Services configureren op uw Webex voor Cisco BroadWorks XSP|ADP's

We vereisen dat de NPS-toepassing wordt uitgevoerd op een andere XSP|ADP. Vereisten voor die XSP|ADP worden beschreven in Gespreksmeldingen van uw netwerk configureren.

U hebt de volgende toepassingen/services nodig op uw XSP|ADP's.

Service/toepassing

Verificatie vereist

Service-/toepassingsdoel

Xsi-Events

TLS (server verifieert zichzelf bij clients)

Gespreksbeheer, servicemeldingen

Xsi-acties

TLS (server verifieert zichzelf bij clients)

Gespreksbeheer, acties

Apparaatbeheer

TLS (server verifieert zichzelf bij clients)

Calling-configuratie downloaden

Verificatieservice

TLS (server verifieert zichzelf bij clients)

Gebruikersverificatie

Integratie van computertelefonie

mTLS (client en server verifiëren elkaar)

Telefonische aanwezigheid

Gespreksinstellingen Webview-toepassing

TLS (server verifieert zichzelf bij clients)

Stelt instellingen voor gebruikersoproepen bekend in de selfcare-portal in de Webex-app

In dit gedeelte wordt beschreven hoe u de vereiste configuraties voor TLS en mTLS op deze interfaces kunt toepassen, maar u moet verwijzen naar de bestaande documentatie om de toepassingen op uw XSP|ADP's te installeren.

Vereisten voor co-residentie

  • De verificatieservice moet zijn co-resident met Xsi-toepassingen, omdat deze interfaces lange-tijdstokens voor serviceautorisatie moeten accepteren. De verificatieservice is vereist om deze tokens te valideren.

  • De verificatieservice en Xsi kunnen indien nodig op dezelfde poort worden uitgevoerd.

  • U kunt de andere services/toepassingen scheiden als dat nodig is voor uw schaal (bijvoorbeeld XSP|ADP-farm voor toegewezen apparaatbeheer).

  • U kunt de Xsi-, CTI-, verificatieservice en DMS-toepassingen co-lokaliseren.

  • Installeer geen andere toepassingen of services op de XSP|ADP's die worden gebruikt voor de integratie van BroadWorks met Webex.

  • Zoek de NPS-toepassing niet samen met andere toepassingen.

Xsi-interfaces

Installeer en configureer de Xsi-Acties en Xsi-Events-toepassingen zoals beschreven in Configuratiehandleiding voor Cisco BroadWorks Xtended Services Interface.

Er mag slechts één exemplaar van de Xsi-Events-toepassingen worden geïmplementeerd op de XSP|ADP die wordt gebruikt voor de CTI-interface.

Alle Xsi-Events die worden gebruikt voor het integreren van Broadworks met Webex, moeten dezelfde callControlApplicationName hebben die is gedefinieerd onder Applications/Xsi-Events/GeneralSettings. Bijvoorbeeld:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> krijgen

callControlApplicationName = com.broadsoft.xsi-events

Wanneer een gebruiker is geïntegreerd in Webex, maakt Webex een abonnement voor de gebruiker op de AS om telefoniegebeurtenissen voor aanwezigheid- en gespreksgeschiedenis te ontvangen. Het abonnement is gekoppeld aan callControlApplicationName en het AS gebruikt het om te weten naar welke Xsi-Events de telefoniegebeurtenissen moet verzenden.

Het wijzigen van de callControlApplicationName of het niet dezelfde naam hebben in alle Xsi-Events-webapps, heeft invloed op abonnementen en de functionaliteit voor telefoniegebeurtenissen.

Verificatieservice configureren (met ci-tokenvalidatie)

Gebruik deze procedure om de verificatieservice te configureren om de CI-tokenvalidatie met TLS te gebruiken. Deze verificatiemethode wordt aanbevolen als u R22 of hoger gebruikt en uw systeem dit ondersteunt.

