Configurar serviços no seu Webex para ADPs do Cisco BroadWorks XSP|

Exigimos que o aplicativo NPS seja executado em um XSP|ADP diferente. Os requisitos para esse XSP|ADP estão descritos em Configurar notificações de chamada da sua rede.

Você precisa dos seguintes aplicativos/serviços em seus ADPs XSP|.

Serviço/Aplicativo

Autenticação necessária

Finalidade do serviço/aplicativo

Xsi-Events

TLS (servidor se autentica aos clientes)

Controle de chamada, notificações de serviço

Xsi-Ações

TLS (servidor se autentica aos clientes)

Controle de chamada, ações

Gerenciamento de dispositivos

TLS (servidor se autentica aos clientes)

Download da configuração de chamada

Serviço de autentificação

TLS (servidor se autentica aos clientes)

Autenticação de usuário

Integração de telefonia por computador

mTLS (cliente e servidor autenticam um ao outro)

Presença de telefonia

Configurações de chamada Aplicativo Webview

TLS (servidor se autentica aos clientes)

Expor as configurações de chamada do usuário ao portal de autoatendência no aplicativo Webex

Esta seção descreve como aplicar as configurações necessárias para TLS e mTLS nessas interfaces, mas você deve consultar a documentação existente para obter os aplicativos instalados em seus XSP|ADPs.

Requisitos de co-residência

  • O Serviço de autenticação deve ser corrente com os aplicativos Xsi, pois essas interfaces devem aceitar tokens de longa duração para autorização do serviço. O serviço de autenticação é necessário para validar esses tokens.

  • O serviço de autenticação e o Xsi podem ser executados na mesma porta, se necessário.

  • Você pode separar os outros serviços/aplicativos conforme necessário para sua escala (fazenda XSP|ADP de gerenciamento de dispositivos dedicados, por exemplo).

  • Você pode co-localizar os aplicativos Xsi, CTI, Serviço de Autenticação e DMS.

  • Não instale outros aplicativos ou serviços nos ADPs XSP| que são usados para integrar o BroadWorks com o Webex.

  • Não localize o aplicativo NPS com quaisquer outros aplicativos.

Xsi Interfaces

Instale e configure os aplicativos Xsi-Actions e Xsi-Events, conforme descritos no Guia de configuração da interface de serviços Xtended do Cisco BroadWorks.

Apenas uma instância dos aplicativos Xsi-Events deve ser implantada no XSP|ADP usado para a interface CTI.

Todos os Xsi-Events usados para integrar o Broadworks com o Webex devem ter o mesmo callControlApplicationName definido em Aplicativos/Xsi-Events/GeneralSettings. Por exemplo:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> receber

callControlApplicationName = com.broadsoft.xsi-events

Quando um usuário é integrado ao Webex, o Webex cria uma assinatura para o usuário no AS a fim de receber eventos de telefonia de presença e histórico de chamadas. A assinatura está associada ao callControlApplicationName e o AS o usa para saber para qual Xsi-Events enviar os eventos de telefonia.

Alterar o callControlApplicationName ou não ter o mesmo nome em todos os aplicativos da web Xsi-Events afetará as assinaturas e a funcionalidade de eventos de telefonia.

Configurar o serviço de autenticação (com validação de token CI)

Use este procedimento para configurar o Serviço de Autenticação para usar a Validação de Token CI com TLS. Este método de autenticação é recomendado se você estiver executando R22 ou superior e o sistema suportar.

TLS Mútuo (mTLS) também é suportado como um método de autenticação alternativo para o Serviço de Aut. Se você tiver várias organizações Webex executando o mesmo servidor XSP|ADP, deverá usar a autenticação mTLS porque a validação de token CI não oferece suporte a várias conexões com o mesmo serviço de autenticação ADP XSP|.

Para configurar a autenticação mTLS para o Serviço de Aut. em vez de Validação de Token CI, consulte o Apêndice para configurar serviços (com mTLS para o serviço de aut.).

Se você atualmente usa mTLS para o Serviço de Aut, não é obrigatório que você reconfigure para usar a Validação de Token CI com TLS.

  1. Obter credenciais OAuth para seu Webex para Cisco BroadWorks.

  2. Instale os seguintes patches em cada servidor XSP|ADP. Instale os patches apropriados para sua versão:

    Qualquer referência a XSP inclui XSP ou ADP.

  3. Instale o aplicativo AuthenticationService em cada serviço XSP|ADP.

    1. Execute o seguinte comando para ativar o aplicativo AuthenticationService no XSP|ADP para o caminho de contexto /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> ativar aplicativo AuthenticationService 22.0_1.1123/authService

    2. Execute este comando para implantar o AuthenticationService no XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> implantar o aplicativo /authServiceBroadWorks SW Manager implantando /authService...

