Preparar seu ambiente
Pontos de decisão
Consideração | Perguntas a serem respondidas | Recursos |
Arquitetura e infraestrutura |
Quantos XSPs? Como eles tomam mTLS? |
Planejador de capacidade do sistema Cisco BroadWorks Guia de engenharia do sistema Cisco BroadWorks Referência do XSP CLI Este documento |
Provisionamento de clientes e usuários | Você pode afirmar que confia em e-mails no BroadWorks? Deseja que os usuários forneçam endereços de e-mail para ativar as próprias contas? Você pode criar ferramentas para usar nossa API? |
Documentos de API pública em https://developer.webex.com Este documento |
Marca | Qual cor e logotipo você deseja usar? | Artigo de marca do aplicativo Webex |
Modelos | Quais são seus diferentes casos de uso do cliente? | Este documento |
Recursos do assinante por cliente/empresa/grupo | Escolha o pacote para definir o nível de serviço por modelo. Básico, padrão, premium ou softphone. | Este documento Matriz de recursos/pacotes |
autenticação de segura | BroadWorks ou Webex | Este documento |
Adaptador de provisionamento (para opções de provisionamento por fluxo) | Você já usa IM&P integrado, por exemplo, para UC-One SaaS? Você pretende usar vários modelos? Há uma expectativa de caso de uso mais comum? |
Este documento Referência CLI do servidor de aplicativos |
Arquitetura e infraestrutura
Que tipo de escala você pretende começar? É possível escalar no futuro, mas sua estimativa de uso atual deve impulsionar o planejamento da infraestrutura.
Trabalhe com seu gerente de conta da Cisco/representante de vendas para dimensionar sua infraestrutura XSP, de acordo com o Cisco BroadWorks System Capacity Planner e o Cisco BroadWorks System Engineering Guide .
Como o Webex fará conexões TLS mútuas com seus XSPs? Diretamente para o XSP em um DMZ ou via proxy TLS? Isso afeta o gerenciamento de certificados e as URLs que você usa para as interfaces. ( Não oferecemos suporte a conexões TCP não criptografadas na borda da sua rede ).
Provisionamento de clientes e usuários
Qual método de provisionamento de usuário é mais adequado para você?
Provisionamento de fluxo com e-mails confiáveis : Ao atribuir o serviço "IM&P integrado" no BroadWorks, o assinante é automaticamente provisionado no Webex.
Se você também puder afirmar que os endereços de e-mail do assinante no BroadWorks são válidos e exclusivos do Webex, poderá usar a variante de "e-mail confiável" do provisionamento fluido. As contas Webex do assinante são criadas e ativadas sem a intervenção; elas simplesmente baixam o cliente e iniciam sessão.
O endereço de e-mail é um atributo de usuário importante no Webex. Portanto, o provedor de serviços deve fornecer um endereço de e-mail válido para o usuário a fim de provisioná-lo para serviços Webex. Isso deve estar no atributo de ID de e-mail do usuário no BroadWorks. Recomendamos que você também o copie no atributo ID alternativo.
Provisionamento de fluxo sem e-mails confiáveis : Se você não puder confiar nos endereços de e-mail do assinante, você ainda poderá atribuir o serviço IM&P integrado no BroadWorks para provisionar usuários no Webex.
Com essa opção, as contas são criadas quando você atribui o serviço, mas os assinantes precisam fornecer e validar seus endereços de e-mail para ativar as contas Webex.
Autoprovisionamento de usuários : Esta opção não exige atribuição de serviço IM&P no BroadWorks. Você (ou seus clientes) distribui um link de provisionamento em vez disso, e os links para baixar os diferentes clientes, com sua marca e instruções.
Os assinantes seguem o link, depois fornecem e validam seus endereços de e-mail para criar e ativar suas contas Webex. Em seguida, eles baixam o cliente e iniciam sessão, e o Webex busca alguma configuração adicional sobre eles do BroadWorks (incluindo seus números principais).
Provisionamento controlado por SP via APIs : O Webex expõe um conjunto de APIs Públicas que permitem aos provedores de serviços criar provisionamento de usuários/assinantes em seus fluxos de trabalho existentes.
Requisitos de provisionamento
A tabela a seguir resume os requisitos de cada método de provisionamento. Além desses requisitos, sua implantação deve atender aos requisitos gerais do sistema descritos neste guia.
Método de provisionamento |
Requisitos |
---|---|
Provisionamento de fluxo contínuo (E-mails confiáveis ou não confiáveis) |
A API de provisionamento Webex adiciona usuários BroadWorks existentes ao Webex automaticamente assim que o usuário atende aos requisitos e você alterna o serviço IM integrado + P para ligado. Existem dois fluxos (e-mails confiáveis ou e-mails não confiáveis) que você atribui por meio do modelo de cliente no Webex. Requisitos BroadWorks:
Requisitos Webex: O modelo do cliente inclui as seguintes configurações:
|
Autoprovisionamento do usuário |
O administrador fornece a um usuário BroadWorks existente um link para o Portal de ativação do usuário. O usuário deve fazer logon no portal usando as credenciais do BroadWorks e fornecer um endereço de e-mail válido. Depois que o e-mail é validado, o Webex busca informações adicionais do usuário para concluir o provisionamento. Requisitos BroadWorks:
Requisitos Webex: O modelo do cliente inclui as seguintes configurações:
|
Provisionamento controlado por SP via API (E-mails confiáveis ou não confiáveis) |
O Webex expõe um conjunto de APIs públicas que permitem criar provisionamento de usuários em seus fluxos de trabalho e ferramentas existentes. Há dois fluxos:
Requisitos do BroadWorks:
Requisitos Webex:
Para usar as APIs, vá para Assinantes do BroadWorks . |
Patches necessários com provisionamento de fluxo contínuo
Se você estiver usando provisionamento de fluxo através, você deve instalar um patch do sistema e aplicar uma propriedade CLI. Consulte a lista abaixo para obter instruções que se aplicam à sua versão do BroadWorks:
Para R22:
Instale AP.as.22.0.1123.ap376508 .
