Configurarea serviciilor pe Webex pentru ADP-uri Cisco BroadWorks XSP|

Solicităm ca aplicația NPS să ruleze pe un XSP|ADP diferit. Cerințele pentru acel XSP|ADP sunt descrise în Configurarea notificărilor de apel din rețea.

Aveți nevoie de următoarele aplicații/servicii pe |ADP-urile XSP.

Serviciu/Aplicație

Autentificarea necesară

Scopul serviciului/aplicației

Xsi-Evenimente

TLS (serverul se autentifică la clienți)

Controlul apelurilor, notificările serviciului

Xsi-Acțiuni

TLS (serverul se autentifică la clienți)

Controlul apelurilor, acțiuni

Gestionarea dispozitivelor

TLS (serverul se autentifică la clienți)

Apelarea descărcării configurației

Serviciu de autentificare

TLS (serverul se autentifică la clienți)

Autentificarea utilizatorului

Integrarea telefoniei computerizate

mTLS (clientul și serverul se autentifică reciproc)

Prezența telefoniei

Aplicație webview setări apel

TLS (serverul se autentifică la clienți)

Expune setările apelului utilizatorilor în portalul de autocare din aplicația Webex

Această secțiune descrie modul de aplicare a configurațiilor necesare pentru TLS și mTLS pe aceste interfețe, dar ar trebui să consultați documentația existentă pentru a instala aplicațiile pe |ADP-urile dvs. XSP.

Cerințe de co-rezidență

  • Serviciul de autentificare trebuie să fie co-rezident cu aplicațiile Xsi, deoarece aceste interfețe trebuie să accepte token-uri de lungă durată pentru autorizarea serviciului. Serviciul de autentificare este necesar pentru a valida aceste token-uri.

  • Serviciul de autentificare și Xsi pot rula pe același port, dacă este necesar.

  • Puteți separa celelalte servicii/aplicații în funcție de necesitățile scării dvs. (de exemplu, ferma ADP XSP dedicată gestionării dispozitivelor|).

  • Puteți co-localiza aplicațiile Xsi, CTI, Authentication Service și DMS.

  • Nu instalați alte aplicații sau servicii pe XSP|ADP-urile utilizate pentru integrarea BroadWorks cu Webex.

  • Nu co-localizați aplicația NPS cu orice alte aplicații.

Interfețe Xsi

Instalați și configurați aplicațiile Xsi-Actions și Xsi-Events așa cum este descris în Ghidul de configurare a interfeței cisco BroadWorks Xtended Services.

O singură instanță a aplicațiilor Xsi-Events trebuie implementată pe XSP|ADP utilizat pentru interfața CTI.

Toate Xsi-Events utilizate pentru integrarea Broadworks cu Webex trebuie să aibă același apelControlApplicationName definit în Applications/Xsi-Events/GeneralSettings. De exemplu:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> obțineți

callControlApplicationName = com.broadsoft.xsi-events

Atunci când un utilizator este integrat în Webex, Webex creează un abonament pentru utilizator pe AS pentru a primi evenimente de telefonie pentru prezență și istoricul apelurilor. Abonamentul este asociat cu callControlApplicationName, iar CA îl utilizează pentru a ști la care Xsi-Events să trimită evenimentele de telefonie.

Modificarea callControlApplicationName sau neutilizarea aceluiași nume pe toate aplicațiile web Xsi-Events va afecta abonamentele și funcționalitatea evenimentelor de telefonie.

Configurarea serviciului de autentificare (cu validare TOKEN CI)

Utilizați această procedură pentru a configura serviciul de autentificare pentru a utiliza validarea CI Token cu TLS. Această metodă de autentificare este recomandată dacă rulați R22 sau o versiune ulterioară și sistemul o acceptă.

Tls reciprocă (mTLS) este, de asemenea, acceptat ca o metodă alternativă de autentificare pentru Serviciul Auth. Dacă aveți mai multe organizații Webex care rulează pe același server XSP|ADP, trebuie să utilizați autentificarea mTLS, deoarece validarea tokenului CI nu acceptă mai multe conexiuni la același serviciu de autentificare XSP|ADP.

Pentru a configura autentificarea mTLS pentru Serviciul Auth în loc de validare TOKEN CI, consultați apendicele pentru Configurare servicii (cu mTLS pentru serviciul Auth).

Dacă utilizați în prezent mTLS pentru serviciul Auth, nu este obligatoriu să reconfigurați pentru a utiliza validarea CI token cu TLS.

  1. Obținerea acreditărilor OAuth pentru Webex pentru Cisco BroadWorks.

  2. Instalați următoarele patch-uri pe fiecare server XSP|ADP. Instalați patch-urile care sunt adecvate pentru eliberarea dvs.:

    Orice referire la XSP include fie XSP, fie ADP.

