Развертывание Webex для BroadWorks

Обзор развертывания

На следующих схемах представлен стандартный порядок задач развертывания для различных режимов обеспечения пользователя. Многие задачи общие для всех режимов и обеспечения.

Рисунок 1. Задачи, необходимые для непрерывного обеспечения
Отображает порядок задач, необходимых для развертывания Webex для BroadWorks с непрерывным обеспечением и доверенными адресами электронной почты.
Рисунок 2. Задачи, необходимые для развертывания непрерывного обеспечения без доверенных адресов электронной почты
Отображает порядок задач, необходимых для развертывания Webex для BroadWorks с непрерывным обеспечением без адресов электронной почты
Рисунок 3. Задачи, необходимые для развертывания самостоятельного обеспечения пользователя
Отображает порядок задач, необходимых для развертывания Webex для BroadWorks с самостоятельной активацией

Регистрация партнеров для Cisco Webex BroadWorks

Каждый поставщик услуг Webex для BroadWorks или посредниу должен быть настроен в качестве партнерской организации для Cisco Webex BroadWorks. Если у вас уже есть партнерская организация Cisco Webex, ее можно использовать.

Чтобы завершить все необходимые действия по регистрации, требуется обработать документацию Webex для BroadWorks, а новые партнеры должны принять партнерское соглашение о непрямых каналах (ICPA). По выполнении этих действий компания Cisco создаст новую партнерскую организацию в Partner Hub (при необходимости) и отправит электронное сообщение с подробностями аутентификации администратору записи в вашей документации. В то же время ваш менеджер по активации партнеров и (или) по программе поддержки клиентов свяжется с вами, чтобы начать процесс регистрации.

Настройка служб на XSP Webex для BroadWorks

Мы требуем, чтобы приложение NPS было запущено на другом XSP. Требования к этому XSP описаны в разделе Настройка уведомлений о вызовах из вашей сети.

Вам нужны следующие приложения или службы на XSP.

Служба/приложение

Требуется аутентификация

Цель службы/приложения

Xsi-Events

TLS (сервер аутентифицируется для клиентов)

Управление вызовами, уведомления службы

Xsi-Actions

TLS (сервер аутентифицируется для клиентов)

Управление вызовами, действия

Управление устройствами

TLS (сервер аутентифицируется для клиентов)

Скачивание конфигурации вызовов

Служба аутентификации

TLS (сервер аутентифицируется для клиентов)

Аутентификация пользователей

Интеграция компьютерной телефонии

mTLS (аутентификация клиента и сервера друг с другом)

Состояние доступности телефонии

Приложение Webview для настроек вызова

TLS (сервер аутентифицируется для клиентов)

Предоставляет настройки вызовов пользователя на портале самообслуживания в приложении Webex

В этом разделе описано, как применять необходимые конфигурации для TLS и mTLS на этих интерфейсах, однако для установки приложений на XSP необходимо ссылаться на существующую документацию.

Требования к совместному размещению

  • Служба аутентификации должна быть совместно размещена с приложениями Xsi, поскольку эти интерфейсы должны принимать долгосрочные токены для авторизации службы. Для проверки этих токенов требуется служба аутентификации.

  • При необходимости служба аутентификации и Xsi могут работать через один порт.

  • Можно разделить другие службы или приложения по мере необходимости для масштабирования (например, для управления выделенными устройствами на ферме XSP).

  • Можно установить совместное местоположение приложений Xsi, CTI, службы аутентификации и DMS.

  • Не устанавливайте другие приложения или службы на XSP, используемые для интеграции BroadWorks с Webex.

  • Не размещайте приложение NPS совместно с другими приложениями.

Интерфейсы Xsi

Установите и настройте приложения Xsi-Actions и Xsi-Events, как описано в руководстве по настройке интерфейса Cisco BroadWorks Xtended Services.

Установка службы аутентификации

Используйте эту процедуру для настройки аутентификации между Cisco Webex и развертыванием BroadWorks локально с помощью метода AuthServiceWithCTITokenValidation.


Эта процедура применяется только при работе с версией R22 или более поздними версиями. Если у вас запущен R21SP1, см. Установка службы аутентификации XSP (R21SP1).
  1. Создайте запрос на обслуживание с регистрируемым контактом или TAC для обеспечения учетной записи клиента OAuth (общие параметры идентификации Webex). Назовите запрос на обслуживание «Конфигурация службы authService XSP». Компания Cisco предоставит вам идентификатор клиента OAuth, секретный код клиента и токен обновления, который будет действителен в течение 60 дней. Если срок действия токена истекает перед использованием XSP, можно сделать еще один запрос.

  2. Установите следующие исправления на каждый сервер XSP. Установите исправления, соответствующие вашей версии.

    • Для R22:

      AP.platform.22.0.1123.ap376508

      AP.xsp.22.0.1123.ap376508

    • Для R23:

      AP.xsp.23.0.1075.ap376509

      AP.platform.23.0.1075.ap376509

    • Для R24 – исправление не требуется

  3. Установите приложение AuthenticationService на каждую службу XSP.

    1. Для активации приложения AuthenticationService на XSP по пути контекста /authService запустите следующую команду.

      XSP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService
    2. Запустите эту команду, чтобы развернуть службу аутентификации в XSP:

      XSP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...
  4. Настройте поставщиков удостоверений, запустив следующие команды на каждом сервере XSP.

    XSP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set enabled true

    • set clientId <client id>

    • set clientSecret <secret from TAC service request>

    • set issuerName https://idbroker.webex.com/idb

    • set issuerUrl https://idbroker.webex.com/idb

    • set tokenInfoUrl <IdPProxy URL from Control Hub>

    • set ciResponseBodyMaxSizeInBytes 65536

  5. Укажите права Webex, которые должны присутствовать в профиле пользователя Webex, запустив следующую команду:

    XSP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  6. Настройте поставщиков удостоверений для федерации Cisco с помощью следующих команд на каждом сервере XSP.

    XSP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 1440

    • set refreshToken <token from service request>

  7. Настройте управление токенами с помощью следующих команд на каждом сервере XSP:

    • XSP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  8. Создайте ключи RSA и обеспечьте их совместное использование. Необходимо создать ключи на одном XSP и скопировать их для всех остальных XSP. Это обусловлено следующими факторами.

    • Для шифрования/дешифрования токенов во всех экземплярах службы аутентификации необходимо использовать те же пары открытых и закрытых ключей.

    • Пара ключей создается службой аутентификации при первой необходимости в выпуске токена.


    При циклическом изменении ключей или изменении их длины необходимо повторить следующую процедуру настройки и перезапустить все XSP.
    1. Выберите один XSP для создания пары ключей.

    2. Используйте клиент для запроса зашифрованного токена от этого XSP, отправив в браузере клиента следующий URL-запрос:

      https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

      (При этом на XSP создается пара закрытого или открытого ключа, если она еще не была создана)

    3. Местоположение хранения ключей не настраивается. Экспорт ключей:

      XSP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Скопируйте экспортированный файл /var/broadworks/tmp/authService.keys в то же местоположение на других XSP, переоценив более старый файл .keys, если это необходимо.

    5. Импорт ключей на все остальные XSP.

