Configurați serviciile pe Webex pentru Cisco BroadWorks XSP|ADP-uri

Solicităm ca aplicația NPS să fie rulată pe un ADP XSP|diferit. Cerințele pentru acel XSP|ADP sunt descrise în Configurați notificările de apel din rețea.

Aveți nevoie de următoarele aplicații / servicii pe ADP-urile XSP|.

Serviciu/Aplicație

Autentificarea necesară

Scopul serviciului/aplicației

Xsi-Evenimente

TLS (serverul se autentifică la clienți)

Controlul apelurilor, notificările serviciului

Xsi-Acțiuni

TLS (serverul se autentifică la clienți)

Controlul apelurilor, acțiuni

Gestionarea dispozitivelor

TLS (serverul se autentifică la clienți)

Apelarea descărcării configurației

Serviciu de autentificare

TLS (serverul se autentifică la clienți)

Autentificarea utilizatorului

Integrarea telefoniei computerizate

mTLS (clientul și serverul se autentifică reciproc)

Prezența telefoniei

Aplicație webview setări apel

TLS (serverul se autentifică la clienți)

Expune setările apelului utilizatorilor în portalul de autocare din aplicația Webex

Această secțiune descrie cum se aplică configurațiile necesare pentru TLS și mTLS pe aceste interfețe, dar ar trebui să consultați documentația existentă pentru a instala aplicațiile pe ADP-urile XSP|.

Cerințe de co-rezidență

  • Serviciul de autentificare trebuie să fie co-rezident cu aplicațiile Xsi, deoarece aceste interfețe trebuie să accepte token-uri de lungă durată pentru autorizarea serviciului. Serviciul de autentificare este necesar pentru a valida aceste token-uri.

  • Serviciul de autentificare și Xsi pot rula pe același port, dacă este necesar.

  • Îl poți separa pe celălalt services/applications după cum este necesar pentru scalarea dvs. (de exemplu, o fermă ADP XSP|dedicată pentru gestionarea dispozitivelor).

  • Puteți co-localiza aplicațiile Xsi, CTI, Authentication Service și DMS.

  • Nu instalați alte aplicații sau servicii pe ADP-urile XSP|care sunt utilizate pentru integrarea BroadWorks cu Webex.

  • Nu co-localizați aplicația NPS cu orice alte aplicații.

Interfețe Xsi

Instalați și configurați aplicațiile Xsi-Actions și Xsi-Events așa cum este descris în Ghidul de configurare a interfeței cisco BroadWorks Xtended Services.

Doar o instanță a aplicațiilor Xsi-Events ar trebui implementată pe ADP-ul XSP|utilizat pentru interfața CTI.

Toate evenimentele Xsi utilizate pentru integrarea Broadworks cu Webex trebuie să aibă același callControlApplicationName definit în Applications/Xsi-Events/GeneralSettings. De exemplu:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Când un utilizator este înregistrat pe Webex, Webex creează un abonament pentru utilizator pe AS pentru a primi evenimente telefonice pentru prezență și istoricul apelurilor. Abonamentul este asociat cu callControlApplicationName, iar AS îl folosește pentru a ști către ce evenimente Xsi să trimită evenimentele de telefonie.

Schimbarea numelui callControlApplicationName sau neutilizarea aceluiași nume în toate aplicațiile web Xsi-Events va afecta funcționalitatea abonamentelor și a evenimentelor telefonice.

Configurarea serviciului de autentificare (cu validare TOKEN CI)

Utilizați această procedură pentru a configura serviciul de autentificare pentru a utiliza validarea CI Token cu TLS. Această metodă de autentificare este recomandată dacă rulați R22 sau o versiune ulterioară și sistemul o acceptă.

Tls reciprocă (mTLS) este, de asemenea, acceptat ca o metodă alternativă de autentificare pentru Serviciul Auth. Dacă aveți mai multe organizații Webex care rulează pe același server XSP|ADP, trebuie să utilizați autentificarea mTLS, deoarece validarea tokenului CI nu acceptă conexiuni multiple la același serviciu de autentificare XSP|ADP.

Pentru a configura autentificarea mTLS pentru Serviciul Auth în loc de validare TOKEN CI, consultați apendicele pentru Configurare servicii (cu mTLS pentru serviciul Auth).

Dacă utilizați în prezent mTLS pentru serviciul Auth, nu este obligatoriu să reconfigurați pentru a utiliza validarea CI token cu TLS.

  1. Obținerea acreditărilor OAuth pentru Webex for Cisco BroadWorks.

  2. Instalați următoarele patch-uri pe fiecare server XSP|ADP. Instalați patch-urile care sunt adecvate pentru eliberarea dvs.:

    Orice referire la XSP include fie XSP, fie ADP.

