Konfigurowanie usług w systemie Webex dla Cisco BroadWorks XSP|ADP

Wymagamy, aby aplikacja NPS była uruchamiana na innym serwerze XSP|ADP. Wymagania dla XSP|ADP opisano w Konfigurowanie powiadomień o połączeniach z sieci.

Potrzebujesz następujących aplikacji / usługi na Twoich platformach XSP|ADP.

Serwis/Aplikacja

Wymagane uwierzytelnienie

Cel usługi/aplikacji

Xsi-Wydarzenia

TLS (serwer uwierzytelnia się na klientach)

Kontrola połączeń, powiadomienia serwisowe

Xsi-Actions

TLS (serwer uwierzytelnia się na klientach)

Kontrola połączeń, akcje

Zarządzanie urządzeniami

TLS (serwer uwierzytelnia się na klientach)

Pobieranie konfiguracji połączeń

Usługa uwierzytelniania

TLS (serwer uwierzytelnia się na klientach)

Uwierzytelnianie użytkowników

Integracja z telefonią komputerową

mTLS (klient i serwer uwierzytelniają się nawzajem)

Obecność telefonii

Ustawienia połączeń Aplikacja Webview

TLS (serwer uwierzytelnia się na klientach)

Uwidacznia ustawienia połączeń użytkownika w portalu samoopieki w aplikacji Webex

W tej sekcji opisano sposób zastosowania wymaganych konfiguracji protokołów TLS i mTLS na tych interfejsach, jednak w celu zainstalowania aplikacji na platformach ADP XSP|należy odwołać się do istniejącej dokumentacji.

Wymagania dotyczące współrezydentu

  • Usługa uwierzytelniania musi być współrezydentem z aplikacjami Xsi, ponieważ te interfejsy muszą akceptować długotrwałe tokeny do autoryzacji usługi. Usługa uwierzytelniania jest wymagana do sprawdzenia poprawności tych tokenów.

  • Usługa uwierzytelniania i Xsi mogą działać na tym samym porcie, jeśli jest to wymagane.

  • Możesz oddzielić pozostałe services/applications zgodnie z wymaganiami Twojej skali (np. dedykowane zarządzanie urządzeniami XSP|farma ADP).

  • Możesz kolokować aplikacje Xsi, CTI, Authentication Service i DMS.

  • Nie instaluj innych aplikacji ani usług na platformach ADP XSP|, które służą do integracji BroadWorks z Webex.

  • Nie należy kolokować aplikacji SERWERA NPS z żadnymi innymi aplikacjami.

Interfejsy Xsi

Zainstaluj i skonfiguruj aplikacje Xsi-Actions i Xsi-Events zgodnie z opisem w Przewodniku konfiguracji interfejsu Cisco BroadWorks XtendedServices.

Na platformie XSP|ADP używanej do interfejsu CTI należy wdrożyć tylko jedną instancję aplikacji Xsi-Events.

Wszystkie zdarzenia Xsi używane do integracji Broadworks z Webex muszą mieć zdefiniowaną tę samą nazwę callControlApplicationName w Applications/Xsi-Events/GeneralSettings. Na przykład:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Gdy użytkownik zostanie zarejestrowany w usłudze Webex, Webex tworzy dla niego subskrypcję w systemie autonomicznym (AS), aby otrzymywać informacje o zdarzeniach telefonicznych, obecności i historii połączeń. Subskrypcja jest powiązana z callControlApplicationName, a AS używa jej, aby określić, do których zdarzeń Xsi mają być wysyłane zdarzenia telefoniczne.

Zmiana callControlApplicationName lub używanie innej nazwy we wszystkich aplikacjach internetowych Xsi-Events będzie miało wpływ na funkcjonalność subskrypcji i zdarzeń telefonicznych.

Konfigurowanie usługi uwierzytelniania (z weryfikacją tokenu ciągłej integracji)

Ta procedura służy do konfigurowania usługi uwierzytelniania do korzystania z funkcji sprawdzania poprawności tokenu ciągłej integracji z protokołem TLS. Ta metoda uwierzytelniania jest zalecana, jeśli używasz wersji R22 lub nowszej i system ją obsługuje.

