Szolgáltatások konfigurálása a Webexen a Cisco BroadWorks XSP ADP-k|számára

Megköveteljük, hogy az NPS-alkalmazás egy másik XSP ADP-n|fusson. Az XSP|ADP-re vonatkozó követelményeket a Hívási értesítések konfigurálása a hálózatból című rész ismerteti.

Az XSP ADP-n a következő alkalmazásokra/szolgáltatásokra van szüksége|.

Szolgáltatás/alkalmazás

Hitelesítés szükséges

Szolgáltatás/alkalmazás célja

Xsi-Események

TLS (a kiszolgáló hitelesíti magát az ügyfelek számára)

Hívásvezérlés, szolgáltatásértesítések

Xsi-Akciók

TLS (a kiszolgáló hitelesíti magát az ügyfelek számára)

Hívásvezérlés, műveletek

Eszközkezelés

TLS (a kiszolgáló hitelesíti magát az ügyfelek számára)

Híváskonfiguráció letöltése

Hitelesítési szolgáltatás

TLS (a kiszolgáló hitelesíti magát az ügyfelek számára)

Felhasználói hitelesítés

Számítógépes telefonos integráció

mTLS (az ügyfél és a kiszolgáló hitelesíti egymást)

Telefonos jelenlét

Hívásbeállítások Webview alkalmazás

TLS (a kiszolgáló hitelesíti magát az ügyfelek számára)

Elérhetővé teszi a felhasználói hívásbeállításokat a Webex alkalmazás öngondoskodási portálján

Ez a szakasz azt ismerteti, hogyan kell alkalmazni a TLS-hez és az mTLS-hez szükséges konfigurációkat ezeken a felületeken, de hivatkoznia kell a meglévő dokumentációra ahhoz, hogy az alkalmazások telepítve legyenek az |XSP ADP-kre.

Közös tartózkodási követelmények

  • A hitelesítési szolgáltatásnak társ-rezidensnek kell lennie az Xsi-alkalmazásokkal, mivel ezeknek az interfészeknek hosszú élettartamú jogkivonatokat kell elfogadniuk a szolgáltatás engedélyezéséhez. A hitelesítési szolgáltatás szükséges az érvényesítési jogkivonatok érvényesítéséhez.

  • A hitelesítési szolgáltatás és az Xsi szükség esetén ugyanazon a porton is futtatható.

  • Elkülönítheti a többi szolgáltatást/alkalmazást a méretéhez szükséges módon (például dedikált eszközkezelő XSP|ADP farm).

  • Megkeresheti az Xsi, CTI, Authentication Service és DMS alkalmazásokat.

  • Ne telepítsen a BroadWorks és a Webex|integrálásához használt egyéb alkalmazásokat vagy szolgáltatásokat az XSP ADP-kre.

  • Ne keresse meg a hálózati házirend-kiszolgáló kiszolgálót más alkalmazásokkal együtt.

Xsi interfészek

Telepítse és konfigurálja az Xsi-Actions és Xsi-Events alkalmazásokat a Cisco BroadWorks Xtended Services Interface Configuration Guide című témakörben leírtakszerint.

Az Xsi-Events alkalmazásoknak csak egy példányát kell telepíteni a|CTI interfészhez használt XSP ADP-n.

A Broadworks és a Webex integrálásához használt összes Xsi-eseménynek az Alkalmazások/Xsi-Events/GeneralSettings menüpontban meghatározott callControlApplicationName névvel kell rendelkeznie. Például:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> Kap

callControlApplicationName = com.broadsoft.xsi-events

Amikor egy felhasználó bekerül a Webexbe, a Webex előfizetést hoz létre a felhasználó számára az információs rendszeren, hogy telefonos eseményeket fogadhasson a jelenlétével és a híváselőzményekkel kapcsolatban. Az előfizetés a callControlApplicationName szolgáltatáshoz van társítva, és az AS arra használja, hogy megtudja, melyik Xsi-Events-hez küldje a telefonos eseményeket.

A callControlApplicationName módosítása vagy más név használata az összes Xsi-Events webalkalmazásban hatással lesz az előfizetésekre és a telefonos események működésére.

