環境の準備

意思決定ポイント

考慮事項 質問と回答 リソース

アーキテクチャとインフラストラクチャ

XSP の数は?

mTLS の使用法は?

Cisco BroadWorks システム容量プランナ

Cisco BroadWorks System Engineering Guide (Cisco BroadWorks システム エンジニアリング ガイド)

XSP CLI リファレンス

このドキュメント

顧客とユーザーのプロビジョニング

BroadWorks のメールは信頼できると言い切れますか?

ユーザーがアカウントをアクティベートするとき、メール アドレスの入力を要求しますか?

Cisco の API を使用するツールを構築できますか?

https://developer.webex.com での公開 API ドキュメント

このドキュメント

ブランディング 使用する色とロゴは? Webex アプリのブランディング記事
テンプレート その他の顧客の使用事例は? このドキュメント
顧客、エンタープライズ、グループごとのサブスクライバ機能 テンプレートごとにサービス レベルを定義するパッケージを選択します。 [Basic (ベーシック)]、[Standard (標準)]、[Premium (プレミアム)]、または[Softphone (ソフトフォン)]。

このドキュメント

機能とパッケージの一覧

ユーザー認証 BroadWorks または Webex このドキュメント
プロビジョニング アダプタ (フロースルー プロビジョニング オプション)

UC-One SaaS など、統合型 IM&P をすでに使用していますか?

複数のテンプレートを使用しますか?

より一般的な使用事例が予想されていますか?

このドキュメント

アプリケーション サーバー CLI リファレンス

アーキテクチャとインフラストラクチャ

  • 想定している開始当初のスケールは? 将来スケールアップは可能ですが、現在の使用量見積もりに沿ってインフラストラクチャ計画を推進する必要があります。

  • 担当の Cisco アカウント マネージャまたは営業担当者と共同で、Cisco BroadWorks システム容量プランナ (https://xchange.broadsoft.com/node/1051462)、『Cisco BroadWorks System Engineering Guide』(Cisco BroadWorks システム エンジニアリング ガイド)(https://xchange.broadsoft.com/node/1051496) に沿って XSP インフラストラクチャの規模を判断します。

  • Cisco Webex から XSP への相互 TLS 接続の方法は? DMZ の XSP に直接、または TLS プロキシを経由しますか? これは証明書の管理とインターフェイス用 URL に影響します。 (ネットワーク エッジへの非暗号化 TCP 接続はサポート対象外)。

顧客とユーザーのプロビジョニング

最適なユーザープロビジョニング方法は?

  • 信頼済みメールによるフロースルー プロビジョニング: BroadWorks で「統合型 IM&P」サービスを割り当てると、Cisco Webex でサブスクライバのプロビジョニングが自動実行されます。

    BroadWorks のサブスクライバ メール アドレスが有効であり、Webex で重複することはないと断定できる場合は、フロースルー プロビジョニングの「trusted email (信頼済みメール)」のオプションを選択できます。 サブスクライバの Webex アカウントは、サブスクライバの操作は一切交えずに作成され、アクティベートされます。サブスクライバはクライアントをダウンロードしてサインインするだけです。

    メール アドレスは、Cisco Webex の重要なユーザー属性です。 したがって、Cisco Webex サービスのプロビジョニングを行う場合、サービス プロバイダはユーザーに有効なメール アドレスを提供する必要があります。 これを BroadWorks でのユーザーのメール ID 属性に組み込む必要があります。 代替 ID 属性にもコピーすることをお勧めします。

  • 信頼済みメールなしでのフロースルー プロビジョニング: サブスクライバのメール アドレスを信頼できない場合でも、BroadWorks で統合型 IM&P サービスを割り当てると、Webex のユーザーをプロビジョニングできます。

    この選択肢では、パートナー様がサービスを割り当てるとアカウントが作成されますが、サブスクライバが Webex アカウントをアクティベートするには、各自のメール アドレスを入力し、検証を受ける必要があります。

  • ユーザー セルフプロビジョニング: この選択肢では BroadWorks での IM&P サービスの割り当てが必要ありません。 代わりにパートナー様 (またはパートナー様の顧客) からプロビジョニング リンク、別々のクライアントをダウンロードするリンク、ブランディング、手順を配布します。