      XSP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  9. Укажите URL-адрес authService в веб-контейнере. Для проверки токенов в веб-контейнере XSP необходим URL-адрес authService. Для каждого XSP:

    1. Добавьте URL службы аутентификации в качестве внешней службы аутентификации для сервиса BroadWorks Communications.

      XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

    2. Добавьте URL службы аутентификации в контейнер:

      XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

      Это позволяет Cisco Webex использовать службу аутентификации для проверки токенов, предоставленных в качестве учетных данных.

    3. Проверьте параметр с помощью команды get.

    4. Перезапустите XSP.

Настройка TLS и шифров на интерфейсах HTTP (для службы XSI и аутентификации)

Приложения службы аутентификации, Xsi-Actions и Xsi-Events используют интерфейсы HTTP-сервера. Уровни настройки TLS для этих приложений:

Более общий = Системный уровень > Транспортный уровень > HTTP > Интерфейс HTTP-сервера = более конкретный

Контексты CLI, которые используются для просмотра или изменения различных параметров SSL:

Уровень конкретики Контекст CLI
Системный (глобальный)

XSP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Транспортные протоколы для этой системы

XSP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

HTTP в этой системе

XSP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP_CLI/Interface/Http/SSLCommonSettings/Protocols>

Специальные интерфейсы HTTP-серверов в этой системе

XSP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Считывание конфигурации интерфейса TLS HTTP-сервера в XSP

  1. Зайдите в XSP и перейдите к XSP_CLI/Interface/Http/HttpServer>

  2. Введите команду get и просмотрите результаты. Вы должны увидеть интерфейсы (IP-адреса) и по каждому из них проверить их безопасность и необходимость аутентификации клиента.

Apache tomcat обеспечивает сертификат для каждого защищенного интерфейса; система создает самозаверяемый сертификат, если он необходим.


  XSP_CLI/Interface/Http/HttpServer> get

Добавление протокола TLS 1.2 в интерфейс HTTP-сервера


Эта процедура используется только для R22 и более поздних версий. Чтобы настроить версию TLS на R21(SP1), необходимо использовать параметр контейнера платформы XSP bw.apache.sslenabledprotocols.

Интерфейс HTTP, взаимодействующий с облаком Cisco Webex, должен быть настроен на TLSv1.2. Облако не может быть согласовано с более ранними версиями протокола TLS.

Чтобы настроить протокол TLSv1.2 в интерфейсе HTTP-сервера:

  1. Войдите в XSP и перейдите к XSP_CLI/Interface/http/httpServer/SSLSettings/Protocols>

  2. Введите команду get <interfaceIp> 443, чтобы узнать, какие протоколы уже используются на этом интерфейсе.

  3. Введите команду add <interfaceIp> 443 TLSv1.2, чтобы обеспечить возможность использования интерфейсом TLS 1.2 при взаимодействии с облаком.

Редактирование конфигурации шифров TLS в интерфейсе HTTP-сервера


Эта процедура используется только для R22 и более поздних версий. Для настройки шифров TLS на R21(SP1) необходимо использовать параметр контейнера платформы XSP bw.apache.sslciphersuite.

Чтобы настроить необходимые шифры:

  1. Войдите в XSP и перейдите к XSP_CLI/Interface/http/httpServer/SSLSettings/Ciphers>

  2. Введите команду get <interfaceIp> 443, чтобы узнать, какие шифры уже используются в этом интерфейсе. Должен быть по крайней мере один пакет из рекомендованных пакетов Cisco (см. Требования к идентификации и безопасности XSP в разделе «Обзор»).

  3. Введите команду add <interfaceIp> 443 <cipherName> для добавления шифра в интерфейс HTTP-сервера.


    Для CLI XSP необходимо имя стандартного пакета шифров IANA, а не имени пакета шифра openSSL. Например, для добавления в интерфейс HTTP-сервера шифра openSSL ECDHE-ECDSA-CHACHA20-POLY1305 необходимо использовать: XSP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Чтобы найти пакет по названию, перейдите по ссылке https://ciphersuite.info/.

Настройка mTLS для службы аутентификации

Настройка доверия (R21 SP1)
  1. Войдите в Partner Hub.

  2. Перейдите к разделу Настройки > Вызовы BroadWorks и щелкните Скачать сертификат ЦС Webex, чтобы получить скачать файл CombinedCertChain.txt на локальный компьютер.


    Этот файл содержит два сертификата. Перед загрузкой файла в XSP необходимо разделить его.
  3. Разделите цепочку сертификатов на два сертификата:

    1. Откройте combinedcertchain.txt в текстовом редакторе.

    2. Выберите и обрежьте первый блок текста, включая строки, -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- , а затем в виде текстового блока в новыйфайл.

    3. Сохраните новый файл как broadcloudroot.txt.

    4. Сохраните исходный файл как broadcloudissuing.txt.

      Исходный файл теперь должен иметь только один блок текста, заключенный между строками -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.

  4. Скопируйте оба текстовых файла во временное расположение на используемом XSP, например /tmp/broadcloudroot.txt и /tmp/broadcloudissuing.txt.

  5. Войдите в XSP и перейдите к /XSP_CLI/Interface/Http/ClientAuthentication>

  6. Запустите команду get и прочитайте параметр chainDepth.

    (значение chainDepth по умолчанию – 1, слишком низкое для цепочки Webex с двумя сертификатами)

  7. Если значение chainDepth еще не превышает 2, запустите set chainDepth 2.

  8. (Необязательно) Запустите help updateTrust, чтобы увидеть параметры и формат команд.

  9. Загрузите файлы сертификатов в новые точки доверия.

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    Webexclientroot и webexclientissuing – это примеры названий точек доверия. Вы можете использовать собственные.
  10. Подтвердите загрузку обоих сертификатов:

    /XSP_CLI/Interface/Http/ClientAuthentication/Trusts> get

Настройка доверия (R22 и более поздние версии)

  1. Войдите в Control Hub с помощью своей учетной записи администратора-партнера.

  2. Перейдите к разделу Настройки > Вызовы BroadWorks и щелкните Скачать сертификат ЦС Webex, чтобы получить скачать файл CombinedCertChain.txt на локальный компьютер.


    Этот файл содержит два сертификата. Перед загрузкой файла в XSP необходимо разделить его.
  3. Разделите цепочку сертификатов на два сертификата:

    1. Откройте combinedcertchain.txt в текстовом редакторе.

    2. Выберите и обрежьте первый блок текста, включая строки, -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- , а затем в виде текстового блока в новыйфайл.

    3. Сохраните новый файл как broadcloudroot.txt.

    4. Сохраните исходный файл как broadcloudissuing.txt.

      Исходный файл теперь должен иметь только один блок текста, заключенный между строками -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.

  4. Скопируйте оба текстовых файла во временное расположение на используемом XSP, например /tmp/broadcloudroot.txt и /tmp/broadcloudissuing.txt.

  5. (Необязательно) Запустите help UpdateTrust, чтобы увидеть параметры и формат команд.

  6. Загрузите файлы сертификатов в новые точки доверия.

