Preparazione dell'ambiente
Punti di decisione
| Considerazione | Domande a cui rispondere | Risorse |
Architettura e infrastrutture |
Quanti XSP? Come prendono l'mTLS? |
Pianificatore capacità di sistema Cisco BroadWorks Guida tecnica del sistema Cisco BroadWorks Riferimento CLI XSP Il presente documento |
| Provisioning cliente e utente | Puoi affermare che ti fidi dei messaggi e-mail in BroadWorks? Vuoi che gli utenti forniscano indirizzi e-mail per attivare i propri account? È possibile creare strumenti per utilizzare la nostra API? |
Documenti API pubbliche su https://developer.webex.com Il presente documento |
| Branding | Quale colore e logo si desidera utilizzare? | Articolo di branding dell'app Webex |
| Modelli | Quali sono i diversi casi d'uso per i clienti? | Il presente documento |
| Funzioni abbonato per cliente/azienda/gruppo | Scegliere il pacchetto per definire il livello di servizio per modello. Base, Standard, Premium o Softphone. | Il presente documento Matrice caratteristiche/pacchetto |
| autenticazione protetta | BroadWorks o Webex | Il presente documento |
| Adattatore di provisioning (per opzioni di provisioning flowthrough) | Utilizzate già IM&P integrato, ad esempio per UC-One SaaS? Si desidera utilizzare più modelli? È previsto un caso d'uso più comune? |
Il presente documento Riferimento CLI server applicazioni |
Architettura e infrastrutture
Con che tipo di scala intende iniziare? È possibile scalare in futuro, ma la stima di utilizzo attuale dovrebbe guidare la pianificazione dell'infrastruttura.
Collaborare con il proprio account manager/rappresentante di vendita Cisco per dimensionare l'infrastruttura XSP, in base al Cisco BroadWorks System Capacity Planner e alla Cisco BroadWorks System Engineering Guide.
In che modo Webex renderà le connessioni TLS reciproche agli XSP? Direttamente a XSP in un DMZ o tramite proxy TLS? Ciò incide sulla gestione dei certificati e sugli URL utilizzati per le interfacce. (Non supportiamo connessioni TCP non crittografate al perimetro della rete).
Provisioning cliente e utente
Quale metodo di provisioning utente si adatta meglio?
Provisioning eseguibile con e-mail attendibili: Assegnando il servizio "IM&P integrato" su BroadWorks, l'abbonato viene predisposto automaticamente in Webex.
Se puoi anche affermare che gli indirizzi e-mail dell'abbonato in BroadWorks sono validi e univoci per Webex, puoi utilizzare la variante "email attendibili" del provisioning flowthrough. Gli account Webex abbonati vengono creati e attivati senza il loro intervento; scaricano semplicemente il client e accedono.
Indirizzo e-mail è un attributo utente chiave su Webex. Pertanto, il provider di servizi deve fornire un indirizzo e-mail valido all'utente per eseguire il provisioning dei servizi Webex. Questo deve essere nell'attributo ID e-mail dell'utente in BroadWorks. Si consiglia di copiarlo anche nell'attributo ID alternativo.
Provisioning eseguibile senza e-mail attendibili: Se non riesci a fidarti degli indirizzi e-mail degli abbonati, puoi comunque assegnare il servizio IM&P integrato in BroadWorks per il provisioning degli utenti in Webex.
Con questa opzione, gli account vengono creati quando si assegna il servizio, ma gli abbonati devono fornire e convalidare i relativi indirizzi e-mail per attivare gli account Webex.
Self-provisioning utente: Questa opzione non richiede l'assegnazione del servizio IM&P in BroadWorks. Tu (o i tuoi clienti) distribuisci invece un collegamento di provisioning e i collegamenti per scaricare i diversi client, con il branding e le istruzioni.
Gli abbonati seguono il collegamento, quindi forniscono e convalidano i relativi indirizzi e-mail per creare e attivare gli account Webex. Quindi, scaricano il client e accedono e Webex recupera una configurazione aggiuntiva su di essi da BroadWorks (inclusi i numeri principali).
Provisioning controllato da SP tramite API: Webex espone una serie di API pubbliche che consentono ai provider di servizi di creare provisioning utente/abbonato nei propri flussi di lavoro esistenti.
Requisiti di provisioning
Nella tabella seguente vengono riepilogati i requisiti per ciascun metodo di provisioning. Oltre a questi requisiti, la distribuzione deve soddisfare i requisiti di sistema generali descritti in questa guida.
Metodo di provisioning |
Requisiti |
|---|---|
Provisioning del flusso (e-mail attendibili o non attendibili) |
L'API di provisioning Webex aggiunge automaticamente gli utenti BroadWorks esistenti a Webex una volta che l'utente soddisfa i requisiti e si attiva il servizio Integrated IM+P. Esistono due flussi (e-mail attendibili o e-mail non attendibili) che vengono assegnati tramite il modello cliente su Webex. Requisiti BroadWorks:
Requisiti Webex: Il modello cliente include le seguenti impostazioni:
|
Self-provisioning utente |
L'amministratore fornisce a un utente BroadWorks esistente un collegamento al portale di attivazione utente. L'utente deve accedere al portale utilizzando le credenziali BroadWorks e fornire un indirizzo e-mail valido. Una volta convalidato il messaggio e-mail, Webex recupera ulteriori informazioni utente per completare il provisioning. Requisiti BroadWorks:
Requisiti Webex: Il modello cliente include le seguenti impostazioni:
|
Provisioning controllato da SP tramite API (e-mail attendibili o non attendibili) |
Webex espone una serie di API pubbliche che consentono di creare il provisioning degli utenti nei flussi di lavoro e negli strumenti esistenti. Sono previsti due flussi:
Requisiti BroadWorks:
Requisiti Webex:
Per utilizzare le API, vai a Utenti BroadWorks. |
Patch richieste con provisioning flow-through
Se si utilizza il provisioning flow-through, è necessario installare una patch di sistema e applicare una proprietà CLI. Fare riferimento all'elenco seguente per istruzioni che si applicano alla release BroadWorks:
Per R22:
Installare AP.as.22.0.1123.ap376508.
