Konfigurere tjenester på din Webex for Cisco BroadWorks XSP|ADP-er

Vi krever at NPS-programmet kjøres på en annen XSP|ADP. Kravene til at XSP|ADP er beskrevet i Konfigurere anropsvarsler fra nettverket.

Du trenger følgende programmer/tjenester på dine XSP|ADP-er.

Tjeneste/program

Autentisering kreves

Tjeneste-/applikasjonsformål

Xsi-hendelser

TLS (serveren autentiserer seg selv til klienter)

Samtalekontroll, tjenestevarsler

Xsi-handlinger

TLS (serveren autentiserer seg selv til klienter)

Samtalekontroll, handlinger

Administrasjon av enhet

TLS (serveren autentiserer seg selv til klienter)

Nedlasting av anropskonfigurasjon

Autentiseringstjeneste

TLS (serveren autentiserer seg selv til klienter)

Brukerautentisering

Integrering av datamaskintelefoni

mTLS (klient og server godkjenne hverandre)

Telefonitilstedeværelse

Webvisningsprogram for samtaleinnstillinger

TLS (serveren autentiserer seg selv til klienter)

Eksponerer brukersamtaleinnstillinger i selvhjelpsportalen i Webex-appen

Denne delen beskriver hvordan du bruker de nødvendige konfigurasjonene for TLS og mTLS på disse grensesnittene, men du bør referere til eksisterende dokumentasjon for å få programmene installert på dine XSP|ADP-er.

Krav til samkjøring

  • Godkjenningstjenesten være sambosatt med Xsi-programmer, fordi disse grensesnittene må godta tokener med lang levetid for tjenestegodkjenning. Godkjenningstjenesten er påkrevd for å validere disse tokenene.

  • Godkjenningstjenesten og Xsi kan kjøre på samme port om nødvendig.

  • Du kan skille de andre tjenestene/applikasjonene etter behov for skaleringen din (for eksempel dedikert enhetsadministrasjon XSP|ADP-bedrift).

  • Du kan finne Xsi-, CTI-, godkjenningstjenesten og DMS-applikasjonene samtidig.

  • Ikke installer andre programmer eller tjenester på XSP|ADP-ene som brukes til å integrere BroadWorks med Webex.

  • Ikke finn NPS-programmet sammen med andre programmer.

Xsi-grensesnitt

Installer og konfigurer programmene Xsi-Actions og Xsi-Events som beskrevet i konfigurasjonsveiledningen for Cisco BroadWorks Xtended Services Interface.

Bare én forekomst av Xsi-Events-applikasjonene skal distribueres på XSP|ADP som brukes for CTI-grensesnittet.

Alle Xsi-Events som brukes til å integrere BroadWorks med Webex, må ha samme callControlApplicationName definert under Applications/Xsi-Events/GeneralSettings. For eksempel:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> få

callControlApplicationName = com.broadsoft.xsi-events

Når en bruker er registrert i Webex, oppretter Webex et abonnement for brukeren på AS for å motta telefonihendelser for tilstedeværelse og anropslogg. Abonnementet er knyttet til callControlApplicationName og AS bruker det til å vite til hvilke Xsi-hendelser som skal sende telefonihendelsene til.

Endring av callControlApplicationName, eller ikke å ha samme navn på alle Xsi-Events webapper, vil påvirke funksjonaliteten for abonnementer og telefonihendelser.

Konfigurere godkjenningstjeneste (med CI-tokenvalidering)

Bruk denne fremgangsmåten for å konfigurere godkjenningstjenesten til å bruke CI-tokenvalidering med TLS. Denne godkjenningsmetoden anbefales hvis du kjører R22 eller høyere, og systemet støtter den.

Felles TLS (mTLS) støttes også som en alternativ godkjenningsmetode for godkjenningstjenesten. Hvis du har flere Webex-organisasjoner som kjører av samme XSP|ADP-server, må du bruke mTLS-godkjenning fordi CI-tokenvalidering ikke støtter flere tilkoblinger til samme XSP|ADP-godkjenningstjeneste.

Hvis du vil konfigurere mTLS-godkjenning for godkjenningstjenesten i stedet for CI-tokenvalidering, kan du se vedlegget for Konfigurer tjenester (med mTLS for godkjenningstjenesten).

Hvis du for øyeblikket bruker mTLS for godkjenningstjenesten, er det ikke obligatorisk at du konfigurerer på nytt for å bruke CI-tokenvalidering med TLS.

  1. Innhente OAuth-legitimasjon for Webex for Cisco BroadWorks.

  2. Installer følgende oppdateringer på hver XSP|ADP-server. Installer oppdateringene som passer til din utgivelse:

    Enhver referanse til XSP inkluderer enten XSP eller ADP.

