Cisco BroadWorks XSP|ADP 向けに Webex でサービスを構成する

NPS アプリケーションは別の XSP|ADP で実行する必要があります。その XSP|ADP の要件については、 ネットワークからの通話通知を構成するで説明されています。

以下のアプリケーションが必要です / XSP|ADP 上のサービス。

サービス/アプリケーション	認証が必要です	サービス/アプリケーションの目的
Xsi-Events	TLS (サーバーは自身をクライアントに対して認証します)	コール制御、サービス通知
Xsi-Actions	TLS (サーバーは自身をクライアントに対して認証します)	コール制御、アクション
デバイス管理	TLS (サーバーは自身をクライアントに対して認証します)	コール構成のダウンロード
認証サービス	TLS (サーバーは自身をクライアントに対して認証します)	ユーザー認証
コンピューターテレフォニーのインテグレーション	mTLS (クライアントとサーバーが互いに認証)	テレフォニーのプレゼンス
コール設定 Webview のアプリケーション	TLS (サーバーは自身をクライアントに対して認証します)	Webex アプリ内のセルフケアポータルでユーザーのコール設定を露出します

このセクションでは、これらのインターフェイスで TLS および mTLS に必要な構成を適用する方法について説明しますが、XSP|ADP にアプリケーションをインストールするには、既存のドキュメントを参照する必要があります。

共同レジデンシー要件

認証サービスは Xsi アプリケーションと共同レジデンシーをもつ必要があります。これらのインターフェイスは、サービスの承認のために長期間トークンを受け入れる必要があります。トークンを検証するには、認証サービスが必要です。
認証サービスと Xsi は必要に応じて同じポートで実行できます。
もう一方を分離してもよい services/applications 規模に応じて必要に応じて（専用のデバイス管理 XSP|ADP ファームなど）。
Xsi、CTI、認証サービスおよび DMS アプリケーションを共同で検索できます。
BroadWorks と Webex を統合するために使用される XSP|ADP に他のアプリケーションやサービスをインストールしないでください。
NPS アプリケーションを他のアプリケーションと共同で配置しないでください。

Xsi インターフェイス

Cisco BroadWorks Xtended Services Interface Configuration Guide の説明に従って、Xsi-Actions および Xsi-Events アプリケーションをインストールし、構成します。

CTI インターフェイスに使用される XSP|ADP には、Xsi-Events アプリケーションのインスタンスを 1 つだけ展開する必要があります。

BroadworksとWebexの統合に使用されるすべてのXsi-Eventsは、以下の定義で同じcallControlApplicationNameを持つ必要があります。 Applications/Xsi-Events/GeneralSettings. たとえば、次のようなものです。

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

ユーザーが Webex にオンボードされると、Webex はプレゼンスと通話履歴のテレフォニーイベントを受信するために、AS 上でユーザーのサブスクリプションを作成します。サブスクリプションは callControlApplicationName に関連付けられており、AS はこれを使用して、テレフォニーイベントをどの Xsi-Events に送信するかを認識します。

callControlApplicationName を変更したり、すべての Xsi-Events Web アプリで同じ名前を持たないと、サブスクリプションとテレフォニーイベントの機能に影響します。

認証サービス（CI トークン検証使用）を設定する

この手順を使用して、TLS で CI トークン検証を使用する認証サービスを設定します。この認証方法は、R22 以降を実行しており、システムがこの認証方法をサポートしている場合に推奨されます。

Mutual TLS (mTLS) も、認証サービスの代替認証方法としてサポートされています。同じ XSP|ADP サーバーで複数の Webex 組織を実行している場合は、CI トークン検証で同じ XSP|ADP 認証サービスへの複数の接続がサポートされないため、mTLS 認証を使用する必要があります。

CI トークン検証の代わりに mTLS 認証を認証サービスに構成するには、「サービスの設定 (認証サービスに mTLS を使用)」の付録を参照してください。

現在認証サービスに mTLS を使用している場合、TLS で CI トークン検証を使用するよう再設定する必要はありません。

Cisco BroadWorks 用 Webex の OAuth 資格情報を取得しています。
各 XSP|ADP サーバーに次のパッチをインストールします。リリースに適切なパッチをインストールします。
- R22 の場合:
  
  AP.platform.22.0.1123.ap376508
  
  AP.xsp.22.0.1123.ap376508
  
  AP.xsp.22.0.1123.ap368601
- R23 の場合:
  
