Cisco BroadWorks 版 Webex XSP|ADP でサービスを構成する

NPS アプリケーションは別の XSP|ADP 上で実行する必要があります。その XSP|ADP の要件は、「ネットワークから通話通知を設定する」に記載されています。

XSP|ADP で次のアプリケーション/サービスが必要です。

サービス/アプリケーション

認証が必要です

サービス/アプリケーションの目的

Xsi-Events

TLS (サーバーは自身をクライアントに対して認証します)

コール制御、サービス通知

Xsi-Actions

TLS (サーバーは自身をクライアントに対して認証します)

コール制御、アクション

デバイス管理

TLS (サーバーは自身をクライアントに対して認証します)

コール構成のダウンロード

認証サービス

TLS (サーバーは自身をクライアントに対して認証します)

ユーザー認証

コンピューター テレフォニーのインテグレーション

mTLS (クライアントとサーバーが互いに認証)

テレフォニーのプレゼンス

コール設定 Webview のアプリケーション

TLS (サーバーは自身をクライアントに対して認証します)

Webex アプリ内のセルフケア ポータルでユーザーのコール設定を露出します

このセクションでは、これらのインターフェイスで TLS および mTLS に必要な設定を適用する方法について説明します。しかし、XSP|ADP にアプリケーションをインストールするために、既存のドキュメントを参照する必要があります。

共同レジデンシー要件

  • 認証サービスは Xsi アプリケーションと共同レジデンシーをもつ必要があります。これらのインターフェイスは、サービスの承認のために長期間トークンを受け入れる必要があります。トークンを検証するには、認証サービスが必要です。

  • 認証サービスと Xsi は必要に応じて同じポートで実行できます。

  • スケールに必要な他のサービス/アプリケーションを分離することができます (たとえば、専用デバイス管理 XSP|ADP ファーム)。

  • Xsi、CTI、認証サービスおよび DMS アプリケーションを共同で検索できます。

  • BroadWorks と Webex の統合に使用される XSP|ADP に他のアプリケーションまたはサービスをインストールしないでください。

  • NPS アプリケーションを他のアプリケーションと共同で配置しないでください。

Xsi インターフェイス

Cisco BroadWorks Xtended Services Interface Configuration Guide の説明に従って、Xsi-Actions および Xsi-Events アプリケーションをインストールし、構成します。

Xsi-Events アプリケーションの 1 つのインスタンスのみを CTI インターフェイスに使用する XSP|ADP に展開する必要があります。

BroadWorks と Webex のインテグレーションに使用されるすべての Xsi-Events には、Applications/Xsi-Events/GeneralSettings で定義された同じ callControlApplicationName が必要です。例:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> 獲得

callControlApplicationName = com.broadsoft.xsi-events

ユーザーが Webex にオンボードされると、Webex は AS 上のユーザーのサブスクリプションを作成し、プレゼンスと通話履歴のテレフォニー イベントを受信します。サブスクリプションは callControlApplicationName と関連付けられ、AS はそれを使用して、どの Xsi-Events がテレフォニー イベントを送信するかを知ります。

callControlApplicationName を変更するか、すべての Xsi-Events ウェブアプリで同じ名前を持っていない場合、サブスクリプションとテレフォニー イベントの機能に影響します。

認証サービス(CI トークン検証使用)を設定する

この手順を使用して、TLS で CI トークン検証を使用する認証サービスを設定します。この認証方法は、R22 以降を実行しており、システムがこの認証方法をサポートしている場合に推奨されます。

Mutual TLS (mTLS) も、認証サービスの代替認証方法としてサポートされています。同じ XSP|ADP サーバーから複数の Webex 組織がある場合、CI トークン検証は同じ XSP|ADP 認証サービスへの複数の接続をサポートしていないため、MTLS 認証を使用する必要があります。

CI トークン検証の代わりに mTLS 認証を認証サービスに構成するには、「サービスの設定 (認証サービスに mTLS を使用)」の付録を参照してください。

現在認証サービスに mTLS を使用している場合、TLS で CI トークン検証を使用するよう再設定する必要はありません。

  1. Cisco BroadWorks 版 Webex の OAuth 資格情報を取得する

  2. 各 XSP|ADP サーバーに次のパッチをインストールします。リリースに適切なパッチをインストールします。

    XSP への参照には、XSP または ADP が含まれます。

  3. 各 XSP|ADP サービスに AuthenticationService アプリケーションをインストールします。

    1. 次のコマンドを実行して、XSP|ADP の AuthenticationService アプリケーションを /authService コンテキスト パスにアクティブ化します。

      XSP|ADP_CLI/Maintenance/ManagedObjects> はアプリケーション AuthenticationService 22.0_1.1123/authService をアクティブ化します

    2. このコマンドを実行して、XSP|ADP に AuthenticationService を展開します。

      XSP|ADP_CLI/Maintenance/ManagedObjects> は /authServiceBroadWorks SW Manager を展開するアプリケーション /authServiceBroadWorks SW Manager を展開します...