  3. Installer AuthenticationService -programmet på hver XSP|ADP-tjeneste.

    1. Kjør følgende kommando for å aktivere AuthenticationService-programmet på XSP|ADP til /authService-kontekstbanen.

      XSP|ADP_CLI/Maintenance/ManagedObjects> aktivere program AuthenticationService 22.0_1.1123/authService

    2. Kjør denne kommandoen for å distribuere AuthenticationService på XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> distribuere program /authServiceBroadWorks SW Manager distribuere /authService...

  4. Fra og med Broadworks build 2022.10 blir ikke sertifikatmyndighetene som kommer med Java lenger automatisk inkludert i BroadWorks klareringslageret når de bytter til en ny versjon av java. AuthenticationService åpner en TLS-tilkobling til Webex for å hente tilgangstokenet, og må ha følgende i klareringslageret for å validere IDBroker- og Webex-URL-adressen:

    • IdenTrust kommersiell rot CA 1

    • Go Daddy Root Certificate Authority - G2

    Bekreft at disse sertifikatene finnes under følgende CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> få

    Hvis den ikke finnes, kjører du følgende kommando for å importere standard Java-klareringer:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    Du kan også legge til disse sertifikatene manuelt som klareringsanker med følgende kommando:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Hvis ADP oppgraderes fra en tidligere utgivelse, importeres sertifikatmyndighetene fra den gamle utgivelsen automatisk til den nye utgivelsen og vil fortsette å importeres til de fjernes manuelt.

    AuthenticationService-programmet er fritatt fra validatePeerIdentity-innstillingen under ADP_CLI/System/SSLCommonSettings/GeneralSettings, og validerer alltid peer Identity. Se Cisco Broadworks X509 Certificate Validation FD for mer informasjon om denne innstillingen.

  5. Konfigurer identitetsleverandørene ved å kjøre følgende kommandoer på hver XSP|ADP-server:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • angi klientId klient-Id-From-Step1

    • sett aktivert sann

    • sett klientSecret klient-Secret-From-Step1

    • sett KileResponsSkrogMaksStørrelseInnrykk 65536

    • angi issuerName – For URL-adressen skriver du inn IssuerName-adressen som gjelder for CI-klyngen. Se tabellen nedenfor.

    • angi issuerUrl – For URL skriver du inn IssuerUrl som gjelder for din CI-klynge. Se tabellen nedenfor.

    • angi tokenInfoUrl – angi IdP-proxy-URL som gjelder for teamklyngen. Se den andre tabellen som følger.

    Tabell 1. Angi utstederName and issuerURL
    Hvis CI-klyngen er...Angi utstederName og utstederURL til...

    oss-a

    https://idbroker.webex.com/idb

    EU

    https://idbroker-eu.webex.com/idb

    us-b

    https://idbroker-b-us.webex.com/idb

    Hvis du ikke vet CI-klyngen din, kan du få informasjonen fra kundedetaljene i brukerstøttevisningen i Control Hub.

    Tabell 2. Sett tokenInfoURL
    Hvis Teams Cluster er...Sett tokenInfoURL til...(IdP proxy-URL)

    akm

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    avra

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    forstørrelsesglass

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Hvis du ikke kjenner Teams-klyngen, kan du få informasjonen fra kundedetaljene i brukerstøttevisningen i Control Hub.

    • For testing kan du bekrefte at tokenInfoURL er gyldig ved å erstatte «idp/authenticate»-delen av URL-adressen med «ping».

  6. Angi Webex-rettigheten som må være til stede i brukerprofilen i Webex ved å kjøre følgende kommando:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> sett område broad works-connector:user

  7. Konfigurer identitetsleverandører for Cisco Federation ved hjelp av følgende kommandoer på hver XSP|ADP-server:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • sett flsUrl https://cifls.webex.com/federation

    • angi oppdateringsperiode i minutter 60

    • sett refreshToken refresh-Token-From-Step1

  8. Kjør følgende kommando for å bekrefte at FLS-konfigurasjonen fungerer. Denne kommandoen returnerer listen over identitetsleverandører:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Få

  9. Konfigurer tokenadministrasjon ved hjelp av følgende kommandoer på hver XSP|ADP-server:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • sett tokenIssuer BroadWorks

    • sett tokenVarighetInHours 720

  10. Generer og del RSA-nøkler. Du må generere nøkler på én XSP|ADP og deretter kopiere dem til alle andre XSP|ADP-er. Dette skyldes følgende faktorer:

    • Du må bruke de samme offentlige/private nøkkelpaene for tokenkryptering/dekryptering på tvers av alle forekomster av godkjenningstjenesten.

    • Nøkkelparet genereres av godkjenningstjenesten når det først kreves å utstede et token.

    Hvis du sykler tastene eller endrer nøkkellengden, må du gjenta følgende konfigurasjon og starte alle XSP|ADP-ene på nytt.