Após a instalação, defina a propriedade
bw.msg.includeIsEnterpriseInOSSschema
paratrue
na CLI em Manutenção/ContainerOptions .Para obter mais informações, consulte as notas de correção https://www.cisco.com/web/software/286326332/154309/AP.as.22.0.1123.ap376508.txt.
Para R23:
Instalar AP.as.23.0.1075.ap376509
Após a instalação, defina a propriedade
bw.msg.includeIsEnterpriseInOSSschema
paratrue
na CLI em Manutenção/ContainerOptions .Para obter mais informações, consulte as notas de correção https://www.cisco.com/web/software/286326332/154325/AP.as.23.0.1075.ap376509.txt.
Para R24:
Instalar o AP.as.24.0.944.ap375100
Após a instalação, defina a propriedade
bw.msg.includeIsEnterpriseInOSSschema
paratrue
na CLI em Manutenção/ContainerOptions .Para obter mais informações, consulte as notas de correção https://www.cisco.com/web/software/286326332/154326/AP.as.24.0.944.ap375100.txt.
Depois de concluir estas etapas, você não poderá fornecer novos usuários com os serviços de colaboração UC-One. Os usuários recém provisionados devem ser Webex para usuários do Cisco BroadWorks.
|
Idiomas locais suportados
Durante o provisionamento, o idioma que foi atribuído no BroadWorks para o primeiro usuário de administração provisionado é atribuído automaticamente como a localidade padrão para essa organização de clientes. Essa configuração determina o idioma padrão usado para e-mails de ativação, reuniões e convites de reunião nessa organização de cliente.
Cinco locais de linguagem de caracteres no formato (ISO-639-1)_(ISO-3166) são suportados. Por exemplo, en_ US corresponde a E nglish_ UnitedStates. Se apenas um idioma de duas letras for solicitado (usando o formato ISO-639-1), o serviço gerará um local de cinco caracteres combinando o idioma solicitado com um código de país do modelo, ou seja, "requestedL anguage_ CountryCode", se não for possível obter um local válido, o local sensato padrão usado com base no código de idioma necessário.
A tabela a seguir lista os locais suportados e o mapeamento que converte um código de idioma de duas letras em um local de cinco caracteres para situações em que um local de cinco caracteres não está disponível.
Idiomas locais suportados (ISO-639-1)_(ISO-3166) |
Se apenas um código de linguagem de duas letras estiver disponível... |
|
---|---|---|
Código de idioma (ISO-639-1) ** |
Em vez disso, use a localidade sensível padrão (ISO-639-1)_(ISO-3166) |
|
en_EUA en_AU en_Gb en_CA |
pt |
en_EUA |
fr_Sex fr_CA |
fr |
fr_Sex |
cs_CZ |
cs |
cs_CZ |
da_NS |
da |
da_NS |
de_de |
de |
de_de |
hu_HU |
u |
hu_HU |
id_ID |
id |
id_ID |
it_it |
it |
it_it |
ja_jp |
ja |
ja_jp |
ko_RC |
ko |
ko_RC |
es_es es_CO es_MX |
es |
es_es |
nl_nl |
nl |
nl_nl |
nb_NÃO |
nb |
nb_NÃO |
pl_PL |
pl |
pl_PL |
pt_PT pt_BR |
pt |
pt_PT |
ru_ru |
ru |
ru_ru |
ro_RO |
ro |
ro_RO |
zh_CN zh_TW |
zh |
zh_CN |
sv_SE |
sv |
sv_SE |
ar_SA |
ar |
ar_SA |
tr_TR |
tr |
tr_TR |
Os locais es_ CO, id_ ID, nb_ NO e pt_ PT não são suportados pelos sites de reunião Webex. Para esses locais, Os sites Webex Meetings serão apenas em inglês. O inglês será a localidade padrão dos sites se a localidade não/inválida/não compatível for necessária para o site. Este campo de idioma é aplicável ao criar um site da Organização e do Webex Meetings. Se nenhum idioma for mencionado em um post ou na API do assinante, o idioma do modelo será usado como um idioma padrão. |
Marca
Os administradores de parceiros podem usar as Personalizações avançadas de marcas para personalizar a aparência do aplicativo Webex para as organizações de clientes que o parceiro gerencia. Os administradores de parceiros podem personalizar as seguintes configurações para garantir que o aplicativo Webex reflita a marca e a identidade da empresa:
Logotipos da empresa
Esquemas de cores exclusivos para o modo claro ou escuro
URLs de suporte personalizados
Para obter detalhes sobre como personalizar a marca, consulte Configurar personalizações avançadas da marca .
|
Modelos de clientes
Os modelos de cliente permitem definir os parâmetros pelos quais os clientes e assinantes associados são automaticamente provisionados no Webex para o Cisco BroadWorks. Você pode configurar vários modelos de cliente conforme necessário, mas quando você integra um cliente, ele está associado a apenas um modelo (você não pode aplicar vários modelos a um cliente).
Alguns dos parâmetros do modelo primário estão listados abaixo.
Pacote
Você deve selecionar um pacote padrão ao criar um modelo (Consulte Pacotes na seção Visão geral para obter detalhes). Todos os usuários provisionados com esse modelo, seja por provisionamento automático ou por fluxo, receberão o pacote padrão.
Você tem controle sobre a seleção de pacotes para diferentes clientes, criando vários modelos e selecionando diferentes pacotes padrão em cada um. Você pode então distribuir diferentes links de provisionamento ou diferentes adaptadores de provisionamento por empresa, dependendo do método de provisionamento de usuário escolhido para esses modelos.