Wzajemny TLS (mTLS) jest również obsługiwany jako alternatywna metoda uwierzytelniania dla usługi uwierzytelniania. Jeśli wiele organizacji Webex korzysta z tego samego serwera XSP|ADP, należy użyć uwierzytelniania mTLS, ponieważ funkcja CI Token Validation nie obsługuje wielu połączeń z tą samą usługą uwierzytelniania XSP|ADP.

Aby skonfigurować uwierzytelnianie mTLS dla usługi uwierzytelniania zamiast sprawdzania poprawności tokenu ciągłej integracji, zapoznaj się z dodatkiem dotyczącym konfigurowania usług (z mTLS dla usługiuwierzytelniania).

Jeśli obecnie używasz mTLS dla usługi uwierzytelniania, nie jest obowiązkowe ponowne skonfigurowanie do korzystania z funkcji sprawdzania poprawności tokenu ciągłej integracji z protokołem TLS.

  1. Uzyskiwanie danych uwierzytelniających OAuth dla Webex dla Cisco BroadWorks.

  2. Zainstaluj następujące poprawki na każdym serwerze XSP|ADP. Zainstaluj poprawki, które są odpowiednie dla używanej wersji:

    Jakiekolwiek odniesienie do XSP obejmuje zarówno XSP, jak i ADP.

  3. Zainstaluj aplikację AuthenticationService na każdej usłudze ADP XSP|.

    1. Uruchom następujące polecenie, aby aktywować aplikację AuthenticationService na urządzeniu XSP|ADP /authService ścieżka kontekstowa.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

    2. Uruchom to polecenie, aby wdrożyć usługę uwierzytelniania na platformie XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

  4. Począwszy od kompilacji Broadworks 2022.10 urzędy certyfikacji dostarczane z Javą nie są już automatycznie uwzględniane w magazynie zaufanych certyfikatów BroadWorks podczas przechodzenia na nową wersję Javy. Usługa AuthenticationService otwiera połączenie TLS z Webex w celu pobrania tokena dostępu i musi mieć w swoim magazynie zaufanych informacji następujące dane, aby zweryfikować IDBroker i adres URL Webex:

    • IdenTrust Komercyjny Główny Urząd certyfikacji 1

    • Go Daddy Root Certificate Authority - G2

    Sprawdź, czy te certyfikaty są obecne w następującym interfejsie CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

    Jeśli nie ma ich w systemie, uruchom następujące polecenie, aby zaimportować domyślne relacje zaufania Java:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    Alternatywnie możesz ręcznie dodać te certyfikaty jako punkty odniesienia za pomocą następującego polecenia:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Jeśli ADP zostanie uaktualnione z poprzedniej wersji, wówczas urzędy certyfikacji ze starej wersji zostaną automatycznie zaimportowane do nowej wersji i będą importowane do momentu ich ręcznego usunięcia.

    Aplikacja AuthenticationService jest zwolniona z ustawienia validatePeerIdentity w ramach ADP_CLI/System/SSLCommonSettings/GeneralSettings, i zawsze weryfikuje tożsamość równorzędną. Więcej informacji na temat tego ustawienia można znaleźć w dokumencie Cisco Broadworks X509 Certificate Validation FD.

  5. Skonfiguruj dostawców tożsamości, uruchamiając następujące polecenia na każdym serwerze XSP|ADP:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName — W przypadku URLwprowadź adres URL IssuerName odnoszący się do Twojego klastra CI. Zobacz poniższą tabelę.

    • set issuerUrl — W przypadku URLwprowadź IssuerUrl odnoszący się do Twojego klastra CI. Zobacz poniższą tabelę.

    • set tokenInfoUrl — Wprowadź adres URL serwera proxy dostawcy tożsamości, który ma zastosowanie do klastra teams. Zobacz drugą tabelę poniżej.