Hitelesítési szolgáltatás konfigurálása (CI jogkivonat-érvényesítéssel)

Ezzel az eljárással konfigurálhatja a hitelesítési szolgáltatást a CI jogkivonat-ellenőrzés TLS-sel való használatára. Ez a hitelesítési módszer akkor ajánlott, ha R22 vagy újabb rendszert futtat, és a rendszer támogatja azt.

A kölcsönös TLS (mTLS) az Auth Szolgáltatás alternatív hitelesítési módszereként is támogatott. Ha több Webex-szervezete is fut ugyanazon XSP|ADP-kiszolgálón, akkor mTLS-hitelesítést kell használnia, mert a CI-tokenérvényesítés nem támogat több kapcsolatot ugyanahhoz az XSP|ADP hitelesítési szolgáltatáshoz.

Ha a CI jogkivonat-ellenőrzés helyett az Auth-szolgáltatás mTLS-hitelesítését szeretné konfigurálni, olvassa el a Szolgáltatások konfigurálása függeléket (az Auth-szolgáltatás mTLS-ével).

Ha jelenleg mTLS-t használ az Auth Service-hez, nem kötelező újrakonfigurálni a CI jogkivonat-érvényesítését a TLS-szel.

  1. OAuth-hitelesítő adatok lekérése a Webex for Cisco BroadWorks számára.

  2. Telepítse a következő javításokat minden XSP ADP|kiszolgálóra. Telepítse a kiadásnak megfelelő javításokat:

    Az XSP-re történő hivatkozások magukban foglalják az XSP-t vagy az ADP-t.

  3. Telepítse az AuthenticationService alkalmazást minden egyes |XSP ADP-szolgáltatásra.

    1. Futtassa a következő parancsot az AuthenticationService alkalmazás aktiválásához az XSP|ADP-n az /authService context útvonalhoz.

      XSP|ADP_CLI/Maintenance/ManagedObjects> alkalmazás aktiválása AuthenticationService 22.0_1.1123/authService

    2. Futtassa ezt a parancsot, ha telepíteni szeretné az AuthenticationService szolgáltatást az XSP|ADP-n:

      XSP|ADP_CLI/Maintenance/ManagedObjects> alkalmazás telepítése /authServiceBroadWorks SW Manager telepítése /authService...

  4. A BroadWorks 2022.10-es verziójával kezdődően a Javával érkező tanúsítványszolgáltatók már nem lesznek automatikusan bevonva a BroadWorks megbízhatósági tárolójába, amikor a Java új verziójára váltanak. A hitelesítési szolgáltatás a hozzáférési token lekéréséhez megnyit egy TLS-kapcsolatot a Webex rendszerével, és az IDBroker és a Webex URL érvényesítéséhez a következőkkel kell rendelkeznie a megbízhatósági tárolójában:

    • IdenTrust kereskedelmi gyökér CA 1

    • Go Daddy legfelső szintű hitelesítésszolgáltató – G2

    Ellenőrizze, hogy ezek a tanúsítványok jelen vannak-e a következő CLI alatt

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> Kap

    Ha nincs jelen, futtassa az alábbi parancsot az alapértelmezett Java megbízhatósági tanúsítványok importálásához:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importálásJavaCATrust

    Alternatívaként manuálisan is hozzáadhatja ezeket a tanúsítványokat megbízhatósági alapként a következő paranccsal:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Ha az ADP egy korábbi kiadásból frissül, akkor a régi kiadásból származó hitelesítésszolgáltatókat a rendszer automatikusan importálja az új kiadásra, és addig folytatódik az importálás, amíg manuálisan el nem távolítják őket.

    Az AuthenticationService alkalmazás mentesül az ADP alatti validatePeerIdentity beállítás alól_CLI/System/SSLCommonSettings/GeneralSettings, és mindig ellenőrzi a társ Identitását. A beállítással kapcsolatos további információért lásd: Cisco Broadworks X509 tanúsítványérvényesítési FD .

  5. Konfigurálja az identitásszolgáltatókat a következő parancsok futtatásával minden XSP ADP|-kiszolgálón:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • clientId beállítása client-Id-From-Step1

    • true beállítása engedélyezve

    • clientSecret beállítása client-Secret-From-Step1

    • ciResponseBodyMaxSizeInBytes beállítása 65536

    • issuerName beállítása – Az URL-hez adja meg a CI-fürthöz tartozó IssuerName URL-t. Lásd a következő táblázatot.