Gemeenschappelijke TLS (mTLS) wordt ook ondersteund als alternatieve verificatiemethode voor de verificatieservice. Als u meerdere Webex-organisaties dezelfde XSP|ADP-server hebt afgesloten, moet u mTLS-verificatie gebruiken omdat de validatie van het CI-token niet meerdere verbindingen met dezelfde XSP|ADP-verificatieservice ondersteunt.

Raadpleeg het bijlage voor configuratie van services (met mTLS voor de verificatieservice) om mTLS-verificatie te configureren voor de verificatieservice in plaats van de CI-tokenvalidatie.

Als u momenteel mTLS voor de verificatieservice gebruikt, is het niet verplicht dat u opnieuw configureert om de CI-tokenvalidatie met TLS te gebruiken.

  1. OAuth-aanmeldgegevens voor uw Webex voor Cisco BroadWorks verkrijgen.

  2. Installeer de volgende patches op elke XSP|ADP-server. Installeer de patches die geschikt zijn voor uw release:

    Elke verwijzing naar XSP omvat XSP of ADP.

  3. Installeer de toepassing AuthenticationService op elke XSP|ADP-service.

    1. Voer de volgende opdracht uit om de AuthenticationService-toepassing op de XSP|ADP naar het /authService-contextpad te activeren.

      XSP|ADP_CLI/Maintenance/ManagedObjects> toepassing AuthenticationService 22.0 activeren_1.1123/authService

    2. Voer deze opdracht uit om de verificatieservice op de XSP-|ADP te implementeren:

      XSP|ADP_CLI/Maintenance/ManagedObjects> toepassing implementeren /authServiceBroadWorks SW Manager implementeren /authService...

  4. Vanaf de BroadWorks-versie 2022.10 worden de certificeringsinstanties die met Java worden meegeleverd, niet langer automatisch opgenomen in de BroadWorks Trust Store wanneer naar een nieuwe versie van Java wordt overgeschakeld. De AuthenticationService opent een TLS-verbinding met Webex om het toegangstoken op te halen. De truststore moet het volgende hebben om de URL van IDBroker en Webex te valideren:

    • IdenTrust commercieel hoofd-CA 1

    • GoDaddy Root Certification Authority - G2

    Controleer of deze certificaten aanwezig zijn onder de volgende CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> krijgen

    Indien niet aanwezig, voert u de volgende opdracht uit om de standaard Java-vertrouwensarchieven te importeren:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> JavaCATrust importeren

    U kunt deze certificaten ook handmatig toevoegen als vertrouwensankers met de volgende opdracht:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Als de ADP is geüpgraded van een vorige release, worden de certificeringsinstanties van de oude release automatisch naar de nieuwe release geïmporteerd en blijven ze geïmporteerd totdat ze handmatig worden verwijderd.

    De toepassing AuthenticationService is vrijgesteld van de instelling validatePeerIdentity onder ADP_CLI/System/SSLCommonSettings/GeneralSettings en valideert altijd de identiteit van de peer. Zie de Cisco BroadWorks X509-certificaatvalidatie FD voor meer informatie over deze instelling.

  5. Configureer de identiteitsproviders door de volgende opdrachten uit te voeren op elke XSP|ADP-server:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco>get

    • clientId client-id-from-step1 instellen

    • ingesteld waar

    • set clientSecret client-Secret-From-Step1

    • ciResponseBodyMaxSizeInBytes 65536 instellen

    • issuerName instellen : voer voor de URL de IssuerName-URL in die van toepassing is op uw CI-cluster. Zie de volgende tabel.

    • issuerUrl instellen : voer voor de URL de IssuerUrl in die van toepassing is op uw CI-cluster. Zie de volgende tabel.

    • tokenInfoUrl instellen : voer de IdP proxy-URL in die van toepassing is op uw Teams-cluster. Zie de tweede tabel die volgt.

    Tabel 1. Naam uitgever en URL uitgever instellen
    Als het CI-cluster is...Naam en URL van uitgever instellen op...