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    Webexclientroot и webexclientissuing – это примеры названий точек доверия. Вы можете использовать собственные.
  7. Подтвердите обновление точек доверия:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> get

     Alias Owner Issuer ============================================================================= webexclientissuing BroadCloud Commercial Issuing CA – DA3 BroadCloud Commercial Trusted Root CA webexclientroot BroadCloud Commercial Trusted Root CA BroadCloud Commercial Trusted Root CA[self-signed]

(Необязательно) Настройка mTLS на уровне интерфейса/порта HTTP

MTLS можно настроить на уровне интерфейса/порта HTTP или на уровне веб-приложений.

Способ, с помощью которого можно включить mTLS, зависит от приложений, которые вы разместили на XSP. Если вы разместили нескольких приложений, которые требуют mTLS, необходимо включить mTLS в интерфейсе. Если требуется защитить только одно из приложений, которые используют один и тот же HTTP-интерфейс, mTLS можно настроить на уровне приложений.

При настройке mTLS на уровне интерфейса/порта HTTP для всех веб-приложений, к которым осуществляется доступ через этот интерфейс или порт, требуется mTLS.

  1. Войдите в XSP, интерфейс которого настраивается.

  2. Перейдите XSP_CLI/Interface/Http/HttpServer> и запустите команду get, чтобы увидеть интерфейсы.

  3. Для добавления интерфейса и обязательной аутентификации клиента (то есть mTLS):

    XSP_CLI/Interface/Http/HttpServer> add IPAddress Port Name true true

    Подробности см. в документации XSP CLI. Первый параметр true обеспечивает защиту интерфейса с помощью TLS (при необходимости создается сертификат сервера), а второй параметр true добавляет в интерфейс обязательный требование аутентификации клиента (совместно они реализуют mTLS).

Например:

XSP_CLI/Interface/Http/HttpServer> get

Interface Port Name Secure Client Auth Req Cluster Fqdn ======================================================= 192.0.2.7 443 xsp01.collab.example.net true false 192.0.2.7 444 xsp01.collab.example.net true true

В этом примере mTLS (Client Auth Req = true) включен для порта 192.0.2.7444. TLS включен для порта 192.0.2.7 443.

(Необязательно) Настройка mTLS для определенных веб-приложений

MTLS можно настроить на уровне интерфейса/порта HTTP или на уровне веб-приложений.

Способ, с помощью которого можно включить mTLS, зависит от приложений, которые вы разместили на XSP. Если вы разместили нескольких приложений, которые требуют mTLS, необходимо включить mTLS в интерфейсе. Если требуется защитить только одно из приложений, которые используют один и тот же HTTP-интерфейс, mTLS можно настроить на уровне приложений.

При настройке mTLS на уровне приложения для этого приложения требуется mTLS, независимо от конфигурации интерфейса HTTP-сервера.

  1. Войдите в XSP, интерфейс которого настраивается.

  2. Перейдите к XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> и запустите команду get, чтобы увидеть, какие приложения работают.

  3. Чтобы добавить приложение и сделать обязательной аутентификацию клиента для него (то есть реализовать mTLS):

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add IPAddress Port ApplicationName true

    Подробности см. в документации XSP CLI. В этом списке перечислены имена приложений. Параметр true в этой команде включает mTLS.

Например:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add 192.0.2.7 443 AuthenticationService true

Команда из примера добавляет приложение AuthenticationService к порту 192.0.2.7:443 и требует запрос и аутентификацию сертификатов от клиента.

Проверьте с помощью команды get:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> get

Interface Ip Port Application Name Client Auth Req =================================================== 192.0.2.7 443 AuthenticationService true 

Настройка управления устройствами на сервере XSP, сервере приложений и сервере профилей

Сервер профилей и XSP являются обязательными для управления устройствами. Они должны быть настроены в соответствии с инструкциями, приведенными в Руководстве по настройке управления устройствами BroadWorks (https://xchange.broadsoft.com/node/1031995).

Интерфейс CTI и связанная конфигурация

Ниже приведен порядок конфигурации «изнутри наружу». Следование этому порядку действий не является обязательным.

  1. Настройка сервера приложений для подписок CTI

  2. Настройка XSP для подписок CTI с аутентификацией mTLS

  3. Открытые входящие порты для защищенного CTI-интерфейса

  4. Подписка организации Webex на CTI Events BroadWorks

Настройка сервера приложений для подписок CTI

Обновите ClientIdentity на сервере приложений, используя общее имя (CN) сертификата клиента. Если вы используете прокси-сервер через TLS, это CN внутренне подписанного сертификата, который прокси-сервер представляет XSP. В противном случае это CN сертификата клиента CTI Webex для BroadWorks.

Для каждого сервера приложений, используемого с Webex, добавьте удостоверение сертификата для ClientIdentity следующим образом.

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com


Общее имя сертификата клиента Webex для BroadWorks — bwcticlient.webex.com.

Настройка TLS и шифров в интерфейсе CTI

Уровни настройки интерфейса CTI XSP выглядят следующим образом:

Более общий = Системный уровень > Транспортный уровень > Интерфейсы CTI > Интерфейс CTI = более конкретный

Контексты CLI, которые используются для просмотра или изменения различных параметров SSL:

Уровень конкретики

Контекст CLI

Системный (глобальный)

(R22 и более поздние)

XSP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Транспортные протоколы для этой системы

(R22 и более поздние)

XSP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

Все CTI-интерфейсы в этой системе

(R22 и более поздние)

XSP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

XSP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

Специальный CTI-интерфейс в этой системе

(R22 и более поздние)

XSP_CLI/Interface/CTI/SSLSettings/Ciphers>

XSP_CLI/Interface/CTI/SSLSettings/Protocols>

Считывание конфигурации интерфейса CTI TLS в XSP

  1. Войдите в XSP и перейдите к XSP_CLI/Interface/CTI/SSLSettings>

    В BroadWorks R21: перейдите к XSP_CLI/Interface/CTI/SSLConfiguration>

  2. Введите команду get и просмотрите результаты. Вы должны увидеть интерфейсы (IP-адреса) и, для каждого из них, информацию о необходимости сертификата сервера и аутентификации клиента.

Добавление протокола TLS 1.2 в интерфейс CTI


Эта процедура используется только для R22 и более поздних версий. Чтобы настроить версию TLS в интерфейсе CTI для R21(SP1), необходимо использовать параметр контейнера tomcat bw.cti.sslenabledprotocols.

Интерфейс CTI XSP, взаимодействующий с облаком Cisco Webex должен быть настроен на TLS v1.2. Облако не может быть согласовано с более ранними версиями протокола TLS.

Чтобы настроить протокол TLSv1.2 на интерфейсе CTI:

  1. Войдите в XSP и перейдите к XSP_CLI/Interface/CTI/SSLНастройки/протоколы>

  2. Запустите команду get <interfaceIp>, чтобы узнать, какие протоколы уже используются на этом интерфейсе.

  3. Запустите команду add <interfaceIp> TLSv1.2, чтобы обеспечить возможность использования интерфейсом TLS 1.2 при взаимодействии с облаком.