    サブスクライバはリンクに従い、メール アドレスを入力して検証を受け、自身の Webex アカウントを作成してアクティベートします。 続いてクライアントをダウンロードしてサインインすると、Webex がサブスクライバに関する追加設定 (プライマリ番号など) を BroadWorks からフェッチします。

  • API による SP 管理プロビジョニング: Cisco Webex は、サービス プロバイダが既存のワークフローにユーザーやサブスクライバのプロビジョニングを構築できるように公開 API 一式を公開します。

ブランディング

ロゴと色 1 つ (ナビゲーション バーに使用) を Webex アプリに適用できます。同じ設定がユーザー アクティベーション ポータルでも使われます。

ブランディングのカスタマイズ方法について詳しくは、https://help.webex.com/en-us/n0cswhcb/Customize-Branding-for-Customers を参照してください。

カスタマー テンプレート

カスタマー テンプレートを使用すると、BroadWorks 版 Cisco Webex で顧客、関連するサブスクライバが自動的にプロビジョンされるパラメータを定義できます。 必要に応じて複数のカスタマー テンプレートを設定できますが、顧客が登録時に関連付けられるテンプレートは 1 つだけです (同じ顧客に複数のテンプレートを適用することはできません)。

以下は主なテンプレート パラメータの例です。

パッケージ

  • テンプレートを作成するときは、デフォルトのパッケージを選ぶ必要があります (詳しくは「概要」セクションの「パッケージ」を参照してください)。 フロースルーまたはセルフ プロビジョニングを通じてテンプレートでのプロビジョニングが終わったユーザーはすべて、デフォルトのパッケージを受け取ります。

  • 複数のテンプレートを作成し、テンプレートごとに異なる内容のデフォルト パッケージを選ぶことで、各顧客に適したパッケージ選択を管理できます。 その結果、選んだテンプレートに対応するユーザー プロビジョニング方法に応じて、配布するプロビジョニング リンクを変えたり、エンタープライズ別のプロビジョニング アダプタを配布したりできます。

  • プロビジョニング API またはパートナー ハブを使用すると、特定のサブスクライバのパッケージをこのデフォルトパッケージとは異なる内容に変更することもできます (「リファレンス」セクションの「Integrating with Webex for BroadWorks Provisioning API」(BroadWorks 版 Webex プロビジョニング API とのインテグレーション) を参照してください)。

  • BroadWorks からはサブスクライバのパッケージを変更できません。 統合型 IM&P サービスの割り当てはオンかオフのどちらかです。サブスクライバが BroadWorks でこのサービスに割り当てられている場合、そのサブスクライバの企業のプロビジョニング URL に関連付けられているパートナー ハブのテンプレートでパッケージが決まります。

再販業者とエンタープライズ、またはサービス プロバイダとグループですか?

  • BroadWorks システムの設定方法は、フロースルー プロビジョニングに影響を与えます。 エンタープライズとリセラーの場合、テンプレートを作成するとき [Enterprise (エンタープライズ)] モードを有効にする必要があります。
  • BroadWorks システムが [Service Provider (サービス プロバイダ)] モードで設定されている場合、テンプレートで [Enterprise (エンタープライズ)] モードのスイッチをオフにしておきます。
  • BroadWorks の両モードを使用して顧客の組織をプロビジョニングする予定がある場合は、グループとエンタープライズに異なるテンプレートを割り当てる必要があります。

認証モード

顧客のサブスクライバの認証方法は?

認証モード BroadWorks Webex
プライマリ ユーザー ID BroadWorks ユーザー ID メール アドレス
ID プロバイダ

BroadWorks。

認証は Cisco Webex がホストする仲介サービスで行います。

Cisco Common Identity
多要素認証を使用しますか? いいえ 多要素認証をサポートする IdP を顧客に義務付けます。

資格情報の確認パス

  1. 起動したブラウザでユーザーが最初のログイン フローに電子メール情報を入力すると、認証モードが表示されます。

  2. その後、ブラウザは Cisco Webex がホストする BroadWorks ログイン ページにリダイレクトされます (このページはブランディングできます)

