Konfigurowanie usług w Webex dla Cisco BroadWorks XSP|ADP

Wymagamy, aby aplikacja NPS była uruchomiona na innym serwerze XSP|ADP. Wymagania dotyczące tego XSP|ADP są opisane w sekcji Konfigurowanie powiadomień o połączeniach z sieci.

Potrzebujesz następujących aplikacji/usług w swoich XSP|ADP.

Serwis/Aplikacja

Wymagane uwierzytelnienie

Cel usługi/aplikacji

Xsi-Wydarzenia

TLS (serwer uwierzytelnia się na klientach)

Kontrola połączeń, powiadomienia serwisowe

Xsi-Actions

TLS (serwer uwierzytelnia się na klientach)

Kontrola połączeń, akcje

Zarządzanie urządzeniami

TLS (serwer uwierzytelnia się na klientach)

Pobieranie konfiguracji połączeń

Usługa uwierzytelniania

TLS (serwer uwierzytelnia się na klientach)

Uwierzytelnianie użytkowników

Integracja z telefonią komputerową

mTLS (klient i serwer uwierzytelniają się nawzajem)

Obecność telefonii

Ustawienia połączeń Aplikacja Webview

TLS (serwer uwierzytelnia się na klientach)

Uwidacznia ustawienia połączeń użytkownika w portalu samoopieki w aplikacji Webex

W tej sekcji opisano, jak zastosować wymagane konfiguracje dla TLS i mTLS w tych interfejsach, ale należy zapoznać się z istniejącą dokumentacją, aby pobrać aplikacje zainstalowane na urządzeniach XSP|ADP.

Wymagania dotyczące współrezydentu

  • Usługa uwierzytelniania musi być współrezydentem z aplikacjami Xsi, ponieważ te interfejsy muszą akceptować długotrwałe tokeny do autoryzacji usługi. Usługa uwierzytelniania jest wymagana do sprawdzenia poprawności tych tokenów.

  • Usługa uwierzytelniania i Xsi mogą działać na tym samym porcie, jeśli jest to wymagane.

  • Inne usługi/aplikacje można oddzielić zgodnie z wymaganiami dla danej skali (na przykład dedykowana farma XSP|ADP do zarządzania urządzeniami).

  • Możesz kolokować aplikacje Xsi, CTI, Authentication Service i DMS.

  • Nie instaluj na XSP|ADP innych aplikacji lub usług, które są używane do integracji BroadWorks z Webex.

  • Nie należy kolokować aplikacji SERWERA NPS z żadnymi innymi aplikacjami.

Interfejsy Xsi

Zainstaluj i skonfiguruj aplikacje Xsi-Actions i Xsi-Events zgodnie z opisem w Przewodniku konfiguracji interfejsu Cisco BroadWorks XtendedServices.

Na serwerze XSP|ADP używanym dla interfejsu CTI powinno być wdrożone tylko jedno wystąpienie aplikacji Xsi-Events.

Wszystkie zdarzenia Xsi-Events używane do integracji BroadWorks z Webex muszą mieć taką samą nazwę callControlApplicationName zdefiniowaną w obszarze Applications/Xsi-Events/GeneralSettings. Na przykład:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> dostać

callControlApplicationName = com.broadsoft.xsi-events

Gdy użytkownik został dodany do Webex, Webex tworzy subskrypcję dla użytkownika w systemie AS, aby odbierać zdarzenia telefoniczne w zakresie obecności i historii połączeń. Subskrypcja jest powiązana z nazwą callControlApplicationName, a system AS używa jej do poinformowania, do którego Xsi-Events ma być wysyłane zdarzenia telefoniczne.

Zmiana callControlApplicationName lub braku tej samej nazwy we wszystkich aplikacjach internetowych Xsi-Events wpłynie na subskrypcje i funkcje zdarzeń telefonicznych.

Konfigurowanie usługi uwierzytelniania (z weryfikacją tokenu ciągłej integracji)

Ta procedura służy do konfigurowania usługi uwierzytelniania do korzystania z funkcji sprawdzania poprawności tokenu ciągłej integracji z protokołem TLS. Ta metoda uwierzytelniania jest zalecana, jeśli używasz wersji R22 lub nowszej i system ją obsługuje.

