Cisco BroadWorks XSP|ADP에 대한 Webex 서비스 구성

NPS 애플리케이션은 다른 XSP|ADP에서 실행되어야 합니다. 해당 XSP|ADP에 대한 요구 사항은 네트워크에서 통화 알림 구성에 설명되어 있습니다.

다음 응용 프로그램이 필요합니다 / XSP|ADP의 서비스입니다.

서비스/응용프로그램

인증 필요

서비스/응용프로그램 목적

Xsi-Events

TLS(서버가 클라이언트에 대해 스스로를 인증함)

통화 제어, 서비스 알림

Xsi-Actions

TLS(서버가 클라이언트에 대해 스스로를 인증함)

통화 제어, 작업

장치 관리

TLS(서버가 클라이언트에 대해 스스로를 인증함)

통화 구성 다운로드

인증 서비스

TLS(서버가 클라이언트에 대해 스스로를 인증함)

사용자 인증

컴퓨터 전화 통신 통합

mTLS(클라이언트와 서버가 서로 인증함)

전화 통신 프레즌스

통화 설정 웹뷰 응용프로그램

TLS(서버가 클라이언트에 대해 스스로를 인증함)

Webex 앱 내의 자기 관리 포털에 사용자 통화 설정을 노출시킵니다.

이 섹션에서는 이러한 인터페이스에서 TLS 및 mTLS에 필요한 구성을 적용하는 방법을 설명하지만 XSP|ADP에 애플리케이션을 설치하려면 기존 설명서를 참조해야 합니다.

공동 상주 요구 사항

  • 이런 인터페이스는 서비스 허가를 위해 장기 토큰을 수락해야 하기 때문에 인증 서비스는 Xsi 응용프로그램과 공동 상주해야 합니다. 그런 토큰의 유효성을 검증하려면 인증 서비스가 필요합니다.

  • 인증 서비스 및 Xsi는 필요한 경우, 동일한 포트에서 실행할 수 있습니다.

  • 다른 것을 분리할 수 있습니다 services/applications 귀하의 규모에 따라 필요에 따라(예: 전용 장치 관리 XSP|ADP 팜).

  • Xsi, CTI, 인증 서비스 및 DMS 응용프로그램을 코로케이션할 수 있습니다.

  • BroadWorks를 Webex와 통합하는 데 사용되는 XSP|ADP에 다른 애플리케이션이나 서비스를 설치하지 마십시오.

  • NPS 응용프로그램을 다른 응용프로그램과 코로케이션하지 마십시오.

Xsi 인터페이스

Cisco BroadWorks Xtended 서비스 인터페이스 구성 안내서에 기술된 바와 같이 Xsi-Actions 및 Xsi-Events 응용프로그램을 설치하고 구성합니다.

CTI 인터페이스에 사용되는 XSP|ADP에는 Xsi-Events 애플리케이션의 인스턴스가 하나만 배포되어야 합니다.

Webex와 Broadworks를 통합하는 데 사용되는 모든 Xsi-Events에는 동일한 callControlApplicationName이 정의되어 있어야 합니다. Applications/Xsi-Events/GeneralSettings. 예를 들면,

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

사용자가 Webex에 등록되면 Webex는 AS에서 해당 사용자에 대한 구독을 생성하여 통화 내역 및 상태 정보를 포함한 전화 이벤트를 수신합니다. 구독은 callControlApplicationName과 연결되고 AS는 이를 사용하여 전화 이벤트를 어떤 Xsi-Events에 보낼지 파악합니다.

callControlApplicationName을 변경하거나 모든 Xsi-Events 웹앱에서 동일한 이름을 사용하지 않으면 구독 및 전화 이벤트 기능에 영향을 미칩니다.

인증 서비스 구성 (CI 토큰 유효성 검증)

이 절차를 사용하여 TLS에서 CI 토큰 유효성 검증을 사용하도록 인증 서비스를 구성하십시오. R22 이상을 실행하고 있으며 시스템에서 지원하는 경우, 이 인증 방법이 권장됩니다.

상호 TLS(mTLS)도 인증 서비스에 대한 대체 인증 방법으로 지원됩니다. 동일한 XSP|ADP 서버에서 여러 Webex 조직을 실행하는 경우 CI 토큰 검증은 동일한 XSP|ADP 인증 서비스에 대한 여러 연결을 지원하지 않으므로 mTLS 인증을 사용해야 합니다.

CI 토큰 유효성 검사 대신 인증 서비스에 대한 mTLS 인증을 구성하려면 서비스 구성에 대한 부록(인증 서비스에 mTLS 사용)을 참조하십시오.

현재 인증 서비스에 mTLS를 사용하는 경우, TLS와 함께 CI 토큰 유효성 검사를 사용하도록 재구성할 필요는 없습니다.

  1. Cisco BroadWorks용 Webex에 대한 OAuth 자격 증명 얻기.

  2. 각 XSP|ADP 서버에 다음 패치를 설치하세요. 릴리즈에 적절한 패치를 설치하십시오.

    XSP에 대한 모든 참조에는 XSP 또는 ADP가 포함됩니다.