Dopo l'installazione, impostare la proprietà
bw.msg.includeIsEnterpriseInOSSschemaatruedalla CLI in Maintenance/ContainerOptions.Per ulteriori informazioni, vedere le note sulla patch https://www.cisco.com/web/software/286326332/154309/AP.as.22.0.1123.ap376508.txt.
Per R23:
Installare AP.as.23.0.1075.ap376509
Dopo l'installazione, impostare la proprietà
bw.msg.includeIsEnterpriseInOSSschemaatruedalla CLI in Maintenance/ContainerOptions.Per ulteriori informazioni, vedere le note sulla patch https://www.cisco.com/web/software/286326332/154325/AP.as.23.0.1075.ap376509.txt.
Per R24:
Installazione di AP.as.24.0.944.ap375100
Dopo l'installazione, impostare la proprietà
bw.msg.includeIsEnterpriseInOSSschemaatruedalla CLI in Maintenance/ContainerOptions.Per ulteriori informazioni, vedere le note sulla patch https://www.cisco.com/web/software/286326332/154326/AP.as.24.0.944.ap375100.txt.
 |
Una volta completate queste operazioni, non sarà possibile eseguire il provisioning dei nuovi utenti con i servizi di collaborazione UC-One. Gli utenti predisposti di recente devono essere Webex per gli utenti Cisco BroadWorks.
|
Impostazioni internazionali lingua supportate
Durante il provisioning, la lingua assegnata in BroadWorks al primo utente di amministrazione con provisioning viene assegnata automaticamente come locale predefinita per l'organizzazione del cliente. Questa impostazione determina la lingua predefinita utilizzata per e-mail di attivazione, riunioni e inviti a riunioni all'interno dell'organizzazione del cliente.
Sono supportate le impostazioni internazionali in lingua a cinque caratteri (ISO-639-1)_(ISO-3166). Ad esempio, en_US corrisponde a English_UnitedStates. Se viene richiesta solo una lingua di due lettere (utilizzando il formato ISO-639-1), il servizio genera un'impostazione locale della lingua di cinque caratteri combinando la lingua richiesta con un prefisso internazionale dal modello, ad esempio "requestedLanguage_CountryCode", se non è possibile ottenere un'impostazione locale valida, viene utilizzata l'impostazione locale ragionevole predefinita in base al codice della lingua richiesto.
Nella tabella riportata di seguito vengono elencate le impostazioni internazionali supportate e la mappatura che converte un codice lingua a due lettere in un'impostazione locale a cinque caratteri per le situazioni in cui un'impostazione locale a cinque caratteri non è disponibile.
Impostazioni internazionali lingua supportate (ISO-639-1)_(ISO-3166) |
Se è disponibile solo un codice lingua a due lettere... |
|
|---|---|---|
Codice lingua (ISO-639-1) ** |
Usa impostazioni internazionali sensibili di default (ISO-639-1)_(ISO-3166) |
|
en_USA en_AU en_GB en_CA |
en en |
en_USA |
fr_Fr fr_CA |
Fr |
fr_Fr |
cs_CZ |
cs |
cs_CZ |
da_DK |
da |
da_DK |
de_DE |
DE |
de_DE |
hu_HU |
hu |
hu_HU |
id_ID |
ID |
id_ID |
it_IT |
IT |
it_IT |
ja_JP |
ja |
ja_JP |
ko_KR |
ko |
ko_KR |
es_ES es_CO es_MX |
ES |
es_ES |
nl_NL |
NL |
nl_NL |
nb_NO |
nb. |
nb_NO |
pl_PL. |
pl. |
pl_PL. |
pt_PT pt_BR |
pt |
pt_PT |
ru_RU |
RU |
ru_RU |
ro_RO |
ro |
ro_RO |
zh_CN zh_TW |
zh |
zh_CN |
sv_SE |
sv |
sv_SE |
ar_SA |
ar |
ar_SA |
tr_TR |
tr |
tr_TR |
|
Le impostazioni internazionali es_CO, id_ID, nb_NO e pt_PT non sono supportate dai siti per riunioni Webex. Per queste impostazioni internazionali, I siti Webex Meetings saranno solo in inglese. Inglese è la impostazioni internazionali predefinite per i siti se per il sito non sono richieste impostazioni internazionali non valide/non supportate. Questo campo lingua è applicabile durante la creazione di un'organizzazione e un sito Webex Meetings. Se in un post o nell'API dell'abbonato non viene menzionata alcuna lingua, la lingua del modello verrà utilizzata come lingua predefinita. |
Branding
Gli amministratori partner possono utilizzare le personalizzazioni avanzate del branding per personalizzare l'aspetto dell'app Webex per le organizzazioni di clienti gestite dal partner. Gli amministratori partner possono personalizzare le seguenti impostazioni per garantire che l'app Webex rifletta il marchio e l'identità della società:
Loghi aziendali
Combinazioni di colori univoche per la modalità Chiaro o Scuro
URL di supporto personalizzati
Per informazioni dettagliate su come personalizzare il branding, fare riferimento a Configurazione delle personalizzazioni di branding avanzate.
|
|
Modelli cliente
I modelli cliente consentono di definire i parametri in base ai quali i clienti e gli abbonati associati vengono predisposti automaticamente su Webex per Cisco BroadWorks. È possibile configurare più modelli cliente come richiesto, ma quando si esegue l'onboarding di un cliente è associato a un solo modello (non è possibile applicare più modelli a un cliente).
Alcuni parametri del modello principale sono elencati di seguito.
Pacchetto
È necessario selezionare un pacchetto predefinito quando si crea un modello (vedere Pacchetti nella sezione Panoramica per dettagli). Tutti gli utenti predisposti con tale modello, tramite flowthrough o self-provisioning, ricevono il pacchetto predefinito.