  4. BroadWorks ビルド 2022.10 以降、新しいバージョンの Java に切り替えると、Java に付随する証明書認証局は自動的に BroadWorks 信頼ストアに含まれなくなります。AuthenticationService は Webex への TLS 接続を開き、アクセス トークンを取得します。IDBroker と Webex URL を検証するために、トラストストアに以下を保持する必要があります。

    • IdenTrust Commercial Root CA 1

    • Go Daddy Root Certificate Authority - G2

    これらの証明書が次の CLI に存在することを確認します

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> 獲得

    存在しない場合は、次のコマンドを実行して、デフォルトの Java 信頼をインポートします。

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    または、次のコマンドを使用して、これらの証明書を信頼アンカーとして手動で追加できます。

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    ADP が以前のリリースからアップグレードされた場合、古いリリースからの認証局は自動的に新しいリリースにインポートされ、手動で削除されるまでインポートされます。

    AuthenticationService アプリケーションは ADP_CLI/System/SSLCommonSettings/GeneralSettings の下の validatePeerIdentity 設定から除外され、常にピア ID を検証します。この設定の詳細については、「Cisco BroadWorks X509 証明書検証 FD 」を参照してください。

  5. 各 XSP|ADP サーバーで次のコマンドを実行して、ID プロバイダーを設定します。

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName URL で、CI クラスタに適用される IssuERName URL を入力します。次の表を参照してください。

    • set issuerUrl URL で、CI クラスタに適用される IssuerUrl を入力します。次の表を参照してください。

    • set tokenInfoUrl —Teams クラスタに適用される IdP プロキシ URL を入力します。次の 2 番目の表を参照してください。

    表 1YAZ設定オプション issuerName と issuerURL を設定
    CI クラスターが...issuerName と issuerURL を...

    US-A

    https://idbroker.webex.com/idb

    EU

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    CI クラスタがわからない場合は、Control Hub のヘルプ デスク ビューの顧客の詳細から情報を取得できます。

    表 2. tokenInfoURL を設定
    Teams クラスターが...tokenInfoURL を...(IdP プロキシ URL) に設定

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Teams クラスタがわからない場合は、Control Hub のヘルプ デスク ビューの顧客の詳細から情報を取得できます。

    • テストでは、URL の「idp/authenticate」部分を「ping」に置き換えると、tokenInfoURL が有効であることを確認できます。

  6. 次のコマンドを実行して、Webex のシステムでユーザー プロファイル必要な Webex エンタイトルメントを指定します。

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  7. 各 XSP|ADP サーバーで次のコマンドを使用して、シスコ フェデレーションの ID プロバイダーを設定します。

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken refresh-Token-From-Step1

  8. 次のコマンドを実行して、FLS 設定が動作している確認を行います。このコマンドは、ID プロバイダのリストを返します。

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> 取得

  9. 各 XSP|ADP サーバーで次のコマンドを使用して、トークン管理を構成します。

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. Generate and Share RSA Keys. 1 つの XSP|ADP でキーを生成し、それらを他のすべての XSP|ADP にコピーする必要があります。これは次の要因による影響です。

    • 認証サービスのすべてのインスタンスで、トークンの暗号化/暗号解除に同じ公開/秘密鍵のペアを使用する必要があります。

    • 鍵ペアは、トークンを発行するために最初に必要な認証サービスにより生成されます。

    キーをサイクルするか、キーの長さを変更する場合は、次の設定を繰り返し、すべての XSP|ADP を再起動する必要があります。

    1. キーペアの生成に使用する XSP|ADP を 1 つ選択します。

    2. クライアントを使用して、クライアントのブラウザから次の URL を要求することで、その XSP|ADP から暗号化されたトークンを要求します。

      https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

      (これにより、XSP|ADP にプライベート/公開鍵ペアが生成されます)