Изменение конфигурации шифров TLS в интерфейсе CTI


Эта процедура используется только для R22 и более поздних версий. Чтобы настроить шифры в интерфейсе CTI для R21(SP1), необходимо использовать параметр контейнера tomcat bw.cti.enabledciphers.

Чтобы настроить необходимые шифры в интерфейсе CTI:

  1. Войдите в XSP и перейдите к XSP_CLI/Interface/CTI/SSLНастройки/шифры>

  2. Запустите команду get, чтобы узнать, какие шифры уже используются в этом интерфейсе. Должен быть по крайней мере один пакет из рекомендованных пакетов Cisco (см. Требования к идентификации и безопасности XSP в разделе «Обзор»).

  3. Введите команду add, <interfaceIp> <cipherName> чтобы добавить шифр в интерфейс CTI.


    Для CLI XSP необходимо имя стандартного пакета шифров IANA, а не имени пакета шифра openSSL. Например, для добавления в интерфейс CTI шифра openSSL ECDHE-ECDSA-CHACHA20-POLY1305 необходимо использовать: XSP_CLI/Interface/CTI/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Чтобы найти пакет по названию, перейдите по ссылке https://ciphersuite.info/.

Обновление точек доверия для интерфейса CTI (R22 и более поздние версии)

Эта процедура предполагает, что XSP либо имеют подключение к Интернету, либо выходят в Интернет через прокси-сервер. Конфигурация сертификата отличается для прокси-сервера моста (см. Требования к сертификату TLS для прокси-сервера моста TLS).

Для каждого XSP в вашей инфраструктуре, который публикует события CTI в Webex, необходимо сделать следующее:

  1. Войдите в Partner Hub.

  2. Перейдите к разделу Настройки > Вызовы BroadWorks и щелкните Скачать сертификат ЦС Webex, чтобы получить скачать файл CombinedCertChain.txt на локальный компьютер.


    Этот файл содержит два сертификата. Перед загрузкой файла в XSP необходимо разделить его.

  3. Разделите цепочку сертификатов на два сертификата:

    1. Откройте combinedcertchain.txt в текстовом редакторе.

    2. Выберите и обрежьте первый блок текста, включая строки, -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- , а затем в виде текстового блока в новыйфайл.

    3. Сохраните новый файл как broadcloudroot.txt.

    4. Сохраните исходный файл как broadcloudissuing.txt.

      Исходный файл теперь должен иметь только один блок текста, заключенный между строками -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.

  4. Скопируйте оба текстовых файла во временное расположение на используемом XSP, например /tmp/broadcloudroot.txt и /tmp/broadcloudissuing.txt.

  5. Войдите в XSP и перейдите к /XSP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (Необязательно) Запустите help updateTrust, чтобы увидеть параметры и формат команд.

  7. Загрузите файлы сертификатов в новые точки доверия.

    XSP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexissuing /tmp/broadcloudissuing.txt


    webexroot и webexissuing – это примеры названий точек доверия. Вы можете использовать собственные.

  8. Подтвердите обновление точек доверия:

    XSP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

     Alias Owner Issuer ============================================================================= webexissuing BroadCloud Commercial Issuing CA – DA3 BroadCloud Commercial Trusted Root CA webexroot BroadCloud Commercial Trusted Root CA BroadCloud Commercial Trusted Root CA[self-signed]
  9. Разрешить клиентам аутентификацию с помощью сертификатов.

    
      XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

Обновление точек доверия для интерфейса CTI (R21)

Эта процедура предполагает, что XSP либо имеют подключение к Интернету, либо выходят в Интернет через прокси-сервер. Конфигурация сертификата отличается для прокси-сервера моста (см. Требования к сертификату TLS для прокси-сервера моста TLS).

Для каждого XSP в вашей инфраструктуре, который публикует события CTI в Webex, необходимо сделать следующее:

  1. Войдите в Partner Hub.

  2. Перейдите к разделу Настройки > Вызовы BroadWorks и щелкните Скачать сертификат ЦС Webex, чтобы получить скачать файл CombinedCertChain.txt на локальный компьютер.


    Этот файл содержит два сертификата. Перед загрузкой файла в XSP необходимо разделить его.

  3. Разделите цепочку сертификатов на два сертификата:

    1. Откройте combinedcertchain.txt в текстовом редакторе.

    2. Выберите и обрежьте первый блок текста, включая строки, -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- , а затем в виде текстового блока в новыйфайл.

    3. Сохраните новый файл как broadcloudroot.txt.

    4. Сохраните исходный файл как broadcloudissuing.txt.

      Исходный файл теперь должен иметь только один блок текста, заключенный между строками -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.

  4. Скопируйте оба текстовых файла во временное расположение на используемом XSP, например /tmp/broadcloudroot.txt и /tmp/broadcloudissuing.txt.

  5. Войдите в XSP и перейдите к /XSP_CLI/Interface/CTI/SSLConfiguration/ClientAuthentication/Trusts>

  6. (Необязательно) Запустите help updateTrust, чтобы увидеть параметры и формат команд.

  7. Обновление новых точек доверия с помощью сертификатов.

    /XSP_CLI/Interface/CTI/SSLConfiguration/ClientAuthentication/Trusts> updateTrust webexroot /tmp/broadcloudroot.txt

    /XSP_CLI/Interface/CTI/SSLConfiguration/ClientAuthentication/Trusts> updateTrust webexissuing /tmp/broadcloudissuing.txt

    (где «webexroot» и «webexissuing» являются примерами названий точек доверия, можно выбрать собственные)

  8. Подтвердите загрузку обоих сертификатов:

    /XSP_CLI/Interface/CTI/SSLConfiguration/ClientAuthentication/Trusts> get

    XSP_CLI/Interface/CTI/SSLConfiguration/ClientAuthentication/Trusts> get Alias Owner Issuer =========================================================================================================== webexissuing BroadCloud Commercial Issuing CA - DA3 BroadCloud Commercial Trusted Root CA webexroot BroadCloud Commercial Trusted Root CA BroadCloud Commercial Trusted Root CA[self-signed]
  9. Разрешить клиентам аутентификацию с помощью сертификатов.

    
      XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

Добавление CTI-интерфейса и включение mTLS

  1. Добавьте интерфейс CTI SSL.

    Контекст CLI зависит от версии BroadWorks. В результате этой команды в интерфейсе будет создан самозаверяющийся сертификат сервера, и интерфейс будет требовать сертификат клиента.

    • BroadWorks 22 и 23.0:

      XSP_CLI/Interface/CTI/SSLSettings> add <Interface IP> true true

    • BroadWorks 21.sp1:

      XSP_CLI/Interface/CTI/SSLConfiguration> add <Interface IP> true true

  2. Включение и определение защищенного CTI-порта в XSP.

    XSP_CLI/Interface/CTI> set securePortEnabled true

    XSP_CLI/Interface/CTI> set securePort 8012

  3. Замена сертификата сервера и ключа в интерфейсах CTI XSP. Для этого требуется IP-адрес интерфейса CTI; его можно получить из следующего контекста:

    • BroadWorks 22 и 23.0:

      XSP_CLI/Interface/CTI/SSLSettings> get

    • BroadWorks 21.sp1:

      XSP_CLI/Interface/CTI/SSLConfiguration> get

      Затем запустите следующие команды для замены самозаверяющегося сертификата интерфейса на собственный сертификат и закрытый ключ.