  3. ログインページで BroadWorks のユーザー ID とパスワードを入力します。

  4. BroadWorks でユーザー資格情報が検証を受けます。

  5. 成功すると、Cisco Webex から認証コードを取得できます。 このコードは、Cisco Webex サービスに必要なアクセス トークンを取得するために使用します。

  1. 起動したブラウザでユーザーが最初のログイン フローに電子メール情報を入力すると、認証モードが表示されます。

  2. ブラウザは IdP (Cisco Common Identity または Customer IdP) にリダイレクトされ、そこでログイン ポータルが表示されます。

  3. ユーザーがログイン ページで適切な資格情報を入力します

  4. 顧客 IdP がサポートしている場合、多要素認証が行われる場合もあります。

  5. 成功すると、Cisco Webex から認証コードを取得できます。 このコードは、Cisco Webex サービスに必要なアクセス トークンを取得するために使用します。

複数のパートナーの設定

別のサービス プロバイダに BroadWorks 版 Webex のサブライセンスを行いますか? その場合、各サービス プロバイダがそれぞれの顧客基盤でこのソリューションのプロビジョニングを行うには、Webex Control Hub に異なるパートナー組織として登録する必要があります。

プロビジョニング アダプタとテンプレート

フロースルー プロビジョニングでは、BroadWorks に入力したプロビジョニング URL は Control Hub のテンプレートに基づいて提供されます。 複数のテンプレートを設定できるため、結果的にプロビジョニング URL も複数になることがあります。 この方法では、エンタープライズごとに、サブスクライバに統合 IM&P サービスを付与するタイミングで、サブスクライバに適用するパッケージを選択できます。

システム レベルのプロビジョニング URL をデフォルトのプロビジョニング パスに設定するかどうか、またその設定にどのテンプレートを使用するかを検討する必要があります。 この方法なら、テンプレートを使い分ける必要がある企業の分だけ、明示的にプロビジョニング URL を設定すればよいことになります。

なおパートナー様によっては、UC-One SaaS など、システム レベルのプロビジョニング URL をすでに使用している可能性があります。 その場合、UC-One SaaS でユーザー プロビジョニングに使用するシステム レベルの URLを保持し、BroadWorks 版 Webex に移行する企業は上書きする方法を選択できます。 このほかに、BroadWorks 版 Webex 用にシステム レベルの URL を設定し、UC-One SaaS で保持する企業を再構成する方法も取ることができます。

この判断に関連する具体的な設定内容の選択については、「BroadWorks 版 Webex を導入する」セクションの「プロビジョニングサービス URL でアプリケーション サーバーを構成する」を参照してください。

最小要件

アカウント

Webex を利用するためにプロビジョニング対象とするサブスクライバはすべて、Webex と統合する BroadWorks システムに存在している必要があります。 必要に応じて複数の BroadWorks システムを統合できます。

すべてのサブスクライバに BroadWorks ライセンスとプライマリ番号が必要です。

Webex はメール アドレスをあらゆるユーザーのプライマリ識別子として使用します。 信頼済みメールによるフロースルー プロビジョニングを使用している場合、各ユーザーに BroadWorks のメール属性で有効なアドレスが必要です。

BroadWorks 認証を使用するテンプレートを使用する場合、BroadWorks の [Alternate ID (代替 ID)] 属性にはサブスクライバのメール アドレスをコピーしてもかまいません。 結果としてユーザーはメール アドレスと BroadWorks パスワードを使用して Webex にサインインできるようになります。

管理者がパートナー ハブにサインインするには、Webex アカウントを使用する必要があります。

ネットワーク内のサーバーとソフトウェア要件

  • 最小バージョンの R21 SP1 での BroadWorks インスタンス。 サポートされるバージョンとパッチについては、このドキュメントの「BroadWorks ソフトウェア要件」セクションを参照してください。 併せて「ライフサイクル管理 - BroadSoft Servers」も参照してください。


    R21 SP1 のサポートは 2021 年半ばまでです。 現在は Webex を R21 SP1 と統合できますが、Webex とのインテグレーションには R22 以降を強く推奨します。