Você pode alterar o pacote de assinantes específicos desse padrão usando a API de provisionamento (consulte Webex para documentação da API do Cisco BroadWorks ou por meio do Partner Hub (consulte Alterar pacote de usuários no Partner Hub ).
Você não pode alterar o pacote de um assinante do BroadWorks. A atribuição do serviço IM&P integrado está ativada ou desativada; se o assinante for atribuído este serviço no BroadWorks, o modelo do Partner Hub associado à URL de provisionamento da empresa desse assinante definirá o pacote.
Revendedor e empresas ou prestador de serviços e grupos?
A forma como seu sistema BroadWorks é configurado tem um impacto sobre o fluxo por meio do provisionamento. Se você é um revendedor com Empresas, então você precisa ativar o modo Empresarial quando você criar um modelo.
Se o sistema BroadWorks estiver configurado no modo provedor de serviços, você poderá deixar o modo Empresarial desligado nos modelos.
Se você planeja provisionar organizações de clientes usando os modos BroadWorks, você deve usar modelos diferentes para grupos e empresas.
Certifique-se de que você aplicou os patches BroadWorks que são necessários para o provisionamento de fluxo através. Para obter detalhes, consulte Patches necessários com provisionamento de fluxo de saída .
|
Modo de autenticação
Decida como você deseja que os assinantes se autentiquem ao fazerem logon no Webex. Você pode atribuir o modo usando a configuração Modo de autenticação no Modelo de cliente. A tabela a seguir descreve algumas das opções.
Essa configuração não tem efeito no logon no Portal de ativação do usuário. Os usuários que iniciarem sessão no portal devem inserir a ID de usuário e a senha do BroadWorks, conforme configurados no BroadWorks, independentemente de como você configura o Modo de autenticação no modelo do cliente.
|
Modo de autenticação | BroadWorks | Webex |
Identidade do usuário primário | ID de usuário BroadWorks | Endereço de e-mail |
Provedor de identidade | BroadWorks.
|
Cisco Common Identity |
Autenticação multifator? | Não | Requer o IdP do cliente que ofereça suporte à autenticação multifator. |
Caminho de validação de credenciais |
|
|
Para obter uma análise mais detalhada do fluxo de logon de SSO com autenticação direta no BroadWorks, consulte SSO Login Flow .
|
Codificação UTF-8 com autenticação BroadWorks
Com a autenticação BroadWorks, recomendamos que você configure a codificação UTF-8 para o cabeçalho de autenticação. O UTF-8 resolve um problema que pode ocorrer com senhas que usam caracteres especiais, pelo qual o navegador da web não codifica os caracteres corretamente. Usando um cabeçalho codificado por UTF-8, o cabeçalho codificado por base 64 resolve esse problema.
Você pode configurar a codificação UTF-8 executando um dos seguintes comandos CLI no XSP ou ADP:
XSP_CLI/Applications/WebContainer/Tomcat/GeneralSettings> set authenticationEncoding UTF-8
ADP_CLI/Applications/WebContainer/Tomcat/GeneralSettings> set authenticationEncoding UTF-8
País
Você deve selecionar um país ao criar um modelo. Este país será atribuído automaticamente como o país da organização a todos os clientes que forem provisionados com o modelo em Identidade Comum. Além disso, o país da organização determinará os números de chamada de entrada global padrão do Cisco PSTN em sites de reuniões Webex.
Os números de chamada de entrada global padrão do site serão definidos para o primeiro número de discagem disponível definido no domínio de telefonia com base no país da organização. Se o país da organização não for encontrado no número de discagem definido no domínio de telefonia, o número padrão desse local será usado.
Não. |
Local |
Código do país |
Nome do país |
---|---|---|---|
1 |
AMER |
+1 |
NÓS, CA |
2 |
APAC |
+65 |
Cingapura |
3 |
ANZ |
+61 |
Austrália |
4 |
EMEA |
+44 |
Reino Unido |
5 |
EURO |
+49 |
Alemanha |
Vários arranjos de parceiros
Você vai sublicenciar o Webex para Cisco BroadWorks para outro provedor de serviços? Nesse caso, cada provedor de serviços precisará de uma organização parceira distinta no Webex Control Hub para permitir que eles forneçam a solução para sua base de clientes.
Adaptador e modelos de provisionamento
Quando você está usando o provisionamento por fluxo, a URL de provisionamento inserida no BroadWorks é derivada do modelo no Control Hub. Você pode ter vários modelos e, portanto, várias URLs de provisionamento. Isso permite que você selecione, em uma empresa por empresa, qual pacote aplicar aos assinantes quando eles recebem o serviço IM&P integrado.
Você precisa considerar se deseja definir uma URL de provisionamento no nível do sistema como um caminho de provisionamento padrão e qual modelo você deseja usar para isso. Dessa forma, você só precisa definir explicitamente a URL de provisionamento para as empresas que precisam de um modelo diferente.
Além disso, lembre-se de que você já pode estar usando uma URL de provisionamento no nível do sistema, por exemplo, com UC-One SaaS. Se esse for o caso, você pode optar por preservar a URL no nível do sistema para o provisionamento de usuários no UC-One SaaS e substituir essas empresas que estão mudando para Webex para Cisco BroadWorks ... Como alternativa, você pode querer seguir para o outro lado e definir a URL de nível do sistema do Webex para BroadWorks e reconfigurar as empresas que deseja manter no UC-One SaaS.
As opções de configuração relacionadas a essa decisão são detalhadas em Configurar servidor de aplicativos com a URL do serviço de provisionamento .
Proxy do adaptador de provisionamento
Para maior segurança, o proxy do adaptador de provisionamento permite que você use um proxy HTTP(S) na plataforma de entrega de aplicativos para provisionamento fluido entre o AS e o Webex. A conexão proxy cria um túnel TCP de ponta a ponta que transmite o tráfego entre o AS e o Webex, negando assim a necessidade do AS se conectar diretamente à internet pública. Para conexões seguras, o TLS pode ser usado.