    Tabela 1. Ustaw issuerName i issuerURL
    Jeśli klaster CI jest...Ustaw issuerName i issuerURL na...

    Stany Zjednoczone-A

    https://idbroker.webex.com/idb

    UE

    https://idbroker-eu.webex.com/idb

    STANY ZJEDNOCZONE-B

    https://idbroker-b-us.webex.com/idb

    Jeśli nie znasz swojego klastra CI, możesz uzyskać informacje w szczegółach klienta w widoku Pomoc techniczna w Control Hub.

    Tabela 2. Ustaw tokenInfoURL
    Jeśli klaster Teams jest...Ustaw tokenInfoURL na...(adres URL serwera proxy dostawcy tożsamości)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Jeśli nie znasz swojego klastra Teams, możesz uzyskać informacje w szczegółach klienta w widoku Pomoc techniczna w Control Hub.

    • W celach testowych możesz sprawdzić, czy tokenInfoURL jest prawidłowy, zastępując część „idp/authenticate” adresu URL częścią „ping”.

  6. Określ uprawnienie Webex, które musi być obecne w profilu użytkownika w Webex, uruchamiając następujące polecenie:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  7. Skonfiguruj dostawców tożsamości dla Cisco Federation, używając następujących poleceń na każdym serwerze XSP|ADP:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken refresh-Token-From-Step1

  8. Uruchom następujące polecenie, aby sprawdzić, czy konfiguracja FLS działa. To polecenie zwróci listę dostawców tożsamości:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. Skonfiguruj zarządzanie tokenami, używając następujących poleceń na każdym serwerze XSP|ADP:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. Generuj i udostępniaj klucze RSA. Należy wygenerować klucze na jednym serwerze ADP XSP|, a następnie skopiować je do wszystkich pozostałych serwerów ADP XSP|. Wynika to z następujących czynników:

    • Do szyfrowania/odszyfrowywania tokenów we wszystkich wystąpieniach usługi uwierzytelniania należy używać tych samych par kluczy publicznych/prywatnych.

    • Para kluczy jest generowana przez usługę uwierzytelniania, gdy po raz pierwszy jest wymagana do wystawienia tokenu.

    Jeśli klucze są cykliczne lub zmieniana jest ich długość, konieczne jest powtórzenie poniższej konfiguracji i ponowne uruchomienie wszystkich ADP XSP|.

    1. Wybierz jeden XSP|ADP, którego chcesz użyć do wygenerowania pary kluczy.

    2. Użyj klienta, aby zażądać zaszyfrowanego tokena z platformy XSP|ADP, żądając następującego adresu URL z przeglądarki klienta:

      https:///authService/token?key=BASE64URL(clientPublicKey)

      (Generuje to prywatne / para kluczy publicznych na XSP|ADP, jeśli jeszcze takiej nie było)

    3. Lokalizacja magazynu kluczy nie jest konfigurowalna. Eksportuj klucze:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Skopiuj wyeksportowany plik /var/broadworks/tmp/authService.keys do tej samej lokalizacji na innych dyskach ADP XSP|, nadpisując starszy plik .keys, jeśli to konieczne.

    5. Zaimportuj klucze do każdego z pozostałych XSP|ADP:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Podaj adres URL usługi authService do kontenera sieci Web. Kontener internetowy XSP|ADP potrzebuje adresu URL authService, aby móc weryfikować tokeny. Na każdym z ADP XSP|:

    1. Dodaj adres URL usługi uwierzytelniania jako zewnętrzną usługę uwierzytelniania dla narzędzia BroadWorks Communications Utility:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Dodaj adres URL usługi uwierzytelniania do kontenera:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Dzięki temu Webex może używać usługi uwierzytelniania do sprawdzania poprawności tokenów prezentowanych jako poświadczenia.