È possibile controllare la selezione dei pacchetti per diversi clienti creando più modelli e selezionando diversi pacchetti predefiniti in ciascuno di essi. È possibile quindi distribuire diversi collegamenti di provisioning o diversi adattatori di provisioning per azienda, a seconda del metodo di provisioning dell'utente scelto per tali modelli.
È possibile modificare il pacchetto di abbonati specifici da questa impostazione predefinita utilizzando l'API di provisioning (vedere Webex per la documentazione API Cisco BroadWorks o attraverso Partner Hub (vedere Modifica pacchetto utente in Partner Hub).
Non puoi modificare il pacchetto di un abbonato da BroadWorks. L'assegnazione del servizio IM&P integrato è attivata o disattivata; se all'abbonato viene assegnato questo servizio in BroadWorks, il modello Partner Hub associato all'URL di provisioning aziendale di tale abbonato definisce il pacchetto.
Rivenditore e aziende o fornitore di servizi e gruppi?
La configurazione del sistema BroadWorks ha un impatto sul flusso attraverso il provisioning. Se sei un rivenditore con Enterprise, devi abilitare la modalità Enterprise quando crei un modello.
Se il sistema BroadWorks è configurato in modalità provider di servizi, è possibile lasciare disattivata la modalità Enterprise nei modelli.
Se si intende eseguire il provisioning delle organizzazioni dei clienti utilizzando entrambe le modalità BroadWorks, è necessario utilizzare modelli diversi per gruppi e aziende.
|
Accertarsi di aver applicato le patch BroadWorks richieste per il provisioning flow-through. Per ulteriori dettagli, vedere Patch richieste con provisioning flow-through.
|
Modalità di autenticazione
Decidi come desideri che gli abbonati eseguano l'autenticazione quando accedono a Webex. È possibile assegnare la modalità utilizzando l'impostazione Modalità di autenticazione nel modello cliente. Nella tabella seguente sono riportate alcune opzioni.
|
Questa impostazione non ha effetto sull'accesso al portale di attivazione utente. Gli utenti che accedono al portale devono immettere l'ID utente e la password BroadWorks, come configurati su BroadWorks, indipendentemente da come si configura la modalità di autenticazione sul modello cliente.
|
| Modalità di autenticazione | BroadWorks | Webex |
| Identità utente principale | ID utente BroadWorks | Indirizzo e-mail |
| Provider identità | BroadWorks.
|
Identità comune Cisco |
| Autenticazione a più fattori? | No | Richiede IdP del cliente che supporta l'autenticazione a più fattori. |
Percorso di convalida delle credenziali |
|
|
|
Per una ripartizione più dettagliata del flusso di accesso SSO con autenticazione diretta a BroadWorks, vedere Flusso di accesso SSO.
|
Codifica UTF-8 con autenticazione BroadWorks
Con l'autenticazione BroadWorks, si consiglia di configurare la codifica UTF-8 per l'intestazione di autenticazione. UTF-8 risolve un problema che si può verificare con password che utilizzano caratteri speciali per cui il browser Web non codifica correttamente i caratteri. Utilizzando un'intestazione con codifica UTF-8, con codifica base 64, risolve questo problema.
È possibile configurare la codifica UTF-8 eseguendo uno dei seguenti comandi CLI su XSP o ADP:
XSP_CLI/Applications/WebContainer/Tomcat/GeneralSettings> set authenticationEncoding UTF-8ADP_CLI/Applications/WebContainer/Tomcat/GeneralSettings> set authenticationEncoding UTF-8
Paese
Quando si crea un modello, è necessario selezionare un paese. Questo paese verrà assegnato automaticamente come paese dell'organizzazione per tutti i clienti predisposti con il modello in Common Identity. Inoltre, il paese dell'organizzazione determinerà i numeri di chiamata in ingresso globali predefiniti per Cisco PSTN nei siti per riunioni Webex.
I numeri di chiamata in ingresso globali predefiniti del sito verranno impostati sul primo numero di chiamata in ingresso disponibile definito nel dominio di telefonia in base al paese dell'organizzazione. Se il paese dell'organizzazione non viene trovato nel numero di accesso definito nel dominio di telefonia, verrà utilizzato il numero predefinito di tale posizione.
N. di serie S. |
Posizione |
Prefisso internazionale |
Nome paese |
|---|---|---|---|
1 |
AMER |
+1 |
NOI, CA |
2 |
APAC |
+65 |
Singapore |
3 |
ANZ |
+61 |
Australia |
4 |
EMEA |
+44 |
Regno Unito |
5 |
EURO |
+49 |
Germania |
Accordi con più partner
Vuoi concedere in sublicenza Webex per Cisco BroadWorks a un altro provider di servizi? In questo caso, ciascun provider di servizi avrà bisogno di un'organizzazione partner distinta in Webex Control Hub per consentire loro di fornire la soluzione per la propria base clienti.
Adattatore di provisioning e modelli
Quando si utilizza il provisioning flowthrough, l'URL di provisioning inserito in BroadWorks viene derivato dal modello in Control Hub. È possibile disporre di più modelli e quindi di più URL di provisioning. Ciò consente di selezionare, su base aziendale, il pacchetto da applicare agli abbonati al momento della concessione del servizio IM&P integrato.
È necessario considerare se si desidera impostare un URL di provisioning a livello di sistema come percorso di provisioning predefinito e quale modello si desidera utilizzare a tale scopo. In questo modo, è necessario impostare esplicitamente l'URL di provisioning per le aziende che necessitano di un modello diverso.
Inoltre, tenere presente che è possibile che si stia già utilizzando un URL di provisioning a livello di sistema, ad esempio con UC-One SaaS. In tal caso, è possibile scegliere di mantenere l'URL a livello di sistema per il provisioning degli utenti su UC-One SaaS e sostituirlo per le aziende che passano a Webex per Cisco BroadWorks. In alternativa, è possibile impostare l'URL a livello di sistema per Webex per BroadWorks e riconfigurare le aziende che si desidera mantenere su UC-One SaaS.
Le scelte di configurazione relative a questa decisione sono dettagliate in Configura server applicazioni con URL servizio di provisioning.
