Krav til samboerskap

• Autentiseringstjenesten må være samtidig installert med Xsi-applikasjoner, fordi disse grensesnittene må godta tokener med lang levetid for tjenesteautorisasjon. Autentiseringstjenesten er nødvendig for å validere disse tokenene.

• Autentiseringstjenesten og Xsi kan kjøre på samme port om nødvendig.

• Du kan skille den andre services/applications etter behov for skalaen din (for eksempel dedikert enhetsadministrasjon XSP|ADP-farm).

• Du kan samlokalisere Xsi-, CTI-, Authentication Service- og DMS-applikasjonene.

• Ikke installer andre applikasjoner eller tjenester på XSP|ADP-ene som brukes til å integrere BroadWorks med Webex.

• Ikke samlokaliser NPS-applikasjonen med andre applikasjoner.

Xsi-grensesnitt

Installer og konfigurer Xsi-Actions- og Xsi-Events-programmene som beskrevet i Cisco BroadWorks Xtended Services Interface Configuration Guide.

Bare én instans av Xsi-Events-applikasjonene skal distribueres på XSP|ADP-en som brukes for CTI-grensesnittet.

Alle Xsi-Events som brukes til å integrere Broadworks med Webex må ha samme callControlApplicationName definert under Applications/Xsi-Events/GeneralSettings. For eksempel:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Når en bruker blir registrert i Webex, oppretter Webex et abonnement for brukeren på AS-en for å motta telefonhendelser for tilstedeværelse og samtalehistorikk. Abonnementet er knyttet til callControlApplicationName, og AS-en bruker det til å vite hvilke Xsi-Events telefonihendelsene skal sendes til.

Konfigurer autentiseringstjeneste (med CI-tokenvalidering)

Bruk denne prosedyren til å konfigurere autentiseringstjenesten til å bruke CI-tokenvalidering med TLS. Denne autentiseringsmetoden anbefales hvis du kjører R22 eller høyere og systemet ditt støtter den.

1. Innhenting av OAuth-legitimasjon for Webex for Cisco BroadWorks.

2. Installer følgende oppdateringer på hver XSP|ADP-server. Installer oppdateringene som passer til utgivelsen din:

   • For R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • For R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • For R24 – ingen oppdatering nødvendig

   Enhver referanse til XSP inkluderer enten XSP eller ADP.

3. Installer AuthenticationService -applikasjonen på hver XSP|ADP-tjeneste.

   1. Kjør følgende kommando for å aktivere AuthenticationService-applikasjonen på XSP|ADP til /authService kontekststi.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Kjør denne kommandoen for å distribuere AuthenticationService på XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. Fra og med Broadworks build 2022.10 blir ikke lenger sertifikatmyndighetene som følger med Java automatisk inkludert i BroadWorks-klareringslageret når du bytter til en ny versjon av Java. Autentiseringstjenesten åpner en TLS-tilkobling til Webex for å hente tilgangstokenet, og må ha følgende i sin truststore for å validere IDBroker og Webex URL-adressen:

   • IdenTrust Commercial Root CA 1

   • Go Daddy rotsertifikatutsteder – G2

   Bekreft at disse sertifikatene finnes under følgende CLI

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Hvis den ikke finnes, kjør følgende kommando for å importere standard Java-klareringene:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Alternativt kan du manuelt legge til disse sertifikatene som tillitsankre med følgende kommando:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Hvis ADP-en oppgraderes fra en tidligere utgivelse, importeres sertifiseringsinstansene fra den gamle utgivelsen automatisk til den nye utgivelsen, og de vil fortsette å bli importert inntil de fjernes manuelt.

   AuthenticationService-applikasjonen er unntatt fra validatePeerIdentity-innstillingen under ADP_CLI/System/SSLCommonSettings/GeneralSettings, og validerer alltid peer-identiteten. Se Cisco Broadworks X509-sertifikatvaliderings-FD for mer informasjon om denne innstillingen.

5. Konfigurer identitetsleverandørene ved å kjøre følgende kommandoer på hver XSP|ADP-server:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName – For URLskriver du inn IssuerName-URL-en som gjelder for CI-klyngen din. Se følgende tabell.

   • set issuerUrl – For URLskriver du inn IssuerUrl-en som gjelder for CI-klyngen din. Se tabellen nedenfor.

   • set tokenInfoUrl – Skriv inn URL-adressen til IdP-proxyen som gjelder for Teams-klyngen din. Se den andre tabellen som følger.

   Tabell 1. Angi utstedernavn og utstederURL

   Hvis CI-klyngen er...	Sett issuerName og issuerURL til...
   USA-A	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   US-B	https://idbroker-b-us.webex.com/idb
   Hvis du ikke kjenner din CI-klynge, kan du få informasjonen fra kundedetaljene i brukerstøttevisningen i Control Hub.

   Tabell 2. Angi tokenInfoURL

   Hvis Teams-klyngen er...	Sett tokenInfoURL til...(IdP Proxy URL)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AFRA	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Hvis du ikke kjenner din Teams-klynge, kan du få informasjonen fra kundedetaljene i brukerstøttevisningen i Control Hub. For testing kan du bekrefte at tokenInfoURL er gyldig ved å erstatte «idp/authenticate»-delen av URL-en med «ping».

