Közös tartózkodási követelmények

• A hitelesítési szolgáltatásnak társ-rezidensnek kell lennie az Xsi-alkalmazásokkal, mivel ezeknek az interfészeknek hosszú élettartamú jogkivonatokat kell elfogadniuk a szolgáltatás engedélyezéséhez. A hitelesítési szolgáltatás szükséges az érvényesítési jogkivonatok érvényesítéséhez.

• A hitelesítési szolgáltatás és az Xsi szükség esetén ugyanazon a porton is futtatható.

• Elválaszthatod a másikat services/applications a méretezés igényei szerint (például dedikált eszközkezelő XSP|ADP farm).

• Megkeresheti az Xsi, CTI, Authentication Service és DMS alkalmazásokat.

• Ne telepítsen más alkalmazásokat vagy szolgáltatásokat az XSP|ADP-kre, amelyeket a BroadWorks és a Webex integrálására használnak.

• Ne keresse meg a hálózati házirend-kiszolgáló kiszolgálót más alkalmazásokkal együtt.

Xsi interfészek

Telepítse és konfigurálja az Xsi-Actions és Xsi-Events alkalmazásokat a Cisco BroadWorks Xtended Services Interface Configuration Guide című témakörben leírtakszerint.

Az Xsi-Events alkalmazásoknak csak egy példányát szabad telepíteni a CTI interfészhez használt XSP|ADP-n.

A Broadworks és a Webex integrációjához használt összes Xsi-eseménynek ugyanazzal a callControlApplicationName paraméterrel kell rendelkeznie, amelyet a következő alatt definiáltak: Applications/Xsi-Events/GeneralSettings. Például:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Amikor egy felhasználó regisztrál a Webex szolgáltatásra, a Webex létrehoz egy előfizetést a felhasználó számára az AS-en, hogy telefonos eseményeket fogadhasson a jelenlét és a híváselőzmények tekintetében. Az előfizetés a callControlApplicationName elemhez van társítva, és az AS ezt használja annak megállapítására, hogy mely Xsi-Events eseményekre kell küldeni a telefonos eseményeket.

Hitelesítési szolgáltatás konfigurálása (CI jogkivonat-érvényesítéssel)

Ezzel az eljárással konfigurálhatja a hitelesítési szolgáltatást a CI jogkivonat-ellenőrzés TLS-sel való használatára. Ez a hitelesítési módszer akkor ajánlott, ha R22 vagy újabb rendszert futtat, és a rendszer támogatja azt.

1. OAuth hitelesítő adatok beszerzése a Webexhez a Cisco BroadWorks rendszerben.

2. Telepítse a következő javításokat minden XSP|ADP szerverre. Telepítse a kiadásnak megfelelő javításokat:

   • R22 esetén:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • R23 esetén:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • R24 esetén – nincs szükség javításra

   Az XSP-re való bármely hivatkozás magában foglalja az XSP-t vagy az ADP-t.

3. Telepítse a AuthenticationService alkalmazást minden XSP|ADP szolgáltatásra.

   1. Futtassa a következő parancsot az AuthenticationService alkalmazás aktiválásához az XSP|ADP-n a következőhöz: /authService kontextusútvonal.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Futtassa ezt a parancsot az AuthenticationService telepítéséhez az XSP|ADP-n:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. A Broadworks 2022.10-es buildjétől kezdődően a Javával érkező tanúsítványkibocsátók már nem kerülnek automatikusan be a BroadWorks megbízható tárolójába a Java új verziójára való váltáskor. Az AuthenticationService TLS-kapcsolatot nyit a Webex felé a hozzáférési token lekéréséhez, és a következőkre van szüksége a megbízhatótárolójában az IDBroker és a Webex URL érvényesítéséhez:

   • IdenTrust kereskedelmi gyökér CA 1

   • Go Daddy Root Certificate Authority - G2

   Ellenőrizze, hogy ezek a tanúsítványok jelen vannak-e a következő parancssori parancssori felület alatt.

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Ha nem található meg, futtassa a következő parancsot az alapértelmezett Java megbízhatósági kapcsolatok importálásához:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Alternatív megoldásként manuálisan is hozzáadhatja ezeket a tanúsítványokat megbízhatósági horgonyként a következő paranccsal:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Ha az ADP-t egy korábbi kiadásról frissítik, akkor a régi kiadás hitelesítésszolgáltatói automatikusan importálódnak az új kiadásba, és továbbra is importálódnak, amíg manuálisan el nem távolítják őket.

