Requisiti di co-residenza

• Il servizio di autenticazione deve risiedere insieme ad applicazioni Xsi, poiché tali interfacce devono accettare token lunghi per l'autorizzazione del servizio. Il servizio di autenticazione è necessario per convalidare tali token.

• Il servizio di autenticazione e Xsi possono essere eseguiti sulla stessa porta, se richiesta.

• Puoi separare l'altro services/applications come richiesto dalla tua scala (ad esempio, farm XSP|ADP dedicata alla gestione dei dispositivi).

• È possibile co-individuare le applicazioni Xsi, CTI, Authentication Service e DMS.

• Non installare altre applicazioni o servizi sugli ADP XSP|utilizzati per l'integrazione di BroadWorks con Webex.

• Non co-individuare l'applicazione NPS con altre applicazioni.

Interfacce Xsi

Installare e configurare le applicazioni Xsi-Actions e Xsi-Events come descritto nella Guida alla configurazione dell'interfaccia dei servizi connettori Cisco BroadWorks.

Deve essere distribuita solo un'istanza delle applicazioni Xsi-Events sull'ADP XSP|utilizzato per l'interfaccia CTI.

Tutti gli Xsi-Events utilizzati per l'integrazione di Broadworks con Webex devono avere lo stesso callControlApplicationName definito in Applications/Xsi-Events/GeneralSettings. Ad esempio:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Quando un utente viene registrato su Webex, Webex crea un abbonamento per l'utente sull'AS per ricevere eventi di telefonia per la presenza e la cronologia delle chiamate. L'abbonamento è associato a callControlApplicationName e l'AS lo utilizza per sapere a quali Xsi-Events inviare gli eventi di telefonia.

Configurazione del servizio di autenticazione (con convalida token CI)

Utilizzare questa procedura per configurare il servizio di autenticazione per utilizzare la convalida di token CI con TLS. Questo metodo di autenticazione è consigliato se si utilizza R22 o superiore e il sistema supporta tale opzione.

1. Ottenimento delle credenziali OAuth per Webex per Cisco BroadWorks.

2. Installare le seguenti patch su ciascun server XSP|ADP. Installare le patch appropriate alla release in oggetto:

   • Per R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Per R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Per R24— nessuna patch richiesta

   Ogni riferimento a XSP include sia XSP che ADP.

3. Installare l'applicazione AuthenticationService su ciascun servizio ADP XSP|.

   1. Eseguire il seguente comando per attivare l'applicazione AuthenticationService sull'XSP|ADP per /authService percorso contestuale.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Eseguire questo comando per distribuire AuthenticationService sull'ADP XSP|:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. A partire dalla build 2022.10 di Broadworks, le autorità di certificazione fornite con Java non vengono più incluse automaticamente nell'archivio attendibile di BroadWorks quando si passa a una nuova versione di Java. AuthenticationService apre una connessione TLS a Webex per recuperare il token di accesso e deve avere quanto segue nel suo truststore per convalidare IDBroker e l'URL di Webex:

   • Radice commerciale IdenTrust CA 1

   • Autorità di certificazione radice di Go Daddy-G2

   Verificare che questi certificati siano presenti nella seguente CLI

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Se non sono presenti, eseguire il seguente comando per importare i trust Java predefiniti:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   In alternativa, è possibile aggiungere manualmente questi certificati come trust anchor con il seguente comando:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Se l'ADP viene aggiornato da una versione precedente, le autorità di certificazione della vecchia versione vengono importate automaticamente nella nuova versione e continueranno a essere importate finché non verranno rimosse manualmente.

   L'applicazione AuthenticationService è esente dall'impostazione validatePeerIdentity in ADP_CLI/System/SSLCommonSettings/GeneralSettings, e convalida sempre l'identità peer. Per maggiori informazioni su questa impostazione, vedere Cisco Broadworks X509 Certificate Validation FD.

5. Configurare i provider di identità eseguendo i seguenti comandi su ciascun server XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName —Per URL, immettere l'URL IssuerName applicabile al cluster CI. Vedere la tabella seguente.

   • set issuerUrl —Per URL, immettere l'IssuerUrl applicabile al cluster CI. Vedere la tabella seguente.

   • set tokenInfoUrl —Immettere l'URL del proxy IdP che si applica al cluster Teams. Vedere la seconda tabella che segue.

   Tabella 1. Imposta issuerName e issuerURL

   Se Cluster CI è...	Imposta issuerName e issuerURL su...
   USA-A	https://idbroker.webex.com/idb
   UE	https://idbroker-eu.webex.com/idb
   USA-B	https://idbroker-b-us.webex.com/idb
   Se non conosci il tuo CI Cluster, puoi ottenere le informazioni dai dettagli del cliente nella vista Help Desk di Control Hub.

   Tabella 2. Imposta tokenInfoURL

   Se Cluster Teams è...	Imposta tokenInfoURL su...(URL proxy IdP)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Afra	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Se non conosci il tuo Cluster Teams, puoi ottenere le informazioni dai dettagli del cliente nella vista Help Desk di Control Hub. Per effettuare un test, puoi verificare che tokenInfoURL sia valido sostituendo la parte "idp/authenticate" dell'URL con "ping".

