženja Control Hub.

    Tablica 2 Postavi tokenInfoURL
    Ako je klaster Teams...Postavi tokenInfoURL na...(URL proxy poslužitelja IdP)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Ako ne znate svoj klaster servisa Teams, informacije možete dobiti iz pojedinosti o korisniku u prikazu korisničke službe okruženja Control Hub.

    • Za testiranje možete provjeriti je li tokenInfoURL valjan zamjenom „idp/authenticate“ dijela URL-a s „ping“.

  6. Navedite pravo na Webex koje mora biti prisutno u korisničkom profilu na Webexu pokretanjem sljedeće naredbe:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> postavi opseg Broadworks-connector:user

  7. Konfigurirajte davatelje identiteta za Cisco Federation pomoću sljedećih naredbi na svakom XSP|ADP poslužitelju:

    XSP|ADP_CLI/Aplikacije/AuthenticationService/IdentityProviders/Cisco/Federation>preuzimanje

    • postavi flsUrl https://cifls.webex.com/federation

    • postavi refreshPeriodInMinutes 60

    • postavi osvježavanjeTokena osvježavanje-token-od-Koraka1

  8. Pokrenite sljedeću naredbu da biste provjerili radi li vaša FLS konfiguracija. Ova naredba vratit će popis davatelja identiteta:

    XSP|ADP_CLI/Aplikacije/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Preuzmi

  9. Konfigurirajte upravljanje tokenom pomoću sljedećih naredbi na svakom XSP|ADP poslužitelju:

    • XSP|ADP_CLI/Aplikacije/AuthenticationService/TokenManagement>

    • postavljanje tokenaIzdavač BroadWorks

    • postavi tokenDurationInHours 720

  10. Generirajte i zajednički koristite RSA ključeve. Morate generirati ključeve na jednom XSP|ADP-u, a zatim ih kopirati na sve druge XSP|ADP-ove. Razlog tome su sljedeći čimbenici:

    • Za šifriranje/dešifriranje tokena morate koristiti iste parove javnog/privatnog ključa u svim slučajevima usluge provjere autentičnosti.

    • Ključni par generira servis za provjeru autentičnosti kada je prvi put potrebno izdati token.

    Ako ciklus ključeva ili promijenite duljinu ključa, morate ponoviti sljedeću konfiguraciju i ponovno pokrenuti sve XSP|ADP-ove.

    1. Odaberite jedan XSP|ADP za generiranje para tipki.

    2. Upotrijebite klijent da biste zatražili šifrirani token iz tog XSP|ADP-a tako što ćete zatražiti sljedeći URL iz preglednika klijenta:

      https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

      (To generira privatni / javni par ključeva na XSP|ADP-u, ako ga već nije bilo)

    3. Mjesto spremišta ključeva nije moguće konfigurirati. Izvezi ključeve:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopirajte izvezenu datoteku /var/broadworks/tmp/authService.keys na istu lokaciju na drugim XSP|ADP-ovima, ako je potrebno prepišite stariju datoteku .keys .

    5. Uvezite ključeve na svaki od drugih XSP|ADP-ova:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. U web-spremnik navedite URL servisa authService. Web-spremnik XSP|ADP-a treba URL za authService kako bi mogao provjeriti valjanost tokena. Na svakom od XSP|ADP-ova:

    1. Url usluge provjere autentičnosti dodajte kao vanjski servis za provjeru autentičnosti za uslužni program BroadWorks Communications:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> postavi url http://127.0.0.1:80/authService

    2. U spremnik dodajte URL servisa za provjeru autentičnosti:

      XSP|ADP_CLI/Maintenance/ContainerOptions> dodaj tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      To webexu omogućuje korištenje servisa za provjeru autentičnosti za provjeru valjanosti tokena prikazanih kao vjerodajnice.