   Az AuthenticationService alkalmazás mentesül a validatePeerIdentity beállítás alól az ADP_alatt. CLI/System/SSLCommonSettings/GeneralSettings, és mindig érvényesíti a társidentitást. További információért erről a beállításról lásd a Cisco Broadworks X509 tanúsítványérvényesítési leíróadatbázist.

5. Konfigurálja az identitásszolgáltatókat a következő parancsok futtatásával minden XSP|ADP-kiszolgálón:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName — A URLmezőbe írja be a CI-fürtre vonatkozó IssuerName URL-címet. Lásd a következő táblázatot.

   • set issuerUrl — A URLmezőben adja meg a CI-klaszterre vonatkozó IssuerUrl értéket. Lásd a következő táblázatot.

   • set tokenInfoUrl —Adja meg a Teams-fürtre vonatkozó IdP-proxy URL-címet. Lásd a következő második táblázatot.

   1. táblázat. Állítsa be a kibocsátóNév és a kibocsátóURL

   Ha a CI-fürt...	Állítsa be a kibocsátóNév és a kibocsátóURL értékeket...
   USA-A	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   US-B	https://idbroker-b-us.webex.com/idb
   Ha nem ismeri a CI-klaszterét, akkor az információkat a Control Hub Ügyfélszolgálat nézetében található Ügyféladatok részben szerezheti be.

   2. táblázat TokenInfoURL beállítása

   Ha a Teams-fürt...	A tokenInfoURL értékének beállítása...(IdP proxy URL)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AFRA	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Ha nem ismeri a Teams klaszterét, akkor az információkat a Control Hub Ügyfélszolgálat nézetében található Ügyféladatok részben szerezheti be. Tesztelés céljából ellenőrizheted, hogy a tokenInfoURL érvényes-e, ha az URL "idp/authenticate" részét "ping"-re cseréled.

6. Adja meg a Webex felhasználói profiljában jelen lévő Webex jogosultságot a következő parancs futtatásával:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Konfigurálja az identitásszolgáltatókat a Cisco Federationhöz a következő parancsokkal minden XSP|ADP-kiszolgálón:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Futtassa a következő parancsot annak ellenőrzéséhez, hogy az FLS-konfiguráció működik-e. Ez a parancs visszaadja az identitásszolgáltatók listáját:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Konfigurálja a Token Management-et a következő parancsokkal minden XSP|ADP szerveren:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. RSA-kulcsok létrehozása és megosztása. Kulcsokat kell generálnia egy XSP|ADP-n, majd átmásolnia azokat az összes többi XSP|ADP-re. Ez a következő tényezőknek köszönhető:

    • Ugyanazokat a nyilvános/privát kulcspárokat kell használnia a jogkivonat titkosításához/visszafejtéséhez a hitelesítési szolgáltatás összes példányában.

    • A kulcspárt a hitelesítési szolgáltatás hozza létre, amikor először kell jogkivonatot kiadni.

    Ha kulcsciklusonként módosítja a kulcsok hosszát vagy újraindítja azokat, meg kell ismételnie a következő konfigurációt, és újra kell indítania az összes XSP|ADP-t.

    1. Válasszon ki egy XSP|ADP-t a kulcspár generálásához.

    2. Egy kliens segítségével kérjen titkosított tokent az adott XSP|ADP-től a következő URL kérésével a kliens böngészőjéből:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Ez egy privát / nyilvános kulcspár az XSP|ADP-n, ha még nem volt ilyen)

    3. A kulcstároló helye nem konfigurálható. A kulcsok exportálása:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Másolja az exportált fájlt /var/broadworks/tmp/authService.keys ugyanarra a helyre a többi XSP|ADP-n, szükség esetén felülírva egy régebbi .keys fájlt.