6. Specificare l'autorizzazione Webex che deve essere presente nel profilo utente in Webex eseguendo il seguente comando:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Configurare i provider di identità per Cisco Federation utilizzando i seguenti comandi su ciascun server XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Eseguire il comando seguente per verificare che la configurazione FLS funzioni. Questo comando restituirà l'elenco dei provider di identità:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Configurare la gestione dei token utilizzando i seguenti comandi su ciascun server XSP|ADP:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. Generare e condividere le chiavi RSA. È necessario generare le chiavi su un ADP XSP|e poi copiarle su tutti gli altri ADP XSP|. Ciò è dovuto ai seguenti fattori:

    • È necessario utilizzare le stesse coppie di chiavi pubbliche/private per la crittografia/decrittografia di token in tutte le istanze del servizio di autenticazione.

    • La coppia di chiavi viene generata dal servizio di autenticazione quando viene richiesto per la prima volta di emettere un token.

    Se si ciclano le chiavi o si modifica la lunghezza della chiave, è necessario ripetere la seguente configurazione e riavviare tutti gli ADP XSP|.

    1. Selezionare un ADP XSP|da utilizzare per generare una coppia di chiavi.

    2. Utilizzare un client per richiedere un token crittografato da tale XSP|ADP, richiedendo il seguente URL dal browser del client:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Questo genera un privato / coppia di chiavi pubbliche sull'XSP|ADP, se non ce n'era già una)

    3. La posizione dell'archivio chiavi non è configurabile. Esportare le chiavi:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Copiare il file esportato /var/broadworks/tmp/authService.keys nella stessa posizione sugli altri ADP XSP|, sovrascrivendo un file .keys più vecchio se necessario.

    5. Importare le chiavi su ciascuno degli altri ADP XSP|:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Fornire l'URL authService al contenitore Web. Il contenitore web dell'ADP XSP|necessita dell'URL authService per poter convalidare i token. Su ciascuno degli ADP XSP|:

    1. Aggiungere l'URL del servizio di autenticazione come servizio di autenticazione esterno per lo strumento di comunicazione BroadWorks:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Aggiungere l'URL del servizio di autenticazione al container:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Ciò consente a Webex di utilizzare il servizio di autenticazione per convalidare i token presentati come credenziali.

    3. Controllare il parametro con get.

    4. Riavviare l'XSP|ADP.

Rimozione del requisito di autenticazione del client per il servizio di autenticazione (solo R24)

Se si dispone del servizio di autenticazione configurato con convalida token CI su R24, occorre anche rimuovere il requisito di autenticazione del client per il servizio di autenticazione. Eseguire il seguente comando CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Configurazione di TLS e della crittografia sulle interfacce HTTP (per XSI e servizio di autenticazione)

Le applicazioni Servizio di autenticazione, Xsi-Actions e Xsi-Events utilizzano interfacce server HTTP. I livelli di configurazione TLS per queste applicazioni sono i seguenti:

Più generale = Sistema > trasporto > http > interfaccia Server HTTP = Più specifico

I contesti CLI utilizzati per visualizzare o modificare diverse impostazioni SSL sono:

Lettura della configurazione dell'interfaccia TLS del server HTTP su XSP|ADP

1. Accedi all'XSP|ADP e vai a XSP|ADP_CLI/Interface/Http/HttpServer>

2. Immettere il comando get e leggere i risultati. Dovrebbero essere presenti le interfacce (indirizzi IP) e, per ciascuna, se sono sicure e se richiedono l'autenticazione del client.

Tomcat obbligatorio un certificato per ciascuna interfaccia protetta; il sistema genera un certificato autofirmato, se necessario.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Aggiunta del protocollo TLS 1.2 all'interfaccia del server HTTP

È necessario configurare l'interfaccia HTTP che interagisce con Webex Cloud per TLSv1.2. Il cloud non negozia le versioni precedenti del protocollo TLS.

Per configurare il protocollo TLSv1.2 sull'interfaccia del server HTTP:

1. Accedi all'XSP|ADP e vai a XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Immettere il comando get 443 per vedere quali protocolli sono già utilizzati su questa interfaccia.

3. Immettere il comando add 443 TLSv1.2 per garantire che l'interfaccia possa utilizzare TLS 1.2 durante la comunicazione con il cloud.

Modifica della configurazione dei tipi di crittografia TLS sull'interfaccia del server HTTP

Per configurare i crittografia richiesti:

1. Accedi all'XSP|ADP e vai a XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Immettere il comando get 443 per vedere quali cifrari sono già utilizzati su questa interfaccia. Deve essere presente almeno una delle suite consigliate da Cisco (vedere XSP|Requisiti di identità e sicurezza ADP nella sezione Panoramica).

3. Immettere il comando add 443 per aggiungere un cifrario all'interfaccia del server HTTP.

   L'interfaccia a riga di comando XSP|ADP richiede il nome della suite di cifratura standard IANA, non il nome della suite di cifratura openSSL. Ad esempio, per aggiungere il cifrario openSSL ECDHE-ECDSA-CHACHA20-POLY1305 all'interfaccia del server HTTP, dovresti usare: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Vedere https://ciphersuite.info/ per individuare la suite in base a uno dei due nomi.

Configurare la gestione dei dispositivi su XSP|ADP, Application Server e Profile Server

Profile Server e XSP|ADP sono obbligatori per la gestione dei dispositivi. Tali impostazioni devono essere configurate in base alle istruzioni nella Guida alla configurazione di Gestione dispositivi BroadWorks.