Configureer services op uw Webex voor Cisco BroadWorks XSP|ADP's

We vereisen dat de NPS-applicatie op een andere XSP|ADP wordt uitgevoerd. De vereisten voor die XSP|ADP worden beschreven in Configure Call Notifications from your Network.

U hebt de volgende applicaties nodig / services op uw XSP|ADP's.

Service/toepassing

Verificatie vereist

Service-/toepassingsdoel

Xsi-Events

TLS (server verifieert zichzelf bij clients)

Gespreksbeheer, servicemeldingen

Xsi-acties

TLS (server verifieert zichzelf bij clients)

Gespreksbeheer, acties

Apparaatbeheer

TLS (server verifieert zichzelf bij clients)

Calling-configuratie downloaden

Verificatieservice

TLS (server verifieert zichzelf bij clients)

Gebruikersverificatie

Integratie van computertelefonie

mTLS (client en server verifiëren elkaar)

Telefonische aanwezigheid

Gespreksinstellingen Webview-toepassing

TLS (server verifieert zichzelf bij clients)

Stelt instellingen voor gebruikersoproepen bekend in de selfcare-portal in de Webex-app

In deze sectie wordt beschreven hoe u de vereiste configuraties voor TLS en mTLS op deze interfaces toepast. Raadpleeg echter de bestaande documentatie om de applicaties op uw XSP|ADP's te installeren.

Vereisten voor co-residentie

  • De verificatieservice moet zijn co-resident met Xsi-toepassingen, omdat deze interfaces lange-tijdstokens voor serviceautorisatie moeten accepteren. De verificatieservice is vereist om deze tokens te valideren.

  • De verificatieservice en Xsi kunnen indien nodig op dezelfde poort worden uitgevoerd.

  • Je mag de andere scheiden services/applications zoals vereist voor uw schaal (bijvoorbeeld een speciaal apparaatbeheer XSP|ADP-farm).

  • U kunt de Xsi-, CTI-, verificatieservice en DMS-toepassingen co-lokaliseren.

  • Installeer geen andere applicaties of services op de XSP|ADP's die worden gebruikt voor de integratie van BroadWorks met Webex.

  • Zoek de NPS-toepassing niet samen met andere toepassingen.

Xsi-interfaces

Installeer en configureer de Xsi-Acties en Xsi-Events-toepassingen zoals beschreven in Configuratiehandleiding voor Cisco BroadWorks Xtended Services Interface.

Er mag slechts één exemplaar van de Xsi-Events-toepassingen worden geïmplementeerd op de XSP|ADP die wordt gebruikt voor de CTI-interface.

Alle Xsi-gebeurtenissen die worden gebruikt voor de integratie van Broadworks met Webex moeten dezelfde callControlApplicationName hebben die is gedefinieerd onder Applications/Xsi-Events/GeneralSettings. Bijvoorbeeld:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Wanneer een gebruiker wordt toegevoegd aan Webex, maakt Webex een abonnement voor de gebruiker op de AS om telefoongebeurtenissen voor aanwezigheid en oproepgeschiedenis te ontvangen. Het abonnement is gekoppeld aan de callControlApplicationName en de AS gebruikt deze om te bepalen naar welke Xsi-Events de telefoniegebeurtenissen moeten worden verzonden.

Als u de callControlApplicationName wijzigt of niet dezelfde naam gebruikt in alle Xsi-Events-webapps, heeft dit invloed op de functionaliteit van abonnementen en telefoniegebeurtenissen.

Verificatieservice configureren (met ci-tokenvalidatie)

Gebruik deze procedure om de verificatieservice te configureren om de CI-tokenvalidatie met TLS te gebruiken. Deze verificatiemethode wordt aanbevolen als u R22 of hoger gebruikt en uw systeem dit ondersteunt.

Gemeenschappelijke TLS (mTLS) wordt ook ondersteund als alternatieve verificatiemethode voor de verificatieservice. Als u meerdere Webex-organisaties hebt die dezelfde XSP|ADP-server gebruiken, moet u mTLS-verificatie gebruiken omdat CI-tokenvalidatie geen meerdere verbindingen met dezelfde XSP|ADP-verificatieservice ondersteunt.

Raadpleeg het bijlage voor configuratie van services (met mTLS voor de verificatieservice) om mTLS-verificatie te configureren voor de verificatieservice in plaats van de CI-tokenvalidatie.

Als u momenteel mTLS voor de verificatieservice gebruikt, is het niet verplicht dat u opnieuw configureert om de CI-tokenvalidatie met TLS te gebruiken.

  1. OAuth-referenties verkrijgen voor uw Webex voor Cisco BroadWorks.

  2. Installeer de volgende patches op elke XSP|ADP-server. Installeer de patches die geschikt zijn voor uw release:

    Met elke verwijzing naar XSP worden zowel XSP als ADP bedoeld.