    3. Provjerite parametar uz dobiti.

    4. Ponovno pokrenite XSP|ADP.

Uklanjanje zahtjeva za provjeru autentičnosti klijenta za Auth uslugu (samo R24)

Ako ste servis za provjeru autentičnosti konfigurirali s provjerom valjanosti CI tokena na servisu R24, morate ukloniti i zahtjev za provjeru autentičnosti klijenta za uslugu provjere autentičnosti. Pokrenite sljedeću CLI naredbu:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> postavi klijent za provjeru autentičnostiServiceAuthReq false

Konfiguriranje TLS-a i šifri na HTTP sučeljima (za XSI i uslugu provjere autentičnosti)

Servis za provjeru autentičnosti, aplikacije Xsi-Actions i Xsi-Events koriste sučelja HTTP poslužitelja. Razine podesivosti TLS-a za ove aplikacije su sljedeće:

Najopćenitije = Prijenos sustava > > HTTP > HTTP server sučelje = Najspecifičnije

CLI konteksti koje koristite za prikaz ili izmjenu različitih SSL postavki su:

Specifičnost CLI kontekst
Sustav (globalno)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Transportni protokoli za ovaj sustav

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP na ovom sustavu

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Specifična sučelja HTTP poslužitelja na ovom sustavu

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Očitavanje konfiguracije TLS sučelja HTTP poslužitelja na XSP|ADP-u

  1. Prijavite se na XSP|ADP i idite na XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Unesite naredbu get i pročitajte rezultate. Trebali biste vidjeti sučelja (IP adrese) i, za svaku, jesu li sigurna i zahtijevaju li provjeru autentičnosti klijenta.

Apache tomcat nalaže certifikat za svako sigurno sučelje; sustav generira samopotpisani certifikat ako mu je potreban.

XSP|ADP_CLI/Interface/Http/HttpServer> preuzimanje

Dodavanje protokola TLS 1.2 u sučelje HTTP poslužitelja

HTTP sučelje koje komunicira s Webex cloudom mora biti konfigurirano za TLSv1.2. Oblak ne pregovara o ranijim verzijama TLS protokola.

Da biste konfigurirali protokol TLSv1.2 na sučelju HTTP poslužitelja:

  1. Prijavite se na XSP|ADP i idite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Unesite naredbu get 443 kako biste vidjeli koji su protokoli već upotrijebljeni na ovom sučelju.

  3. Unesite naredbu dodajte 443 TLSv1.2 kako biste osigurali da sučelje može upotrebljavati TLS 1.2 u komunikaciji s oblakom.

Uređivanje konfiguracije TLS šifri na http poslužiteljskom sučelju

Da biste konfigurirali potrebne šifre:

  1. Prijavite se na XSP|ADP i idite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Unesite naredbu get 443 kako biste vidjeli koje su šifre već upotrijebljene u ovom sučelju. Mora postojati barem jedan paket koji je preporučio Cisco (pogledajte xsp|ADP zahtjevi identiteta i sigurnosti u odjeljku Pregled).

  3. Unesite naredbu dodajte 443 kako biste dodali šifru u sučelje HTTP poslužitelja.

    XSP|ADP CLI zahtijeva naziv standardnog paketa šifri IANA, ne naziv paketa šifri openSSL. Na primjer, da biste dodali openSSL šifru ECDHE-ECDSA-CHACHA20-POLY1305 sučelju HTTP poslužitelja, koristili biste: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>dodajte 192.0.2.7 443 TLS_ECDHE_ECDSA_S_CHACHA20_POLY1305

    Pogledajte https://ciphersuite.info/ kako biste pronašli paket pod bilo kojim imenom.

Konfigurirajte upravljanje uređajima na XSP|ADP-u, poslužitelju aplikacija i poslužitelju profila

Poslužitelj profila i XSP|ADP obavezni su za upravljanje uređajima. Moraju se konfigurirati prema uputama u Vodiču za konfiguraciju upravljanja uređajima BroadWorks.