Wzajemny TLS (mTLS) jest również obsługiwany jako alternatywna metoda uwierzytelniania dla usługi uwierzytelniania. Jeśli masz wiele organizacji Webex działających na tym samym serwerze XSP|ADP, musisz użyć uwierzytelniania mTLS, ponieważ sprawdzanie poprawności tokenu CI nie obsługuje wielu połączeń z tą samą usługą uwierzytelniania XSP|ADP.

Aby skonfigurować uwierzytelnianie mTLS dla usługi uwierzytelniania zamiast sprawdzania poprawności tokenu ciągłej integracji, zapoznaj się z dodatkiem dotyczącym konfigurowania usług (z mTLS dla usługiuwierzytelniania).

Jeśli obecnie używasz mTLS dla usługi uwierzytelniania, nie jest obowiązkowe ponowne skonfigurowanie do korzystania z funkcji sprawdzania poprawności tokenu ciągłej integracji z protokołem TLS.

  1. Uzyskiwanie poświadczeń OAuth dla Webex dla Cisco BroadWorks.

  2. Zainstaluj następujące poprawki na każdym serwerze XSP|ADP. Zainstaluj poprawki, które są odpowiednie dla używanej wersji:

    Każde odwołanie do XSP obejmuje XSP lub ADP.

  3. Zainstaluj aplikację AuthenticationService na każdej usłudze XSP|ADP.

    1. Uruchom następujące polecenie, aby aktywować aplikację AuthenticationService w XSP|ADP do ścieżki kontekstowej /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> aktywuj aplikację AuthenticationService 22.0_1.1123/authService

    2. Uruchom to polecenie, aby wdrożyć AuthenticationService na serwerze XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> wdróż aplikację /authServiceBroadWorks SW Manager wdrażając /authService...

  4. Począwszy od wersji Broadworks build 2022.10, urzędy certyfikatów, które pochodzą z Javy, nie są już automatycznie dołączane do magazynu zaufania BroadWorks podczas przełączania na nową wersję Javy. Usługa uwierzytelniania otwiera połączenie TLS z Webex w celu pobrania tokenu dostępu i musi mieć następujące elementy w swoim magazynie zaufania, aby zweryfikować adres URL IDBroker i Webex:

    • IdenTrust Komercyjny Główny Urząd certyfikacji 1

    • Go Daddy Root Certificate Authority - G2

    Sprawdź, czy te certyfikaty znajdują się w ramach następującego interfejsu wiersza polecenia

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> dostać

    Jeśli nie są obecne, uruchom następujące polecenie, aby zaimportować domyślne zaufania Java:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importujJavaCATrust

    Można również ręcznie dodać te certyfikaty jako kotwice zaufania za pomocą następującego polecenia:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    W przypadku uaktualnienia narzędzia ADP z poprzedniej wersji urzędy certyfikacji ze starej wersji są automatycznie importowane do nowej wersji i będą nadal importowane, dopóki nie zostaną usunięte ręcznie.

    Aplikacja AuthenticationService jest zwolniona z ustawienia validatePeerIdentity w sekcji ADP_CLI/System/SSLCommonSettings/GeneralSettings i zawsze sprawdza poprawność Tożsamości równorzędnej. Aby uzyskać więcej informacji na temat tego ustawienia, zobacz FD sprawdzania poprawności certyfikatu Cisco Broadworks X509 .

  5. Skonfiguruj dostawców tożsamości, uruchamiając następujące polecenia na każdym serwerze XSP|ADP:

    Interfejs wiersza polecenia XSP|ADP_/aplikacje/usługa uwierzytelniania/dostawcy tożsamości/Cisco>get

    • ustaw identyfikator klientaId identyfikator klienta-Id-From-Step1

    • ustaw włączone prawda

    • ustaw clientSecret client-Secret-From-Step1

    • ustaw ciResponseBodyMaxSizeInBytes 65536

    • ustaw adres URL issuerName — dla adresu URL wprowadź adres URL issuerName, który ma zastosowanie do klastra CI. Patrz poniższa tabela.

    • ustaw issuerUrl — w polu URL wprowadź IssuerUrl, który ma zastosowanie do Twojego klastra CI. Patrz poniższa tabela.

    • set tokenInfoUrl — wprowadź adres URL serwera proxy dostawcy tożsamości, który ma zastosowanie do Twojego klastra Teams. Patrz druga tabela poniżej.

    Tabela 1. Ustaw nazwę wystawcy i adres URL wystawcy
    Jeśli klaster CI jest...Ustaw issuerName i issuerURL na...