Esse recurso requer que você configure o proxy no BroadWorks. Para obter detalhes, consulte Descrição do recurso de proxy do adaptador de provisionamento do Cisco BroadWorks .
Requisitos mínimos
Contas
Todos os assinantes que você está provisionando para o Webex devem existir no sistema BroadWorks que você integra ao Webex. Você pode integrar vários sistemas BroadWorks, se necessário.
Todos os assinantes devem ter licenças BroadWorks e um número principal ou ramal.
O Webex usa endereços de e-mail como identificadores primários para todos os usuários. Se você estiver usando o provisionamento de fluxo com e-mails confiáveis, então seus usuários devem ter endereços válidos no atributo de e-mail no BroadWorks.
Se o modelo usar a autenticação BroadWorks, você poderá copiar os endereços de e-mail do assinante no atributo ID alternativo no BroadWorks. Isso permite que os usuários iniciem sessão no Webex usando seus endereços de e-mail e suas senhas do BroadWorks.
Seus administradores devem usar as contas Webex para iniciar sessão no Partner Hub.
Não é suportado integrar um administrador do BroadWorks ao Webex para o Cisco BroadWorks. Você só pode integrar usuários de chamadas do BroadWorks que tenham um número principal e/ou ramal. Se você estiver usando provisionamento por fluxo, os usuários também devem receber o serviço IM&P integrado.
|
Servidores em sua rede e requisitos de software
Ocorrência(s) BroadWorks com versão mínima R22. Consulte os Requisitos do Software BroadWorks (neste documento) para versões e patches suportados. Para obter mais informações, consulte Política de ciclo de vida de produtos BroadSoft seção em BroadSoft Lifecycle Policy e BroadWorks Software Compatibility Matrix .
As instâncias do BroadWorks devem incluir pelo menos os seguintes servidores:
Servidor de Aplicativos (AS) com a versão do BroadWorks como acima
Servidor de rede (NS)
Servidor de perfil (PS)
Os servidores XSP ou a plataforma de entrega de aplicativos (ADP) voltados para o público atendem aos seguintes requisitos:
Serviço de autenticação (BWAuth)
Interfaces de ações e eventos XSI
DMS (aplicativo web de gerenciamento de dispositivos)
Interface CTI (Computer Telephony Intergration)
TLS 1.2 com um certificado válido (não autoassinado) e quaisquer intermediários necessários. Requer o administrador de nível de sistema para facilitar a pesquisa empresarial.
Autenticação TLS mútua (mTLS) para o Serviço de autenticação (Requer a cadeia de certificados do cliente Webex pública instalada como âncoras de confiança)
Autenticação TLS mútua (mTLS) para interface CTI (Requer a cadeia de certificados de cliente Webex pública instalada como âncoras de confiança)
Um servidor XSP/ADP separado que atua como um "Servidor Push de notificações de chamadas" (um NPS em seu ambiente usado para enviar notificações de chamadas para Apple/Google. Nós o chamamos de "CNPS" aqui para distingui-lo do serviço no Webex que fornece notificações push para mensagens e presença).
Este servidor deve estar no R22 ou posterior.
Nós ordenamos um servidor XSP/ADP separado para CNPS porque a imprevisibilidade da carga do Webex para conexões em nuvem BWKS pode impactar negativamente o desempenho do servidor NPS, com o resultado do aumento da latência de notificação. Consulte o Guia de engenharia do sistema Cisco BroadWorks para obter mais informações sobre a escala XSP.
Plataformas do aplicativo Webex
Para baixar a versão em inglês do aplicativo Webex, vá para https://www.webex.com/webexfromserviceproviders-downloads.html. O aplicativo Webex está disponível em:
PCs/laptops Windows
PCs/laptops da Apple com MacOS
iOS (Apple store)
Android (Reproduzir loja)
Navegadores da Web (acesse https://teams.webex.com/)
Versões localizadas
Para baixar uma versão localizada do aplicativo Webex, use um destes links:
https://origin-webex-uat.cisco.com/ko/webexfromserviceproviders-downloads.html (Coreano)
https://origin-webex-uat.cisco.com/fr/webexfromserviceproviders-downloads.html (Francês)
https://origin-webex-uat.cisco.com/pt/webexfromserviceproviders-downloads.html (Português)
https://origin-webex-uat.cisco.com/zh-tw/webexfromserviceproviders-downloads.html (Chinês tradicional)
https://origin-webex-uat.cisco.com/zh-cn/webexfromserviceproviders-downloads.html (Chinês Simplificado)
https://origin-webex-uat.cisco.com/ja/webexfromserviceproviders-downloads.html (Japão)
https://origin-webex-uat.cisco.com/es/webexfromserviceproviders-downloads.html (Espanha)
https://origin-webex-uat.cisco.com/de/webexfromserviceproviders-downloads.html (Alemão)
https://origin-webex-uat.cisco.com/it/webexfromserviceproviders-downloads.html (Italiano)
Telefones e acessórios físicos
Telefones IP Cisco:
Telefone IP Cisco série 6800 com Firmware Multiplataforma
Telefone IP Cisco série 7800 com Firmware Multiplataforma
Telefone IP Cisco série 8800 com Firmware Multiplataforma
Veja https://www.cisco.com/c/en/us/products/collaboration-endpoints/ip-phones/multiplatform-firmware.html para modelos e mais informações.
Oferecemos suporte a telefones de terceiros da mesma forma que outras integrações BroadWorks. No entanto, eles ainda não têm contatos e integração de presença com o Webex para Cisco BroadWorks.