Proxy adattatore di provisioning
Per maggiore sicurezza, il proxy dell'adattatore di provisioning consente di utilizzare un proxy HTTP(S) sulla piattaforma di consegna dell'applicazione per il provisioning flowthrough tra AS e Webex. La connessione proxy crea un tunnel TCP end-to-end che inoltra il traffico tra il server AS e Webex, annullando in tal modo la necessità di connettersi direttamente al servizio Internet pubblico. Per connessioni sicure, è possibile utilizzare TLS.
Questa funzione richiede l'impostazione del proxy su BroadWorks. Per informazioni dettagliate, vedere Descrizione della funzione proxy dell'adattatore di provisioning Cisco BroadWorks.
Requisiti minimi
Account
Tutti gli abbonati che si sta eseguendo il provisioning per Webex devono esistere nel sistema BroadWorks integrato con Webex. È possibile integrare più sistemi BroadWorks, se necessario.
Tutti gli abbonati devono disporre di licenze BroadWorks e di un numero o interno principale.
Webex utilizza gli indirizzi e-mail come identificatori principali per tutti gli utenti. Se si utilizza il provisioning flowthrough con e-mail attendibili, gli utenti devono disporre di indirizzi validi nell'attributo e-mail in BroadWorks.
Se il modello utilizza l'autenticazione BroadWorks, è possibile copiare gli indirizzi e-mail degli abbonati nell'attributo ID alternativo in BroadWorks. Ciò consente agli utenti di accedere a Webex utilizzando gli indirizzi e-mail e le password BroadWorks.
Gli amministratori devono utilizzare i relativi account Webex per accedere a Partner Hub.
|
Non è supportato l'onboarding di un amministratore BroadWorks in Webex per Cisco BroadWorks. Puoi eseguire l'onboarding solo di utenti di chiamata BroadWorks con un numero principale e/o interno. Se si utilizza il provisioning flowthrough, agli utenti deve essere assegnato anche il servizio IM&P integrato.
|
Server nella rete e requisiti software
Istanze BroadWorks con versione minima R22. Vedere Requisiti software BroadWorks (in questo documento) per le versioni e le patch supportate. Per ulteriori informazioni, vedere Politica sul ciclo di vita dei prodotti BroadSoft sezione in BroadSoft Lifecycle Policy e BroadWorks Software Compatibility Matrix.
Le istanze BroadWorks devono includere almeno i seguenti server:
Server applicazioni (AS) con versione BroadWorks come sopra
Server di rete (NS)
Server profilo (PS)
Server XSP o ADP (Application Delivery Platform) rivolti al pubblico che soddisfano i seguenti requisiti:
Servizio di autenticazione (BWAuth)
Interfacce azioni ed eventi XSI
DMS (applicazione Web di gestione dispositivi)
Interfaccia CTI (Intergrazione Di Telefonia Informatica)
TLS 1.2 con certificato valido (non autofirmato) e qualsiasi intermediazione richiesta. Richiede l'amministrazione a livello di sistema per facilitare la ricerca aziendale.
Autenticazione Mutual TLS (mTLS) per il servizio di autenticazione (richiede la catena di certificati del client Webex pubblico installata come ancoraggi attendibili)
Autenticazione Mutual TLS (mTLS) per l'interfaccia CTI (richiede la catena di certificati del client Webex pubblico installata come ancoraggi attendibili)
Un server XSP/ADP separato che agisce come "Call Notifications Push Server" (un NPS nel tuo ambiente utilizzato per le notifiche di chiamata push per Apple/Google. Lo chiamiamo "CNPS" qui per distinguerlo dal servizio in Webex che fornisce notifiche push per messaggi e presenza).
Questo server deve essere su R22 o versione successiva.
Viene richiesto un server XSP/ADP separato per CNPS poiché l'imprevedibilità del carico da Webex per le connessioni cloud BWKS potrebbe influire negativamente sulle prestazioni del server NPS, con il risultato di un aumento della latenza di notifica. Per ulteriori informazioni sulla scala XSP, consultare la Guida all'ingegneria di sistema Cisco BroadWorks.
Piattaforme app Webex
Per scaricare la versione in inglese dell'app Webex, andare a https://www.webex.com/webexfromserviceproviders-downloads.html. L'app Webex è disponibile su:
PC/laptop Windows
PC/laptop Apple con MacOS
iOS (Apple Store)
Android (Play store)
Browser Web (vai a https://teams.webex.com/)
Versioni localizzate
Per scaricare una versione localizzata dell'app Webex, usa uno dei seguenti collegamenti:
https://origin-webex-uat.cisco.com/ko/webexfromserviceproviders-downloads.html (coreano)
https://origin-webex-uat.cisco.com/fr/webexfromserviceproviders-downloads.html (francese)
https://origin-webex-uat.cisco.com/pt/webexfromserviceproviders-downloads.html (portoghese)
https://origin-webex-uat.cisco.com/zh-tw/webexfromserviceproviders-downloads.html (tradizionale cinese)
https://origin-webex-uat.cisco.com/zh-cn/webexfromserviceproviders-downloads.html (cinese semplificato)
https://origin-webex-uat.cisco.com/ja/webexfromserviceproviders-downloads.html (Giappone)
https://origin-webex-uat.cisco.com/es/webexfromserviceproviders-downloads.html (Spagna)
https://origin-webex-uat.cisco.com/de/webexfromserviceproviders-downloads.html (tedesco)
https://origin-webex-uat.cisco.com/it/webexfromserviceproviders-downloads.html (italiano)
Telefoni e accessori fisici
Telefoni IP Cisco:
telefono IP Cisco serie 6800 con firmware multipiattaforma
telefono IP Cisco serie 7800 con firmware multipiattaforma
telefono IP Cisco serie 8800 con firmware multipiattaforma
Vedere https://www.cisco.com/c/en/us/products/collaboration-endpoints/ip-phones/multiplatform-firmware.html per i modelli e ulteriori informazioni.
