Requisiti di co-residenza

• Il servizio di autenticazione deve risiedere insieme ad applicazioni Xsi, poiché tali interfacce devono accettare token lunghi per l'autorizzazione del servizio. Il servizio di autenticazione è necessario per convalidare tali token.

• Il servizio di autenticazione e Xsi possono essere eseguiti sulla stessa porta, se richiesta.

• È possibile separare gli altri servizi/applicazioni in base alle esigenze della propria scala (ad esempio, farm XSP|ADP di gestione dei dispositivi dedicati).

• È possibile co-individuare le applicazioni Xsi, CTI, Authentication Service e DMS.

• Non installare altre applicazioni o servizi sugli ADP XSP| utilizzati per l'integrazione di BroadWorks con Webex.

• Non co-individuare l'applicazione NPS con altre applicazioni.

Interfacce Xsi

Installare e configurare le applicazioni Xsi-Actions e Xsi-Events come descritto nella Guida alla configurazione dell'interfaccia dei servizi connettori Cisco BroadWorks.

È necessario distribuire solo un'istanza delle applicazioni Xsi-Events sull'ADP XSP| utilizzato per l'interfaccia CTI.

Tutti gli eventi Xsi utilizzati per l'integrazione di BroadWorks con Webex devono avere lo stesso callControlApplicationName definito in Applications/Xsi-Events/GeneralSettings. Ad esempio:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> ottenere

callControlApplicationName = com.broadsoft.xsi-events

Quando un utente è inserito in Webex, Webex crea un abbonamento per l'utente sul AS per ricevere gli eventi di telefonia per la cronologia della presenza e delle chiamate. L'abbonamento è associato a callControlApplicationName e il AS lo utilizza per sapere a quali Xsi-Events inviare gli eventi di telefonia.

Configurazione del servizio di autenticazione (con convalida token CI)

Utilizzare questa procedura per configurare il servizio di autenticazione per utilizzare la convalida di token CI con TLS. Questo metodo di autenticazione è consigliato se si utilizza R22 o superiore e il sistema supporta tale opzione.

1. Recupero delle credenziali OAuth per Webex per Cisco BroadWorks.

2. Installare le seguenti patch su ciascun server ADP XSP|. Installare le patch appropriate alla release in oggetto:

   • Per R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Per R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Per R24— nessuna patch richiesta

   Qualsiasi riferimento a XSP include XSP o ADP.

3. Installare l'applicazione AuthenticationService su ciascun servizio ADP XSP|.

   1. Esegui il seguente comando per attivare l'applicazione AuthenticationService sull'ADP XSP|nel percorso context /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> attiva applicazione AuthenticationService 22.0_1.1123/authService

   2. Eseguire questo comando per distribuire AuthenticationService sull'ADP XSP|:

      XSP|ADP_CLI/Maintenance/ManagedObjects> distribuzione applicazione /authServiceBroadWorks SW Manager distribuzione /authService...

4. A partire da BroadWorks build 2022.10, le autorità di certificazione che arrivano con Java non vengono più incluse automaticamente nell'archivio attendibilità di BroadWorks quando si passa a una nuova versione di Java. Il servizio di autenticazione apre una connessione TLS a Webex per recuperare il token di accesso e deve disporre di quanto segue nel relativo truststore per convalidare l'URL IDBroker e Webex:

   • Radice commerciale IdenTrust CA 1

   • Autorità di certificazione radice di Go Daddy-G2

   Verificare che questi certificati siano presenti nella seguente CLI

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> ottenere

   Se non è presente, eseguire il seguente comando per importare le entità affidabili Java predefinite:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   In alternativa, è possibile aggiungere manualmente questi certificati come trust anchor con il seguente comando:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Se l'ADP viene aggiornato da una release precedente, le autorità di certificazione della release precedente vengono importate automaticamente nella nuova release e continueranno a essere importate fino a quando non vengono rimosse manualmente.