Adaptadores:
Adaptador de telefone analógico multiplataforma Cisco ATA 191
Adaptador de telefone analógico multiplataforma Cisco ATA 192
Veja https://www.cisco.com/c/en/us/products/unified-communications/ata-190-series-analog-telephone-adapters/index.html para modelos e mais informações.
Fones de ouvido:
Fone de Fone de ouvido Cisco série 500
Ver <UNK> https://www.cisco.com/c/en/us/products/collaboration-endpoints/headset-500-series/index.html <UNK> para modelos e mais informações.
- Dispositivos OS da sala:
Série Webex Room e Room Kit
Série Webex Desk
Série Webex Board
Integração de dispositivos
Para obter detalhes sobre como integrar e dispositivos de sala de serviço OS e MPP do Webex para Cisco BroadWorks, consulte Guia de integração de dispositivos do Webex para Cisco BroadWorks .
Perfis de dispositivos
A seguir, os arquivos DTAF que você precisa carregar em seus servidores de aplicativos para suportar o aplicativo Webex como um cliente de chamadas. Eles são os mesmos arquivos DTAF usados para UC-One SaaS, no entanto, há um novo config-wxt.xml.template
arquivo usado para o aplicativo Webex.
Para baixar os perfis de dispositivos mais recentes, acesse o site da Plataforma de entrega de aplicativos Downloads de software para obter os arquivos DTAF mais recentes. Esses downloads funcionam para ADP e XSP.
Nome do Cliente |
Tipo de perfil do dispositivo e nome do pacote |
---|---|
Webex Mobile Modelo |
Tipo de perfil de identidade/dispositivo: Conectar - Celular DTAF: Arquivo de configuração: |
Modelo Webex Tablet |
Tipo de perfil de identidade/dispositivo: Conectar - Tablet DTAF: Arquivo de configuração: |
Modelo Webex Desktop |
Tipo de perfil de identidade/dispositivo: Comunicador de negócios - PC DTAF: Arquivo de configuração: |
Identificar/Perfil do dispositivo
Todo o Webex para usuários do Cisco BroadWorks deve ter um Perfil de identidade/dispositivo atribuído no BroadWorks que usa um dos perfis de dispositivo acima para fazer chamadas usando o aplicativo Webex. O perfil fornece a configuração que permite ao usuário fazer chamadas.
Obtenção de credenciais OAuth para seu Webex para Cisco BroadWorks
Eleve uma solicitação de serviço com seu agente de integração ou com o TAC da Cisco para provisionar o Cisco OAuth para sua conta Cisco Identity Provider Federation.
Use o seguinte título de solicitação para os respectivos recursos:
Configuração do XSP AuthService" para configurar o serviço no XSP.
"Configuração NPS para configuração do proxy de autenticação" para configurar o NPS para usar o proxy de autenticação.
Sincronização UUID do usuário CI" para sincronização UUID do usuário CI. Para obter mais detalhes sobre esse recurso, consulte: Suporte do Cisco BroadWorks para CI UUID .
Configure o BroadWorks para ativar a Cobrança Cisco para BroadWorks e o Webex Para Assinaturas BroadWorks.
A Cisco fornece uma ID de cliente OAuth, um segredo do cliente e um token de atualização válido por 60 dias. Se o token expirar antes de usá-lo, você poderá levantar outra solicitação.
Se você já obteve as credenciais do Provedor de identidade Cisco OAuth, conclua uma nova solicitação de serviço para atualizar suas credenciais. |
Certificados do pedido
Requisitos de certificado para autenticação TLS
Você precisará de certificados de segurança, assinados por uma autoridade de certificação bem conhecida e implantados em XSPs voltados ao público, para todos os aplicativos necessários. Eles serão usados para oferecer suporte à verificação do certificado TLS para toda a conectividade de entrada com seus servidores XSP.
Esses certificados devem incluir seu nome de domínio totalmente qualificado público XSP como Nome comum do assunto ou Nome alternativo do assunto.
Os requisitos exatos para a implantação desses certificados de servidor dependem de como os XSPs voltados ao público são implantados:
Através de um proxy de ponte TLS
Através de um proxy de passagem TLS
Diretamente para o XSP
O diagrama a seguir resume onde o certificado de servidor público assinado pela CA precisa ser carregado nestes três casos:
As CAs suportadas publicamente que o aplicativo Webex suporta para autenticação estão listadas em Autoridades de certificados compatíveis com os serviços híbridos Webex .
Requisitos de certificado TLS para proxy TLS-bridge
O certificado do servidor assinado publicamente é carregado no proxy.
O proxy apresenta este certificado de servidor assinado publicamente para o Webex.
O Webex confia na CA pública que assinou o certificado de servidor do proxy.
Um certificado assinado por CA interno pode ser carregado no XSP.
O XSP apresenta este certificado de servidor assinado internamente para o proxy.
O proxy confia na CA interna que assinou o certificado do servidor XSP.
Requisitos de certificado TLS para proxy TLS-passthrough ou XSP em DMZ
O certificado de servidor assinado publicamente é carregado nos XSPs.
Os XSPs apresentam certificados de servidor assinados publicamente para o Webex.
O Webex confia na CA pública que assinou os certificados do servidor XSPs.
Requisitos de certificado adicionais para autenticação TLS mútua na interface CTI
Ao se conectar à interface CTI, o Webex apresenta um certificado de cliente como parte da autenticação TLS mútua. O certificado de cadeia/CA do cliente Webex está disponível para download via Control Hub.
Para baixar o certificado:
Inicie sessão no Partner Hub e tenha que
e clique no link baixar certificado.Os requisitos exatos para implantar esta cadeia de certificados da CA Webex dependem de como os XSPs voltados ao público são implantados:
Através de um proxy de ponte TLS
Através de um proxy de passagem TLS
Diretamente para o XSP
O diagrama a seguir resume os requisitos de certificado nestes três casos:
(Opção) Requisitos de certificado para proxy TLS-bridge
O Webex apresenta um certificado de cliente assinado publicamente ao proxy.