I telefoni di terze parti sono supportati allo stesso modo di altre integrazioni BroadWorks. Tuttavia, non dispongono ancora dell'integrazione di contatti e presenza con Webex per Cisco BroadWorks.
Adattatori:
Adattatore per telefono analogico multipiattaforma Cisco ATA 191
Adattatore per telefono analogico multipiattaforma Cisco ATA 192
Vedere https://www.cisco.com/c/en/us/products/unified-communications/ata-190-series-analog-telephone-adapters/index.html per i modelli e ulteriori informazioni.
Cuffie:
cuffia Cisco serie 500
Vedi https://www.cisco.com/c/en/us/products/collaboration-endpoints/headset-500-series/index.html per i modelli e ulteriori informazioni.
- Dispositivi Room OS:
Serie Webex Room e Room Kit
Serie Webex Desk
Serie Webex Board
Integrazione dispositivo
Per informazioni dettagliate su come eseguire l'onboarding e l'assistenza dei dispositivi Room OS e MPP per Webex per Cisco BroadWorks, vedere la Guida all'integrazione dei dispositivi per Webex per Cisco BroadWorks.
Profili dispositivo
Di seguito sono riportati i file DTAF che devi caricare sui server delle applicazioni per supportare l'app Webex come client di chiamata. Sono gli stessi file DTAF utilizzati per UC-One SaaS, tuttavia c'è una nuova config-wxt.xml.template file utilizzato per l'app Webex.
Per scaricare i profili dei dispositivi più recenti, andare al sito di Download software della piattaforma di consegna delle applicazioni per ottenere gli ultimi file DTAF. Questi download funzionano sia per ADP che per XSP.
Nome del cliente |
Tipo di profilo dispositivo e nome pacchetto |
|---|---|
Modello mobile Webex |
Tipo di profilo identità/dispositivo: Connetti - Mobile DTAF: File di configurazione: |
Modello tablet Webex |
Tipo di profilo identità/dispositivo: Connetti - Tablet DTAF: File di configurazione: |
Modello desktop Webex |
Tipo di profilo identità/dispositivo: Comunicatore aziendale - PC DTAF: File di configurazione: |
Identifica/Profilo dispositivo
Tutti gli utenti Webex per Cisco BroadWorks devono disporre di un profilo identità/dispositivo assegnato in BroadWorks che utilizzi uno dei profili del dispositivo precedenti per effettuare chiamate utilizzando l'app Webex. Il profilo fornisce la configurazione che consente all'utente di effettuare chiamate.
Come ottenere le credenziali OAuth per Webex per Cisco BroadWorks
Genera una richiesta di servizio con l'agente di onboarding o con Cisco TAC per eseguire il provisioning di Cisco OAuth per l'account Cisco Identity Provider Federation.
Utilizzare il titolo della richiesta per le rispettive funzioni:
Configurazione AuthService XSP' per configurare il servizio su XSP.
'NPS Configuration for Auth Proxy Setup' (Configurazione NPS per impostazione proxy automatica) per configurare NPS per l'uso del proxy di autenticazione.
Sincronizzazione UUID utente CI' per sincronizzazione UUID utente CI. Per ulteriori informazioni su questa funzione, vedere: Supporto di Cisco BroadWorks per CI UUID.
Configura BroadWorks per abilitare la fatturazione Cisco per BroadWorks e Webex Per abbonamenti BroadWorks.
Cisco fornisce un ID client OAuth, un segreto client e un token di aggiornamento valido per 60 giorni. Se il token scade prima di utilizzarlo, è possibile presentare un'altra richiesta.
|
Se sono già state ottenute le credenziali del provider di identità Cisco OAuth, completare una nuova richiesta di servizio per aggiornare le credenziali. |
Certificati ordine
Requisiti di certificato per l'autenticazione TLS
Per tutte le applicazioni richieste, è necessario disporre di certificati di sicurezza firmati da un'autorità di certificazione ben nota e distribuiti su XSP aperti al pubblico. Verranno utilizzati per supportare la verifica del certificato TLS per tutta la connettività in entrata ai server XSP.
Questi certificati devono includere il nome di dominio pubblico completo XSP come nome comune dell'oggetto o nome alternativo dell'oggetto.
I requisiti esatti per la distribuzione di questi certificati del server dipendono da come vengono distribuiti gli XSP con interfaccia pubblica:
Tramite un proxy di bridging TLS
Tramite un proxy passante TLS
Direttamente a XSP
Il seguente diagramma riassume dove il certificato del server pubblico firmato da CA deve essere caricato in questi tre casi:
Le autorità di certificazione supportate pubblicamente dall'app Webex per l'autenticazione sono elencate in Autorità di certificazione supportate per i servizi ibridi Webex.
Requisiti del certificato TLS per proxy bridge TLS
Il certificato del server firmato pubblicamente viene caricato nel proxy.
Il proxy presenta questo certificato server firmato pubblicamente a Webex.
Webex considera attendibile la CA pubblica che ha firmato il certificato del server del proxy.
Un certificato firmato CA interno può essere caricato su XSP.
L'XSP presenta questo certificato del server firmato internamente al proxy.
Il proxy si basa sulla CA interna che ha firmato il certificato del server XSP.
Requisiti di certificato TLS per proxy passthrough TLS o XSP in DMZ
Il certificato del server firmato pubblicamente viene caricato negli XSP.
Gli XSP presentano certificati server firmati pubblicamente a Webex.
Webex considera attendibile la CA pubblica che ha firmato i certificati server degli XSP.
Requisiti di certificato aggiuntivi per l'autenticazione TLS reciproca sull'interfaccia CTI
Quando ci si connette all'interfaccia CTI, Webex presenta un certificato client come parte dell'autenticazione Mutual TLS. Il certificato CA/catena del certificato del client Webex è disponibile per il download tramite Control Hub.
Per scaricare il certificato:
Accedi a Partner Hub, vai a e fai clic sul collegamento del certificato di download.