  • BroadWorks インスタンスには、少なくとも以下のサーバーが含まれる必要があります。

    • 前述の BroadWorks バージョンのアプリケーション サーバー (AS)

    • ネットワーク サーバー (NS)

    • プロファイル サーバー (PS)

  • 以下の要件を満たす公開 XSP サーバーまたはアプリケーション配信プラットフォーム (ADP):

    • 認証サービス (BWAuth)

    • XSI アクションとイベントのインターフェイス

    • DMS (デバイス管理ウェブ アプリケーション)

    • CTI インターフェイス (コンピュータ テレフォニーのインテグレーション)

    • 有効な証明書 (自己署名は無効) と必要な中間証明書がそろった TLS 1.2。 エンタープライズ ルックアップを簡素化するために、システム レベルの管理が必要です。

    • 認証サービスの相互 TLS (mTLS) 認証 (信頼アンカーとしてインストールされている公開 Cisco Webex クライアント証明書チェーンが必要)

    • CTI インターフェイスの相互 TLS (mTLS) 認証 (信頼アンカーとしてインストールされている公開 Cisco Webex クライアント証明書チェーンが必要)

  • 「コール通知プッシュ サーバー」(Apple/Google にコール通知をプッシュするために使用する環境内の NPS) として機能する別の XSP/ADP サーバー。 ここでは頭文字を取って「CNPS」と呼び、メッセージングとプレゼンスに必要なプッシュ通知を提供する Webex サービスから区別します。

    このサーバーは R22 以降にする必要があります。

  • BroadWorks 版 Webex のクラウド接続の負荷がかかり、通知遅延増大の影響も受けて、NPS サーバーのパフォーマンスがどの程度劣化するかが予測しきれないため、CNPS には別途 XSP/ADP サーバーが必要です。 XSP スケールについて詳しくは『Cisco BroadWorks System Engineering Guide』(Cisco BroadWorks システム エンジニアリング ガイド) (https://xchange.broadsoft.com/node/422649) を参照してください。

物理的な電話器とアクセサリ

デバイス プロファイル

これらは、コール クライアントとして Webex アプリをサポートするために、アプリケーション サーバーにロードする必要がある DTAF ファイルです。 これらは UC-One SaaS で使用される場合と同じ DTAF ファイル群ですが、Webex アプリ用の新規のconfig-wxt.xml.templateconfig-wxt.xml.template ファイルがあります。

クライアント名

デバイス プロファイル タイプとパッケージ名

Webex モバイル テンプレート

https://xchange.broadsoft.com/support/uc-one/connect/software

ID/デバイス プロファイル タイプ: 接続 - モバイル

DTAF:ucone-mobile-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

構成ファイル:config-wxt.xml

Webex タブレット テンプレート

https://xchange.broadsoft.com/support/uc-one/connect/software

ID/デバイス プロファイル タイプ: 接続 - タブレット

DTAF:ucone-tablet-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

構成ファイル:config-wxt.xml

Webex デスクトップ テンプレート

https://xchange.broadsoft.com/support/uc-one/communicator/software

ID/デバイス プロファイル タイプ: Business Communicator - PC

DTAF:ucone-desktop-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

構成ファイル:config-wxt.xml

注文証明書

TLS 認証の証明書要件

必要なアプリケーションすべてで、権威のある証明機関から署名を受け、パブリック XSP に展開されたセキュリティ証明書が義務付けられています。 これらは XSP サーバーへの全インバウンド接続で、TLS 証明書の確認をサポートするために使用されます。

これらの証明書には、サブジェクト共通名またはサブジェクト代替名と同じ XSP パブリック完全修飾ドメイン名を記載する必要があります。

これらのサーバー証明書の展開にかかわる正確な要件は、公開 XSP が展開される方法によって異なります。

  • TLS ブリッジ プロキシを使用

  • TLS パススルー プロキシを経由

  • XSP に直接

次の図は、CA が署名したパブリック サーバー証明書が次の 3 つのケースで読み込まれる場所について簡単に説明しています。

Webex アプリが認証をサポートする公的にサポートされた CA は、Cisco Webex ハイブリッド サービスのサポート対象認証局のリストに登録されています。