    Stany Zjednoczone-A

    https://idbroker.webex.com/idb

    UE

    https://idbroker-eu.webex.com/idb

    STANY ZJEDNOCZONE-B

    https://idbroker-b-us.webex.com/idb

    Jeśli nie znasz klastra CI, możesz uzyskać informacje z szczegółów klienta w widoku pomocy technicznej Control Hub.

    Tabela 2. Ustaw tokenInfoURL
    Jeśli klaster Teams jest...Ustaw tokenInfoURL na... (adres URL serwera proxy dostawcy tożsamości)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Jeśli nie znasz swojego klastra Teams, możesz uzyskać informacje z szczegółów klienta w widoku pomocy technicznej Control Hub.

    • W testach można zweryfikować, czy tokenInfoURL jest prawidłowy, zastępując część adresu URL „idp/uwierzytelnij” przyciskiem „ping”.

  6. Określ uprawnienie Webex, które musi być obecne w profilu użytkownika w Webex, uruchamiając następujące polecenie:

    CLI|ADP_XSP/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> ustaw zakres łącznika broadworks:user

  7. Skonfiguruj dostawców tożsamości dla Cisco Federation, używając następujących poleceń na każdym serwerze XSP|ADP:

    Interfejs wiersza polecenia XSP|ADP_/aplikacje/usługa uwierzytelniania/dostawcy tożsamości/Cisco/Federation>uzyskaj

    • ustaw flsUrl https://cifls.webex.com/federation

    • ustaw refreshPeriodInMinutes 60

    • ustaw refreshToken refresh-Token-From-Step1

  8. Uruchom następujące polecenie, aby sprawdzić, czy konfiguracja FLS działa. To polecenie zwróci listę dostawców tożsamości:

    Interfejs wiersza polecenia XSP|ADP_/aplikacje/AuthService/IdentityProviders/Cisco/Federation/ClusterMap>Pobierz

  9. Skonfiguruj zarządzanie tokenami za pomocą następujących poleceń na każdym serwerze XSP|ADP:

    • Interfejs wiersza polecenia XSP|ADP_/aplikacje/usługa uwierzytelniania/zarządzanie tokenami>

    • ustaw tokenIssuer BroadWorks

    • ustaw tokenDurationInHours 720

  10. Generuj i udostępniaj klucze RSA. Należy wygenerować klucze w jednym XSP|ADP, a następnie skopiować je do wszystkich pozostałych XSP|ADP. Wynika to z następujących czynników:

    • Do szyfrowania/odszyfrowywania tokenów we wszystkich wystąpieniach usługi uwierzytelniania należy używać tych samych par kluczy publicznych/prywatnych.

    • Para kluczy jest generowana przez usługę uwierzytelniania, gdy po raz pierwszy jest wymagana do wystawienia tokenu.

    Jeśli zmienisz klucze lub zmienisz ich długość, należy powtórzyć poniższą konfigurację i ponownie uruchomić wszystkie XSP|ADP.

    1. Wybierz jeden XSP|ADP, który ma zostać użyty do wygenerowania pary kluczy.

    2. Za pomocą klienta można zażądać zaszyfrowanego tokena z tego XSP|ADP, żądając następującego adresu URL z przeglądarki klienta:

      https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

      (Spowoduje to wygenerowanie pary kluczy prywatnych/publicznych w XSP|ADP, jeśli jeszcze go nie było)

    3. Lokalizacja magazynu kluczy nie jest konfigurowalna. Eksportuj klucze:

      Interfejs wiersza polecenia XSP|ADP_/aplikacje/authenticationService/KeyManagement> exportKeys

    4. Skopiuj wyeksportowany plik /var/broadworks/tmp/authService.keys do tej samej lokalizacji na innych urządzeniach XSP|ADP, nadpisując w razie potrzeby starszy plik .keys .

    5. Zaimportuj klucze do każdego z pozostałych XSP|ADP:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Podaj adres URL usługi authService do kontenera sieci Web. Kontener internetowy XSP|ADP potrzebuje adresu URL authService, aby mógł weryfikować tokeny. Na każdym z XSP|ADP:

    1. Dodaj adres URL usługi uwierzytelniania jako zewnętrzną usługę uwierzytelniania dla narzędzia BroadWorks Communications Utility:

      Interfejs wiersza polecenia XSP|ADP_/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> ustaw adres URL http://127.0.0.1:80/authService

    2. Dodaj adres URL usługi uwierzytelniania do kontenera:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Dzięki temu Webex może używać usługi uwierzytelniania do sprawdzania poprawności tokenów prezentowanych jako poświadczenia.