I requisiti esatti per la distribuzione di questa catena di certificati CA Webex dipendono da come vengono distribuiti gli XSP pubblici:
Tramite un proxy di bridging TLS
Tramite un proxy passante TLS
Direttamente a XSP
Il seguente diagramma riassume i requisiti del certificato in questi tre casi:
Requisiti del certificato (opzione) per proxy bridge TLS
Webex presenta un certificato client firmato pubblicamente al proxy.
Il proxy considera attendibile la CA interna di Cisco che ha firmato il certificato del client. Puoi scaricare questa CA / catena da Control Hub e aggiungerla all'archivio attendibilità del proxy. Anche il certificato del server XSP firmato pubblicamente viene caricato nel proxy.
Il proxy presenta il certificato del server firmato pubblicamente a Webex.
Webex considera attendibile la CA pubblica che ha firmato il certificato del server del proxy.
Il proxy presenta un certificato client firmato internamente agli XSP.
Il certificato deve avere il campo di estensione x509.v3 Utilizzo chiave esteso popolato con l'OID BroadWorks 1.3.6.1.4.1.6431.1.1.8.2.1.3 e lo scopo del clientAuth TLS. Ad esempio:
X509v3 extensions: X509v3 Extended Key Usage: 1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client AuthenticationIl CN del certificato interno deve essere bwcticlient.webex.com.
Durante la generazione dei certificati client interni per il proxy, tenere presente che i certificati SAN non sono supportati. I certificati server interni per XSP possono essere SAN.
Le autorità pubbliche di certificazione potrebbero non essere disposte a firmare i certificati con l'OIDE proprietario di BroadWorks richiesto. Nel caso di un proxy di bridging, è possibile che sia necessario utilizzare una CA interna per firmare il certificato del client che il proxy presenta alla XSP.
Gli XSP si fidano della CA interna.
Gli XSP presentano un certificato del server firmato internamente.
Il proxy si fida della CA interna.
Il ClientIdentity del server applicazioni contiene il CN del certificato client firmato internamente presentato all'XSP dal proxy.
Requisiti di certificato (opzione) per proxy passthrough TLS o XSP in DMZ
Webex presenta un certificato client firmato da CA Cisco interno agli XSP.
Gli XSP si fidano della CA interna di Cisco che ha firmato il certificato client. Puoi scaricare questa CA / catena da Control Hub e aggiungerla all'archivio attendibilità del proxy. Anche il certificato del server XSP firmato pubblicamente viene caricato negli XSP.
Gli XSP presentano i certificati server firmati pubblicamente a Webex.
Webex considera attendibile la CA pubblica che ha firmato i certificati server degli XSP.
Il server applicazioni ClientIdentity contiene il CN del certificato del client firmato Cisco presentato a XSP da Webex.
Preparazione della rete
Per ulteriori informazioni sulle connessioni utilizzate da Webex per Cisco BroadWorks, vedere: Requisiti di rete per Webex per Cisco BroadWorks. Questo articolo contiene l'elenco di indirizzi IP, porte e protocolli richiesti per configurare le regole di ingresso e uscita del firewall.
Requisiti di rete per i servizi Webex
Le tabelle dei firewall delle regole di ingresso e uscita precedenti documentano solo le connessioni specifiche di Webex per Cisco BroadWorks. Per informazioni generali sulle connessioni tra l'app Webex e il cloud Webex, vedere Requisiti di rete per i servizi Webex. Questo articolo è generico per Webex, ma la tabella seguente identifica le diverse sezioni dell'articolo e la rilevanza di ciascuna sezione per Webex per Cisco BroadWorks.
Sezione Requisiti di Rete Art. |
Rilevanza delle informazioni |
|---|---|
Riepilogo dei tipi di dispositivi e dei protocolli supportati da Webex |
Informativo |
Protocolli di trasporto e crittografia per app e dispositivi Webex registrati su cloud |
Informativo |
Da leggere |
|
Da leggere |
|
Domini e URL a cui è necessario accedere per i servizi Webex |
Da leggere |
Opzionale |
|
Opzionale |
|
Opzionale |
|
Opzionale |
|
Opzionale |
|
Un riepilogo degli altri servizi ibridi Webex e della documentazione |
Opzionale |
Servizi Webex per clienti FedRAMP |
N/A |
Ulteriori informazioni
Per ulteriori informazioni, vedi il whitepaper del firewall dell'app Webex (PDF).
Supporto ridondanza BroadWorks
I servizi cloud Webex e le app client Webex che devono accedere alla rete del partner supportano completamente la ridondanza Broadworks XSP fornita dal partner. Quando un XSP o un sito non è disponibile per manutenzione pianificata o motivo non pianificato, i servizi e le app Webex possono passare a un altro XSP o sito fornito dal partner per completare una richiesta.
Topologia di rete
Gli XSP Broadworks possono essere distribuiti direttamente su Internet o risiedere in un DMZ frontale da un elemento di bilanciamento del carico come F5 BIG-IP. Per fornire ridondanza geografica, gli XSP possono essere distribuiti in due (o più) centri dati, ognuno può essere preceduto da un bilanciatore di carico, ognuno con un indirizzo IP pubblico. Se gli XSP sono dietro a un servizio di bilanciamento del carico, i microservizi e l'app Webex visualizzano solo l'indirizzo IP del servizio di bilanciamento del carico e Broadworks sembra avere solo un XSP, anche se sono presenti più XSP dietro.
Nell'esempio seguente, gli XSP vengono distribuiti in due siti, il sito A e il sito B. In ogni sito sono presenti due XSP frontali di un bilanciatore di carico. Il sito A ha XSP1 e XSP2 frontali di LB1 e il sito B ha XSP3 e XSP4 frontali di LB2. Solo i bilanciatori di carico sono esposti sulla rete pubblica e gli XSP sono nelle reti private DMZ.
Servizi cloud Webex
Configurazione DNS
I microservizi cloud Webex devono essere in grado di trovare i server XSP Broadworks per la connessione alle interfacce Xsi, al servizio di autenticazione e al CTI.