O proxy confia na CA interna da Cisco que assinou o certificado do cliente. Você pode baixar esta CA/cadeia do Control Hub e adicioná-la ao armazenamento confiável do proxy. O certificado do servidor XSP assinado publicamente também é carregado no proxy.
O proxy apresenta o certificado do servidor assinado publicamente para o Webex.
O Webex confia na CA pública que assinou o certificado de servidor do proxy.
O proxy apresenta um certificado de cliente assinado internamente para os XSPs.
Este certificado deve ter o campo de extensão x509.v3 Uso de chave estendida preenchido com o BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 e o TLS clientAuth purpose. Por exemplo:
X509v3 extensions: X509v3 Extended Key Usage: 1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client Authentication
O CN do certificado interno deve ser bwcticlient.webex.com .
Ao gerar certificados de clientes internos para o proxy, observe que os certificados SAN não são suportados. Os certificados de servidor interno para o XSP podem ser SAN.
As autoridades de certificação pública podem não estar dispostas a assinar certificados com o OID BroadWorks proprietário que é necessário. No caso de um proxy de ponte, você pode ser forçado a usar uma CA interna para assinar o certificado de cliente que o proxy apresenta para o XSP.
Os XSPs confiam na CA interna.
Os XSPs apresentam um certificado de servidor assinado internamente.
O proxy confia na CA interna.
O Servidor de Aplicativos ClientIdentity contém o CN do certificado de cliente assinado internamente apresentado ao XSP pelo proxy.
(Opção) Requisitos de certificado para TLS-passthrough Proxy ou XSP em DMZ
O Webex apresenta um certificado de cliente assinado por CA interno da Cisco para os XSPs.
Os XSPs confiam na Cisco CA interna que assinou o certificado do cliente. Você pode baixar esta CA/cadeia do Control Hub e adicioná-la ao armazenamento confiável do proxy. O certificado do servidor XSP assinado publicamente também é carregado no XSPs.
Os XSPs apresentam os certificados de servidor assinado publicamente para o Webex.
O Webex confia na CA pública que assinou os certificados do servidor XSPs.
O servidor de aplicativos ClientIdentity contém o CN do certificado do cliente assinado pela Cisco apresentado ao XSP pelo Webex.
Prepare sua rede
Para obter mais informações sobre conexões que são usadas pelo Webex para Cisco BroadWorks, consulte: Requisitos de rede do Webex para Cisco BroadWorks . Este artigo tem a lista de endereços IP, portas e protocolos necessários para configurar suas regras de ingresso e saída do firewall.
Requisitos de rede dos serviços Webex
As tabelas de firewall das regras de entrada e saída anteriores documentam apenas as conexões específicas do Webex para o Cisco BroadWorks. Para obter informações gerais sobre conexões entre o aplicativo Webex e a nuvem Webex, consulte Requisitos de rede para serviços Webex . Este artigo é genérico para o Webex, mas a tabela a seguir identifica as diferentes seções do artigo e qual a relevância de cada seção para o Webex para o Cisco BroadWorks.
Seção do artigo de requisitos de rede |
Relevância de Informações |
---|---|
Resumo dos tipos de dispositivos e protocolos compatíveis com o Webex |
Informativo |
Informativo |
|
Deve ler |
|
Deve ler |
|
Domínios e URLs que precisam ser acessados para serviços Webex |
Deve ler |
Opcional |
|
Opcional |
|
Opcional |
|
Opcional |
|
Opcional |
|
Opcional |
|
Serviços Webex para clientes FedRAMP |
N/D |
Informações adicionais
Para obter informações adicionais, consulte Firewall Whitepaper do aplicativo Webex (PDF).
Suporte de redundância BroadWorks
Os serviços em nuvem Webex e os aplicativos de cliente Webex que precisam acessar a rede do parceiro suportam totalmente a redundância XSP do Broadworks fornecida pelo parceiro. Quando um XSP ou site não está disponível para manutenção planejada ou razão não planejada, os serviços e aplicativos Webex podem avançar para outro XSP ou site fornecido pelo parceiro a fim de concluir uma solicitação.
Topologia de Rede
O Broadworks XSPs pode ser implantado diretamente na Internet, ou pode residir em um DMZ liderado por um elemento de balanceamento de carga, como o F5 BIG-IP. Para fornecer geo-redundância, os XSPs podem ser implantados em dois (ou mais) datacenters, cada um pode ser confrontado por um balanceador de carga, cada um com um endereço IP público. Se os XSPs estiverem por trás de um balanceador de carga, os microsserviços Webex e o aplicativo verão apenas o endereço IP do balanceador de carga e o Broadworks parecerão ter apenas um XSP, mesmo se houver vários XSPs atrás.
No exemplo abaixo, os XSPs são implantados em dois sites, Site A e Site B. Existem dois XSPs frontados por um balanceador de carga em cada site. O site A tem XSP1 e XSP2 com a frente LB1 e o site B tem XSP3 e XSP4 com a frente LB2. Somente os balanceadores de carga são expostos na rede pública, e os XSPs estão nas redes privadas DMZ.
Serviços em nuvem Webex
CONFIGURAÇÃO DNS
Os microsserviços do Webex Cloud devem ser capazes de encontrar os servidores XSP do Broadworks para conexão com interfaces Xsi, serviço de autenticação e CTI.
Os microsserviços Webex Cloud executarão a pesquisa DNS A/AAAA do nome do organizador XSP configurado e se conectarão ao endereço IP retornado. Isso pode ser um elemento de borda de balanceamento de carga ou pode ser o próprio servidor XSP. Se vários endereços IP forem retornados, o primeiro IP na lista será selecionado. A pesquisa SRV não é suportada no momento.