  3. 각 XSP|ADP 서비스에 AuthenticationService 애플리케이션을 설치합니다.

    1. XSP|ADP에서 AuthenticationService 애플리케이션을 활성화하려면 다음 명령을 실행하세요. /authService 컨텍스트 경로.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

    2. XSP|ADP에 AuthenticationService를 배포하려면 다음 명령을 실행하세요.

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

  4. Broadworks 빌드 2022.10부터 Java와 함께 제공되는 인증 기관은 새로운 버전의 Java로 전환할 때 더 이상 BroadWorks 신뢰 저장소에 자동으로 포함되지 않습니다. AuthenticationService는 액세스 토큰을 가져오기 위해 Webex에 대한 TLS 연결을 열고 IDBroker 및 Webex URL을 검증하기 위해 신뢰 저장소에 다음 내용이 있어야 합니다.

    • IdenTrust Commercial Root CA 1

    • Go Daddy Root Certificate Authority - G2

    다음 CLI에서 이러한 인증서가 있는지 확인하세요.

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

    존재하지 않으면 다음 명령을 실행하여 기본 Java 트러스트를 가져옵니다.

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    또는 다음 명령을 사용하여 이러한 인증서를 신뢰 앵커로 수동으로 추가할 수 있습니다.

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    ADP가 이전 릴리스에서 업그레이드된 경우, 이전 릴리스의 인증 기관은 자동으로 새 릴리스로 가져오게 되며, 수동으로 제거할 때까지 계속 가져오게 됩니다.

    AuthenticationService 애플리케이션은 ADP_아래의 validatePeerIdentity 설정에서 제외됩니다. CLI/System/SSLCommonSettings/GeneralSettings, 그리고 항상 피어 ID를 검증합니다. 이 설정에 대한 자세한 내용은 Cisco Broadworks X509 인증서 검증 FD 를 참조하세요.

  5. 각 XSP|ADP 서버에서 다음 명령을 실행하여 ID 공급자를 구성합니다.

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName URL의 경우 CI 클러스터에 적용되는 IssuerName URL을 입력합니다. 다음 표를 참조하세요.

    • set issuerUrl URL의 경우 CI 클러스터에 적용되는 IssuerUrl을 입력합니다. 다음 표를 참조하세요.

    • set tokenInfoUrl —Teams 클러스터에 적용되는 IdP 프록시 URL을 입력합니다. 다음 두 번째 표를 참조하세요.

    표 1. issuerName 및 issuerURL 설정
    만약 CI 클러스터가...issuerName과 issuerURL을 다음으로 설정합니다...

    US-A

    https://idbroker.webex.com/idb

    EU

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    CI 클러스터를 모르는 경우 Control Hub의 헬프 데스크 보기에서 고객 세부 정보에서 정보를 얻을 수 있습니다.

    표 2. tokenInfoURL 설정
    만약 Teams 클러스터가...tokenInfoURL을...(IdP 프록시 URL)로 설정합니다.

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • 팀 클러스터를 모르는 경우 Control Hub의 헬프 데스크 보기에서 고객 세부 정보에서 정보를 얻을 수 있습니다.

    • 테스트를 위해 URL의 "idp/authenticate" 부분을 "ping"로 바꿔서 tokenInfoURL이 유효한지 확인할 수 있습니다.

  6. 다음 명령어를 실행하여 Webex의 사용자 프로필에 표시되어야 하는 Webex 자격을 지정합니다.

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  7. 각 XSP|ADP 서버에서 다음 명령을 사용하여 Cisco Federation에 대한 ID 공급자를 구성합니다.

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken refresh-Token-From-Step1

  8. 다음 명령어를 실행하여 FLS 구성이 작동하고 있는지 검증하십시오. 이 명령어는 ID 공급자의 목록을 반환합니다.

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. 각 XSP|ADP 서버에서 다음 명령을 사용하여 토큰 관리를 구성합니다.

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. RSA 키를 생성하고 공유합니다. 하나의 XSP|ADP에서 키를 생성한 다음 다른 모든 XSP|ADP에 복사해야 합니다. 다음과 같은 이유 때문입니다.

    • 토큰 암호화/해독을 위해서는 인증 서비스의 모든 인스턴스에서 동일한 공개/비공개 키 쌍을 사용해야 합니다.

    • 키 쌍은 처음 토큰을 발급하도록 요구 받았을 때 인증 서비스에서 생성합니다.

    키를 순환하거나 키 길이를 변경하는 경우 다음 구성을 반복하고 모든 XSP|ADP를 다시 시작해야 합니다.

    1. 키 쌍을 생성하는 데 사용할 하나의 XSP|ADP를 선택하세요.

    2. 클라이언트 브라우저에서 다음 URL을 요청하여 클라이언트를 사용하여 해당 XSP|ADP에서 암호화된 토큰을 요청합니다.

      https:///authService/token?key=BASE64URL(clientPublicKey)

      (이것은 개인 정보를 생성합니다 / XSP|ADP에 공개 키 쌍이 이미 있는 경우)

    3. 키 저장소 위치는 구성할 수 없습니다. 키 내보내기:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. 내보낸 파일 /var/broadworks/tmp/authService.keys 을 다른 XSP|ADP의 동일한 위치로 복사하고 필요한 경우 이전 .keys 파일을 덮어씁니다.