  3. Instalați aplicația AuthenticationService pe fiecare serviciu XSP|ADP.

    1. Executați următoarea comandă pentru a activa aplicația AuthenticationService pe XSP|ADP către calea contextuală /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activați aplicația AuthenticationService 22.0_1.1123/authService

    2. Executați această comandă pentru a implementa AuthenticationService pe XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> implementare aplicație /authServiceBroadWorks SW Manager implementare /authService...

  4. Începând cu versiunea Broadworks 2022.10, autoritățile de certificate care vin cu Java nu mai sunt incluse automat în depozitul de încredere BroadWorks atunci când comutați la o nouă versiune java. AuthenticationService deschide o conexiune TLS la Webex pentru a prelua tokenul de acces și trebuie să aibă următoarele în depozitul său de încredere pentru a valida URL-ul IDBroker și Webex:

    • IdenTrust Commercial Root CA 1

    • Go Daddy Root Certificate Authority - G2

    Verificați dacă aceste certificate sunt prezente în următorul CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> obțineți

    Dacă nu există, executați următoarea comandă pentru a importa certificatele de încredere Java implicite:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importăJavaCATrust

    Ca alternativă, puteți adăuga manual aceste certificate ca ancore de încredere cu următoarea comandă:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Dacă ADP este actualizat de la o versiune anterioară, atunci autoritățile de certificare de la versiunea veche sunt importate automat la noua versiune și vor continua să fie importate până când sunt eliminate manual.

    Aplicația AuthenticationService este scutită de la setarea validatePeerIdentity din ADP_CLI/System/SSLCommonSettings/GeneralSettings și validează întotdeauna identitatea peer. Consultați FD de validare a certificatului Cisco Broadworks X509 pentru mai multe informații despre această setare.

  5. Configurați furnizorii de identitate executând următoarele comenzi pe fiecare server XSP|ADP:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> obține

    • setați ID-ul clientului ID-ul clientului de la pasul1

    • setați activat ca adevărat

    • setați clientulSecret client-Secret-From-Step1

    • setați ciResponseBodyMaxSizeInBytes 65536

    • set issuerName — Pentru URL, introduceți URL-ul IssuerName care se aplică clusterului dvs. CI. Consultați tabelul următor.

    • setați issuerUrl —Pentru URL, introduceți IssuerUrl care se aplică clusterului dvs. CI. Consultați tabelul următor.

    • setați tokenInfoUrl — Introduceți URL-ul proxy IdP care se aplică clusterului dvs. de echipe. A se vedea al doilea tabel care urmează.

    Tabelul 1. Setați emitentulName and issuerURL
    Dacă CI Cluster este...Setați issuerName and issuerURL la...

    US-A

    https://idbroker.webex.com/idb

    UE

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    Dacă nu știți clusterul CI, puteți obține informațiile din detaliile clientului în vizualizarea Help Desk din Control Hub.

    Tabelul 2. Setați tokenInfoURL
    Dacă Teams Cluster este...Setare tokenInfoURL la... (URL proxy IdP)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Dacă nu știți Clusterul echipelor, puteți obține informațiile din detaliile clientului în vizualizarea Help Desk din Control Hub.

    • Pentru testare, puteți verifica dacă tokenInfoURL este valid înlocuind porțiunea „idp/authenticate” a URL-ului cu „ping”.

  6. Specificați dreptul Webex care trebuie să fie prezent în profilul de utilizator din Webex executând următoarea comandă:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> setați domeniul de aplicare broadworks-connector:user

  7. Configurați furnizorii de identitate pentru Cisco Federation utilizând următoarele comenzi pe fiecare server XSP|ADP:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> obține

    • setați flsUrl https://cifls.webex.com/federation

    • setați refreshPeriodInMinutes 60

    • setați reîmprospătareToken reîmprospătare-Token-De la-Pasul1

  8. Executați următoarea comandă pentru a valida că configurația FLS este de lucru. Această comandă va returna lista furnizorilor de identitate:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Obțineți

  9. Configurați gestionarea tokenurilor utilizând următoarele comenzi pe fiecare server XSP|ADP:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • setare tokenEmitent BroadWorks

    • setați tokenulDurationInHours 720

  10. Generați și partajați chei RSA. Trebuie să generați chei pe un|ADP XSP, apoi să le copiați în toate celelalte |ADP XSP. Acest lucru se datorează următorilor factori:

    • Trebuie să utilizați aceleași perechi de chei publice/private pentru criptarea/decriptarea token-urilor în toate instanțele serviciului de autentificare.

    • Perechea de chei este generată de serviciul de autentificare atunci când este necesar pentru prima dată să emită un simbol.

    Dacă efectuați cicluri sau modificați lungimea cheii, trebuie să repetați următoarea configurație și să reporniți toate|ADP-urile XSP.