  4. A partir da versão 2022.10 do Broadworks, as autoridades de certificação que vêm com o Java não são mais incluídas automaticamente no armazenamento confiável do BroadWorks ao alternar para uma nova versão do Java. O AuthenticationService abre uma conexão TLS com o Webex para buscar o token de acesso e precisa ter o seguinte em seu truststore para validar a URL do Webex e do IDBroker:

    • IdenTrust Commercial Root CA 1

    • Daddy CA raiz certificado-G2

    Verifique se esses certificados estão presentes no seguinte CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> receber

    Se não estiver presente, execute o seguinte comando para importar as credenciais padrão do Java:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importarJavaCATrust

    Como alternativa, você pode adicionar manualmente esses certificados como âncoras de confiança com o seguinte comando:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Se o ADP for atualizado de uma versão anterior, as autoridades de certificação da versão antiga serão automaticamente importadas para a nova versão e continuarão sendo importadas até serem removidas manualmente.

    O aplicativo AuthenticationService está isento da configuração validatePeerIdentity em ADP_CLI/System/SSLCommonSettings/GeneralSettings e sempre valida a Identidade do par. Consulte o FD de validação de certificado do Cisco Broadworks X509 para obter mais informações sobre esta configuração.

  5. Configure os provedores de identidade executando os seguintes comandos em cada servidor XSP|ADP:

    XSP|ADP_CLI/Aplicativos/AuthenticationService/IdentityProviders/Cisco> obter

    • definir clientId client-Id-From-Step1

    • definir verdadeiro habilitado

    • definir clientSecret client-Secret-From-Step1

    • definir ciResponseBodyMaxSizeInBytes 65536

    • definir issuerName —Para a URL, insira a URL IssuerName que se aplica ao seu Grupo de CI. Consulte a tabela a seguir.

    • definir issuerUrl —Para a URL, insira o IssuerUrl que se aplica ao seu Grupo de CI. Consulte a tabela a seguir.

    • definir tokenInfoUrl —Insira a URL do proxy IdP que se aplica ao Grupo do Teams. Veja a segunda tabela que se segue.

    Quadro 1. Definir issuerName e issuerURL
    Se o grupo CI estiver...Defina o issuerName e issuerURL para...

    EUA-A

    https://idbroker.webex.com/idb

    UE

    https://idbroker-eu.webex.com/idb

    EUA-B

    https://idbroker-b-us.webex.com/idb

    Se você não souber seu Grupo de CI, poderá obter as informações dos detalhes do cliente na exibição do Suporte técnico do Control Hub.

    Tabela 2. Definir tokenInfoURL
    Se o grupo Teams estiver...Definir tokenInfoURL para... (URL do proxy IdP)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    Afra

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Se você não souber seu Grupo do Teams, poderá obter as informações dos detalhes do Cliente na exibição do Suporte técnico do Control Hub.

    • Para testes, você pode verificar se o tokenInfoURL é válido substituindo a parte "idp/authenticate" da URL por "ping".

  6. Especifique a autorização Webex que deve estar presente no perfil do usuário no Webex executando o seguinte comando:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> definir escopo broadworks-connector:usuário

  7. Configure os provedores de identidade do Cisco Federation usando os seguintes comandos em cada servidor XSP|ADP:

    XSP|ADP_CLI/Aplicativos/AuthenticationService/IdentityProviders/Cisco/Federation> obter

    • definir flsUrl https://cifls.webex.com/federation

    • configurar refreshPeriodInMinutes 60

    • definir refreshToken refresh-Token-From-Step1

  8. Execute o seguinte comando para validar se a configuração FLS está funcionando. Este comando retornará a lista de Provedores de Identidade:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Obter

  9. Configure o Gerenciamento de token usando os seguintes comandos em cada servidor XSP|ADP:

    • XSP|ADP_CLI/Aplicativos/AuthenticationService/TokenManagement>

    • definir tokenIssuer BroadWorks

    • definir tokenDurationInHours 720

  10. Gerar e compartilhar as chaves RSA. Você deve gerar chaves em um XSP|ADP e copiá-las para todos os outros XSP|ADPs. Isto é devido aos seguintes fatores:

    • Você deve usar os mesmos pares de chaves públicas/privadas para criptografia/descriptografia de tokens em todas as instâncias do serviço de autenticação.

    • O par de chaves é gerado pelo serviço de autenticação quando primeiro é necessário para emitir um token.

    Se você alternar as teclas ou alterar o comprimento da chave, será necessário repetir a configuração a seguir e reiniciar todos os XSP|ADPs.