TLS ブリッジ プロキシの TLS 証明書要件

  • パブリック署名サーバー証明書がプロキシにロードされます。

  • プロキシがこのパブリック署名のサーバー証明書を Webex に提示します。

  • Webex がプロキシのサーバー証明書に署名した公開 CA を信頼します。

  • 内部 CA 署名付き証明書を XSP にロードできます。

  • XSP が、プロキシに内部署名されたサーバー証明書を提示します。

  • プロキシが XSP サーバー証明書に署名した内部 CA を信頼します。

TLS パススルー プロキシまたは DMZ の XSP の TLS 証明書要件

  • パブリック署名サーバー証明書が XSP にロードされます。

  • XSP がパブリック署名サーバー証明書を Webex に提示します。

  • Webex が XSP のサーバー証明書に署名したパブリック CA を信頼します。

CTI インターフェイス上の相互 TLS 認証に関する追加の証明書要件

CTI インターフェイスに接続するとき、Cisco Webex が相互 TLS 認証の一部としてクライアント証明書を提示します。 Webex クライアントの証明書 CA/チェーン証明書は、Control Hub からダウンロードできます。

証明書をダウンロードするには:

パートナー ハブにサインインし、[Settings (設定)] > [BroadWorks Calling (BroadWorks の Calling 機能)] の順に移動し、証明書のダウンロード リンクをクリックします。

この Webex CA 証明書チェーンを展開するための具体的な要件は、パブリック XSP が展開される方法によって異なります。

  • TLS ブリッジ プロキシを使用

  • TLS パススルー プロキシを経由

  • XSP に直接

下図にこの 3 つのケースの証明書要件をまとめました。

図 1. 各種エッジ設定による CTI 用 mTLS 証明書の交換

(オプション) TLS ブリッジ プロキシの証明書要件

  • Webex がパブリック署名クライアント証明書をプロキシに提示します。

  • プロキシが、クライアント証明書に署名した Cisco 内部 CA を信頼します。 Control Hub からこの CA とチェーンをダウンロードして、プロキシの信頼ストアに追加できます。 パブリック署名の XSP サーバー証明書もプロキシにロードされます。

  • プロキシがパブリック署名のサーバー証明書を Webex に提示します。

  • Webex がプロキシのサーバー証明書に署名した公開 CA を信頼します。

  • プロキシが、内部署名されたクライアント証明書を XSP に提示します。

    この証明書 には 、BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 と TLS clientAuth の目的で収集された [拡張キー使用] フィールドが x509.v3 拡張フィールドに含まれる必要があります。 例:

    X509v3 extensions:
        X509v3 Extended Key Usage:
            1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client Authentication

    内部証明書の CN は bwcticlient.webex.com にする必要があります。


    • プロキシの内部クライアント証明書を生成する場合、SAN 証明書はサポートされません。 XSP の内部サーバー証明書は SAN になる場合があります。

    • パブリック認証局は、BroadWorks 独自の必須 BroadWorks OID が使われた証明書への署名を渋る可能性もあります。 ブリッジ プロキシの場合、プロキシが XSP に提示するクライアント証明書に署名するために、内部 CA を使用せざるを得ない場合もあります。

  • XSP が内部 CA を信頼します。

  • XSP が内部署名されたサーバー証明書を示します。

  • プロキシが内部 CA を信頼します。

  • アプリケーション サーバーの ClientIdentity には、プロキシから XSP に提示される内部署名クライアント証明書の CN が含まれています。

(オプション) DMZ の XSP または TLS パススルー プロキシの証明書要件

  • Webex が XSP に Cisco の内部 CA 署名クライアント証明書を提示します。

  • XSP がクライアント証明書に署名した Cisco 内部 CA を信頼します。 Control Hub からこの CA とチェーンをダウンロードして、プロキシの信頼ストアに追加できます。 パブリック署名の XSP サーバー証明書も XSP にロードされます。

  • XSP がパブリック署名のサーバー証明書を Webex に提示します。

  • Webex が XSP のサーバー証明書に署名したパブリック CA を信頼します。

  • アプリケーション サーバーの ClientIdentity には、Webex が XSP に提示する Cisco 署名クライアント証明書の CN が含まれます。