    3. Sprawdź parametr za pomocą get.

    4. Uruchom ponownie XSP|ADP.

Usuń wymaganie uwierzytelniania klienta dla usługi uwierzytelniania (tylko R24)

Jeśli usługa uwierzytelniania jest skonfigurowana z funkcją sprawdzania poprawności tokenu ciągłej integracji w wersji R24, należy również usunąć wymaganie uwierzytelniania klienta dla usługi uwierzytelniania. Uruchom następujące polecenie interfejsu wiersza polecenia:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Konfigurowanie protokołu TLS i szyfrów na interfejsach HTTP (dla XSI i usługi uwierzytelniania)

Aplikacje Authentication Service, Xsi-Actions i Xsi-Events używają interfejsów serwera HTTP. Poziomy konfigurowalności TLS dla tych aplikacji są następujące:

Najbardziej ogólne = System > Transport > HTTP > interfejs serwera HTTP = Najbardziej specyficzny

Konteksty interfejsu wiersza polecenia używane do wyświetlania lub modyfikowania różnych ustawień protokołu SSL są następujące:

Specyficzność Kontekst interfejsu wiersza polecenia
System (globalny)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Protokoły transportowe dla tego systemu

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP w tym systemie

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Określone interfejsy serwera HTTP w tym systemie

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Odczyt konfiguracji interfejsu TLS serwera HTTP na XSP|ADP

  1. Zaloguj się do XSP|ADP i przejdź do XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Wpisz polecenie get i odczytaj wyniki. Powinieneś zobaczyć interfejsy (adresy IP) i, dla każdego z nich, czy są bezpieczne i czy wymagają uwierzytelniania klienta.

Serwer Apache tomcat wymusza certyfikat dla każdego bezpiecznego interfejsu; system generuje certyfikat z podpisem własnym, jeśli go potrzebuje.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Wyniki wyświetlane po wprowadzeniu polecenia get, pokazujące interfejsy (adresy IP) oraz, dla każdego z nich, informację, czy są bezpieczne i czy wymagają uwierzytelnienia klienta.

Dodawanie protokołu TLS 1.2 do interfejsu serwera HTTP

Interfejs HTTP, który współdziała z Webex Cloud, musi być skonfigurowany dla TLSv1.2. Chmura nie negocjuje wcześniejszych wersji protokołu TLS.

Aby skonfigurować protokół TLSv1.2 w interfejsie serwera HTTP:

  1. Zaloguj się do XSP|ADP i przejdź do XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Wprowadź polecenie get 443, aby zobaczyć, które protokoły są już używane na tym interfejsie.

  3. Wprowadź polecenie add 443 TLSv1.2, aby upewnić się, że interfejs może używać protokołu TLS 1.2 podczas komunikacji z chmurą.

Edytowanie konfiguracji szyfrów TLS w interfejsie serwera HTTP

Aby skonfigurować wymagane szyfry:

  1. Zaloguj się do XSP|ADP i przejdź do XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Wprowadź polecenie get 443, aby zobaczyć, które szyfry są już używane w tym interfejsie. Musi być dostępny co najmniej jeden z pakietów zalecanych przez firmę Cisco (patrz XSP|Wymagania dotyczące tożsamości i zabezpieczeń ADP w sekcji Przegląd).

  3. Wprowadź polecenie add 443 , aby dodać szyfr do interfejsu serwera HTTP.

    Interfejs wiersza poleceń XSP|ADP CLI wymaga nazwy zestawu szyfrów standardu IANA, a nie nazwy zestawu szyfrów openSSL. Na przykład, aby dodać szyfr openSSL ECDHE-ECDSA-CHACHA20-POLY1305 do interfejsu serwera HTTP, należy użyć: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Zobacz, https://ciphersuite.info/ aby znaleźć apartament pod dowolną nazwą.

Konfigurowanie zarządzania urządzeniami w XSP|ADP, serwerze aplikacji i serwerze profili

Profile Server i XSP|ADP są obowiązkowe w przypadku zarządzania urządzeniami. Muszą być skonfigurowane zgodnie z instrukcjami w Przewodniku konfiguracji zarządzania urządzeniamiBroadWorks.