  3. Instalați aplicația AuthenticationService pe fiecare serviciu ADP XSP|.

    1. Executați următoarea comandă pentru a activa aplicația AuthenticationService pe XSP|ADP la /authService calea contextuală.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

    2. Executați această comandă pentru a implementa AuthenticationService pe XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

  4. Începând cu versiunea Broadworks 2022.10, autoritățile de certificate incluse în Java nu mai sunt incluse automat în depozitul de încredere BroadWorks la trecerea la o nouă versiune de Java. Serviciul de autentificare deschide o conexiune TLS la Webex pentru a prelua token-ul de acces și trebuie să aibă următoarele în depozitul său de truststore pentru a valida IDBroker-ul și adresa URL Webex:

    • IdenTrust Commercial Root CA 1

    • Autoritatea de certificare rădăcină Go Daddy - G2

    Verificați dacă aceste certificate sunt prezente în următoarea interfață CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

    Dacă nu este prezent, executați următoarea comandă pentru a importa trusturile Java implicite:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    Alternativ, puteți adăuga manual aceste certificate ca ancore de încredere cu următoarea comandă:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Dacă ADP-ul este actualizat de la o versiune anterioară, atunci autoritățile de certificare din versiunea veche sunt importate automat în noua versiune și vor continua să fie importate până când sunt eliminate manual.

    Aplicația AuthenticationService este exceptată de la setarea validatePeerIdentity din ADP_CLI/System/SSLCommonSettings/GeneralSettings, și validează întotdeauna identitatea peer-ului. Consultați Manualul de validare a certificatului Cisco Broadworks X509 pentru mai multe informații despre această setare.

  5. Configurați furnizorii de identitate rulând următoarele comenzi pe fiecare server XSP|ADP:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName —Pentru URL, introduceți adresa URL IssuerName care se aplică clusterului CI. Vezi tabelul următor.

    • set issuerUrl —Pentru URL, introduceți adresa URL a emitentului (IssuerUrl) care se aplică clusterului CI. Consultați tabelul următor.

    • set tokenInfoUrl -Introduceți URL-ul proxy IdP care se aplică clusterului Teams. Vedeți al doilea tabel care urmează.

    Tabelul 1. Setați emiterName și issuerURL
    Dacă CI Cluster este...Setați issuerName și issuerURL la...

    US-A

    https://idbroker.webex.com/idb

    UE

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    Dacă nu cunoașteți clusterul CI, puteți obține informațiile din detaliile clientului în vizualizarea Help Desk din Control Hub.

    Tabelul 2. Setați tokenInfoURL
    Dacă Teams Cluster este...Setați tokenInfoURL la...(URL proxy IdP)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Dacă nu cunoașteți clusterul Teams, puteți obține informațiile din detaliile clientului în vizualizarea Help Desk din Control Hub.

    • Pentru testare, puteți verifica dacă tokenInfoURL este valid prin înlocuirea porțiunii „idp/authenticate” a URL-ului cu „ping”.

  6. Specificați dreptul Webex care trebuie să fie prezent în profilul de utilizator din Webex executând următoarea comandă:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  7. Configurați furnizorii de identitate pentru Cisco Federation folosind următoarele comenzi pe fiecare server XSP|ADP:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken refresh-Token-From-Step1

  8. Executați următoarea comandă pentru a valida că configurația FLS este de lucru. Această comandă va returna lista furnizorilor de identitate:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. Configurați Token Management folosind următoarele comenzi pe fiecare server XSP|ADP:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. Generați și partajați chei RSA. Trebuie să generați chei pe un ADP XSP|, apoi să le copiați pe toate celelalte ADP-uri XSP|. Acest lucru se datorează următorilor factori:

    • Trebuie să utilizați aceleași perechi de chei publice/private pentru criptarea/decriptarea token-urilor în toate instanțele serviciului de autentificare.

    • Perechea de chei este generată de serviciul de autentificare atunci când este necesar pentru prima dată să emită un simbol.

    Dacă reporniți cheile sau modificați lungimea cheii, trebuie să repetați următoarea configurație și să reporniți toate ADP-urile XSP|.

    1. Selectați un XSP|ADP pe care să îl utilizați pentru generarea unei perechi de chei.

    2. Folosește un client pentru a solicita un token criptat de la acel XSP|ADP, solicitând următoarea adresă URL din browserul clientului:

      https:///authService/token?key=BASE64URL(clientPublicKey)

      (Aceasta generează o pagină privată / pereche de chei publice pe XSP|ADP, dacă nu exista deja una)

    3. Locația magazinului cheie nu este configurabilă. Exportați cheile:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Copiați fișierul exportat /var/broadworks/tmp/authService.keys în aceeași locație pe celelalte ADP-uri XSP|, suprascriind un fișier .keys mai vechi, dacă este necesar.