ネットワークを準備する

接続マップ

次の図はインテグレーションのポイントを示しています。 図のポイントは、環境内と環境外をつなぐインバウンドとアウトバウンドの接続について、IP とポートを見直す必要を示すことにあります。 BroadWorks 版 Webex が使用する接続は、下表どおりです。

クライアント アプリケーションの通常の機能に対するファイアウォール要件は、すでに help.webex.com の文書に記録されています。

ファイアウォールの構成

この接続マップと下表は、クライアント (顧客のネットワーク内外)、パートナー様のネットワーク、Webex プラットフォームの間で必要な接続とプロトコルを示しています。

このドキュメントには、BroadWorks 版 Webex に固有の接続のみ記載しています。 Webex アプリと Webex クラウド間の汎用接続は表示していません。これらの汎用接続については、次の資料を参照してください:

EMEA 受信ルール

(パートナー様ネットワークが受信側)

目的 ソース プロトコル 移動先 移動先ポート

WebexCloud

CTI/Auth/XSI

18.196.116.47

35.156.83.118

35,158,206,190

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

CTI

お使いの XSP

TCP/TLS 8012

443

Webex アプリ

Xsi/DMS

任意

HTTPS

お使いの XSP

443

Webex アプリ VoIP エンドポイント SIP

任意

SIP

お使いの SBC

SP が定義するプロトコルとポート

TCP/UDP


モバイル端末で標準 SIP ポート (5060) を使用する際に発生する既知の問題のため、SIP ポートを 5060 以外 (5075 など) にすることが強く推奨されています。

EMEA 送信ルール

(パートナー様ネットワークが送信側)

目的

ソース

プロトコル

移動先

移動先ポート

API によるユーザー プロビジョニング

お使いのアプリケーション サーバー

HTTPS

webexapis.com

443

プロキシ プッシュ通知 (本番サービス)

お使いの NPS サーバー

HTTPS

https://nps.uc-one.broadsoft.com/

または 34.64.0.0/10、35.208.0.0/12、35.224.0.0/12、35.240.0.0/13

443

Webex 共通 ID

お使いの NPS サーバー

HTTPS

https://idbroker-eu.webex.com

443

APNS および FCM サービス

お使いの NPS サーバー

HTTPS

任意の IP アドレス*

443

プロキシ プッシュ通知 (本番サービス)

Webex 共通 ID

APNS および FCM サービス

お使いの NPS サーバー

HTTPS

https://nps.uc-one.broadsoft.com/ *

https://idbroker-eu.webex.com

任意の IP アドレス*

443

BroadWorks プロビジョニング アダプタによるユーザー プロビジョニング

お使いの BroadWorks AS

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(* は任意の文字を指します。 完全なプロビジョニング URL は、パートナー ハブで作成されるテンプレートに記載されています)

443

† これらの範囲には NPS プロキシのホストが含まれますが、正確なアドレスを指定できません。 範囲には、BroadWorks 版 Webex に関与していない主催者も含まれる場合があります。 NPS プロキシを公開するホストのみに送信対象を限定するために、むしろファイアウォール設定では NPS プロキシ FQDN へのトラフィックを許可することをお勧めします。

* APNS および FCM には固定の IP アドレス設定がありません。

米国受信ルール

(パートナー様ネットワークが受信側)

目的

ソース

プロトコル

移動先

移動先ポート

WebexCloud

CTI/Auth/XSI

13.58.232.148

18.217.166.80

18,221,216,175

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

CTI

お使いの XSP

TCP/TLS 8012

TLS 443

Webex アプリ   

Xsi/DMS

任意

HTTPS

お使いの XSP

443

Webex アプリ VoIP エンドポイント SIP

任意

SIP

お使いの SBC

SP が定義するプロトコルとポート

TCP/UDP


モバイル端末で標準 SIP ポート (5060) を使用する際に発生する既知の問題のため、SIP ポートを 5060 以外 (5075 など) にすることが強く推奨されています。

米国送信ルール

(パートナー様ネットワークが送信側)

目的

ソース

プロトコル

移動先

移動先ポート

API によるユーザー プロビジョニング

お使いのアプリケーション サーバー

HTTPS

webexapis.com

443

プロキシ プッシュ通知 (本番サービス)