  3. Installeer de AuthenticationService applicatie op elke XSP|ADP-service.

    1. Voer de volgende opdracht uit om de AuthenticationService-applicatie op de XSP|ADP te activeren naar de /authService contextpad.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

    2. Voer deze opdracht uit om de AuthenticationService op de XSP|ADP te implementeren:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

  4. Vanaf Broadworks build 2022.10 worden de certificaatautoriteiten die bij Java horen niet langer automatisch opgenomen in de BroadWorks-truststore bij de overstap naar een nieuwe versie van Java. De AuthenticationService opent een TLS-verbinding met Webex om het toegangstoken op te halen en moet het volgende in zijn truststore hebben om de IDBroker- en Webex-URL te valideren:

    • IdenTrust commercieel hoofd-CA 1

    • GoDaddy Root Certification Authority - G2

    Controleer of deze certificaten aanwezig zijn onder de volgende CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

    Als deze niet aanwezig is, voert u de volgende opdracht uit om de standaard Java-vertrouwensrelaties te importeren:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    U kunt deze certificaten ook handmatig toevoegen als vertrouwensankers met de volgende opdracht:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Als de ADP wordt geüpgraded vanaf een eerdere release, worden de certificeringsinstanties van de oude release automatisch geïmporteerd in de nieuwe release. Deze import blijft doorgaan totdat ze handmatig worden verwijderd.

    De AuthenticationService-applicatie is vrijgesteld van de validatePeerIdentity-instelling onder ADP_CLI/System/SSLCommonSettings/GeneralSettings, en valideert altijd de peer-identiteit. Zie de Cisco Broadworks X509 Certificate Validation FD voor meer informatie over deze instelling.

  5. Configureer de identiteitsproviders door de volgende opdrachten op elke XSP|ADP-server uit te voeren:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName —Voer voor URLde IssuerName-URL in die van toepassing is op uw CI-cluster. Zie onderstaande tabel.

    • set issuerUrl —Voer voor de URLde IssuerUrl in die van toepassing is op uw CI-cluster. Zie de volgende tabel.

    • set tokenInfoUrl —Voer de IdP-proxy-URL in die van toepassing is op uw Teams-cluster. Zie de tweede tabel die volgt.

    Tabel 1. IssuerName en issuerURL instellen
    Als het CI-cluster is...Stel issuerName en issuerURL in op...

    VS-A

    https://idbroker.webex.com/idb

    EU

    https://idbroker-eu.webex.com/idb

    VS-B

    https://idbroker-b-us.webex.com/idb

    Als u uw CI-clusterniet weet, kunt u de informatie verkrijgen via de klantgegevens in het Helpdesk-overzicht van Control Hub.

    Tabel 2. TokenInfoURL instellen
    Als het Teamcluster is...Stel tokenInfoURL in op...(IdP Proxy URL)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    Afra

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Als u uw Teamsclusterniet weet, kunt u de informatie verkrijgen via de klantgegevens in het Helpdeskoverzicht van Control Hub.

    • Om te testen, kunt u verifiëren of de tokenInfoURL geldig is door het "idp/authenticate"-gedeelte van de URL te vervangen door "ping".

  6. Specificeer de Webex-machtiging die aanwezig moet zijn in gebruikersprofiel Webex door de volgende opdracht uit te voeren:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  7. Configureer identiteitsproviders voor Cisco Federation met de volgende opdrachten op elke XSP|ADP-server:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken refresh-Token-From-Step1

  8. Voer de volgende opdracht uit om te controleren of uw FLS-configuratie werkt. Met deze opdracht wordt de lijst met identiteitsproviders retourneren:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. Configureer Token Management met de volgende opdrachten op elke XSP|ADP-server:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. RSA-sleutels genereren en delen. U moet sleutels genereren op één XSP|ADP en deze vervolgens kopiëren naar alle andere XSP|ADP's. De volgende factoren zijn van invloed op het volgende:

    • U moet dezelfde openbare/privésleutelparen gebruiken voor de codering/decodering van het token in alle exemplaren van de verificatieservice.

    • Het sleutelpaar wordt gegenereerd door de verificatieservice wanneer deze voor het eerst een token moet verlenen.

    Als u sleutels doorloopt of de sleutellengte wijzigt, moet u de volgende configuratie herhalen en alle XSP|ADP's opnieuw opstarten.