      BroadWorks 22.0 и 23.0:

      XSP_CLI/Interface/CTI/SSLSettings/Certificates> sslUpdate <interface IP> keyFile </path/to/certificate key file>

      XSP_CLI/Interface/CTI/SSLSettings/Certificates> sslUpdate <interface IP> certificateFile </path/to/server certificate>

      BroadWorks 21.sp1:

      XSP_CLI/Interface/CTI/SSLConfiguration> sslUpdate <interface IP> keyFile </path/to/certificate key file>

      XSP_CLI/Interface/CTI/SSLConfiguration> sslUpdate <interface IP> certificateFile </path/to/server certificate>

  4. Перезапустите XSP.

Открытые входящие порты для защищенного CTI-интерфейса

Откройте защищенный порт CTI в брандмауэре (TCP 8012 по умолчанию) для входящего соединения TLS с интерфейсом CTI XSP.

Чтобы проверить, включен ли защищенный порт, а также его номер:

  1. Войдите в XSP CLI и перейдите к контексту XSP_CLI/interface/CTI>.

  2. Введите команду get.

В полученной информации должно присутствовать следующее:

securePortEnabled = true

securePort = 8012

Это гарантирует, что Webex может инициировать зашифрованное соединение.

Webex использует только защищенный порт, поэтому для отключения незащищенного порта рекомендуется установить portEnabled = false.

Обеспечение доступа к событиям CTI BroadWorks в Cisco Webex

При настройке кластеров в Partner Hub необходимо добавить и проверить интерфейс CTI. Подробные инструкции см. в разделе Настройка партнерской организации в Control Hub.

  • Укажите адрес CTI, с помощью которого Cisco Webex может подписаться на CTI Events BroadWorks.

  • Подписки CTI устанавливаются и поддерживаются только в том случае, если для Webex для BroadWorks предусмотрена подписка CTI.

Настройки вызовов Webview

Call Settings Webview (CSWV) — это приложение, размещенное на сервере XSP (или ADP), которое позволяет пользователям изменять настройки вызовов BroadWorks с помощью вызова Webview, который они видят в клиенте программы. Подробное руководство по решению CSWV представлено по адресу https://xchange.broadsoft.com/node/1050149.

Webex использует эту функцию для предоставления пользователям доступа к общим настройкам вызовов BroadWorks, которые не являются настройками приложения Webex.

Чтобы абоненты BroadWorks могли получать доступ к настройкам вызовов за пределами настроек по умолчанию, доступных в приложении Webex, необходимо развернуть функцию «Настройки вызовов Webview».

Настройки вызовов Webview имеют два компонента:

  • Настройки вызовов приложения Webview, размещенного на сервере Cisco BroadWorks XSP (или ADP).

  • Приложение Webex для отображения параметров вызова в приложении Webview.

Возможности для пользователей

  • Пользователи Windows: Щелкните изображение профиля, затем выберите Настройки > Вызовы > Самообслуживание.

  • Пользователи Mac: Щелкните изображение профиля, затем выберите Параметры > Вызовы > Самообслуживание

Развертывание CSWV в BroadWorks

Установка настроек вызовов Webview на XSP

Приложение CSWV должно быть размещено на тех же XSP, что и интерфейс Xsi-Actions в вашей среде. Это неуправляемое приложение в XSP, поэтому вам необходимо установить и развернуть файл веб-архива.

  1. Войдите в Xchange и выполните поиск «BWCallSettingsWeb» в разделе скачивания программного обеспечения.

  2. Найдите и скачайте последнюю версию файла.

    Например, на момент составления документа последним был файл BWCallSettingsWeb_1.7.5_1.war (https://xchange.broadsoft.com/node/1054451).

  3. Установите, активируйте и разверните веб-архив в соответствии с руководством по настройке Xtended Service Platform для версии XSP. (Версия R23 — https://xchange.broadsoft.com/node/1033484).

    1. Скопируйте файл .war во временную папку на xSP, например /tmp/.

    2. Перейдите к контексту CLI и запустите команду установки:

      XSP_CLI/Maintenance/ManagedObjects> install application /tmp/BWCallSettingsWeb_1.7.5_1.war

      Диспетчер программного обеспечения BroadWorks проверит и установит файл.

    3. [Необязательно] Удалите /tmp/BWCallSettingsWeb_1.7.5_1.war (этот файл больше не требуется).

    4. Активируйте приложение:

      XSP_CLI/Maintenance/ManagedObjects> activate application BWCallSettingsWeb 1.7.5 /callsettings

      Параметры name и version являются обязательными для любого приложения, однако для CSWV необходимо также предоставить contextPath, поскольку это неуправляемое приложение. Можно использовать любое значение, не используемое другим приложением, например /callsettings.

    5. Развертывание приложения Call Settings в выбранном пути контекста:

      XSP_CLI/Maintenance/ManagedObjects> deploy application /callsettings

  4. Теперь можно спрогнозировать URL-адрес параметров вызова, который будет указан для клиентов.

    https://<XSP-FQDN>/callsettings/

    Примечания.

    • При вводе в файл конфигурации клиента необходимо указать слеш в конце этого URL.

    • XSP-FQDN должны совпадать с Xsi-Actions FQDN, поскольку для CSWV необходимо использовать Xsi-Actions, а CORS не поддерживается.

  5. Повторите эту процедуру для других XSP в среде Webex для BroadWorks (при необходимости)

Приложение Call Settings Webview теперь активно на XSP.

Дополнительная конфигурация для XSP R21

При развертывании приложения CSWV в R21 XSP:

  1. Перейдите к контексту приложения настроек вызова и запустите команду get для чтения его конфигурации: XSP_CLI/Applications/BWCallSettingsWeb_1.7.5/General> get

    Должны быть получены следующие параметры и значения:

    xsiActionsContextOrURL=/com.broadsoft.xsi-actions displayCriteriaOrScheduleName=criteria applicationMode=prod 
  2. Используйте команду set (при необходимости) для изменения параметров на значения, показанные выше.

  3. При необходимости повторите эту процедуру для других XSP R21.

Настройка приложения Webex для использования параметров вызова Webview

Более подробную информацию о конфигурации клиента см. в Руководстве по настройке клиента Webex для BroadWorks на Xchange для версии приложения Webex. Например, версия этого файла за сентябрь 2020 г находится по адресу https://xchange.broadsoft.com/node/1054075

В файле конфигурации приложения Webex имеется пользовательский тег, который можно использовать для настройки URL-адреса CSWV. Этот URL-адрес отображает настройки вызова для пользователей через интерфейс приложения.

<config>
    <services>
        <web-call-settings target="%WEB_CALL_SETTINGS_TARGET_WXT%">
            <url>%WEB_CALL_SETTINGS_URL_WXT%</url>
        </web-call-settings>

В шаблоне конфигурации приложения Webex в BroadWorks настройте URL-адрес CSWV в теге %WEB_CALL_SETTINGS_URL_WXT%.

Если URL-адрес не указан явным образом, значение по умолчанию будет пустым, а страница настроек вызова не будет видна пользователям.