お使いの NPS サーバー

HTTPS

https://nps.uc-one.broadsoft.com/

または 34.64.0.0/10、35.208.0.0/12、35.224.0.0/12、35.240.0.0/13

443

Webex 共通 ID

お使いの NPS サーバー

HTTPS

https://idbroker.webex.com

https://idbroker-b-us.webex.com

443

APNS および FCM サービス

お使いの NPS サーバー

HTTPS

任意の IP アドレス*

443

BroadWorks プロビジョニング アダプタによるユーザー プロビジョニング

お使いの BroadWorks AS

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(* は任意の文字を指します。 完全なプロビジョニング URL は、パートナー ハブで作成されるテンプレートに記載されています)

443

† これらの範囲には NPS プロキシのホストが含まれますが、正確なアドレスを指定できません。 範囲には、BroadWorks 版 Webex に関与していない主催者も含まれる場合があります。 NPS プロキシを公開するホストのみに送信対象を限定するために、むしろファイアウォール設定では NPS プロキシ FQDN へのトラフィックを許可することをお勧めします。

* APNS および FCM には固定の IP アドレス設定がありません。

DNS の構成

BroadWorks 版 Webex クライアントは、承認、認証、コール制御、デバイス管理のために、BroadWorks XSP サーバーを見つける必要があります。

Webex クラウド マイクロサービスは、Xsi インターフェイスと認証サービスに接続するために、BroadWorks XSP サーバーを見つけ出す必要があります。

用途によって別々の XSP サーバーを設ける場合は、複数の DNS エントリを記録する必要があります。

Cisco Webex Cloud が XSP アドレスを検索する方法

Cisco Webex Cloud サービスは、構成された XSP ホスト名の DNS A/AAAA ルックアップを実行し、返された IP アドレスに接続します。 具体的には、負荷を分散するエッジ要素や XSP サーバー自身などが考えられます。 複数の IP アドレスが返された場合、リストの最初のエントリが選択されます。

以下の例 2 と例 3 は、それぞれ 1 つ または複数の IP アドレスにマッピングされている A/AAAA レコードをキャプチャしています。

Webex アプリが XSP アドレスを検索する方法

クライアントが、以下の DNS フローを使用して XSP ノードの検索を試みます。

  1. クライアントは最初に Cisco Webex クラウドから Xsi-Actions/Xsi-Events URL (関連する BroadWorks Calling クラスタを作成するときパートナー様が入力したもの) を取得します。 Xsi ホスト名/ドメインが URL から解析され、クライアントは次の SRV ルックアップを実行します。

    1. _xsi-client._tcp.<xsi domain> に対し、クライアントが SRV ルックアップを実行します。_xsi-client._tcp.<xsi domain>

      (以下の例 1 を参照してください)

    2. SRV ルックアップが 1 つ以上のターゲットを返した場合:

      クライアントは、該当するターゲットに対して A/AAAA ルックアップを実行し、返された IP アドレスをキャッシュします。


      A/AAAA レコードはそれぞれ 1 つの IP アドレスにマップする必要があります。 クライアントの XSI イベントのハートビートは、イベント チャネルの確立に使用した IP アドレスに送る必要があるため、この構成は必須です。

      A/AAAA 名を複数の IP アドレスにマップすると、クライアントは最終的に、イベント チャネルを確立した IP アドレスとは異なる IP アドレスにハートビートが送信します。 するとチャネルがダウンし、内部トラフィックへの依存度が高まるため、XSP クラスタのパフォーマンスが著しく低下することになります。

      クライアントが、SRV の優先順位、次に重み (すべてに等しい場合はランダム) に基づいて、ターゲットの 1 つ (つまり IP アドレスを 1 つ持つ A/AAAA レコード) に接続します。

    3. SRV ルックアップがターゲットを返さなかった場合:

      クライアントは Xsi ルート パラメータの A/AAAA ルックアップを実行し、返された IP アドレスへの接続を試みます。 具体的には、負荷を分散するエッジ要素や XSP サーバー自身などが考えられます。