    3. 鍵ストアのロケーションは構成できません。次のとおり鍵をエクスポートします。

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. エクスポートしたファイル /var/broadworks/tmp/authService.keys を他の XSP|ADP の同じ場所にコピーし、必要に応じて古い .keys ファイルを上書きします。

    5. 他の XSP|ADP のキーをインポートします。

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. ウェブ コンテナに authService URL を提供します。XSP|ADP のウェブ コンテナは、トークンを検証するために authService URL を必要とします。各 XSP|ADP の場合:

    1. 次のように、認証サービス URL を BroadWorks Communications ユーティリティの外部認証サービスとして追加します。

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set URL http://127.0.0.1:80/authService

    2. 次のように、コンテナに認証サービス URL を追加します。

      XSP|ADP_CLI/Maintenance/ContainerOptions> tomcat bw.authservice.authServiceUrl を追加 http://127.0.0.1:80/authService

      これにより、Webex で認証サービスを使用して、資格情報として提示されたトークンを検証できます。

    3. パラメーターを get で確認してください。

    4. XSP|ADP を再起動します。

認証サービスのクライアント認証要件を削除する (R24 のみ)

R24 で CI トークン検証で構成された認証サービスがある場合、認証サービスのクライアント認証要件も削除する必要があります。以下の CLI コマンドを実行します。

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

HTTP インターフェイスでの TLS および暗号の設定 (XSI および認証サービス)

認証サービス、Xsi-Actions、および Xsi-Events アプリケーションは、HTTP サーバー インターフェイスを使用します。これらのアプリケーションの TLS 設定可能性のレベルは以下の通りです。

最も一般的 = System > Transport > HTTP > HTTP サーバー インターフェイス = 最も具体的

異なる SSL 設定を表示または変更するために使用する CLI コンテキストは、次のとおりです。

具体性 CLI コンテキスト
システム (グローバル)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
このシステムの転送プロトコル

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
このシステム上の HTTP

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
このシステム上の特定の HTTP サーバー インターフェイス

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

XSP|ADP で HTTP サーバー TLS インターフェイス構成を読み取る

  1. XSP|ADP にサインインし、XSP|ADP_CLI/Interface/Http/HttpServer> に移動します。

  2. get コマンドを入力し、結果を読み取ります。インターフェイス (IP アドレス) と、それぞれの インターフェイスがセキュアかどうか、およびクライアント認証が必要かどうか確認する必要があります。

Apache tomcat は各セキュアインターフェイスに証明書を要求しています。必要な場合、システムは自己署名証明書を生成してください。

XSP|ADP_CLI/Interface/Http/HttpServer> get

TLS 1.2 プロトコルを HTTP サーバー インターフェイスに追加する

Webex Cloud と対話する HTTP インターフェイスは、TLSv1.2 に対して構成する必要があります。クラウドは以前のバージョンの TLS プロトコルをネゴシエートしません。

HTTP Server インターフェイスで TLSv1.2 プロトコルを構成するには:

  1. XSP|ADP にサインインし、XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols> に移動します。

  2. コマンド get 443 を入力して、このインターフェイスですでに使用されているプロトコルを確認します。

  3. コマンド add 443 TLSv1.2 を入力して、インターフェイスがクラウドとの通信時に TLS 1.2 を使用できることを確認します。

TLS 暗号化構成の HTTP サーバー インターフェイスでの編集

必要な暗号を設定するには:

  1. XSP|ADP にサインインし、XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers> に移動します

  2. コマンド get 443 を入力して、このインターフェイスですでに使用されている暗号を確認します。Cisco の推奨スイートから少なくとも 1 つが必要です ([概要] セクションの XSP|ADP アイデンティティとセキュリティ要件 を参照してください)。

  3. コマンド add 443 を入力して、HTTP サーバー インターフェイスに暗号を追加します。

    XSP|ADP CLI には、openSSL 暗号スイート名ではなく、IANA 標準暗号スイート名が必要です。たとえば、HTTP サーバー インターフェイスに openSSL cipher ECDHE-ECDSA-CHACHA20-POLY1305 を追加するには、次を使用します。XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_with _CHACHA20_POLY1305を追加

    どちらかの名前でスイートを検索する場合は、https://ciphersuite.info/ を参照してください。

XSP|ADP、アプリケーション サーバー、およびプロファイルサーバーでデバイス管理を構成する

デバイス管理には、プロファイルサーバーと XSP|ADP が必須です。『BroadWorks デバイス管理設定ガイド』の手順に沿って構成する必要があります。