Atualizações para a versão R21SP1

Instalar o serviço de autenticação XSP (R21SP1)

Use os seguintes procedimentos para instalar o AuthService no servidor BroadWorks apenas se você estiver executando R21SP1.

Instalar o serviço de autenticação

No BroadWorks 21SP1, o serviço de autenticação é um aplicativo não-planejado. Instale-o concluindo os seguintes passos:

  1. Baixe authenticationService_1 arquivo authenticationService_1.war (recurso de aplicativo da web) do Xchange (https://xchange.broadsoft.com/node/499012).

    Em cada XSP usado com Webex, faça o seguinte:

  2. Copie o arquivo .war para um local temporário no XSP, como /tmp/

  3. Instale o aplicativo do serviço de autenticação com o seguinte contexto e comando CLI:

    XSP_CLI/Manutenção/ManagedObjects> aplicativo de instalação /tmp/authenticationService_1.0.war

Configurar o serviço de autenticação

Tokens de longa duração do BroadWorks são gerados e validados pelo serviço de autenticação hospedado nos seus XSPs.

Requisitos

  • Os servidores XSP que organizam o Serviço de Autenticação devem ter uma interface mTLS configurada.

  • XSPs devem compartilhar as mesmas chaves para criptografar/descriptografar tokens vivos do BroadWorks. Copiar essas chaves para cada XSP é um processo manual.

  • XSPs deve ser sincronizado com NTP.

Visão geral da configuração

A configuração essencial nos seus XSPs inclui:

  • Implante o serviço de autenticação.

  • Configure a duração do token para, pelo menos, 60 dias (deixe o emissor como BroadWorks).

  • Gere e compartilhe as chaves RSA em XSPs.

  • Forneça a URL do authService para o recipiente da web.

Implantar o serviço de autenticação no XSP

Em cada XSP usado com o Webex:

  1. Ative o aplicativo do serviço de autenticação no caminho /authService (você deve usar este caminho):

    XSP_CLI/Manutenção/ManagedObjects> ativar autenticação de aplicativoSserviço <version> /authService

    <version>(onde é 1.0 para o aplicativo não-planejado em 21SP1).

  2. Implemente o aplicativo:

    XSP_CLI/Manutenção/ManagedObjects> implantar o aplicativo /authService

Configurar a duração do token

  1. Verifique a configuração de token existente (horas):

    Em 21SP1:XSP_CLI/Aplicativos/authenticationService_1.0/TokenManagement> obter

  2. Definir a duração para 60 dias (máx é de 180 dias):

    Em 21SP1:XSP_CLI/Aplicativos/authenticationService_1.0/TokenManagement> definir tokenDuration 1440

Gerar e compartilhar as chaves RSA

  • Você deve usar os mesmos pares de chaves públicas/privadas para criptografia/descriptografia de tokens em todas as instâncias do serviço de autenticação.

  • O par de chaves é gerado pelo serviço de autenticação quando primeiro é necessário para emitir um token.

Devido a esses dois fatores, você precisa gerar chaves em um XSP, então copie-as para todos os outros XSPs.

Se você altere as teclas ou o comprimento da chave, você precisará repetir a seguinte configuração e reiniciar todos os XSPs.

  1. Selecione um XSP a ser usado para gerar um par de chaves.

  2. Use um cliente para solicitar um token criptografado desse XSP, solicitando a seguinte URL no navegador do cliente:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (Isso gera um par de chaves pública/privada no XSP, se já não havia um)

  3. (apenas 21SP1) Verifique a localização da chave configurável usando o seguinte comando:

    XSP_CLI/Aplicativos/authenticationService_1.0/KeyManagement> obter

  4. (apenas 21SP1) Tome nota do parâmetro de fileLocation retornado.

  5. (apenas 21SP1) Copie todo o diretório fileLocation, que contém subdiretos públicos e privados, para todos os outros XSPs.

Forneça a URL do authService para o recipiente da web

O recipiente da web do XSP precisa da URL do authService para que ele possa validar tokens.

Em cada um dos XSPs:

  1. Adicione a URL do serviço de autenticação como um serviço de autenticação externa para o utilitário BroadWorks Communications:

    XSP_CLI/Sistema/Capacidade de comunicação/Configurações padrão/Autenticação externa/AuthService> url definida http://127.0.0.1/authService

  2. Adicione a URL do serviço de autenticação ao recipiente:

    XSP_CLI/Manutenção/ContainerOptions> adicione tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    Isso permite Cisco Webex usar o serviço de autenticação para validar os tokens apresentados como credenciais.

  3. Verifique o parâmetro com obter.

  4. Reinicie o XSP.