    • issuerUrl beállítása – Az URL-hez adja meg a CI-fürtre vonatkozó IssuerUrl-t. Lásd a következő táblázatot.

    • set tokenInfoUrl —Adja meg a Teams-fürtre vonatkozó IdP-proxy URL-címét. Lásd a következő második táblázatot.

    1. táblázat IssuerName és issuerURL beállítása
    Ha a CI-fürt...Az issuerName és issuerURL beállítása...

    USA-A

    https://idbroker.webex.com/idb

    EU

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    Ha nem ismeri a CI-fürtöt, az információt a Control Hub ügyfélszolgálati nézetében szerezheti be az ügyfél adataiból.

    2. táblázat tokenInfoURL beállítása
    Ha a Teams-fürt...TokenInfoURL beállítása erre:...(IdP-proxy URL)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Ha nem ismeri a Teams-fürtöt, az információt a Control Hub ügyfélszolgálati nézetében szerezheti be az ügyfél adataiból.

    • Teszteléshez ellenőrizheti a tokenInfoURL érvényességét, ha az URL „idp/hitelesítés” részét lecseréli a „ping”-re.

  6. Adja meg a Webex felhasználói profiljában jelen lévő Webex jogosultságot a következő parancs futtatásával:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> állítsa be a hatókört broadworks-connector:user

  7. Konfigurálja az identitásszolgáltatókat a Cisco Federation számára a következő parancsokkal minden XSP|ADP-kiszolgálón:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • flsUrl beállítása https://cifls.webex.com/federation

    • refreshPeriodInMinutes 60 beállítása

    • refreshToken beállítása refresh-Token-From-Step1

  8. Futtassa a következő parancsot annak ellenőrzéséhez, hogy az FLS-konfiguráció működik-e. Ez a parancs visszaadja az identitásszolgáltatók listáját:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. Konfigurálja a tokenkezelést a következő parancsokkal minden XSP|ADP-kiszolgálón:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • tokenIssuer BroadWorks beállítása

    • tokenDurationInHours beállítása 720

  10. RSA-kulcsok létrehozása és megosztása. Kulcsokat kell generálnia egy XSP|ADP-n, majd másolja azokat az összes többi XSP|ADP-re. Ez a következő tényezőknek köszönhető:

    • Ugyanazokat a nyilvános/privát kulcspárokat kell használnia a jogkivonat titkosításához/visszafejtéséhez a hitelesítési szolgáltatás összes példányában.

    • A kulcspárt a hitelesítési szolgáltatás hozza létre, amikor először kell jogkivonatot kiadni.

    Ha cikluskulcsokat használ, vagy módosítja a kulcs hosszát, meg kell ismételnie a következő konfigurációt, és újra kell indítania az összes|XSP ADP-t.

    1. Válasszon ki egy|XSP ADP-t a kulcspár létrehozásához.

    2. Használjon klienst, hogy titkosított tokent kérjen az adott XSP|ADP-től, az alábbi URL-t kérve az ügyfél böngészőjéből:

      https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

      (Ez egy privát/nyilvános kulcspárt hoz létre az XSP|ADP-n, ha még nem volt ilyen)

    3. A kulcstároló helye nem konfigurálható. A kulcsok exportálása:

      XSP|ADP_CLI/Applications/AuthenticationService/KeyManagement> exportKeys

    4. Másolja át a(z) /var/broadworks/tmp/authService.keys exportált fájlt ugyanarra a helyre a többi XSP|-ADP-n, szükség esetén felülírva egy régebbi .keys fájlt.

    5. Importálja a kulcsokat az egyes|XSP ADP-kön:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys/var/broadworks/tmp/authService.keys

  11. Adja meg az authService URL-címét a webtárolóhoz. Az XSP|ADP webes tárolójának szüksége van az authService URL-címre, hogy érvényesítse a tokeneket. Minden egyes XSP|ADP-n:

    1. Adja hozzá a hitelesítési szolgáltatás URL-címét külső hitelesítési szolgáltatásként a BroadWorks Communications Utilityhez:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> URL beállítása http://127.0.0.1:80/authService

    2. Adja hozzá a hitelesítési szolgáltatás URL-címét a tárolóhoz:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Ez lehetővé teszi a Webex számára, hogy a hitelesítési szolgáltatást használja a hitelesítő adatokként bemutatott jogkivonatok érvényesítéséhez.

