Cisco BroadWorks용 Webex XSP|ADP에서 서비스 구성

다른 XSP|ADP에서 NPS 응용프로그램을 실행해야 합니다. 해당 XSP|ADP에 대한 요구 사항은 네트워크에서 통화 알림 구성에 설명되어 있습니다.

XSP|ADP에 다음 응용프로그램 / 서비스가 필요합니다.

서비스/응용프로그램

인증 필요

서비스/응용프로그램 목적

Xsi-Events

TLS(서버가 클라이언트에 대해 스스로를 인증함)

통화 제어, 서비스 알림

Xsi-Actions

TLS(서버가 클라이언트에 대해 스스로를 인증함)

통화 제어, 작업

장치 관리

TLS(서버가 클라이언트에 대해 스스로를 인증함)

통화 구성 다운로드

인증 서비스

TLS(서버가 클라이언트에 대해 스스로를 인증함)

사용자 인증

컴퓨터 전화 통신 통합

mTLS(클라이언트와 서버가 서로 인증함)

전화 통신 프레즌스

통화 설정 웹뷰 응용프로그램

TLS(서버가 클라이언트에 대해 스스로를 인증함)

Webex 앱 내의 자기 관리 포털에 사용자 통화 설정을 노출시킵니다.

이 섹션에서는 해당 인터페이스에서 TLS 및 mTLS에 필요한 구성을 적용하는 방법을 설명하지만, XSP|ADP에 응용프로그램을 설치하려면 기존의 문서를 참조해야 합니다.

공동 상주 요구 사항

  • 이런 인터페이스는 서비스 허가를 위해 장기 토큰을 수락해야 하기 때문에 인증 서비스는 Xsi 응용프로그램과 공동 상주해야 합니다. 그런 토큰의 유효성을 검증하려면 인증 서비스가 필요합니다.

  • 인증 서비스 및 Xsi는 필요한 경우, 동일한 포트에서 실행할 수 있습니다.

  • 규모에 필요한 다른 서비스/응용프로그램을 구분할 수도 있습니다(예: 전용 장치 관리 XSP|ADP 팜).

  • Xsi, CTI, 인증 서비스 및 DMS 응용프로그램을 코로케이션할 수 있습니다.

  • BroadWorks와 Webex 통합에 사용되는 XSP|ADP에 다른 응용프로그램 또는 서비스를 설치하지 마십시오.

  • NPS 응용프로그램을 다른 응용프로그램과 코로케이션하지 마십시오.

Xsi 인터페이스

Cisco BroadWorks Xtended 서비스 인터페이스 구성 안내서에 기술된 바와 같이 Xsi-Actions 및 Xsi-Events 응용프로그램을 설치하고 구성합니다.

CTI 인터페이스에 사용되는 XSP|ADP에 한 개의 Xsi-Events 응용프로그램만 배포되어야 합니다.

Broadworks를 Webex에 통합하기 위해 사용되는 모든 Xsi-Events에는 Applications/Xsi-Events/GeneralSettings 아래에 정의된 동일한 callControlApplicationName이 있어야 합니다. 예:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> 가져오기

callControlApplicationName = com.broadsoft.xsi-events

사용자가 Webex에 등록되면 Webex는 프레즌스 및 통화 기록에 대한 텔레포니 이벤트를 수신하기 위해 AS에서 사용자에 대한 가입을 만듭니다. 가입은 callControlApplicationName과 연결되며, AS는 이를 사용하여 텔레포니 이벤트를 전송하는 Xsi-Events를 알 수 있습니다.

callControlApplicationName을 변경하거나 모든 Xsi-Events 웹 앱에서 동일한 이름을 지정하지 않으면 가입 및 텔레포니 이벤트 기능에 영향을 미칩니다.

인증 서비스 구성 (CI 토큰 유효성 검증)

이 절차를 사용하여 TLS에서 CI 토큰 유효성 검증을 사용하도록 인증 서비스를 구성하십시오. R22 이상을 실행하고 있으며 시스템에서 지원하는 경우, 이 인증 방법이 권장됩니다.