I microservizi cloud Webex eseguiranno la ricerca DNS A/AAAA del nome host XSP configurato e si connetteranno all'indirizzo IP restituito. Potrebbe essere un elemento bordo di bilanciamento del carico oppure il server XSP stesso. Se vengono restituiti più indirizzi IP, viene selezionato il primo IP nell'elenco. La ricerca SRV non è attualmente supportata.
Esempio: Il DNS A Record del partner per la scoperta del server XSP/Load Balancers bilanciato Round-Robin.
Tipo di record |
Nome |
Destinazione |
Scopo |
|---|---|---|---|
R |
|
|
Punti a LB1 (Sito A) |
R |
|
|
Punti a LB2 (Sito B) |
Failover
Quando i microservizi Webex inviano una richiesta al servizio di bilanciamento del carico/XSP e la richiesta non riesce, possono verificarsi diverse cose:
Se l'errore è dovuto a un errore di rete (es., TCP, SSL), i microservizi Webex contrassegnano l'IP come bloccato ed eseguono immediatamente un inoltro all'IP successivo.
Se viene restituito un codice di errore (HTTP 5xx), i microservizi Webex contrassegnano l'IP come bloccato ed eseguono immediatamente un inoltro all'IP successivo.
Se non viene ricevuta alcuna risposta HTTP entro 2 secondi, la richiesta viene timeout e i microservizi Webex contrassegnano l'IP come bloccato ed eseguono un avanzamento dell'indirizzamento all'IP successivo.
Ciascuna richiesta viene provata 3 volte prima di segnalare un errore al microservizio.
Quando un IP è nell'elenco bloccato, non verrà incluso nell'elenco di indirizzi da provare quando si invia una richiesta a un XSP. Dopo un periodo di tempo predeterminato, un IP bloccato scade e torna nell'elenco per provare quando viene effettuata un'altra richiesta.
Se tutti gli indirizzi IP sono bloccati, il microservizio tenterà comunque di inviare la richiesta selezionando casualmente un indirizzo IP dall'elenco bloccato. Se l'operazione va a buon fine, tale indirizzo IP viene rimosso dall'elenco bloccato.
Stato
Lo stato della connettività dei servizi Webex Cloud agli XSP o ai servizi di bilanciamento del carico è visibile in Control Hub. In un cluster BroadWorks Calling, viene visualizzato uno stato di connessione per ciascuna di queste interfacce:
Azioni XSI
Eventi XSI
Servizio di autenticazione
Lo stato della connessione viene aggiornato quando viene caricata la pagina o durante gli aggiornamenti di input. Gli stati delle connessioni possono essere:
Verde: Quando è possibile raggiungere l'interfaccia su uno degli IP nella ricerca di record A.
Rosso: Quando tutti gli IP nella ricerca di record sono irraggiungibili e l'interfaccia non è disponibile.
I seguenti servizi utilizzano i microservizi per connettersi agli XSP e sono influenzati dalla disponibilità dell'interfaccia XSP:
Accesso all'app Webex
Aggiornamento token app Webex
E-mail/autoattivazione non attendibile
Controllo stato servizio Broadworks
App Webex
Configurazione DNS
L'app Webex accede ai servizi Xtended Services Interface (XSI-Actions & XSI-Events) e Device Management Service (DMS) su XSP.
Per trovare il servizio XSI, l'app Webex esegue la ricerca DNS SRV per _xsi-client._tcp.<webex app xsi domain>. L'SRV punta all'URL configurato per gli host XSP o i bilanciatori di carico per il servizio XSI. Se la ricerca SRV non è disponibile, l'app Webex torna alla ricerca A/AAAA.
L'SRV può risolversi in più target A/AAAA. Tuttavia, ogni record A/AAAA deve mappare solo a un singolo indirizzo IP. Se sono presenti più XSP in un DMZ dietro il dispositivo di bilanciamento del carico/bordo, è necessario che il bilanciatore di carico sia configurato per mantenere la persistenza della sessione in modo da indirizzare tutte le richieste della stessa sessione allo stesso XSP. Questa configurazione viene avviata perché i heartbeat evento XSI del client devono passare allo stesso XSP utilizzato per stabilire il canale dell'evento.
|
Nell'Esempio 1, il record A/AAAA per webex-app-xsp.example.com non esiste e non deve esistere. Se il DNS richiede che un record A/AAAA deve essere definito, allora deve essere restituito solo 1 indirizzo IP. Indipendentemente da ciò, l'SRV deve essere ancora definito per l'app Webex. Se l'app Webex utilizza il nome A/AAAA che si risolve in più di un indirizzo IP o se l'elemento di bilanciamento del carico/bordo non mantiene la persistenza della sessione, il client alla fine invia heartbeat a un XSP in cui non ha stabilito un canale evento. Di conseguenza, il canale viene strappato e il traffico interno significativamente più intenso che compromette le prestazioni del cluster XSP. Poiché Webex Cloud e l'app Webex presentano requisiti diversi nella ricerca di record A/AAAA, è necessario utilizzare un nome di dominio completo separato per Webex Cloud e l'app Webex per accedere agli XSP. Come mostrato negli esempi, Webex Cloud utilizza Un record |
Esempio 1: più XSP, ciascuno dietro bilanciatori di carico separati
In questo esempio, SRV punta a disattivare l'audio dei record A con ogni record A che punta a un bilanciatore di carico diverso su un sito diverso. L'app Webex utilizzerà sempre il primo indirizzo IP nell'elenco e passerà al record successivo solo se il primo è inattivo.
Tipo di record |
Registra |
Destinazione |
Scopo |
|---|---|---|---|
SRV |
|
|
Rilevamento client dell'interfaccia Xsi |
SRV |
|
|
Rilevamento client dell'interfaccia Xsi |
R |
|
|
Indica LB1 (sito A) |
R |
|
|
Punti a LB2 (sito B) |
Esempio 2: più XSP dietro un singolo bilanciatore di carico (con bridge TLS)
Per la richiesta iniziale, il bilanciatore di carico seleziona un XSP casuale. Tale XSP restituisce un cookie incluso nell'app Webex nelle richieste future. Per richieste future, il bilanciatore di carico utilizza il cookie per indirizzare la connessione all'XSP corretto, assicurandosi che il canale dell'evento non si interrompa.