  1. Убедитесь в том, что у вас имеются последние шаблоны конфигурации для приложения Webex (см. Профили устройств).

  2. Установите значение csw целевого параметра настроек веб-вызовов:

    %WEB_CALL_SETTINGS_TARGET_WXT% csw

  3. Установите URL-адрес параметров веб-вызова для среды, например:

    %WEB_CALL_SETTINGS_URL_WXT% https://yourxsp.example.com/callsettings/

    (Вы получили это значение при развертывании приложения CSWV)

  4. Итоговый файл конфигурации клиента должен иметь следующую запись:
    <web-call-settings target="csw">
        <url>https://yourxsp.example.com/callsettings/</url>
    </web-call-settings>

Настройка push-уведомлений о вызовах в Webex для BroadWorks

В этом документе мы используем термин Сервер push-уведомлений о вызовах (CNPS) для описания приложения, размещенного на XSP или ADP, которое запускается в вашей среде. CnPS работает с системой BroadWorks для уведомления о входящих вызовах ваших пользователей и передает уведомления о них в службы уведомлений Google Firebase Cloud Messaging (FCM) или службы push-уведомлений Apple (APN).

Эти службы уведомляют мобильные устройства Webex для абонентов BroadWorks о том, что у них есть входящие вызовы в Webex.

Более подробную информацию о NPS см. в описании функции сервера push-уведомлений по адресу https://xchange.broadsoft.com/node/485737.

Схожий механизм в Webex работает со службами обмена сообщениями и присутствия Webex для отправки push-уведомлений в службы уведомлений Google (FCM) или Apple (APN). Эти службы, в свою очередь, уведомляют мобильных пользователей Webex о входящих сообщениях или изменениях присутствия.


В этом разделе описана настройка NPS для прокси-сервера аутентификации, если NPS не поддерживает другие приложения. При необходимости переноса общих NPS для использования прокси NPS см. раздел Обновление NPS Cisco BroadWorks для использования прокси-сервера NPShttps://help.webex.com/nl5rir2/.

Обзор прокси-сервера NPS

Для совместимости с Webex для BroadWorks CNPS должен иметь установленное исправление для поддержки функции прокси-сервера NPS, Push Server for VoIP in UCaaS.

Эта функция реализует новый дизайн сервера push-уведомлений для устранения уязвимости при совместном доступе к закрытым ключам сертификата для push-уведомлений в отношении поставщиков услуг для мобильных клиентов. Вместо совместного доступа к сертификатам и ключам push-уведомлений с поставщиком услуг, NPS использует новый API для получения краткосрочного токена push-уведомления от службы Webex для серверов BroadWorks и использует этот токен для аутентификации в службах Apple APN и Google FCM.

Эта функция также расширяет возможности сервера push-уведомлений для отправки уведомлений на устройства Android посредством нового API Google Firebase Cloud Messaging (FCM) HTTPv1.

Подготовка NPS для Webex для BroadWorks

1

Установите и настройте выделенный XSP (минимальная версия R22) или платформу доставки приложений (ADP).

2

Установите исправления прокси-сервера аутентификации NPS.

Исправления XSP R22:

Исправления XSP R23:

3

Активируйте приложение сервера push-уведомлений.

4

(Для уведомлений Android) Активируйте FCM v1 API на NPS.

XSP_CLI/Applications/NotificationPushServer/FCM> set V1Enabled true

5

(Для уведомлений Apple iOS) Активируйте HTTP/2 на NPS.

XSP_CLI/Applications/NotificationPushServer/APNS/GeneralSettings> set HTTP2Enabled true

6

Подключите техподдержку от NPS XSP/ADP.

Настройка NPS для использования прокси-сервера аутентификации

Эта задача относится к новой установке NPS, выделенной для Webex для BroadWorks.

Если вы хотите настроить прокси-сервер аутентификации на NPS, который совместно используется другими мобильными приложениями, см. Обновление NPS Cisco BroadWorks для использования прокси-сервера NPS (https://help.webex.com/nl5rir2).

1

Создайте запрос на обслуживание с регистрируемым контактом или TAC для обеспечения учетной записи клиента OAuth (общие параметры идентификации Webex). Озаглавьте запрос на обслуживание Конфигурация NPS для настройки прокси-сервера Auth.

Компания Cisco предоставит вам идентификатор клиента OAuth, секретный код клиента и токен обновления, который будет действителен в течение 60 дней. Если срок действия токена истекает до его использования с NPS, можно сделать еще один запрос.
2

Создайте учетную запись клиента в NPS.

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set clientId client-Id-From-Step1


  XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set clientSecret New Password: client-Secret-From-Step1

  XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set RefreshToken New Password: Refresh-Token-From-Step1

Чтобы проверить соответствие введенного значения с данными, запустите команду XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> get

3

Введите URL-адрес прокси-сервера NPS и установите интервал обновления токена (рекомендуется 30 минут):

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set url https://nps.uc-one.broadsoft.com/nps/

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set VOIPTokenRefreshInterval 1800

4

(Для уведомлений Android) Добавьте ID приложения Android в контекст приложений FCM на NPS.

XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.cisco.wx2.android

5

(Для уведомлений Apple iOS) Добавьте ID приложения в контекст приложений APNS, не указывая ключ Auth (оставьте его пустым).

XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

6

Настройте приведенные ниже URL-адреса NPS.

Контекст CLI XSP

Параметр

Значение

XSP_CLI/Applications/NotificationPushServer/FCM>

authURL

https://www.googleapis.com/oauth2/v4/token

pushURL

https://fcm.googleapis.com/v1/projects/PROJECT-ID/messages:send

scope

https://www.googleapis.com/auth/firebase.messaging

XSP_CLI/Applications/NotificationPushServer/APNS/Production>

url

https://api.push.apple.com/3/device

7

Настройте следующие параметры соединения NPS в соответствии с рекомендуемыми значениями, приведенными ниже.

Таблица 1.

Контекст CLI XSP

Параметр

Значение

XSP_CLI/Applications/NotificationPushServer/FCM>

tokenTimeToLiveInSeconds

3600

connectionPoolSize

10

connectionTimeoutInMilliseconds

3000

connectionIdleTimeoutInSeconds

600

XSP_CLI/Applications/NotificationPushServer/APNS/Production>

connectionTimeout

3000

connectionPoolSize

2

connectionIdleTimeoutInSeconds

600

8

Убедитесь в том, что сервер приложений фильтрует ID приложений, поскольку может потребоваться добавить приложения Webex в список разрешений.

  1. Запустите команду AS_CLI/System/PushNotification> get и проверьте значение enforceAllowedApplicationList. Если это значение true, то необходимо выполнить эту подзадачу. В противном случае пропустите остальную часть подзадачи.

  2. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.wx2.android “Webex Android”

  3. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.squared “Webex iOS”

9

Перезапуск XSP: bwrestart

10

Проверьте уведомления о вызовах путем осуществления вызовов от подписчика BroadWorks двум пользователям мобильных устройств Webex. Убедитесь в том, что уведомление о вызове отображается на устройствах iOS и Android.