상호 TLS(mTLS)도 인증 서비스에 대한 대체 인증 방법으로 지원됩니다. 동일한 XSP|ADP 서버를 실행하고 있는 여러 Webex 조직이 있는 경우, CI 토큰 유효성 검증은 동일한 XSP|ADP 인증 서비스에 대한 여러 연결을 지원하지 않기 때문에 mTLS 인증을 사용해야 합니다.

CI 토큰 유효성 검사 대신 인증 서비스에 대한 mTLS 인증을 구성하려면 서비스 구성에 대한 부록(인증 서비스에 mTLS 사용)을 참조하십시오.

현재 인증 서비스에 mTLS를 사용하는 경우, TLS와 함께 CI 토큰 유효성 검사를 사용하도록 재구성할 필요는 없습니다.

  1. Cisco BroadWorks용 Webex에 대한 OAuth 자격 증명 얻기.

  2. 각 XSP|ADP 서버에 다음 패치를 설치합니다. 릴리즈에 적절한 패치를 설치하십시오.

    XSP에 대한 참조에는 XSP 또는 ADP가 포함됩니다.

  3. 각 XSP ADP 서비스에 AuthenticationService| 응용프로그램을 설치합니다.

    1. 다음 명령어를 실행하여 XSP|ADP에서 /authService 컨텍스트 경로에 대한 AuthenticationService 응용프로그램을 활성화합니다.

      XSP|ADP_CLI/Maintenance/ManagedObjects> 애플리케이션 인증 서비스 22.0_1.1123/authService 활성화

    2. 이 명령어를 실행하여 XSP|ADP에 AuthenticationService를 배포합니다.

      XSP|ADP_CLI/Maintenance/ManagedObjects> 배포 응용프로그램 /authServiceBroadWorks SW 관리자 배포 /authServiceBroadWorks...

  4. Broadworks 빌드 2022.10부터 Java와 함께 제공되는 인증 기관은 새로운 버전의 Java로 전환할 때 더 이상 BroadWorks 신뢰 저장소에 자동으로 포함되지 않습니다. AuthenticationService는 액세스 토큰을 가져오기 위해 Webex에 대한 TLS 연결을 열고, IDBroker 및 Webex URL의 유효성을 검증하려면 truststore에 다음 항목이 있어야 합니다.

    • IdenTrust Commercial Root CA 1

    • Go Daddy Root Certificate Authority - G2

    다음 CLI 아래에 해당 인증서가 존재하는지 확인합니다.

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> 가져오기

    존재하지 않는 경우 다음 명령을 실행하여 기본 Java 트러스트를 가져옵니다.

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> JavaCATrust 가져오기

    또는 다음 명령을 사용하여 이러한 인증서를 신뢰 앵커로 수동으로 추가할 수도 있습니다.

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    이전 릴리즈에서 ADP가 업그레이드된 경우 이전 릴리즈의 인증 기관은 새로운 릴리즈로 자동으로 가져오고 수동으로 제거될 때까지 계속 가져옵니다.

    AuthenticationService 응용프로그램은 ADP_CLI/System/SSLCommonSettings/GeneralSettings 아래에 있는 validatePeerIdentity 설정에서 제외되며, 항상 피어 ID의 유효성을 검증합니다. 이 설정에 대한 자세한 정보는 Cisco Broadworks X509 인증서 유효성 검증 FD 를 참조하십시오.

  5. 각 XSP|ADP 서버에서 다음 명령어를 실행하여 ID 공급자를 구성합니다.

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • clientSecret 설정 client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName URL에 대해 CI 클러스터에 적용되는 IssuerName URL을 입력합니다. 다음 표를 참조하십시오.

    • set issuerUrl URL에 대해 CI 클러스터에 적용되는 IssuerUrl을 입력합니다. 다음 표를 참조하십시오.

    • set tokenInfoUrl —Teams 클러스터에 적용되는 IdP 프록시 URL을 입력합니다. 다음 두 번째 표를 참조하십시오.

    표 1. issuerName 및 issuerURL 설정
    만약 CI 클러스터가...issuerName 및 issuerURL을 다음으로 설정...