    5. 다른 XSP|ADP의 키를 가져옵니다.

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. authService URL을 웹 컨테이너에 제공합니다. XSP|ADP의 웹 컨테이너에는 토큰을 검증할 수 있도록 authService URL이 필요합니다. 각 XSP|ADP에서:

    1. 인증 서비스 URL을 BroadWorks Communications Utility의 외부 인증 서비스로 추가합니다.

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. 인증 서비스 URL을 컨테이너에 추가합니다.

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      이렇게 하면 Webex는 인증 서비스를 사용하여 자격 증명으로 제공된 토큰의 유효성을 검증할 수 있습니다.

    3. get로 매개변수를 확인하세요.

    4. XSP|ADP를 다시 시작합니다.

인증 서비스에 대한 클라이언트 인증 요구 사항 제거(R24만 해당)

R24에서 CI 토큰 유효성 검사를 사용하여 인증 서비스를 구성한 경우, 인증 서비스에 대한 클라이언트 인증 요구 사항도 제거해야 합니다. 다음 CLI 명령어를 실행합니다.

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

HTTP 인터페이스에서 TLS 및 암호 구성(XSI 및 인증 서비스용)

인증 서비스, Xsi-Actions 및 Xsi-Events 응용프로그램은 HTTP 서버 인터페이스를 사용합니다. 그런 응용프로그램을 위한 TLS 구성 수준은 다음과 같습니다.

가장 일반적 = 시스템 > 전송 > HTTP > 인터페이스 = 가장 특정적

다른 SSL 설정을 보거나 수정하는 데 사용하는 CLI 컨텍스트:

특정성 CLI 컨텍스트
시스템(글로벌)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
이 시스템의 전송 프로토콜

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
이 시스템의 HTTP

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
이 시스템의 특정적인 HTTP 서버 인터페이스

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

XSP에서 HTTP 서버 TLS 인터페이스 구성 읽기|ADP

  1. XSP|ADP에 로그인하고 XSP|ADP_CLI/Interface/Http/HttpServer>로 이동합니다.

  2. get 명령을 입력하고 결과를 읽어보세요. 인터페이스(IP 주소) 그리고 각각에서 이것이 보호되며, 클라이언트 인증이 필요한지를 볼 수 있을 것입니다.

Apache tomcat은 각 보안 인터페이스에 대해 인증서를 의무화합니다. 시스템은 필요할 때 자기 서명 인증서를 생성합니다.

XSP|ADP_CLI/Interface/Http/HttpServer> get

get 명령을 입력한 후 표시되는 결과로, 인터페이스(IP 주소)와 각 인터페이스가 안전한지 여부, 클라이언트 인증이 필요한지 여부가 표시됩니다.

HTTP Server 인터페이스에 TLS 1.2 프로토콜 추가

Webex 클라우드와 상호 작용하는 HTTP 인터페이스는 TLSv1.2에 대해 구성되어야 합니다. 이 클라우드는 이전 버전의 TLS 프로토콜을 협상하지 않습니다.

HTTP Server 인터페이스에서 TLSv1.2 프로토콜을 구성하려면:

  1. XSP|ADP에 로그인하고 XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>로 이동합니다.

  2. 이 인터페이스에서 이미 사용 중인 프로토콜을 확인하려면 get 443 명령을 입력하세요.

  3. 클라우드와 통신할 때 인터페이스가 TLS 1.2를 사용할 수 있도록 하려면 명령 add 443 TLSv1.2 을 입력하세요.

HTTP 서버 인터페이스에서 TLS 암호 구성 편집

필요한 암호를 구성하려면:

  1. XSP|ADP에 로그인하고 XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>로 이동합니다.

  2. 이 인터페이스에서 이미 사용된 암호를 확인하려면 get 443 명령을 입력하세요. Cisco에서 권장하는 제품군 중 하나 이상이 있어야 합니다(개요 섹션의 XSP|ADP ID 및 보안 요구 사항 참조).

  3. HTTP 서버 인터페이스에 암호를 추가하려면 add 443 명령을 입력하세요.

    XSP|ADP CLI에는 openSSL 암호 그룹 이름이 아닌 IANA 표준 암호 그룹 이름이 필요합니다. 예를 들어, HTTP 서버 인터페이스에 openSSL 암호 ECDHE-ECDSA-CHACHA20-POLY1305 를 추가하려면 다음을 사용합니다. XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    각 이름으로 제품군을 검색하려면 https://ciphersuite.info/을(를) 참조하십시오.

XSP|ADP, 애플리케이션 서버 및 프로필 서버에서 장치 관리 구성

Profile Server와 XSP|ADP는 장치 관리에 필수입니다. 이들은 BroadWorks 장치 관리 구성 안내서의 지침에 따라 구성해야 합니다.