Настройка партнерской организации в Partner Hub

Настройка кластеров BroadWorks

[один раз на кластер]

Это выполняется для следующих целей:

  • Чтобы включить в облаке Webex аутентификацию пользователей в BroadWorks (через службу аутентификации, размещенную на XSP).

  • Чтобы включить в приложениях Webex использование интерфейса Xsi для управления вызовами.

  • Чтобы обеспечить контроль со стороны Webex событий CTI, опубликованных BroadWorks (присутствие телефонии).


Мастер кластера автоматически проверяет интерфейсы по мере их добавления. Вы можете продолжить редактирование кластера, если какой-либо из интерфейсов не будет успешно проверен, однако вы не можете сохранить кластер при недействительных записях.

Мы предотвращаем это, поскольку неправильно заданный кластер может вызвать проблемы, которые трудно решить.

Порядок действий:

  1. Войдите в Partner Hub (admin.webex.com) с помощью учетных данных администратора-партнера.

  2. Откройте страницуНастройки в боковом меню и найдите настройки Вызовы BroadWorks.

  3. Щелкните Добавить кластер.

    В результате этого будет запущен мастер, который будет предоставлять интерфейсы XSP (URL-адреса). Добавление порта в URL-адрес интерфейса возможно при использовании нестандартного порта.

  4. Найдите название этого кластера и щелкните Далее.

    Концепция кластера — это просто набор интерфейсов, обычно совместно размещенных на сервере или ферме XSP, которые позволяют Webex получать информацию от сервера приложений (AS). Для каждого кластера AS может быть один XSP, либо несколько XSP для каждого кластера, либо несколько кластеров AS на один XSP. Возможности масштабирования требований к системе BroadWorks отсутствуют.

  5. (Необязательно) Введите имя учетной записи и пароль пользователя BroadWorks, которые присутствуют в системе BroadWorks, которую вы подключаете к Webex, затем щелкните Далее.

    С помощью проверочных тестов можно использовать эту учетную запись для проверки соединений с интерфейсами в кластере.

  6. Добавьте URL-адреса XSI Actions и XSI Events и щелкните Далее.

  7. Добавьте URL-адрес интерфейса CTI и щелкните Далее.

  8. Добавьте URL-адрес службы аутентификации.

  9. Выберите порядок работы службы аутентификации для проверки токенов пользователя:

    • Служба аутентификации с аутентификацией MTLS

      Сервер XSP/ADP доверяет Webex, поэтому служба аутентификации просто заменит полученный токен пользователя на долгосрочный токен, чтобы авторизовать пользователя для служб BroadWorks.

    • Служба аутентификации с проверкой токена CI

      Для защиты соединения с Webex в этом случае mTLS не требуется, поскольку служба аутентификации должным образом проверяет токен пользователя в службе идентификации Webex до выдачи пользователю долгосрочного токена.

  10. Просмотрите свои записи на итоговом экране и щелкните Создать. Должно быть отображено сообщение об успешном создании.

    Partner Hub передает URL-адреса различным микросервисам Webex, которые тестируют соединения с передаваемыми интерфейсами.

  11. Щелкните Просмотр кластеров и вы должны увидеть новый кластер а также информацию о результатах проверки.

  12. Кнопка Создать может быть отключена на окончательном экране мастера (предварительный просмотр). Если вы не можете сохранить шаблон, это указывает на проблему с одной из только что настроенных интеграций.

    Эта проверка используется для предотвращения ошибок при выполнении последующих задач. До сохранения шаблона можно вернуться к мастеру после настройки развертывания, что может потребовать изменений инфраструктуры (например, XSP, распределитель нагрузки или брандмауэр), как описано в этом руководстве.

Проверка подключений к интерфейсам BroadWorks

  1. Войдите в Partner Hub (admin.webex.com) с помощью учетных данных администратора-партнера.

  2. Откройте страницуНастройки в боковом меню и найдите настройки Вызовы BroadWorks.

  3. Щелкните Просмотр кластеров.

  4. Partner Hub инициирует тестирование соединения от различных микросервисов в отношении интерфейсов в кластерах.

    После завершения тестов рядом с каждым кластером на странице списка кластеров будет отображено сообщение о состоянии.

    Должны отображаться сообщение «Успешно» зеленого цвета. Если вы видите сообщение «Ошибка» красного цвета, щелкните по соответствующим именам кластеров, чтобы узнать, какие параметры вызывают проблему.

Настройка шаблонов клиентов

Шаблоны клиентов являются способом применения общих настроек к одному или более клиентам при их регистрации с помощью методов обеспечения. Необходимо связать каждый шаблон с кластером (созданным в предыдущем разделе).

Можно создавать столько шаблонов, сколько необходимо, но с клиентом можно связать только один шаблон.

  1. Войдите в Partner Hub (admin.webex.com) с помощью учетных данных администратора-партнера.

  2. Откройте страницуНастройки в боковом меню и найдите настройки Вызовы BroadWorks.

  3. Щелкните Добавить шаблон.

    В результате этого будет запущен мастер, в котором можно будет предоставить конфигурацию клиентам, которые будут использовать этот шаблон.

  4. Для выбора кластера, который будет использоваться с этим шаблоном, воспользуйтесь впадающим меню Кластер.

  5. Введите Имя шаблона, затем щелкните Далее.

  6. Настройте режим обеспечения с помощью указанных рекомендаций.

    Таблица 2. Рекомендуемые настройки обеспечения для различных режимов обеспечения

    Название настройки

    Непрерывное обеспечение с доверенными адресами электронной почты

    Непрерывное обеспечение без адресов электронной почты

    Самостоятельное обеспечение пользователя

    Включите Непрерывное обеспечение BroadWorks (добавлять учетные данные обеспечения если включено)

    Вкл

    Укажите имя Учетной записи и Пароль обеспечения в конфигурации BroadWorks.

    Вкл

    Укажите имя Учетной записи и Пароль обеспечения в конфигурации BroadWorks.

    Off

    Автоматически создавать новые организации в Control Hub

    Вкл

    Вкл

    Вкл

    Адрес электронной почты поставщика услуг

    В выпадающем списке выберите адрес электронной почты (для поиска адреса в длинном списке можно ввести первые символы адреса).

    Этот адрес электронной почты определяет администратора в вашей партнерской организации, которому будет предоставлены права администратора для любой новой клиентской организации, созданной с помощью шаблона клиента.

    Страна

    Выберите страну, используемую для этого шаблона.

    Страна, которую вы выбрали, соответствует клиентским организациям, созданным с помощью этого шаблона для определенного региона. В настоящее время регион может быть (EMEAR) или (Северная Америка и остальной мир). См. Сопоставление стран с регионами в этой таблице.

    Активен корпоративный режим BroadWorks

    Активируйте этот параметр в том случае, если клиенты, которых вы обеспечиваете с этим шаблоном, являются предприятиями BroadWorks.

    Если они являются группами, оставьте этот параметр отключенным.

    Если в BroadWorks имеется несколько предприятий и групп, необходимо создавать различные шаблоны для разных случаев.

    • Примечания к таблице:

    • † Этот параметр гарантирует, что новая клиентская организация создается в том случае, если домен электронной почты подписчика не соответствует существующей организации Webex.

