Configurar serviços no seu Webex para Cisco BroadWorks XSP|ADPs

Exigimos que o aplicativo NPS seja executado em um ADP XSP|diferente. Os requisitos para esse XSP|ADP são descritos em Configurar notificações de chamadas da sua rede.

Você precisa dos seguintes aplicativos / serviços em seus ADPs XSP|.

Serviço/Aplicativo

Autenticação necessária

Finalidade do serviço/aplicativo

Xsi-Events

TLS (servidor se autentica aos clientes)

Controle de chamada, notificações de serviço

Xsi-Ações

TLS (servidor se autentica aos clientes)

Controle de chamada, ações

Gerenciamento de dispositivos

TLS (servidor se autentica aos clientes)

Download da configuração de chamada

Serviço de autentificação

TLS (servidor se autentica aos clientes)

Autenticação de usuário

Integração de telefonia por computador

mTLS (cliente e servidor autenticam um ao outro)

Presença de telefonia

Configurações de chamada Aplicativo Webview

TLS (servidor se autentica aos clientes)

Expor as configurações de chamada do usuário ao portal de autoatendência no aplicativo Webex

Esta seção descreve como aplicar as configurações necessárias para TLS e mTLS nessas interfaces, mas você deve consultar a documentação existente para instalar os aplicativos em seus ADPs XSP|.

Requisitos de co-residência

  • O Serviço de autenticação deve ser corrente com os aplicativos Xsi, pois essas interfaces devem aceitar tokens de longa duração para autorização do serviço. O serviço de autenticação é necessário para validar esses tokens.

  • O serviço de autenticação e o Xsi podem ser executados na mesma porta, se necessário.

  • Você pode separar o outro services/applications conforme necessário para sua escala (farm XSP|ADP de gerenciamento de dispositivos dedicados, por exemplo).

  • Você pode co-localizar os aplicativos Xsi, CTI, Serviço de Autenticação e DMS.

  • Não instale outros aplicativos ou serviços nos ADPs XSP|que são usados para integrar o BroadWorks com o Webex.

  • Não localize o aplicativo NPS com quaisquer outros aplicativos.

Xsi Interfaces

Instale e configure os aplicativos Xsi-Actions e Xsi-Events, conforme descritos no Guia de configuração da interface de serviços Xtended do Cisco BroadWorks.

Somente uma instância dos aplicativos Xsi-Events deve ser implantada no XSP|ADP usado para a interface CTI.

Todos os eventos Xsi usados para integrar o Broadworks com o Webex devem ter o mesmo callControlApplicationName definido em Applications/Xsi-Events/GeneralSettings. Por exemplo:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Quando um usuário é integrado ao Webex, o Webex cria uma assinatura para o usuário no AS para receber eventos de telefonia para presença e histórico de chamadas. A assinatura é associada ao callControlApplicationName e o AS a utiliza para saber para quais Xsi-Events enviar os eventos de telefonia.

Alterar o callControlApplicationName ou não ter o mesmo nome em todos os webapps Xsi-Events afetará as assinaturas e a funcionalidade de eventos de telefonia.

Configurar o serviço de autenticação (com validação de token CI)

Use este procedimento para configurar o Serviço de Autenticação para usar a Validação de Token CI com TLS. Este método de autenticação é recomendado se você estiver executando R22 ou superior e o sistema suportar.

TLS Mútuo (mTLS) também é suportado como um método de autenticação alternativo para o Serviço de Aut. Se você tiver várias organizações Webex em execução no mesmo servidor XSP|ADP, será necessário usar a autenticação mTLS porque a Validação de Token CI não oferece suporte a várias conexões com o mesmo Serviço de Autenticação XSP|ADP.

Para configurar a autenticação mTLS para o Serviço de Aut. em vez de Validação de Token CI, consulte o Apêndice para configurar serviços (com mTLS para o serviço de aut.).

Se você atualmente usa mTLS para o Serviço de Aut, não é obrigatório que você reconfigure para usar a Validação de Token CI com TLS.

  1. Obtendo credenciais OAuth para seu Webex para Cisco BroadWorks.

  2. Instale os seguintes patches em cada servidor XSP|ADP. Instale os patches apropriados para sua versão:

    Qualquer referência ao XSP inclui XSP ou ADP.