Exemplo: O DNS Um Registro do parceiro para a descoberta de balanceadores de servidor XSP voltados para a internet Round-Robin balanceados/Carga.
Tipo de gravação |
Nome |
Alvo |
Finalidade |
---|---|---|---|
A |
|
|
Pontos para LB1 (Site A) |
A |
|
|
Pontos para LB2 (Site B) |
Falha
Quando os microsserviços Webex enviam uma solicitação ao XSP/Load Balancer e a solicitação falha, várias coisas podem acontecer:
Se a falha for devido a um erro de rede (ex: TCP, SSL), os microsserviços Webex marcam o IP como bloqueado e executam imediatamente um avanço de rota para o próximo IP.
Se um código de erro (HTTP5xx) for retornado, os microsserviços Webex marcarão o IP como bloqueado e executarão imediatamente um avanço de rota para o próximo IP.
Se nenhuma resposta HTTP for recebida dentro de 2 segundos, o tempo de solicitação expirará e os microsserviços Webex marcarão o IP como bloqueado e executarão um avanço de rota para o próximo IP.
Cada solicitação é tentada 3 vezes antes que uma falha seja relatada de volta ao microserviço.
Quando um IP está na lista bloqueada, ele não será incluído na lista de endereços para tentar ao enviar uma solicitação a um XSP. Após um período de tempo predeterminado, um IP bloqueado expira e volta para a lista para tentar quando outra solicitação é feita.
Se todos os endereços IP estiverem bloqueados, o microservice ainda tentará enviar a solicitação selecionando aleatoriamente um endereço IP da lista bloqueada. Se for bem-sucedido, esse endereço IP será removido da lista bloqueada.
Status
O status da conectividade dos serviços Webex Cloud aos XSPs ou balanceadores de carga pode ser visto no Control Hub. Em um Grupo de chamadas do BroadWorks, um status de conexão é exibido para cada uma destas interfaces:
Ações XSI
Eventos XSI
Serviço de autentificação
O status da conexão é atualizado quando a página é carregada ou durante as atualizações de entrada. Os status das conexões podem ser:
Verde: Quando a interface pode ser acessada em um dos IPs na pesquisa de registro A.
Vermelho: Quando todos os IPs na pesquisa de um registro estão inacessíveis e a interface não está disponível.
Os seguintes serviços usam os microsserviços para se conectar aos XSPs e são afetados pela disponibilidade da interface XSP:
Logon do aplicativo Webex
Atualização do token do aplicativo Webex
Ativação automática/e-mail não confiável
Verificação de integridade do serviço Broadworks
Aplicativo Webex
CONFIGURAÇÃO DNS
O aplicativo Webex acessa os serviços Xtended Services Interface (XSI-Actions & XSI-Events) e Device Management Service (DMS) no XSP.
Para encontrar o serviço XSI, o aplicativo Webex executa a pesquisa SRV DNS para _xsi-client._tcp.<webex app xsi domain>
. O SRV aponta para o URL configurado para os hosts XSP ou balanceadores de carga para o serviço XSI. Se a pesquisa SRV não estiver disponível, o aplicativo Webex voltará para a pesquisa A/AAAA.
O SRV pode ser resolvido em vários destinos A/AAAA. No entanto, cada registro A/AAAA deve mapear apenas para um único endereço IP. Se houver vários XSPs em um DMZ por trás do dispositivo balanceador de carga/borda, é necessário que o balanceador de carga seja configurado para manter a persistência da sessão para encaminhar todas as solicitações da mesma sessão para o mesmo XSP. Nós ordenamos essa configuração porque as pulsações do evento XSI do cliente devem ir para o mesmo XSP que é usado para estabelecer o canal do evento.
No exemplo 1, o registro A/AAAA para webex-app-xsp.example.com não existe e não precisa existir. Se o seu DNS exigir que um registro A/AAAA deve ser definido, então apenas 1 endereço IP deve ser retornado. Independentemente disso, o SRV ainda deve ser definido para o aplicativo Webex. Se o aplicativo Webex usar o nome A/AAAA que resolve para mais de um endereço IP ou se o elemento balanceador de carga/borda não mantiver a persistência da sessão, o cliente eventualmente enviará pulsações para um XSP onde não estabeleceu um canal de evento. Isso resulta no canal sendo dividido, e também em um tráfego significativamente mais interno que prejudica o desempenho do seu cluster XSP. Como a nuvem Webex e o aplicativo Webex têm requisitos diferentes na pesquisa de registro A/AAAA, você deve usar um FQDN separado para a nuvem Webex e o aplicativo Webex para acessar seus XSPs. Como mostrado nos exemplos, o Webex Cloud usa Um registro |
Exemplo 1 — Vários XSPs, cada um atrás de balanceadores de carga separados
Neste exemplo, o SRV aponta para mutilar registros A com cada registro A apontando para um balanceador de carga diferente em um local diferente. O aplicativo Webex sempre usará o primeiro endereço IP na lista e será transferido para o próximo registro se o primeiro estiver inativo.
Tipo de gravação |
Gravar |
Alvo |
Finalidade |
---|---|---|---|
SRV |
|
|
Descoberta do cliente da interface Xsi |
SRV |
|
|
Descoberta do cliente da interface Xsi |
A |
|
|
Pontos para LB1 (site A) |
A |
|
|
Pontos para LB2 (site B) |
Exemplo 2 — Múltiplos XSPs por trás de um balanceador de carga única (com a ponte TLS)
Para a solicitação inicial, o balanceador de carga seleciona um XSP aleatório. Esse XSP retorna um cookie que o aplicativo Webex inclui em solicitações futuras. Para solicitações futuras, o balanceador de carga usa o cookie para encaminhar a conexão ao XSP correto, garantindo que o canal do evento não quebre.