Tipo di record |
Registra |
Destinazione |
Scopo |
|---|---|---|---|
SRV |
|
|
Bilanciatore di carico |
R |
LB.esempio.com |
|
Indirizzo IP del bilanciatore di carico (gli XSP sono dietro al bilanciatore di carico) |
URL DMS
Durante il processo di accesso, l'app Webex recupera anche l'URL DMS per scaricare il file di configurazione. Viene eseguita l'analisi dell'organizzatore nell'URL e l'app Webex esegue la ricerca DNS A/AAAA dell'organizzatore per connettersi all'XSP in cui è ospitato il servizio DMS.
Esempio: DNS Un record per la scoperta di server XSP/Bilanciamento del carico Internet bilanciato round-robin da parte dell'app Webex per scaricare i file di configurazione tramite DMS:
Tipo di record |
Nome |
Destinazione |
Scopo |
|---|---|---|---|
R |
|
|
Indica LB1 (sito A) |
R |
|
|
Punti a LB2 (sito B) |
Come l'app Webex trova gli indirizzi XSP
Il client tenta di individuare i nodi XSP utilizzando il seguente flusso DNS:
Il client recupera inizialmente gli URL Xsi-Actions/Xsi-Events dal cloud Webex (sono stati inseriti quando si crea il cluster di chiamata BroadWorks associato). Il nome host/dominio Xsi viene analizzato dall'URL e il client esegue la ricerca SRV nel modo seguente:
Il cliente esegue una ricerca SRV per _xsi-cliente._tcp.<xsi domain="">
Se la ricerca SRV restituisce uno o più obiettivi A/AAAA:
Il cliente cerca gli obiettivi A/AAAA e memorizza nella cache gli indirizzi IP restituiti.
Il client si connette a uno dei target (e quindi al suo record A/AAAA con un singolo indirizzo IP) in base alla priorità SRV, quindi al peso (o a caso se sono tutti uguali).
Se la ricerca SRV non restituisce alcun obiettivo:
Il client esegue una ricerca A/AAAA del parametro principale Xsi e quindi tenta di connettersi all'indirizzo IP restituito. Potrebbe essere un elemento bordo di bilanciamento del carico oppure il server XSP stesso.
Come indicato, il record A/AAAA deve risolversi in un indirizzo IP per le stesse ragioni.
(Opzionale) Successivamente, è possibile fornire dettagli XSI-Actions/XSI-Events personalizzati nella configurazione del dispositivo per l'app Webex, utilizzando i seguenti tag:
<protocols> <xsi> <paths> <root>%XSI_ROOT_WXT%</root> <actions>%XSI_ACTIONS_PATH_WXT%</actions> <events>%XSI_EVENTS_PATH_WXT%</events> </paths> </xsi> </protocols>Questi parametri di configurazione hanno la precedenza su qualsiasi configurazione nel cluster BroadWorks in Control Hub.
Se esistono, il client confronterà l'indirizzo XSI originale ricevuto tramite la configurazione del cluster BroadWorks.
Se viene rilevata una differenza, il client re-inizializzerà la connettività XSI Actions/XSI Events. La prima fase consiste nell'eseguire lo stesso processo di ricerca DNS elencato nella fase 1, richiedendo questa volta una ricerca del valore nel %XSI_ROOT_WXT% parametro dal file di configurazione.
Assicurarsi di creare i record SRV corrispondenti se si utilizza questo tag per modificare le interfacce Xsi.
Failover
Durante l'accesso, l'app Webex esegue una ricerca DNS SRV per _xsi-client._tcp.<xsi domain="">, crea un elenco di organizzatori e si connette a uno degli organizzatori in base alla priorità SRV, quindi al peso. Questo organizzatore connesso diventa quello selezionato per tutte le richieste future. Viene quindi aperto un canale evento all'organizzatore selezionato e viene inviato regolarmente un heartbeat per verificare il canale. Tutte le richieste inviate dopo la prima includono un cookie che viene restituito nella risposta HTTP, pertanto è importante che il bilanciatore di carico mantenga la persistenza della sessione (affinità) e invii sempre le richieste allo stesso server XSP di backend.
Se una richiesta o una richiesta heartbeat a un organizzatore non riesce, possono verificarsi diverse cose:
Se l'errore è dovuto a un errore di rete (es., TCP, SSL), l'indirizzamento dell'app Webex viene eseguito immediatamente all'organizzatore successivo nell'elenco.
Se viene restituito un codice di errore (HTTP 5xx), l'app Webex contrassegna l'indirizzo IP come bloccato e l'indirizzamento passa all'organizzatore successivo nell'elenco.
Se una risposta non viene ricevuta entro un periodo di tempo, la richiesta viene considerata non riuscita a causa del timeout e le richieste successive vengono inviate al successivo organizzatore. Tuttavia, la richiesta scaduta viene considerata come non riuscita. Alcune richieste vengono riprovate dopo l'errore (con un tempo di riprova crescente). Le richieste che il presunto non vitale non sono riprovate.
Quando un nuovo organizzatore viene provato correttamente, diventa il nuovo organizzatore selezionato se l'organizzatore è presente nell'elenco. Una volta provato l'ultimo organizzatore nell'elenco, l'app Webex passa al primo.
In caso di heartbeat, se si verificano due errori di richiesta consecutivi, l'app Webex re-inizializzerà il canale eventi.
Tenere presente che l'app Webex non esegue il failback e che il rilevamento del servizio DNS viene eseguito solo una volta all'accesso.
Durante l'accesso, l'app Webex tenta di scaricare il file di configurazione attraverso l'interfaccia XSP/Dms. Esegue una ricerca di record A/AAAA dell'host nell'URL DMS recuperato e si connette al primo IP. Innanzitutto, tenterà di inviare la richiesta per scaricare il file di configurazione utilizzando un token SSO. Se ciò non riesce per qualsiasi motivo, verrà riprovato ma con il nome utente e la password del dispositivo.