  AP.xsp.23.0.1075.ap376509
  
  AP.platform.23.0.1075.ap376509
- R24 の場合—パッチは必要ありません
XSP への参照には、XSP または ADP のいずれかが含まれます。
各 XSP|ADP サービスに AuthenticationService アプリケーションをインストールします。
1. 次のコマンドを実行して、XSP|ADP上のAuthenticationServiceアプリケーションをアクティブ化します。 /authService コンテキストパス。
  XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService
2. このコマンドを実行して、XSP|ADP に AuthenticationService をデプロイします。
  XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...
Broadworks ビルド 2022.10 以降、Java に付属する証明機関は、新しいバージョンの Java に切り替えても BroadWorks 信頼ストアに自動的に含まれなくなりました。AuthenticationService は、アクセストークンを取得するために Webex への TLS 接続を開き、IDBroker と Webex URL を検証するために、トラストストアに次のものが必要です。
- IdenTrust Commercial Root CA 1
- Go Daddy Root Certificate Authority - G2
次のCLIでこれらの証明書が存在することを確認します。

ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

存在しない場合は、次のコマンドを実行してデフォルトの Java 信頼をインポートします。

ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

または、次のコマンドを使用して、これらの証明書を信頼アンカーとして手動で追加することもできます。

ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

ADP が以前のリリースからアップグレードされた場合、古いリリースの証明機関は新しいリリースに自動的にインポートされ、手動で削除されるまでインポートされ続けます。

AuthenticationServiceアプリケーションは、ADPのvalidatePeerIdentity設定の対象外です_CLI/System/SSLCommonSettings/GeneralSettings, 常にピアの ID を検証します。この設定の詳細については、 Cisco Broadworks X509 証明書検証 FD を参照してください。

各 XSP|ADP サーバーで次のコマンドを実行して、アイデンティティプロバイダーを構成します。

XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

set clientId client-Id-From-Step1
set enabled true
set clientSecret client-Secret-From-Step1
set ciResponseBodyMaxSizeInBytes 65536
set issuerName — URLには、CI クラスターに適用される IssuerName URL を入力します。次の表を参照してください。
set issuerUrl — URLには、CI クラスターに適用される IssuerUrl を入力します。次の表を参照してください。
set tokenInfoUrl —Teams クラスタに適用される IdP プロキシ URL を入力します。次の 2 番目の表を参照してください。

表1. 発行者名と発行者URLを設定する
CI クラスターが...	issuerName と issuerURL を次のように設定します...
US-A	`https://idbroker.webex.com/idb`
EU	`https://idbroker-eu.webex.com/idb`
US-B	`https://idbroker-b-us.webex.com/idb`
CI クラスターがわからない場合は、Control Hub のヘルプデスクビューの顧客詳細から情報を取得できます。

表 2. tokenInfoURL を設定する
Teams クラスターが...	tokenInfoURL を...(IdP プロキシ URL) に設定します
ACHM	`https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate`
AFRA	`https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate`
AORE	`https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate`
Teams クラスターがわからない場合は、Control Hub のヘルプデスクビューの顧客詳細から情報を取得できます。テストでは、URL の「`idp/authenticate`」の部分を「`ping`」に置き換えることで、tokenInfoURL が有効であることを確認できます。

次のコマンドを実行して、Webex のシステムでユーザープロファイル必要な Webex エンタイトルメントを指定します。

XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user
各 XSP|ADP サーバーで次のコマンドを使用して、Cisco Federation の ID プロバイダーを構成します。

XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get
- set flsUrl https://cifls.webex.com/federation
- set refreshPeriodInMinutes 60
- set refreshToken refresh-Token-From-Step1
次のコマンドを実行して、FLS 設定が動作している確認を行います。このコマンドは、ID プロバイダのリストを返します。

XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get
各 XSP|ADP サーバーで次のコマンドを使用してトークン管理を構成します。
- XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>
- set tokenIssuer BroadWorks
- set tokenDurationInHours 720
Generate and Share RSA Keys. 1 つの XSP|ADP でキーを生成し、それを他のすべての XSP|ADP にコピーする必要があります。これは次の要因による影響です。
- 認証サービスのすべてのインスタンスで、トークンの暗号化/暗号解除に同じ公開/秘密鍵のペアを使用する必要があります。
- 鍵ペアは、トークンを発行するために最初に必要な認証サービスにより生成されます。
キーを循環させたり、キーの長さを変更したりする場合は、次の構成を繰り返して、すべての XSP|ADP を再起動する必要があります。
1. キーペアの生成に使用する XSP|ADP を 1 つ選択します。
2. クライアントのブラウザから次の URL を要求することで、クライアントを使用してその XSP|ADP から暗号化されたトークンを要求します。
  
  https:///authService/token?key=BASE64URL(clientPublicKey)
  
  （これによりプライベート / XSP|ADP 上の公開鍵ペア（まだ存在しない場合）
3. 鍵ストアのロケーションは構成できません。次のとおり鍵をエクスポートします。
  