6. Angi Webex-rettigheten som må være tilstede i brukerprofilen i Webex ved å kjøre følgende kommando:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Konfigurer identitetsleverandører for Cisco Federation ved å bruke følgende kommandoer på hver XSP|ADP-server:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Kjør følgende kommando for å bekrefte at FLS-konfigurasjonen din fungerer. Denne kommandoen returnerer listen over identitetsleverandører:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Konfigurer tokenhåndtering ved hjelp av følgende kommandoer på hver XSP|ADP-server:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. Generer og del RSA-nøkler. Du må generere nøkler på én XSP|ADP og deretter kopiere dem til alle andre XSP|ADP-er. Dette skyldes følgende faktorer:

    • Du må bruke det samme public/private nøkkelpar for token encryption/decryption på tvers av alle forekomster av autentiseringstjenesten.

    • Nøkkelparet genereres av autentiseringstjenesten når den først må utstede et token.

    Hvis du starter nøkler i en syklus eller endrer nøkkellengden, må du gjenta følgende konfigurasjon og starte alle XSP|ADP-ene på nytt.

    1. Velg én XSP|ADP som skal brukes til å generere et nøkkelpar.

    2. Bruk en klient til å be om et kryptert token fra den XSP|ADP-en, ved å be om følgende URL fra klientens nettleser:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Dette genererer en privat / offentlig nøkkelpar på XSP|ADP, hvis det ikke allerede fantes et)

    3. Plasseringen av nøkkellagringen kan ikke konfigureres. Eksporter nøklene:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopier den eksporterte filen /var/broadworks/tmp/authService.keys til samme sted på de andre XSP|ADP-ene, og overskriv en eldre .keys fil om nødvendig.

    5. Importer nøklene på hver av de andre XSP|ADP-ene:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Oppgi authService-URL-en til webcontaineren. XSP|ADP-ens webcontainer trenger authService-URL-en slik at den kan validere tokener. På hver av XSP|ADP-ene:

    1. Legg til URL-adressen for autentiseringstjenesten som en ekstern autentiseringstjeneste for BroadWorks Communications Utility:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Legg til URL-adressen for autentiseringstjenesten i beholderen:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Dette gjør det mulig for Webex å bruke autentiseringstjenesten til å validere tokener som presenteres som legitimasjon.

    3. Sjekk parameteren med get.

    4. Start XSP|ADP på nytt.

Fjern kravet om klientgodkjenning for autentiseringstjeneste (kun R24)

Hvis du har konfigurert autentiseringstjenesten med CI-tokenvalidering på R24, må du også fjerne klientautentiseringskravet for autentiseringstjenesten. Kjør følgende CLI-kommando:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Konfigurering av TLS og chiffer på HTTP-grensesnittene (for XSI og autentiseringstjeneste)

Applikasjonene Autentiseringstjeneste, Xsi-Aksjoner og Xsi-Events bruker HTTP-servergrensesnitt. Nivåene av TLS-konfigurerbarhet for disse applikasjonene er som følger:

Mest generelle = System > Transportere > HTTP > HTTP-servergrensesnitt = Mest spesifikk

CLI-kontekstene du bruker for å vise eller endre de forskjellige SSL-innstillingene er:

Lese HTTP-serverens TLS-grensesnittkonfigurasjon på XSP|ADP

1. Logg deg på XSP|ADP og naviger til XSP|ADP_CLI/Interface/Http/HttpServer>

2. Skriv inn kommandoen get og les resultatene. Du bør se grensesnittene (IP-adressene) og, for hvert av dem, om de er sikre og om de krever klientgodkjenning.

Apache tomcat krever et sertifikat for hvert sikre grensesnitt; systemet genererer et selvsignert sertifikat hvis det trenger det.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Legge til TLS 1.2-protokollen i HTTP-servergrensesnittet

HTTP-grensesnittet som samhandler med Webex Cloud må konfigureres for TLSv1.2. Skyen forhandler ikke tidligere versjoner av TLS-protokollen.

Slik konfigurerer du TLSv1.2-protokollen på HTTP-servergrensesnittet:

1. Logg deg på XSP|ADP og naviger til XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Skriv inn kommandoen get 443 for å se hvilke protokoller som allerede brukes på dette grensesnittet.

3. Skriv inn kommandoen add 443 TLSv1.2 for å sikre at grensesnittet kan bruke TLS 1.2 når det kommuniserer med skyen.

Redigere TLS-chifferkonfigurasjon på HTTP-servergrensesnittet

Slik konfigurerer du de nødvendige chifferene:

1. Logg deg på XSP|ADP og naviger til XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Skriv inn kommandoen get 443 for å se hvilke chifferkoder som allerede brukes på dette grensesnittet. Det må være minst én fra Ciscos anbefalte programpakker (se XSP|ADP-identitets- og sikkerhetskrav i oversiktsdelen).

3. Skriv inn kommandoen add 443 for å legge til en kryptering i HTTP-servergrensesnittet.

   XSP|ADP CLI krever navnet på IANAs standard krypteringspakke, ikke navnet på openSSL-krypteringspakken. For eksempel, for å legge til openSSL-krypteringen ECDHE-ECDSA-CHACHA20-POLY1305 i HTTP-servergrensesnittet, bruker du: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Se https://ciphersuite.info/ for å finne suiten med et av navnene.

Konfigurer enhetsadministrasjon på XSP|ADP, applikasjonsserver og profilserver

Profilserver og XSP|ADP er obligatoriske for enhetsbehandling. De må konfigureres i henhold til instruksjonene i BroadWorks Device Management Configuration Guide.