    US-A

    https://idbroker.webex.com/idb

    EU

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    CI 클러스터를 모르는 경우, Control Hub의 헬프 데스크 보기의 고객 세부 사항에서 정보를 확인할 수 있습니다.

    표 2. tokenInfoURL 설정
    만약 Teams 클러스터가...tokenInfoURL을...(IdP 프록시 URL) 설정

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Teams 클러스터를 모르는 경우, Control Hub의 헬프 데스크 보기의 고객 세부 사항에서 정보를 확인할 수 있습니다.

    • 테스트를 위해 URL의 "idp/authenticate" 부분을 "ping"으로 교체하여 tokenInfoURL이 유효한지 확인할 수 있습니다.

  6. 다음 명령어를 실행하여 Webex의 사용자 프로필에 표시되어야 하는 Webex 자격을 지정합니다.

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> 범위 broadworks-connector:user 설정

  7. 각 XSP|ADP 서버에서 다음 명령어를 사용하여 Cisco 페더레이션에 대한 ID 공급자를 구성합니다.

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • refreshToken 설정 새로 고침-Token-From-Step1

  8. 다음 명령어를 실행하여 FLS 구성이 작동하고 있는지 검증하십시오. 이 명령어는 ID 공급자의 목록을 반환합니다.

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> 얻기

  9. 각 XSP|ADP 서버에서 다음 명령어를 사용하여 토큰 관리를 구성합니다.

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. RSA 키를 생성하고 공유합니다. 한 개의 XSP|ADP에서 키를 생성한 후 다른 모든 XSP|ADP로 복사해야 합니다. 다음과 같은 이유 때문입니다.

    • 토큰 암호화/해독을 위해서는 인증 서비스의 모든 인스턴스에서 동일한 공개/비공개 키 쌍을 사용해야 합니다.

    • 키 쌍은 처음 토큰을 발급하도록 요구 받았을 때 인증 서비스에서 생성합니다.

    키를 순환하거나 키 길이를 변경하는 경우, 다음 구성을 반복하고 모든 XSP|ADP를 다시 시작해야 합니다.

    1. 키 쌍을 생성하기 위해 사용할 한 개의 XSP|ADP를 선택합니다.

    2. 클라이언트를 사용하여 클라이언트의 브라우저에서 다음 URL을 요청하여 해당 XSP|ADP에서 암호화된 토큰을 요청합니다.

      https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

      (이는 아직 XSP|ADP에 비공개/공개 키 쌍이 없는 경우에 생성함)

    3. 키 저장소 위치는 구성할 수 없습니다. 키 내보내기:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. 내보낸 파일 /var/broadworks/tmp/authService.keys 를 다른 XSP|ADP에 있는 동일한 위치로 복사하고, 필요한 경우 이전 .keys 파일을 덮어씁니다.

    5. 다른 각 XSP|ADP에서 키 가져오기:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. authService URL을 웹 컨테이너에 제공합니다. 토큰의 유효성을 검증할 수 있도록 XSP|ADP의 웹 컨테이너에 authService URL이 필요합니다. 각 XSP|ADP에서:

    1. 인증 서비스 URL을 BroadWorks Communications Utility의 외부 인증 서비스로 추가합니다.

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> 설정 url http://127.0.0.1:80/authService

    2. 인증 서비스 URL을 컨테이너에 추가합니다.

      XSP|ADP_CLI/Maintenance/ContainerOptions> 추가 tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      이렇게 하면 Webex는 인증 서비스를 사용하여 자격 증명으로 제공된 토큰의 유효성을 검증할 수 있습니다.

    3. get으로 파라미터를 점검합니다.

    4. XSP|ADP를 다시 시작합니다.

인증 서비스에 대한 클라이언트 인증 요구 사항 제거(R24만 해당)

R24에서 CI 토큰 유효성 검사를 사용하여 인증 서비스를 구성한 경우, 인증 서비스에 대한 클라이언트 인증 요구 사항도 제거해야 합니다. 다음 CLI 명령어를 실행합니다.