    1. Selecteer één XSP|ADP die u wilt gebruiken voor het genereren van een sleutelpaar.

    2. Gebruik een client om een gecodeerde token aan te vragen bij die XSP|ADP, door de volgende URL op te vragen bij de browser van de client:

      https:///authService/token?key=BASE64URL(clientPublicKey)

      (Dit genereert een privé / openbaar sleutelpaar op de XSP|ADP, als er nog geen was)

    3. De locatie voor het opslaan van de sleutel kan niet worden geconfigureerd. Exporteert u de sleutels:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopieer het geëxporteerde bestand /var/broadworks/tmp/authService.keys naar dezelfde locatie op de andere XSP|ADP's en overschrijf indien nodig een ouder .keys bestand.

    5. Importeer de sleutels op elk van de andere XSP|ADP's:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Geef de authService-URL aan de webcontainer door. De webcontainer van XSP|ADP heeft de authService-URL nodig om tokens te kunnen valideren. Op elk van de XSP|ADP's:

    1. Voeg de URL van de verificatieservice toe als een externe verificatieservice voor het BroadWorks Communications Utility:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Voeg de URL van de verificatieservice toe aan de container:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Hiermee kan Webex de verificatieservice gebruiken om de tokens die als aanmeldgegevens worden gepresenteerd, te valideren.

    3. Controleer de parameter met get.

    4. Start de XSP|ADP opnieuw.

Verificatievereiste voor client verwijderen voor verificatieservice (alleen R24)

Als de verificatieservice is geconfigureerd met de CI-tokenvalidatie op R24, moet u ook de Verificatievereiste voor de client verwijderen voor de verificatieservice. Voer het volgende CLI-commando uit:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

TLS en Versleutelingen configureren op de HTTP-interfaces (voor XSI en de verificatieservice)

De verificatieservice, Xsi-Acties en Xsi-Events-toepassingen maken gebruik van HTTP-serverinterfaces. De niveaus van TLS-configuratie voor deze toepassingen zijn als volgt:

Algemeen = System > Transport > HTTP > HTTP Server-interface = Meest specifiek

De CLI-contexten die u gebruikt om de verschillende SSL-instellingen weer te geven of te wijzigen zijn:

Specificiteit CLI-context
Systeem (algemeen)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Transportprotocollen voor dit systeem

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP op dit systeem

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Specifieke HTTP-serverinterfaces op dit systeem

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Lezen van HTTP-server TLS-interfaceconfiguratie op de XSP|ADP

  1. Meld u aan bij de XSP|ADP en navigeer naar XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Voer de opdracht get in en lees de resultaten. U moet de interfaces (IP-adressen) en, voor elk, bekijken of ze beveiligd zijn en of clientverificatie vereist is.

Het gaat om een certificaat voor elke beveiligde interface. genereert het systeem een zelf-ondertekend certificaat indien dat nodig is.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Resultaten die worden weergegeven nadat u de opdracht get hebt ingevoerd. Hierin worden de interfaces (IP-adressen) weergegeven en voor elke interface of deze veilig zijn en of er clientauthenticatie vereist is.

TLS 1.2-protocol toevoegen aan de HTTP-serverinterface

De HTTP-interface die met de Webex-cloud communiceert, moet zijn geconfigureerd voor TLSv1.2. De cloud onderhandelen niet over eerdere versies van het TLS-protocol.

Het TLSv1.2-protocol configureren in de HTTP-serverinterface:

  1. Meld u aan bij de XSP|ADP en navigeer naar XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Voer de opdracht get 443 in om te zien welke protocollen al op deze interface worden gebruikt.

  3. Voer de opdracht add 443 TLSv1.2 in om ervoor te zorgen dat de interface TLS 1.2 kan gebruiken bij communicatie met de cloud.

TLS-versleutelingsconfiguratie bewerken op de HTTP-serverinterface

De vereiste versleutelingen configureren:

  1. Meld u aan bij de XSP|ADP en navigeer naar XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Voer de opdracht get 443 in om te zien welke cijfers al op deze interface worden gebruikt. Er moet minimaal één suite zijn die door Cisco wordt aanbevolen (zie XSP|ADP Identity and Security Requirements in het gedeelte Overzicht).

  3. Voer de opdracht add 443 in om een code toe te voegen aan de HTTP-serverinterface.

    De XSP|ADP CLI vereist de naam van de IANA-standaardcijfersuite, niet de naam van de openSSL-cijfersuite. Om bijvoorbeeld de openSSL-cipher ECDHE-ECDSA-CHACHA20-POLY1305 aan de HTTP-serverinterface toe te voegen, gebruikt u: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Zie https://ciphersuite.info/ om de suite te vinden op beide namen.

Apparaatbeheer configureren op XSP|ADP, toepassingsserver en profielserver

Profile Server en XSP|ADP zijn verplicht voor Device Management. Deze moeten worden geconfigureerd volgens de instructies in de Configuratiehandleiding van BroadWorks Device Management.