    5. Importați cheile pe fiecare dintre celelalte ADP-uri XSP|:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Furnizați URL-ul authService containerului web. Containerul web al XSP|ADP are nevoie de adresa URL authService pentru a putea valida token-urile. Pe fiecare dintre ADP-urile XSP|:

    1. Adăugați URL-ul serviciului de autentificare ca serviciu de autentificare externă pentru utilitarul BroadWorks Communications:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Adăugați adresa URL a serviciului de autentificare în container:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Acest lucru permite Webex să utilizeze Serviciul de autentificare pentru a valida simbolurile prezentate ca acreditări.

    3. Verificați parametrul cu get.

    4. Reporniți XSP|ADP.

Eliminați cerința de autentificare client pentru Serviciul Auth (numai R24)

Dacă aveți serviciul de autentificare configurat cu validarea CI Token pe R24, de asemenea, trebuie să eliminați cerința de autentificare client pentru serviciul de autentificare. Executați următoarea comandă CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Configurarea TLS și Ciphers pe interfețele HTTP (pentru XSI și serviciul de autentificare)

Serviciul de autentificare, aplicațiile Xsi-Actions și Xsi-Events utilizează interfețe de server HTTP. Nivelurile de configurabilitate TLS pentru aceste aplicații sunt după cum urmează:

Cele mai generale = Sistem > Transport > HTTP > interfață HTTP Server = Cele mai specifice

Contextele CLI pe care le utilizați pentru a vizualiza sau modifica diferitele setări SSL sunt:

Specificitate Contextul CLI
Sistem (global)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Protocoale de transport pentru acest sistem

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP pe acest sistem

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Interfețe specifice serverului HTTP pe acest sistem

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Citirea configurației interfeței TLS a serverului HTTP pe XSP|ADP

  1. Conectați-vă la XSP|ADP și navigați la XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Introduceți comanda get și citiți rezultatele. Ar trebui să vedeți interfețele (adresele IP) și, pentru fiecare, dacă acestea sunt sigure și dacă necesită autentificarea clientului.

Apache tomcat mandatează un certificat pentru fiecare interfață securizată; sistemul generează un certificat autosemnat dacă are nevoie de unul.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Rezultatele afișate după introducerea comenzii get, arătând interfețele (adresele IP) și, pentru fiecare, dacă acestea sunt securizate și dacă necesită autentificarea clientului.

Adăugarea protocolului TLS 1.2 la interfața serverului HTTP

Interfața HTTP care interacționează cu Webex Cloud trebuie configurată pentru TLSv1.2. Cloud-ul nu negociază versiunile anterioare ale protocolului TLS.

Pentru a configura protocolul TLSv1.2 pe interfața HTTP Server:

  1. Conectați-vă la XSP|ADP și navigați la XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Introduceți comanda get 443 pentru a vedea ce protocoale sunt deja utilizate pe această interfață.

  3. Introduceți comanda add 443 TLSv1.2 pentru a vă asigura că interfața poate utiliza TLS 1.2 atunci când comunică cu cloud-ul.

Editarea configurației cifrurilor TLS pe interfața serverului HTTP

Pentru a configura cifrurile necesare:

  1. Conectați-vă la XSP|ADP și navigați la XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Introduceți comanda get 443 pentru a vedea ce cifruri sunt deja utilizate pe această interfață. Trebuie să existe cel puțin unul dintre suitele recomandate de Cisco (consultați XSP|Cerințe de identitate și securitate ADP în secțiunea Prezentare generală).

  3. Introduceți comanda add 443 pentru a adăuga un cifru la interfața serverului HTTP.

    Interfața de comandă XSP|ADP necesită numele suitei de cifruri standard IANA, nu numele suitei de cifruri openSSL. De exemplu, pentru a adăuga cifrul openSSL ECDHE-ECDSA-CHACHA20-POLY1305 la interfața serverului HTTP, ați folosi: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    A se vedea https://ciphersuite.info/ pentru a găsi suita de fiecare nume.

Configurați gestionarea dispozitivelor pe XSP|ADP, serverul de aplicații și serverul de profiluri

Serverul de profil și XSP|ADP sunt obligatorii pentru gestionarea dispozitivelor. Acestea trebuie să fie configurate în conformitate cu instrucțiunile din Ghidul de configurare BroadWorks Device Management.