   L'applicazione AuthenticationService è esente dall'impostazione validatePeerIdentity in ADP_CLI/System/SSLCommonSettings/GeneralSettings e convalida sempre l'identità peer. Per ulteriori informazioni su questa impostazione, vedere FD di convalida del certificato Cisco BroadWorks X509 .

5. Configura i provider di identità eseguendo i seguenti comandi su ciascun server ADP XSP|:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> Ottieni

   • imposta clientId client-Id-From-Step1

   • set enabled true (impostazione abilitata) vero

   • imposta clientSecret client-Secret-From-Step1

   • impostazione di ciResponseBodyMaxSizeInBytes 65536

   • set issuerName : per l'URL, inserire l'URL IssuerName applicabile al cluster CI. Vedere la tabella seguente.

   • set issuerUrl : per l'URL, inserire l'URL emittente applicabile al cluster CI. Vedere la tabella seguente.

   • set tokenInfoUrl : inserire l'URL del proxy IdP applicabile al cluster dei team. Vedere la seconda tabella riportata di seguito.

   Tabella 1. Impostare issuerName e issuerURL

   Se Cluster CI è...	Impostare issuerName e issuerURL su...
   USA-A	https://idbroker.webex.com/idb
   UE	https://idbroker-eu.webex.com/idb
   USA-B	https://idbroker-b-us.webex.com/idb
   Se non conosci il tuo Cluster CI, puoi ottenere le informazioni dai dettagli cliente nella vista Help desk di Control Hub.

   Tabella 2. Imposta URL info token

   Se Cluster Teams è...	Imposta URL info token su...(URL proxy IdP)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Afra	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Se non conosci il tuo cluster Teams, puoi ottenere le informazioni dai dettagli del cliente nella vista Help desk di Control Hub. Per il test, è possibile verificare la validità dell'URL tokenInfo sostituendo la parte "idp/authenticate" dell'URL con "ping".

6. Specificare l'autorizzazione Webex che deve essere presente nel profilo utente in Webex eseguendo il seguente comando:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> imposta ambito broadworks-connector:utente

7. Configura i provider di identità per Cisco Federation utilizzando i seguenti comandi su ciascun server ADP XSP|:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> Ottieni

   • impostazione flsUrl https://cifls.webex.com/federation

   • impostare refreshPeriodInMinutes 60

   • imposta refreshToken refresh-Token-From-Step1

8. Eseguire il comando seguente per verificare che la configurazione FLS funzioni. Questo comando restituirà l'elenco dei provider di identità:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Ottieni

9. Configura la gestione token utilizzando i seguenti comandi su ciascun server ADP XSP|:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIsshe BroadWorks

   • impostare tokenDurationInHours 720

10. Generare e condividere le chiavi RSA. È necessario generare le chiavi su un ADP XSP|e copiarle in tutti gli altri ADP XSP|. Ciò è dovuto ai seguenti fattori:

    • È necessario utilizzare le stesse coppie di chiavi pubbliche/private per la crittografia/decrittografia di token in tutte le istanze del servizio di autenticazione.

    • La coppia di chiavi viene generata dal servizio di autenticazione quando viene richiesto per la prima volta di emettere un token.

    Se si alterano i tasti o si modifica la lunghezza della chiave, è necessario ripetere la configurazione seguente e riavviare tutte le ADP XSP|.

    1. Selezionare un ADP XSP| da utilizzare per la generazione di una coppia di chiavi.

    2. Utilizzare un client per richiedere un token crittografato all'ADP XSP|, richiedendo il seguente URL dal browser del client:

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

       (viene generata una coppia di chiavi privata/pubblica su ADP XSP|, se non ne era già presente una)

    3. La posizione dell'archivio chiavi non è configurabile. Esportare le chiavi:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Copiare il file esportato /var/broadworks/tmp/authService.keys nella stessa posizione sugli altri ADP XSP|, sovrascrivendo un file .keys precedente, se necessario.