    3. Sprawdź ten parametr za pomocą polecenia get.

    4. Uruchom ponownie XSP|ADP.

Usuń wymaganie uwierzytelniania klienta dla usługi uwierzytelniania (tylko R24)

Jeśli usługa uwierzytelniania jest skonfigurowana z funkcją sprawdzania poprawności tokenu ciągłej integracji w wersji R24, należy również usunąć wymaganie uwierzytelniania klienta dla usługi uwierzytelniania. Uruchom następujące polecenie interfejsu wiersza polecenia:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> ustaw AuthenticationService clientAuthReq false

Konfigurowanie protokołu TLS i szyfrów na interfejsach HTTP (dla XSI i usługi uwierzytelniania)

Aplikacje Authentication Service, Xsi-Actions i Xsi-Events używają interfejsów serwera HTTP. Poziomy konfigurowalności TLS dla tych aplikacji są następujące:

Najbardziej ogólne = System > Transport > HTTP > interfejs serwera HTTP = Najbardziej specyficzny

Konteksty interfejsu wiersza polecenia używane do wyświetlania lub modyfikowania różnych ustawień protokołu SSL są następujące:

Specyficzność Kontekst interfejsu wiersza polecenia
System (globalny)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

CLI|ADP_/System/SSLCommonSettings/JSSE/Protocols>
Protokoły transportowe dla tego systemu

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP w tym systemie

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/http/SSLCommonSettings/Protocols>
Określone interfejsy serwera HTTP w tym systemie

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Odczyt konfiguracji interfejsu TLS serwera HTTP w XSP|ADP

  1. Zaloguj się do XSP|ADP i przejdź do XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Wprowadź polecenie get i przeczytaj wyniki. Powinieneś zobaczyć interfejsy (adresy IP) i, dla każdego z nich, czy są bezpieczne i czy wymagają uwierzytelniania klienta.

Serwer Apache tomcat wymusza certyfikat dla każdego bezpiecznego interfejsu; system generuje certyfikat z podpisem własnym, jeśli go potrzebuje.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Dodawanie protokołu TLS 1.2 do interfejsu serwera HTTP

Interfejs HTTP, który współdziała z Webex Cloud, musi być skonfigurowany dla TLSv1.2. Chmura nie negocjuje wcześniejszych wersji protokołu TLS.

Aby skonfigurować protokół TLSv1.2 w interfejsie serwera HTTP:

  1. Zaloguj się do XSP|ADP i przejdź do XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Wprowadź polecenie get 443 , aby sprawdzić, które protokoły są już używane w tym interfejsie.

  3. Wprowadź polecenie add 443 TLSv1.2 , aby upewnić się, że interfejs może korzystać z protokołu TLS 1.2 podczas komunikacji z chmurą.

Edytowanie konfiguracji szyfrów TLS w interfejsie serwera HTTP

Aby skonfigurować wymagane szyfry:

  1. Zaloguj się do XSP|ADP i przejdź do XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Wprowadź polecenie get 443 , aby zobaczyć, które szyfry są już używane w tym interfejsie. Musi istnieć co najmniej jeden z pakietów zalecanych przez Cisco (zobacz XSP|Wymagania dotyczące tożsamości i zabezpieczeń ADP w sekcji Przegląd).

  3. Wprowadź polecenie add 443 , aby dodać szyfr do interfejsu serwera HTTP.

    Polecenie XSP|ADP CLI wymaga nazwy standardowego pakietu szyfrowania IANA, a nie nazwy pakietu openSSL. Na przykład, aby dodać szyfr openSSL ecdhe-ecdsa-chacha20-poli1305 do interfejsu serwera HTTP używasz: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>dodaj 192.0.2.7 443 TLS_ECDHE_ECDSA_Z_CHACHA20_POLY1305

    Zobacz, https://ciphersuite.info/ aby znaleźć apartament pod dowolną nazwą.

Konfigurowanie zarządzania urządzeniami na serwerze XSP|ADP, serwerze aplikacji i serwerze profilu

Zarządzanie urządzeniami wymaga serwera profilu i XSP|ADP. Muszą być skonfigurowane zgodnie z instrukcjami w Przewodniku konfiguracji zarządzania urządzeniamiBroadWorks.