    1. Selectați un XSP|ADP de utilizat pentru generarea unei perechi de taste.

    2. Utilizați un client pentru a solicita un token criptat de la acel XSP|ADP, solicitând următorul URL din browserul clientului:

      https://<XSP|ADP-IPAddress>/authService/token?key=BASE79URL(clientPublicKey)

      (Acest lucru generează o pereche de chei private/publice pe XSP|ADP, dacă nu exista deja una)

    3. Locația magazinului cheie nu este configurabilă. Exportați cheile:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Copiați fișierul exportat /var/broadworks/tmp/authService.keys în aceeași locație din celelalte ADP-uri XSP|, suprascrie un fișier .keys mai vechi, dacă este necesar.

    5. Importați cheile de pe fiecare dintre celelalte|ADP XSP:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Furnizați URL-ul authService containerului web. Containerul web al XSP|ADP are nevoie de URL-ul authService, astfel încât să poată valida tokenurile. Pe fiecare dintre ADP-urile|XSP:

    1. Adăugați URL-ul serviciului de autentificare ca serviciu de autentificare externă pentru utilitarul BroadWorks Communications:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set URL http://127.0.0.1:80/authService

    2. Adăugați adresa URL a serviciului de autentificare în container:

      XSP|ADP_CLI/Maintenance/ContainerOptions> adăugați tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Acest lucru permite Webex să utilizeze Serviciul de autentificare pentru a valida simbolurile prezentate ca acreditări.

    3. Verificați parametrul cu get.

    4. Reporniți|ADP XSP.

Eliminați cerința de autentificare client pentru Serviciul Auth (numai R24)

Dacă aveți serviciul de autentificare configurat cu validarea CI Token pe R24, de asemenea, trebuie să eliminați cerința de autentificare client pentru serviciul de autentificare. Executați următoarea comandă CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> setați clientAuthReq fals AuthenticationService

Configurarea TLS și Ciphers pe interfețele HTTP (pentru XSI și serviciul de autentificare)

Serviciul de autentificare, aplicațiile Xsi-Actions și Xsi-Events utilizează interfețe de server HTTP. Nivelurile de configurabilitate TLS pentru aceste aplicații sunt după cum urmează:

Cele mai generale = Sistem > Transport > HTTP > interfață HTTP Server = Cele mai specifice

Contextele CLI pe care le utilizați pentru a vizualiza sau modifica diferitele setări SSL sunt:

Specificitate Contextul CLI
Sistem (global)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Protocoale de transport pentru acest sistem

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP pe acest sistem

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Interfețe specifice serverului HTTP pe acest sistem

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Citirea configurației interfeței TLS pentru serverul HTTP pe XSP|ADP

  1. Conectați-vă la XSP|ADP și navigați la XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Introduceți comanda obțineți și citiți rezultatele. Ar trebui să vedeți interfețele (adresele IP) și, pentru fiecare, dacă acestea sunt sigure și dacă necesită autentificarea clientului.

Apache tomcat mandatează un certificat pentru fiecare interfață securizată; sistemul generează un certificat autosemnat dacă are nevoie de unul.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Adăugarea protocolului TLS 1.2 la interfața serverului HTTP

Interfața HTTP care interacționează cu Webex Cloud trebuie configurată pentru TLSv1.2. Cloud-ul nu negociază versiunile anterioare ale protocolului TLS.

Pentru a configura protocolul TLSv1.2 pe interfața HTTP Server:

  1. Conectați-vă la XSP|ADP și navigați la XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Introduceți comanda get 443 pentru a vedea ce protocoale sunt deja utilizate pe această interfață.

  3. Introduceți comanda adăugați 443 TLSv1.2 pentru a vă asigura că interfața poate utiliza TLS 1.2 atunci când comunică cu cloud.

Editarea configurației cifrurilor TLS pe interfața serverului HTTP

Pentru a configura cifrurile necesare:

  1. Conectați-vă la XSP|ADP și navigați la XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Introduceți comanda get 443 pentru a vedea ce cifruri sunt deja utilizate în această interfață. Trebuie să existe cel puțin unul dintre suitele recomandate de Cisco (a se vedea XSP|Cerințe de identitate și securitate ADP în secțiunea Prezentare generală).

  3. Introduceți comanda adăugați 443 pentru a adăuga un cifru la interfața serverului HTTP.

    XSP|ADP CLI necesită numele suitei de cifrare standard IANA, nu numele suitei de cifrare openSSL. De exemplu, pentru a adăuga cifrul openSSL ECDHE-ECDSA-CHACHA20-POLY1305 la interfața serverului HTTP, utilizați: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>adăugați 192.0.2.7 443 TLS_ECDHE_ECDSA_CU_CHACHA20_POLY1305

    A se vedea https://ciphersuite.info/ pentru a găsi suita de fiecare nume.

Configurați gestionarea dispozitivelor pe XSP ADP|, serverul de aplicații și serverul de profil

Serverul de profil și XSP|ADP sunt obligatorii pentru gestionarea dispozitivelor. Acestea trebuie să fie configurate în conformitate cu instrucțiunile din Ghidul de configurare BroadWorks Device Management.