    1. Selecione um XSP|ADP a ser usado para gerar um par de chaves.

    2. Use um cliente para solicitar um token criptografado desse XSP|ADP solicitando a seguinte URL do navegador do cliente:

      https://<XSP|ADP-IPddress>/authService/token?key=BASE64URL(clientPublicKey)

      (Isso gera um par de chaves privada/pública no XSP|ADP, se ainda não houver um)

    3. O local do armazenamento chave não é configurável. Exporte as chaves:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Copie o arquivo exportado /var/broadworks/tmp/authService.keys para o mesmo local em outros ADPs XSP|, substituindo um arquivo .keys mais antigo, se necessário.

    5. Importe as chaves em cada um dos outros XSP|ADPs:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Forneça a URL do authService para o recipiente da web. O contêiner da web do XSP|ADP precisa da URL do authService para que ele possa validar tokens. Em cada um dos XSP|ADPs:

    1. Adicione a URL do serviço de autenticação como um serviço de autenticação externa para o utilitário BroadWorks Communications:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> definir url http://127.0.0.1:80/authService

    2. Adicione a URL do serviço de autenticação ao recipiente:

      XSP|ADP_CLI/Maintenance/ContainerOptions> adicionar bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Isso permite que o Webex use o Serviço de autenticação para validar os tokens apresentados como credenciais.

    3. Verifique o parâmetro com obter.

    4. Reinicie o XSP|ADP.

Remover requisito de autenticação do cliente para o serviço de autenticação (somente R24)

Se você tem o Serviço de Autenticação configurado com a validação do Token CI no R24, você também precisa remover o Requisito de Autenticação do Cliente para o Serviço de Autenticação. Execute o seguinte comando CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> definir AuthenticationService clientAuthReq false

Configurar TLS e cifras nas interfaces HTTP (para XSI e serviço de autenticação)

Os aplicativos Service de autenticação, Xsi-Actions e Xsi-Events usam interfaces do servidor HTTP. Os níveis de configuração TLS para esses aplicativos são os seguinte:

Mais geral = System > Transport > HTTP > http server = Mais específico

Os contextos CLI que você usa para visualizar ou modificar as diferentes configurações SSL são:

Especificidade Contexto CLI
Sistema (global)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Protocolos de transporte para este sistema

XSP|ADP_CLI/Sistema/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/Sistema/SSLCommonSettings/OpenSSL/Protocolos>
HTTP neste sistema

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Interfaces específicas do servidor HTTP neste sistema

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Lendo a configuração da interface TLS do servidor HTTP no XSP|ADP

  1. Inicie sessão no XSP|ADP e navegue até XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Insira o comando Obter e leia os resultados. Você deve ver as interfaces (endereços de IP) e, para cada, se elas são seguras e se exigem a autenticação do cliente.

Para cada interface segura, a Tomcat determina um certificado; o sistema gera um certificado auto-assinado se precisar de um.

XSP|ADP_CLI/Interface/Http/HttpServer> obter

Adicionar protocolo TLS 1.2 à interface do servidor HTTP

A interface HTTP que está interagindo com o Webex Cloud deve ser configurada para TLSv1.2. A nuvem não negociará versões anteriores do protocolo TLS.

Para configurar o protocolo TLSv1.2 na interface do Servidor HTTP:

  1. Inicie sessão no XSP|ADP e navegue até XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Insira o comando get 443 para ver quais protocolos já são usados nesta interface.

  3. Insira o comando adicionar 443 TLSv1.2 para garantir que a interface possa usar o TLS 1.2 ao se comunicar com a nuvem.

Editando a configuração de codificações TLS na interface do servidor HTTP

Para configurar as cifras necessárias:

  1. Inicie sessão no XSP|ADP e navegue até XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Insira o comando get 443 para ver quais cifras já são usadas nesta interface. Deve haver pelo menos um dos pacotes recomendados pela Cisco (consulte XSP|Requisitos de identidade e segurança ADP na seção Visão geral).

  3. Insira o comando add 443 para adicionar uma cifra à interface do servidor HTTP.

    O XSP|ADP CLI requer o nome do pacote de codificação padrão IANA, não o nome do pacote de codificação openSSL. Por exemplo, para adicionar a codificação openSSL ECDHE-ECDSA-CHACHA20-POLY1305 à interface do servidor HTTP, você usaria: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>adicionar 192.0.2.7 443 TLS_ECDHE_ECDSA_COM_CHACHA20_POLY1305

    Consulte https://ciphersuite.info/ para encontrar o suite do por um dos nomes.

Configurar o gerenciamento de dispositivos no XSP|ADP, servidor de aplicativos e servidor de perfil

O servidor de perfil e o XSP|ADP são obrigatórios para o gerenciamento de dispositivos. Eles devem ser configurados de acordo com as instruções do Guia de configuração de gerenciamento de dispositivos BroadWorks.