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

HTTP 인터페이스에서 TLS 및 암호 구성(XSI 및 인증 서비스용)

인증 서비스, Xsi-Actions 및 Xsi-Events 응용프로그램은 HTTP 서버 인터페이스를 사용합니다. 그런 응용프로그램을 위한 TLS 구성 수준은 다음과 같습니다.

가장 일반적 = 시스템 > 전송 > HTTP > 인터페이스 = 가장 특정적

다른 SSL 설정을 보거나 수정하는 데 사용하는 CLI 컨텍스트:

특정성 CLI 컨텍스트
시스템(글로벌)

XSP|ADP_CLI/시스템/SSLCommonSettings/JSSE/암호>

XSP|ADP_CLI/시스템/SSLCommonSettings/JSSE/프로토콜>
이 시스템의 전송 프로토콜

XSP|ADP_CLI/시스템/SSLCommonSettings/OpenSSL/암호>

XSP|ADP_CLI/시스템/SSLCommonSettings/OpenSSL/프로토콜>
이 시스템의 HTTP

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
이 시스템의 특정적인 HTTP 서버 인터페이스

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/암호>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/프로토콜>

XSP|ADP에서 HTTP 서버 TLS 인터페이스 구성 읽기

  1. XSP|ADP에 로그인하고 XSP|ADP_CLI/Interface/Http/HttpServer>로 이동합니다.

  2. get 명령어를 입력하고 결과를 읽습니다. 인터페이스(IP 주소) 그리고 각각에서 이것이 보호되며, 클라이언트 인증이 필요한지를 볼 수 있을 것입니다.

Apache tomcat은 각 보안 인터페이스에 대해 인증서를 의무화합니다. 시스템은 필요할 때 자기 서명 인증서를 생성합니다.

XSP|ADP_CLI/Interface/Http/HttpServer> get

HTTP Server 인터페이스에 TLS 1.2 프로토콜 추가

Webex 클라우드와 상호 작용하는 HTTP 인터페이스는 TLSv1.2에 대해 구성되어야 합니다. 이 클라우드는 이전 버전의 TLS 프로토콜을 협상하지 않습니다.

HTTP Server 인터페이스에서 TLSv1.2 프로토콜을 구성하려면:

  1. XSP|ADP에 로그인하고 XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>로 이동합니다.

  2. 명령어 get 443 을 입력하여 어떤 프로토콜이 이 인터페이스에서 이미 사용되고 있는지 확인합니다.

  3. 명령어 add 443 TLSv1.2 를 입력하여 클라우드와 통신할 때 인터페이스가 TLS 1.2를 사용할 수 있도록 합니다.

HTTP 서버 인터페이스에서 TLS 암호 구성 편집

필요한 암호를 구성하려면:

  1. XSP|ADP에 로그인하고 XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>로 이동합니다.

  2. 명령어 get 443 을 입력하여 어떤 암호가 이 인터페이스에서 이미 사용되고 있는지 확인합니다. Cisco 권장되는 도구 모음 중 최소한 한 개가 있어야 합니다(개요 섹션의 XSP|ADP ID 및 보안 요구 사항 참조).

  3. 명령어 add 443 을 입력하여 HTTP 서버 인터페이스에 암호를 추가합니다.

    XSP|ADP CLI에는 openSSL 암호 도구 모음 이름이 아닌 IANA 표준 암호 도구 모음 이름이 필요합니다. 예를 들어, openSSL 암호 ECDHE-ECDSA-CHACHA20-POLY1305를 HTTP 서버 인터페이스에 추가하려면 다음을 사용하십시오. XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/암호>추가 192.0.2.7 443 TLS_ECDHE_ECDSA_with_CHACHA20_POLY1305

    각 이름으로 제품군을 검색하려면 https://ciphersuite.info/을(를) 참조하십시오.

XSP|ADP, 응용프로그램 서버 및 프로필 서버에서 장치 관리 구성

장치 관리에 대해 프로필 서버 및 XSP|ADP는 필수입니다. 이들은 BroadWorks 장치 관리 구성 안내서의 지침에 따라 구성해야 합니다.