    1. Velg én XSP|ADP som skal brukes til å generere et nøkkelpar.

    2. Bruk en klient til å be om et kryptert token fra XSP|ADP ved å be om følgende URL fra klientens nettleser:

      https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

      (Dette genererer et privat/offentlig nøkkelpar på XSP|ADP, hvis det ikke var et allerede)

    3. Nøkkellagringsplassen kan ikke konfigureres. Eksportere nøklene:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopier den eksporterte filen /var/broadworks/tmp/authService.keys til samme plassering på de andre XSP|ADP-ene, og overskriv en eldre .keys -fil om nødvendig.

    5. Importer nøklene på hver av de andre XSP|ADP-ene:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Oppgi authService-nettadressen til nettbeholderen. XSP|ADPs nettcontainer trenger authService-URL-adressen slik at den kan validere tokener. På hver av XSP|ADP-ene:

    1. Legg til URL-adressen for godkjenningstjenesten som en ekstern godkjenningstjeneste for BroadWorks Communications Utility:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> sett URL http://127.0.0.1:80/authService

    2. Legg til URL-adressen for godkjenningstjenesten i beholderen:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Dette gjør det mulig for Webex å bruke godkjenningstjenesten til å validere tokener som presenteres som legitimasjon.

    3. Kontroller parameteren med get.

    4. Start XSP|ADP på nytt.

Fjern krav om klientgodkjenning for autentiseringstjeneste (kun R24)

Hvis du har godkjenningstjenesten konfigurert med CI-tokenvalidering på R24, må du også fjerne kravet for klientgodkjenning for godkjenningstjenesten. Kjør følgende CLI-kommando:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> sett AuthenticationService clientAuthReq false

Konfigurere TLS og chiffreringer på HTTP-grensesnittene (for XSI og godkjenningstjenesten)

Godkjenningstjenesten, Xsi-Actions- og Xsi-Events-applikasjonene bruker HTTP-servergrensesnitt. TLS-konfigurasjonsnivåer for disse programmene er som følger:

Mest generelt = System > Transport > HTTP > HTTP Server-grensesnitt = Mest spesifikt

CLI-kontekstene du bruker til å vise eller endre de forskjellige SSL-innstillingene, er:

Spesifisitet CLI-kontekst
System (globalt)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Transportprotokoller for dette systemet

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/system/SSLCommonSettings/OpenSSL/Protocols>
HTTP på dette systemet

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Spesifikke HTTP-servergrensesnitt på dette systemet

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Leser konfigurasjon av TLS-grensesnitt for HTTP-server på XSP|ADP

  1. Logg på XSP|ADP og naviger til XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Skriv inn kommandoen get og les resultatene. Du bør se grensesnittene (IP-adressene) og for hvert av dem om de er sikre og om de krever klientgodkjenning.

Apache tomcat krever et sertifikat for hvert sikkert grensesnitt. Systemet genererer et selvsignert sertifikat hvis det trenger et.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Legge til TLS 1.2-protokollen i HTTP-servergrensesnittet

HTTP-grensesnittet som samhandler med Webex Cloud, må konfigureres for TLSv1.2. Skyen forhandler ikke tidligere versjoner av TLS-protokollen.

Slik konfigurerer du TLSv1.2-protokollen i HTTP-servergrensesnittet:

  1. Logg på XSP|ADP og naviger til XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Skriv inn kommandoen get 443 for å se hvilke protokoller som allerede brukes på dette grensesnittet.

  3. Skriv inn kommandoen legg til 443 TLSv1.2 for å sikre at grensesnittet kan bruke TLS 1.2 når det kommuniserer med skyen.

Redigere konfigurasjon av TLS-chifre i HTTP-servergrensesnittet

Slik konfigurerer du de nødvendige chifrene:

  1. Logg på XSP|ADP og naviger til XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Skriv inn kommandoen get 443 for å se hvilke chiffreringer som allerede brukes på dette grensesnittet. Det må være minst én av de Cisco anbefalte programmene (se XSP|ADP Identity and Security Requirements i Oversikt-delen).

  3. Skriv inn kommandoen add 443 for å legge til en ciffer i HTTP-servergrensesnittet.

    XSP|ADP CLI krever IANA standard cipher suite-navnet, ikke openSSL cipher suite-navnet. Hvis du for eksempel vil legge til openSSL-chiffer ECDHE-ECDSA-CHACHA20-POLY1305 i HTTP-servergrensesnittet, bruker du: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>legg til 192.0.2.7 443 TLS_ECDHE_ECDSA_MED_CHACHA20_POLY1305

    Se https://ciphersuite.info/ for å finne suiten med begge navn.

Konfigurer enhetsadministrasjon på XSP|ADP, programserver og profil server

Profilserver og XSP|ADP er obligatoriske for enhetsadministrasjon. De må konfigureres i henhold til instruksjonene i konfigurasjonsveiledningen for BroadWorks Device Management.