  3. Instale o aplicativo AuthenticationService em cada serviço XSP|ADP.

    1. Execute o seguinte comando para ativar o aplicativo AuthenticationService no XSP|ADP para o /authService caminho de contexto.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

    2. Execute este comando para implantar o AuthenticationService no XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

  4. A partir da versão 2022.10 do Broadworks, as autoridades de certificação que vêm com o Java não são mais incluídas automaticamente no armazenamento confiável do BroadWorks ao alternar para uma nova versão do Java. O AuthenticationService abre uma conexão TLS com o Webex para buscar o token de acesso e precisa ter o seguinte em seu truststore para validar o IDBroker e a URL do Webex:

    • IdenTrust Commercial Root CA 1

    • Daddy CA raiz certificado-G2

    Verifique se esses certificados estão presentes na seguinte CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

    Se não estiver presente, execute o seguinte comando para importar os trusts Java padrão:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    Como alternativa, você pode adicionar manualmente esses certificados como âncoras de confiança com o seguinte comando:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Se o ADP for atualizado de uma versão anterior, as autoridades de certificação da versão antiga serão importadas automaticamente para a nova versão e continuarão a ser importadas até serem removidas manualmente.

    O aplicativo AuthenticationService está isento da configuração validatePeerIdentity no ADP_CLI/System/SSLCommonSettings/GeneralSettings, e sempre valida a identidade do par. Consulte Cisco Broadworks X509 Certificate Validation FD para obter mais informações sobre esta configuração.

  5. Configure os Provedores de Identidade executando os seguintes comandos em cada servidor XSP|ADP:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName —Para URL, insira o URL IssuerName que se aplica ao seu cluster de CI. Veja a tabela a seguir.

    • set issuerUrl —Para URL, insira o IssuerUrl que se aplica ao seu cluster de CI. Veja a tabela a seguir.

    • set tokenInfoUrl — Insira a URL do proxy IdP que se aplica ao grupo do Teams. Veja a segunda tabela a seguir.

    Tabela 1. Definir issuerName e issuerURL
    Se o grupo CI estiver...Defina issuerName e issuerURL como...

    EUA-A

    https://idbroker.webex.com/idb

    UE

    https://idbroker-eu.webex.com/idb

    EUA-B

    https://idbroker-b-us.webex.com/idb

    Se você não souber seu CI Cluster, poderá obter as informações nos detalhes do cliente na exibição do Help Desk do Control Hub.

    Tabela 2. Definir tokenInfoURL
    Se o grupo Teams estiver...Defina tokenInfoURL como...(URL do proxy IdP)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    Afra

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Se você não souber seu Cluster de equipes, poderá obter as informações nos detalhes do cliente na exibição do Help Desk do Control Hub.

    • Para testes, você pode verificar se o tokenInfoURL é válido substituindo a parte "idp/authenticate" do URL por "ping".

  6. Especifique a autorização Webex que deve estar presente no perfil do usuário no Webex executando o seguinte comando:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  7. Configure provedores de identidade para a Cisco Federation usando os seguintes comandos em cada servidor XSP|ADP:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken refresh-Token-From-Step1

  8. Execute o seguinte comando para validar se a configuração FLS está funcionando. Este comando retornará a lista de Provedores de Identidade:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. Configure o Gerenciamento de Tokens usando os seguintes comandos em cada servidor XSP|ADP:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. Gerar e compartilhar as chaves RSA. Você deve gerar chaves em um XSP|ADP e depois copiá-las para todos os outros XSP|ADPs. Isto é devido aos seguintes fatores:

    • Você deve usar os mesmos pares de chaves públicas/privadas para criptografia/descriptografia de tokens em todas as instâncias do serviço de autenticação.

    • O par de chaves é gerado pelo serviço de autenticação quando primeiro é necessário para emitir um token.

    Se você alternar as chaves ou alterar o comprimento da chave, será necessário repetir a seguinte configuração e reiniciar todos os ADPs XSP|.