    5. Importálja a kulcsokat az összes többi XSP|ADP-n:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Adja meg az authService URL-címét a webtárolóhoz. Az XSP|ADP webkonténerének szüksége van az authService URL-címre a tokenek validálásához. Az XSP|ADP-k mindegyikén:

    1. Adja hozzá a hitelesítési szolgáltatás URL-címét külső hitelesítési szolgáltatásként a BroadWorks Communications Utilityhez:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Adja hozzá a hitelesítési szolgáltatás URL-címét a tárolóhoz:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Ez lehetővé teszi a Webex számára, hogy a hitelesítési szolgáltatást használja a hitelesítő adatokként bemutatott jogkivonatok érvényesítéséhez.

    3. Ellenőrizd a paramétert a getgombbal.

    4. Indítsa újra az XSP|ADP-t.

Az Auth-szolgáltatás ügyfélhitelesítési követelményének eltávolítása (csak R24 esetén)

Ha a hitelesítési szolgáltatás ci jogkivonat-érvényesítéssel van konfigurálva az R24-en, el kell távolítania a hitelesítési szolgáltatás ügyfél-hitelesítési követelményét is. Futtassa a következő CLI parancsot:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

TLS és rejtjelezések konfigurálása a HTTP-felületeken (XSI és hitelesítési szolgáltatáshoz)

A hitelesítési szolgáltatás, az Xsi-Actions és az Xsi-Events alkalmazások HTTP-kiszolgálói felületeket használnak. Az alkalmazások TLS-konfigurálhatóságának szintjei a következők:

Leg általánosabb = Rendszer > Átviteli > HTTP > HTTP Server interfész = Legspecifikusabb

A különböző SSL-beállítások megtekintéséhez vagy módosításához használt CLI-környezetek a következők:

HTTP szerver TLS interfész konfigurációjának olvasása az XSP-n|ADP

1. Jelentkezzen be az XSP|ADP-be, és navigáljon a következőhöz: XSP|ADP_CLI/Interface/Http/HttpServer>

2. Írd be a get parancsot, és olvasd el az eredményt. Látnia kell az interfészeket (IP-címeket), és mindegyikhez, hogy biztonságosak-e, és hogy igényelnek-e ügyfélhitelesítést.

Az Apache tomcat minden biztonságos felülethez tanúsítványt rendel el; a rendszer öna aláírt tanúsítványt hoz létre, ha szüksége van rá.

XSP|ADP_CLI/Interface/Http/HttpServer> get

TLS 1.2 protokoll hozzáadása a HTTP-kiszolgáló felületéhez

A Webex felhővel interakcióba lépő HTTP-felületet TLSv1.2-höz kell konfigurálni. A felhő nem egyezteti a TLS-protokoll korábbi verzióit.

A TLSv1.2 protokoll konfigurálása a HTTP-kiszolgáló felületén:

1. Jelentkezzen be az XSP|ADP-be, és navigáljon a következőhöz: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Írja be a get 443 parancsot, hogy megtekinthesse, mely protokollok vannak már használatban ezen az interfészen.

3. Írja be a add 443 TLSv1.2 parancsot annak biztosításához, hogy az interfész TLS 1.2-t használjon a felhővel való kommunikáció során.

TLS-titkosítási konfiguráció szerkesztése a HTTP-kiszolgáló felületén

A szükséges titkosítások konfigurálása:

1. Jelentkezzen be az XSP|ADP-be, és navigáljon a következőhöz: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Írja be a get 443 parancsot, hogy lássa, mely titkosításokat használják már ezen az interfészen. Legalább egynek a Cisco által ajánlott csomagok közül kell lennie (lásd az XSP|ADP Identity and Security Requirements részt az Áttekintés részben).

3. Írja be a add 443 parancsot egy rejtjel hozzáadásához a HTTP szerver felületéhez.

   Az XSP|ADP parancssori felület az IANA szabványos titkosítócsomag nevét igényli, nem az openSSL titkosítócsomag nevét. Például az openSSL titkosítás ECDHE-ECDSA-CHACHA20-POLY1305 hozzáadásához a HTTP szerver felületéhez a következőt kell használnia: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Keresse https://ciphersuite.info/ meg a lakosztályt mindkét néven.

Eszközkezelés konfigurálása XSP|ADP, alkalmazáskiszolgáló és profilkiszolgálón

A profilkiszolgáló és az XSP|ADP kötelező az eszközkezeléshez. Ezeket a BroadWorks eszközkezelési konfigurációs útmutató utasításai szerint kell konfigurálni.