  XSP|ADP_CLI/Applications/authenticationService/KeyManagement>exportKeys
4. エクスポートしたファイル /var/broadworks/tmp/authService.keys を他の XSP|ADP の同じ場所にコピーし、必要に応じて古い .keys ファイルを上書きします。
5. 他の各 XSP|ADP にキーをインポートします。
  
  XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys
ウェブコンテナに authService URL を提供します。XSP|ADP の Web コンテナーでは、トークンを検証するために authService URL が必要です。各 XSP|ADP について:
1. 次のように、認証サービス URL を BroadWorks Communications ユーティリティの外部認証サービスとして追加します。
  
  XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService>set url http://127.0.0.1:80/authService
2. 次のように、コンテナに認証サービス URL を追加します。
  
  XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService
  
  これにより、Webex で認証サービスを使用して、資格情報として提示されたトークンを検証できます。
3. getでパラメータを確認してください。
4. XSP|ADPを再起動します。

認証サービスのクライアント認証要件を削除する (R24 のみ)

R24 で CI トークン検証で構成された認証サービスがある場合、認証サービスのクライアント認証要件も削除する必要があります。以下の CLI コマンドを実行します。

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

HTTP インターフェイスでの TLS および暗号の設定 (XSI および認証サービス)

認証サービス、Xsi-Actions、および Xsi-Events アプリケーションは、HTTP サーバーインターフェイスを使用します。これらのアプリケーションの TLS 設定可能性のレベルは以下の通りです。

最も一般的 = System > Transport > HTTP > HTTP サーバーインターフェイス = 最も具体的

異なる SSL 設定を表示または変更するために使用する CLI コンテキストは、次のとおりです。

具体性	CLI コンテキスト
システム (グローバル)	`XSP\|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>` `XSP\|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>`
このシステムの転送プロトコル	`XSP\|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>` `XSP\|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>`
このシステム上の HTTP	`XSP\|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>` `XSP\|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>`
このシステム上の特定の HTTP サーバーインターフェイス	`XSP\|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>` `XSP\|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>`

XSP 上の HTTP サーバー TLS インターフェース構成の読み取り|ADP

XSP|ADPにサインインし、 XSP|ADP_CLI/Interface/Http/HttpServer>に移動します
get コマンドを入力して結果を読み取ります。インターフェイス (IP アドレス) と、それぞれのインターフェイスがセキュアかどうか、およびクライアント認証が必要かどうか確認する必要があります。

Apache tomcat は各セキュアインターフェイスに証明書を要求しています。必要な場合、システムは自己署名証明書を生成してください。

XSP|ADP_CLI/Interface/Http/HttpServer> get

get コマンドを入力後に表示される結果には、インターフェース (IP アドレス) と、それぞれのインターフェースが安全かどうか、およびクライアント認証が必要かどうかが表示されます。

TLS 1.2 プロトコルを HTTP サーバーインターフェイスに追加する

Webex Cloud と対話する HTTP インターフェイスは、TLSv1.2 に対して構成する必要があります。クラウドは以前のバージョンの TLS プロトコルをネゴシエートしません。

HTTP Server インターフェイスで TLSv1.2 プロトコルを構成するには:

XSP|ADPにサインインし、 XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>に移動します
このインターフェースですでに使用されているプロトコルを確認するには、コマンド get 443 を入力します。
コマンド add 443 TLSv1.2 を入力して、クラウドとの通信時にインターフェイスが TLS 1.2 を使用できることを確認します。

TLS 暗号化構成の HTTP サーバーインターフェイスでの編集

必要な暗号を設定するには:

XSP|ADPにサインインし、 XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>に移動します
このインターフェースですでに使用されている暗号を確認するには、コマンド get 443 を入力します。Cisco が推奨するスイートが少なくとも 1 つ必要です (概要セクションの XSP|ADP の ID およびセキュリティ要件 を参照)。
HTTP サーバーインターフェイスに暗号を追加するには、コマンド add 443 を入力します。

XSP|ADP CLI には、openSSL 暗号スイート名ではなく、IANA 標準暗号スイート名が必要です。たとえば、openSSL 暗号 ECDHE-ECDSA-CHACHA20-POLY1305 をHTTP サーバーインターフェイスに追加するには、次のようにします。 XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

どちらかの名前でスイートを検索する場合は、https://ciphersuite.info/ を参照してください。

XSP|ADP、アプリケーションサーバー、プロファイルサーバーでデバイス管理を構成する

プロファイルサーバーと XSP|ADP はデバイス管理に必須です。『BroadWorks デバイス管理設定ガイド』の手順に沿って構成する必要があります。

コメントありがとうございます。

Cisco BroadWorks XSP|ADP 向けに Webex でサービスを構成する