    VS-A

    https://idbroker.webex.com/idb

    EU

    https://idbroker-eu.webex.com/idb

    VS-B

    https://idbroker-b-us.webex.com/idb

    Als u uw CI-cluster niet weet, kunt u de informatie verkrijgen uit de klantgegevens in de Helpdesk-weergave van Control Hub.

    Tabel 2. tokenInfoURL instellen
    Als het Teamcluster is...tokenInfoURL instellen op...(IdP-PROXY-URL)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    Afra

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Als u uw Teams-cluster niet weet, kunt u de informatie verkrijgen uit de klantgegevens in de weergave Helpdesk van Control Hub.

    • Om te testen, kunt u controleren of de tokenInfoURL geldig is door het gedeelte 'idp/authenticeren' van de URL te vervangen door 'ping'.

  6. Specificeer de Webex-machtiging die aanwezig moet zijn in gebruikersprofiel Webex door de volgende opdracht uit te voeren:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> scope instellen broadworks-connector:gebruiker

  7. Configureer Identiteitsproviders voor Cisco-federatie met behulp van de volgende opdrachten op elke XSP|ADP-server:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • flsUrl instellen https://cifls.webex.com/federation

    • vernieuwenPeriodInMinutes 60 instellen

    • refreshToken instellen Refresh-Token-From-Step1

  8. Voer de volgende opdracht uit om te controleren of uw FLS-configuratie werkt. Met deze opdracht wordt de lijst met identiteitsproviders retourneren:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. Configureer Tokenbeheer met de volgende opdrachten op elke XSP|ADP-server:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • tokenIssuer BroadWorks instellen

    • tokenDurationInHours 720 instellen

  10. RSA-sleutels genereren en delen. U moet sleutels genereren op één XSP|ADP en deze naar alle andere XSP|ADP's kopiëren. De volgende factoren zijn van invloed op het volgende:

    • U moet dezelfde openbare/privésleutelparen gebruiken voor de codering/decodering van het token in alle exemplaren van de verificatieservice.

    • Het sleutelpaar wordt gegenereerd door de verificatieservice wanneer deze voor het eerst een token moet verlenen.

    Als u sleutels cyclus of de sleutellengte wijzigt, moet u de volgende configuratie herhalen en alle XSP|ADP's opnieuw starten.

    1. Selecteer één XSP|ADP die u wilt gebruiken voor het genereren van een sleutelpaar.

    2. Gebruik een client om een gecodeerd token aan te vragen van die XSP|ADP door de volgende URL aan te vragen vanuit de browser van de client:

      https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

      (Dit genereert een privésleutelpaar/openbare sleutelpaar op de XSP|ADP, als die er nog niet was)

    3. De locatie voor het opslaan van de sleutel kan niet worden geconfigureerd. Exporteert u de sleutels:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopieer het geëxporteerde bestand /var/broadworks/tmp/authService.keys naar dezelfde locatie op de andere XSP|ADP's en overschrijf indien nodig een ouder .keys -bestand.

    5. Importeer de sleutels op elk van de andere XSP|ADP's:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Geef de authService-URL aan de webcontainer door. De webcontainer van de XSP|ADP heeft de authService-URL nodig zodat deze tokens kan valideren. Op elk van de XSP|ADP's:

    1. Voeg de URL van de verificatieservice toe als een externe verificatieservice voor het BroadWorks Communications Utility:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> URL instellen http://127.0.0.1:80/authService

    2. Voeg de URL van de verificatieservice toe aan de container:

      XSP|ADP_CLI/Maintenance/ContainerOptions> tomcat bw.authservice.authServiceUrl toevoegen http://127.0.0.1:80/authService

      Hiermee kan Webex de verificatieservice gebruiken om de tokens die als aanmeldgegevens worden gepresenteerd, te valideren.