Tipo de gravação |
Gravar |
Alvo |
Finalidade |
---|---|---|---|
SRV |
|
|
Balanceador de carga |
A |
LB.example.com |
|
Endereço IP do balanceador de carga (XSPs estão atrás do balanceador de carga) |
URL DO DMS
Durante o processo de logon, o aplicativo Webex também recuperará a URL DMS para baixar seu arquivo de configuração. O organizador na URL será analisado e o aplicativo Webex executará a pesquisa DNS A/AAAA do organizador para se conectar ao XSP que hospeda o serviço DMS.
Exemplo: DNS Um Registro para a descoberta de balanceadores de servidor XSP/carga direcionados para a internet Round-Robin balanceados pelo aplicativo Webex para baixar arquivos de configuração por meio de DMS:
Tipo de gravação |
Nome |
Alvo |
Finalidade |
---|---|---|---|
A |
|
|
Pontos para LB1 (site A) |
A |
|
|
Pontos para LB2 (site B) |
Como o aplicativo Webex encontra endereços XSP
O cliente tenta localizar os nós XSP usando o seguinte fluxo DNS:
Inicialmente, o cliente recupera as URLs de Xsi-Actions/Xsi-Events do Webex Cloud (você as inseriu ao criar o Grupo de chamadas BroadWorks associado). O nome do host/domínio Xsi é analisado a partir da URL e o cliente executa a pesquisa SRV da seguinte forma:
O cliente executa uma pesquisa SRV para _xsi-cliente._tcp.<xsi domain="">
Se a pesquisa SRV retornar um ou mais alvos A/AAAA:
O cliente faz uma pesquisa A/AAAA para esses destinos e armazena em cache os endereços IP retornados.
O cliente se conecta a um dos alvos (e, portanto, seu registro A/AAAA com um único endereço IP) com base na prioridade SRV, em seguida, peso (ou aleatoriamente se todos forem iguais).
Se a pesquisa SRV não retornar nenhum destino:
O cliente faz a pesquisa A/AAAA do parâmetro raiz Xsi e, em seguida, tenta se conectar ao endereço IP retornado. Isso pode ser um elemento de borda de balanceamento de carga ou pode ser o próprio servidor XSP.
Como observado, o registro A/AAAA deve resolver para um endereço IP pelos mesmos motivos.
(Opcional) Posteriormente, você pode fornecer detalhes personalizados do XSI-Actions/XSI-Events na configuração do dispositivo para o aplicativo Webex usando as seguintes tags:
<protocols> <xsi> <paths> <root>%XSI_ROOT_WXT%</root> <actions>%XSI_ACTIONS_PATH_WXT%</actions> <events>%XSI_EVENTS_PATH_WXT%</events> </paths> </xsi> </protocols>
Esses parâmetros de configuração têm precedência sobre qualquer configuração no Grupo BroadWorks no Control Hub.
Se existirem, o cliente comparará com o endereço XSI original que recebeu através da configuração do grupo BroadWorks.
Se houver alguma diferença detectada, o cliente reinicializará sua conectividade de Ações XSI/Eventos XSI. A primeira etapa é executar o mesmo processo de pesquisa DNS listado na etapa 1 - desta vez solicitando uma pesquisa do valor no %XSI_ROOT_WXT% parâmetro de seu arquivo de configuração.
Certifique-se de criar os registros SRV correspondentes se você usar esta tag para alterar as interfaces Xsi.
Falha
Durante o logon, o aplicativo Webex executa uma pesquisa SRV DNS para _xsicliente._tcp.<xsi domain="">, constrói uma lista de organizadores e se conecta a um dos organizadores com base na prioridade SRV e, em seguida, no peso. Esse organizador conectado torna-se o selecionado para todas as solicitações futuras. Um canal de evento é então aberto ao organizador selecionado e uma pulsação é enviada regularmente para verificar o canal. Todas as solicitações enviadas após a primeira incluem um cookie que é retornado na resposta HTTP, portanto, é importante que o balanceador de carga mantenha a persistência da sessão (afinidade) e sempre envie solicitações para o mesmo servidor XSP back-end.
Se uma solicitação ou uma solicitação de pulsação para um organizador falhar, várias coisas podem acontecer:
Se a falha for devida a um erro de rede (ex: TCP, SSL), a rota do aplicativo Webex avança imediatamente para o próximo organizador na lista.
Se um código de erro (HTTP5xx) for retornado, o aplicativo Webex marcará esse endereço IP como bloqueado e encaminhará os avanços para o próximo organizador na lista.
Se uma resposta não for recebida dentro de um período de tempo, a solicitação será considerada falhada devido ao tempo limite e as próximas solicitações serão enviadas para o próximo organizador. No entanto, a solicitação de tempo limite é considerada como falha. Algumas solicitações são repetidas após a falha (com o aumento do tempo de repetição). As solicitações que o não vital assumido não são repetidas.
Quando um novo organizador é tentado com êxito, ele se torna o novo organizador selecionado se o organizador estiver presente na lista. Depois que o último organizador na lista for testado, o aplicativo Webex será revertido para o primeiro.
No caso de pulsação, se houver duas falhas de solicitação consecutivas, o aplicativo Webex reinicializará o canal de evento.
Observe que o aplicativo Webex não executa o failback e a descoberta de serviços DNS é realizada apenas uma vez ao iniciar sessão.
Durante o início de sessão, o aplicativo Webex tenta baixar o arquivo de configuração por meio da interface XSP/Dms. Ele executa uma pesquisa de registro A/AAAA do host na URL DMS recuperada e se conecta ao primeiro IP. Primeiro, ele tentará enviar a solicitação para baixar o arquivo de configuração usando um token SSO. Se isso falhar por qualquer motivo, ele tentará novamente, mas com o nome de usuário e a senha do dispositivo.