    5. Importa le chiavi su ciascuno degli altri ADP XSP|:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Fornire l'URL authService al contenitore Web. Il container Web di ADP XSP| richiede l'URL authService in modo da poter convalidare i token. Su ciascuno degli ADP XSP|:

    1. Aggiungere l'URL del servizio di autenticazione come servizio di autenticazione esterno per lo strumento di comunicazione BroadWorks:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> imposta URL http://127.0.0.1:80/authService

    2. Aggiungere l'URL del servizio di autenticazione al container:

       XSP|ADP_CLI/Maintenance/ContainerOptions> aggiungi tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Ciò consente a Webex di utilizzare il servizio di autenticazione per convalidare i token presentati come credenziali.

    3. Controllare il parametro con get.

    4. Riavviare ADP XSP|.

Rimozione del requisito di autenticazione del client per il servizio di autenticazione (solo R24)

Se si dispone del servizio di autenticazione configurato con convalida token CI su R24, occorre anche rimuovere il requisito di autenticazione del client per il servizio di autenticazione. Eseguire il seguente comando CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> imposta AuthenticationService clientAuthReq false

Configurazione di TLS e della crittografia sulle interfacce HTTP (per XSI e servizio di autenticazione)

Le applicazioni Servizio di autenticazione, Xsi-Actions e Xsi-Events utilizzano interfacce server HTTP. I livelli di configurazione TLS per queste applicazioni sono i seguenti:

Più generale = Sistema > trasporto > http > interfaccia Server HTTP = Più specifico

I contesti CLI utilizzati per visualizzare o modificare diverse impostazioni SSL sono:

Lettura della configurazione dell'interfaccia TLS del server HTTP su XSP|ADP

1. Accedere a XSP|ADP e passare a XSP|ADP_CLI/Interface/Http/HttpServer>

2. Inserire il comando get e leggere i risultati. Dovrebbero essere presenti le interfacce (indirizzi IP) e, per ciascuna, se sono sicure e se richiedono l'autenticazione del client.

Tomcat obbligatorio un certificato per ciascuna interfaccia protetta; il sistema genera un certificato autofirmato, se necessario.

XSP|ADP_CLI/Interface/Http/HttpServer> ottenere

Aggiunta del protocollo TLS 1.2 all'interfaccia del server HTTP

È necessario configurare l'interfaccia HTTP che interagisce con Webex Cloud per TLSv1.2. Il cloud non negozia le versioni precedenti del protocollo TLS.

Per configurare il protocollo TLSv1.2 sull'interfaccia del server HTTP:

1. Accedere a XSP|ADP e passare a XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Inserire il comando get 443 per visualizzare i protocolli già utilizzati su questa interfaccia.

3. Inserisci il comando aggiungi 443 TLSv1.2 per assicurarti che l'interfaccia possa utilizzare TLS 1.2 durante la comunicazione con il cloud.

Modifica della configurazione dei tipi di crittografia TLS sull'interfaccia del server HTTP

Per configurare i crittografia richiesti:

1. Accedere a XSP|ADP e passare a XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Inserire il comando get 443 per visualizzare le crittografie già utilizzate su questa interfaccia. Deve essere presente almeno una delle suite consigliate da Cisco (vedere XSP|ADP Identity and Security Requirements (Requisiti di sicurezza e identità XSP) nella sezione Overview).

3. Inserire il comando add 443 per aggiungere una crittografia all'interfaccia del server HTTP.

   IL CLI XSP|ADP richiede il nome della suite di crittografia standard IANA, non il nome della suite di crittografia openSSL. Ad esempio, per aggiungere la crittografia openSSL ECDHE-ECDSA-CHACHA20-POLY1305 all'interfaccia del server HTTP, utilizzare: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>aggiungi 192.0.2.7 443 TLS_ECDHE_ECDSA_CON_CHACHA20_POLY1305

   Vedere https://ciphersuite.info/ per individuare la suite in base a uno dei due nomi.

Configura gestione dispositivi su XSP|ADP, server applicazioni e server di profilo

Il server di profilo e l'ADP XSP| sono obbligatori per la gestione dei dispositivi. Tali impostazioni devono essere configurate in base alle istruzioni nella Guida alla configurazione di Gestione dispositivi BroadWorks.