    3. Ellenőrizze a paramétert a get menüpontban.

    4. Indítsa újra az|XSP ADP-t.

Az Auth-szolgáltatás ügyfélhitelesítési követelményének eltávolítása (csak R24 esetén)

Ha a hitelesítési szolgáltatás ci jogkivonat-érvényesítéssel van konfigurálva az R24-en, el kell távolítania a hitelesítési szolgáltatás ügyfél-hitelesítési követelményét is. Futtassa a következő CLI parancsot:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> AuthenticationService clientAuthReq false beállítása

TLS és rejtjelezések konfigurálása a HTTP-felületeken (XSI és hitelesítési szolgáltatáshoz)

A hitelesítési szolgáltatás, az Xsi-Actions és az Xsi-Events alkalmazások HTTP-kiszolgálói felületeket használnak. Az alkalmazások TLS-konfigurálhatóságának szintjei a következők:

Leg általánosabb = Rendszer > Átviteli > HTTP > HTTP Server interfész = Legspecifikusabb

A különböző SSL-beállítások megtekintéséhez vagy módosításához használt CLI-környezetek a következők:

Sajátlagosság CLI-környezet
Rendszer (globális)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
A rendszer szállítási protokolljai

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP ezen a rendszeren

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Speciális HTTP-kiszolgálói felületek ezen a rendszeren

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

A HTTP szerver TLS interfész konfigurációjának olvasása az XSP|ADP-en

  1. Jelentkezzen be az XSP|ADP-be és navigáljon az XSP|ADP_CLI/Interface/Http/HttpServer> lehetőségre

  2. Adja meg a get parancsot, és olvassa el az eredményeket. Látnia kell az interfészeket (IP-címeket), és mindegyikhez, hogy biztonságosak-e, és hogy igényelnek-e ügyfélhitelesítést.

Az Apache tomcat minden biztonságos felülethez tanúsítványt rendel el; a rendszer öna aláírt tanúsítványt hoz létre, ha szüksége van rá.

XSP|ADP_CLI/Interface/Http/HttpServer> get

TLS 1.2 protokoll hozzáadása a HTTP-kiszolgáló felületéhez

A Webex felhővel interakcióba lépő HTTP-felületet TLSv1.2-höz kell konfigurálni. A felhő nem egyezteti a TLS-protokoll korábbi verzióit.

A TLSv1.2 protokoll konfigurálása a HTTP-kiszolgáló felületén:

  1. Jelentkezzen be az XSP|ADP-be és navigáljon az XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols> lehetőségre

  2. Adja meg a 443 parancsot a már használt protokollok megtekintéséhez.

  3. Adja meg a (z) 443 TLSv1.2 hozzáadása parancsot annak biztosítására, hogy az interfész a TLS 1.2-t használhassa a felhővel való kommunikáció során.

TLS-titkosítási konfiguráció szerkesztése a HTTP-kiszolgáló felületén

A szükséges titkosítások konfigurálása:

  1. Jelentkezzen be az XSP|ADP-be és navigáljon az XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers> lehetőségre

  2. Adja meg a 443 parancsot, hogy lássa, mely rejtjeleket használják már ezen a felületen. Legalább egynek kell lennie a Cisco által ajánlott csomagokból (lásd az XSP|ADP identitás és biztonsági követelmények című részt az Áttekintés szakaszban).

  3. Írja be a 443 parancsot, hogy rejtjelet adhasson hozzá a HTTP szerver interfészhez.

    Az XSP|ADP CLI az IANA szabványos rejtjelcsomagnevet igényli, nem pedig az openSSL rejtjelcsomagnevet. Ha például az ECDHE-ECDSA-CHACHA20-POLY1305 openSSL rejtjelet a HTTP szerver interfészhez szeretné hozzáadni, akkor a következőt használja: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>adja hozzá a 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Keresse https://ciphersuite.info/ meg a lakosztályt mindkét néven.

Eszközkezelés konfigurálása az XSP|ADP-n, az alkalmazáskiszolgálón és a profilkiszolgálón

Az eszközkezeléshez kötelező a profilkiszolgáló és az XSP|ADP. Ezeket a BroadWorks eszközkezelési konfigurációs útmutató utasításai szerint kell konfigurálni.