      以上の説明のとおり、同じ理由で A/AAAA レコードの IP アドレスは 1 つに解決される必要があります。

      (以下の例 2 を参照してください)

  2. (オプション) その後、次のタグを使用すると、Webex アプリのデバイス設定でカスタム XSI-Actions/XSI-Events を細かく指定することもできます。

    
    <protocols>
        <xsi>
            <paths>
                <root>%XSI_ROOT_WXT%</root>
                <actions>%XSI_ACTIONS_PATH_WXT%</actions>
                <events>%XSI_EVENTS_PATH_WXT%</events>
            </paths>
        </xsi>
    </protocols>
    1. 以上の構成パラメータは、Control Hub の BroadWorks クラスタの設定より優先されます。

    2. 存在する場合、クライアントが BroadWorks クラスタ設定で受け取った元の XSI アドレスと比較されます。

    3. 違いが検出された場合、クライアントは XSI Actions/ XSI Events 接続を再び初期化します。 ここでの第 1 ステップは、ステップ 1 でリストされているのと同じ DNS ルックアップ プロセスを実行することです。今回、要求されるのは、設定ファイルからの %XSI_ROOT_WXT%%XSI_ROOT_WXT%パラメータのルックアップです。


      このタグを使用して Xsi インターフェイスを変更する場合は、必ず対応する SRV レコードを作成してください。

DNS レコードの例

表 1. 例 1: インターネットに対応する複数の XSP サーバーを検出するための DNS SRV レコード (Webex アプリが作成。BroadWorks 版 Webex のクラウド マイクロサービスでは、SRV ルックアップはまだサポート対象外)

レコード タイプ

録画

ターゲット

目的

SRV

_xsi-client._tcp.your-xsp.example.com.

xsp01.example.com

Xsi インターフェイスのクライアント検出

SRV

_xsi-client._tcp.your-xsp.example.com.

xsp02.example.com

Xsi インターフェイスのクライアント検出

A

xsp01.example.com.

198.51.100.48

XSP IP のルックアップ

A

xsp02.example.com.

198.51.100.49

XSP IP のルックアップ

表 2. 例 2: ロード バランサに接続した、Webex アプリまたは Webex クラウド マイクロサービスによる XSP サーバー プールを検出する場合の DNS A レコード

レコード タイプ

名前

ターゲット

目的

A

your-xsp.example.com.

198.51.100.50

エッジ ロード バランサ IP のルックアップ

表 3. 例 3: インターネットに接続され、ラウンドロビン方式の負荷分散が施された、Webex クラウド マイクロサービス (Webex アプリのサポート対象外) による XSP サーバー プールの検索に使用する DNS A レコード

レコード タイプ

名前

ターゲット

目的

A

your-xsp.example.com.

198.51.100.48

XSP IP のルックアップ

A

your-xsp.example.com.

198.51.100.49

XSP IP のルックアップ


DNS A/AAAA レコードを複数の IP アドレスにマップする場合 (前の表に示すようにマイクロサービスに冗長接続を提供するために)、クライアントの XSI アドレスと同じ A/AAAA レコードを使用する必要があります。

この場合、クライアントの SRV レコードの構成 (上表 1 に示すとおり) はできますが、SRV は別の A/AAAA レコード セットを解決しなくてはなりません。 これまでに説明したとおり、これらの A/AAAA レコードは、それぞれ 1 つの IP アドレスにマップする必要があります。

XSP ノード DNS に関する推奨事項

  • XSP サーバーへのリバース プロキシのロード バランシングを解決する必要がある場合、1 つの A/AAAA レコードを使用する必要があります。

  • 次の場合にのみ、ラウンドロビン A/AAAA レコードを使用してください。

    • Webex マイクロサービスが検出するインターネット XSP サーバーが複数インストールされている場合。

    • クライアント Xsi アドレスの解決には、ラウンドロビン A/AAAA レコードを使用しない場合。

  • 次の場合には DNS サービス検出を使用する必要があります。

    • 複数の XSP が存在する環境でのディレクトリ検索が必要な場合。

    • SRV 検出を必要とするインテグレーションがすでに存在している場合。

    • 固有の構成があり、その構成で標準の A/AAAA レコードが不足している場合。