    1. Selecione um XSP|ADP para usar para gerar um par de chaves.

    2. Use um cliente para solicitar um token criptografado daquele XSP|ADP, solicitando a seguinte URL do navegador do cliente:

      https:///authService/token?key=BASE64URL(clientPublicKey)

      (Isso gera um privado / par de chaves públicas no XSP|ADP, se ainda não houver um)

    3. O local do armazenamento chave não é configurável. Exporte as chaves:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Copie o arquivo exportado /var/broadworks/tmp/authService.keys para o mesmo local nos outros ADPs XSP|, substituindo um arquivo .keys mais antigo, se necessário.

    5. Importe as chaves em cada um dos outros ADPs XSP|:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Forneça a URL do authService para o recipiente da web. O contêiner da web do XSP|ADP precisa da URL authService para poder validar tokens. Em cada um dos ADPs XSP|:

    1. Adicione a URL do serviço de autenticação como um serviço de autenticação externa para o utilitário BroadWorks Communications:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Adicione a URL do serviço de autenticação ao recipiente:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Isso permite que o Webex use o Serviço de autenticação para validar os tokens apresentados como credenciais.

    3. Verifique o parâmetro com get.

    4. Reinicie o XSP|ADP.

Remover requisito de autenticação do cliente para o serviço de autenticação (somente R24)

Se você tem o Serviço de Autenticação configurado com a validação do Token CI no R24, você também precisa remover o Requisito de Autenticação do Cliente para o Serviço de Autenticação. Execute o seguinte comando CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Configurar TLS e cifras nas interfaces HTTP (para XSI e serviço de autenticação)

Os aplicativos Service de autenticação, Xsi-Actions e Xsi-Events usam interfaces do servidor HTTP. Os níveis de configuração TLS para esses aplicativos são os seguinte:

Mais geral = System > Transport > HTTP > http server = Mais específico

Os contextos CLI que você usa para visualizar ou modificar as diferentes configurações SSL são:

Especificidade Contexto CLI
Sistema (global)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Protocolos de transporte para este sistema

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP neste sistema

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Interfaces específicas do servidor HTTP neste sistema

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Lendo a configuração da interface TLS do servidor HTTP no XSP|ADP

  1. Entre no XSP|ADP e navegue até XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Digite o comando get e leia os resultados. Você deve ver as interfaces (endereços de IP) e, para cada, se elas são seguras e se exigem a autenticação do cliente.

Para cada interface segura, a Tomcat determina um certificado; o sistema gera um certificado auto-assinado se precisar de um.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Resultados exibidos após inserir o comando get, mostrando interfaces (endereços IP) e, para cada uma, se elas são seguras e se exigem autenticação do cliente.

Adicionar protocolo TLS 1.2 à interface do servidor HTTP

A interface HTTP que está interagindo com o Webex Cloud deve ser configurada para TLSv1.2. A nuvem não negociará versões anteriores do protocolo TLS.

Para configurar o protocolo TLSv1.2 na interface do Servidor HTTP:

  1. Entre no XSP|ADP e navegue até XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Digite o comando get 443 para ver quais protocolos já estão sendo usados nesta interface.

  3. Digite o comando add 443 TLSv1.2 para garantir que a interface possa usar TLS 1.2 ao se comunicar com a nuvem.

Editando a configuração de codificações TLS na interface do servidor HTTP

Para configurar as cifras necessárias:

  1. Entre no XSP|ADP e navegue até XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Digite o comando get 443 para ver quais cifras já estão sendo usadas nesta interface. Deve haver pelo menos um dos pacotes recomendados pela Cisco (consulte XSP|Requisitos de identidade e segurança do ADP na seção Visão geral).

  3. Digite o comando add 443 para adicionar uma cifra à interface do servidor HTTP.

    O XSP|ADP CLI requer o nome do conjunto de cifras padrão IANA, não o nome do conjunto de cifras openSSL. Por exemplo, para adicionar a cifra openSSL ECDHE-ECDSA-CHACHA20-POLY1305 à interface do servidor HTTP, você usaria: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Consulte https://ciphersuite.info/ para encontrar o suite do por um dos nomes.

Configurar o gerenciamento de dispositivos no XSP|ADP, servidor de aplicativos e servidor de perfil

O Profile Server e o XSP|ADP são obrigatórios para o Gerenciamento de Dispositivos. Eles devem ser configurados de acordo com as instruções do Guia de configuração de gerenciamento de dispositivos BroadWorks.