    3. Controleer de parameter met krijgen.

    4. Start de XSP|ADP opnieuw.

Verificatievereiste voor client verwijderen voor verificatieservice (alleen R24)

Als de verificatieservice is geconfigureerd met de CI-tokenvalidatie op R24, moet u ook de Verificatievereiste voor de client verwijderen voor de verificatieservice. Voer het volgende CLI-commando uit:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> AuthenticationService clientAuthReq false instellen

TLS en Versleutelingen configureren op de HTTP-interfaces (voor XSI en de verificatieservice)

De verificatieservice, Xsi-Acties en Xsi-Events-toepassingen maken gebruik van HTTP-serverinterfaces. De niveaus van TLS-configuratie voor deze toepassingen zijn als volgt:

Algemeen = System > Transport > HTTP > HTTP Server-interface = Meest specifiek

De CLI-contexten die u gebruikt om de verschillende SSL-instellingen weer te geven of te wijzigen zijn:

Specificiteit CLI-context
Systeem (algemeen)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Transportprotocollen voor dit systeem

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP op dit systeem

XSP|ADP_Cli/interface/http/sslcommonSettings/Ciphers>

XSP|ADP_Cli/interface/http/sslcommonSettings/Protocols>
Specifieke HTTP-serverinterfaces op dit systeem

XSP|ADP_Cli/interface/http/httpServer/SSLSettings/Ciphers>

XSP|ADP_Cli/interface/http/httpServer/SSLSettings/protocols>

Configuratie van de HTTP-server TLS-interface lezen op de XSP|ADP

  1. Meld u aan bij de XSP|ADP en ga naar XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Voer de opdracht Opdracht op halen in en lees de resultaten. U moet de interfaces (IP-adressen) en, voor elk, bekijken of ze beveiligd zijn en of clientverificatie vereist is.

Het gaat om een certificaat voor elke beveiligde interface. genereert het systeem een zelf-ondertekend certificaat indien dat nodig is.

XSP|ADP_Cli/interface/http/httpServer> get

TLS 1.2-protocol toevoegen aan de HTTP-serverinterface

De HTTP-interface die met de Webex-cloud communiceert, moet zijn geconfigureerd voor TLSv1.2. De cloud onderhandelen niet over eerdere versies van het TLS-protocol.

Het TLSv1.2-protocol configureren in de HTTP-serverinterface:

  1. Meld u aan bij de XSP|ADP en ga naar XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Voer de opdracht get 443 in om te zien welke protocollen al worden gebruikt op deze interface.

  3. Voer de opdracht 443 TLSv1.2 toevoegen in om ervoor te zorgen dat de interface TLS 1.2 kan gebruiken voor communicatie met de cloud.

TLS-versleutelingsconfiguratie bewerken op de HTTP-serverinterface

De vereiste versleutelingen configureren:

  1. Meld u aan bij de XSP|ADP en ga naar XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Voer de opdracht get 443 in om te zien welke cijfers al worden gebruikt in deze interface. Er moet ten minste één van de door Cisco aanbevolen suites zijn (zie XSP|ADP-identiteitsvereisten en beveiligingsvereisten in het gedeelte Overzicht).

  3. Voer de opdracht 443 toevoegen om een code toe te voegen aan de HTTP-serverinterface.

    De XSP|ADP CLI vereist de IANA-standaard versleutelingssuitenaam, niet de openSSL-versleutelingssuitenaam. Als u bijvoorbeeld de openSSL-versleuteling ECDHE-ECDSA-CHACHA20-POLY1305 wilt toevoegen aan de HTTP-serverinterface, gebruikt u: XSP|ADP_Cli/interface/http/httpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_MET_CHACHA20_POLY1305

    Zie https://ciphersuite.info/ om de suite te vinden op beide namen.

Apparaatbeheer configureren op XSP|ADP, toepassingsserver en profielserver

Profile Server en XSP|ADP zijn verplicht voor Apparaatbeheer. Deze moeten worden geconfigureerd volgens de instructies in de Configuratiehandleiding van BroadWorks Device Management.