      Он всегда должен быть включен, если только вы не используете ручной процесс заказа и реализации (с помощью Cisco Commerce Workspace) для создания клиентских организаций в Webex (до начала обеспечения пользователей в этих организациях). Этот параметр часто называется моделью «Гибридного обеспечения» и не входит в область действия этого документа.

  7. Выберите пакет служб по умолчанию для клиентов, использующих этот шаблон (см. Пакеты в разделе «Обзор») — Базовый, Стандартный или Премиум.

    Эту настройку можно изменить для отдельных пользователей с помощью Partner Hub.

  8. Выберите режим аутентификации по умолчанию (Аутентификация BroadWorks, либо аутентификация Webex) для клиентов, использующих этот шаблон.

    (См. Режим аутентификации в разделе «Подготовка среды»).

  9. Настройте способ проверки пользователями своих данных в Webex. Параметры на этой странице соответствуют выбранному вами режиму обеспечения пользователя, как показано в таблице:

    Таблица 3. Рекомендованные параметры проверки пользователя для различных режимов обеспечения

    Название настройки

    Непрерывное обеспечение с доверенными адресами электронной почты

    Непрерывное обеспечение без адресов электронной почты

    Самостоятельное обеспечение пользователя

    Проверка пользователя

    Доверять адресам электронной почты BroadWorks

    Недостоверные адреса электронной почты

    Недостоверные адреса электронной почты

    Первый пользователь является администратором

    Рекомендуется*

    Рекомендуется*

    Не применимо

    Разрешить пользователям активироваться самостоятельно

    Не применимо

    Не применимо

    Обязательно

    • Примечания к таблице:

    • * Первый пользователь, которому вы назначите интегрированную службу обмена мгновенными сообщениями и состоянием доступности в BroadWorks, становится администратором клиента, если в Webex создается новая клиентская организация. Выберите этот параметр, чтобы получить управлять тем, кому назначается эта роль. Если этот параметр не указать, то администратором клиента станет первый пользователь, активируемый в новой организации.

      При необходимости можно изменить роли пользователей клиента в Partner Hub после обеспечения.

  10. Выберите, хотите ли вы Предварительно заполнять адреса электронной почты пользователей на странице входа.

    Этот параметр следует использовать только в том случае, если выбран параметр Аутентификация BroadWorks и в атрибуте Alternate ID в BroadWorks были указаны адреса электронной почты пользователей. В противном случае необходимо будет использовать имя пользователя BroadWorks. При необходимости на странице входа в систему можно изменить пользователя, однако это может привести к проблемам со входом в систему.

  11. Выберите, требуется ли Включить синхронизацию каталогов.

    Этот параметр позволяет Webex получать контакты BroadWorks от клиентской организации, чтобы пользователи могли находить и звонить им из приложения Webex.

  12. Введите Партнера-администратора.

    Это имя используется в автоматических сообщениях электронной почты Webex, которые предлагают пользователям проверять свои адреса электронной почты.

  13. Просмотрите свои записи на итоговом экране. Вы можете использовать элементы управления навигацией в верхней части мастера, чтобы вернуться назад и изменить любые сведения. Щелкните Создать.

    Должно быть отображено сообщение об успешном создании.

  14. Щелкните Просмотреть шаблоны, и вам будет показан новый шаблон, который будет указан в списке вместе с другими шаблонами.

  15. При необходимости щелкните имя шаблона, чтобы изменить или удалить его.

    Нет необходимости повторно вводить данные учетной записи для обеспечения. Пустые поля пароля и подтверждения пароля предназначены для изменения учетных данных при необходимости, но оставьте их пустыми для сохранения значений, переданных в мастер.

  16. Добавьте другие шаблоны, если у вас имеются разные общие конфигурации, которые необходимо предоставить клиентам.


    Оставьте открытой страницу Просмотр шаблонов, поскольку для следующей задачи может понадобиться подробная информация о шаблоне.

Настройка сервера приложений с URL-адресом службы обеспечения


Эта задача требуется только для непрерывного обеспечения.

Сервер исправлений приложений

  1. Примените исправление ap373197 (см. Требования BroadWorks к программному обеспечению в разделе «Справка»).

  2. Изменение контекста Maintenance/ContainerOptions.

  3. Включите параметр URL-адреса обеспечения:

    /AS_CLI/Maintenance/ContainerOptions> add provisioning bw.imp.useProvisioningUrl true

Получите URL-адрес(а) обеспечения в Partner Hub

См. Руководство по администрированию командной строки интерфейса сервера приложений Cisco BroadWorks, чтобы получить дополнительную информацию (Интерфейс > Отправка сообщений и сервис > Интегрированные IM&P) о командах AS.

  1. Войдите в Partner Hub и перейдите к Настройки > Вызовы BroadWorks.

  2. Щелкните Просмотр шаблонов.

  3. Выберите шаблон, который вы используете для обеспечения абонентов этой организации или группы в Webex.

    Сведения о шаблоне отображаются во всплывающем меню справа. Если шаблон еще не создан, это необходимо сделать, прежде чем получить URL-адрес обеспечения.

  4. Скопируйте URL-адрес адаптера для обеспечения.

Повторите эту процедуру для других шаблонов, если у вас имеется несколько шаблонов.

(Необязательно) Настройка параметров обеспечения для всей системы на сервере приложений


При использовании SaaS UC-One вы можете не настраивать домен обеспечения и службы в масштабе всей системы. См. Точки принятия решений в разделе «Подготовка среды».

  1. Войдите на сервер приложений и настройте интерфейс обмена сообщениями.

    1. AS_CLI/Interface/Messaging> set provisioningUrl EnterValueFromPartnerHubTemplate

    2. AS_CLI/Interface/Messaging> set provisioningUserId EnterValueFromPartnerHubTemplate

    3. AS_CLI/Interface/Messaging> set provisioningPassword EnterValueFromPartnerHubTemplate

    4. AS_CLI/Interface/Messaging> set enableSynchronization true

  2. Активируйте интерфейс интегрированных IMP:

    1. /AS_CLI/Service/IntegratedIMP> set serviceDomain example.com

    2. /AS_CLI/Service/IntegratedIMP/DefaultAttribute> set userAttrIsActive true


Необходимо ввести полное имя для параметра provisioningURL, как оно было указано в Control Hub. Если серверу приложений не удается получить доступ к DNS для расшифровки имени хоста, необходимо создать сопоставление в файле /etc/hosts в AS.

(Необязательно) Настройка параметров обеспечения для каждого предприятия на сервере приложений

  1. В интерфейсе BroadWorks откройте предприятие, необходимое для настройки, и перейдите к Службы > Интегрированные IM&P.

  2. Выберите Использовать домен службы и введите временное значение (Webex проигнорирует этот параметр. Можно использовать example.com).

  3. Выберите Использовать сервер обмена сообщениями.

  4. В поле URL введите URL-адрес обеспечения, скопированный из шаблона в Partner Hub.


    Необходимо ввести полное имя параметра provisioningURL, как оно было указано в Partner Hub. Если серверу приложений не удается получить доступ к DNS для расшифровки имени хоста, необходимо создать сопоставление в файле /etc/hosts в AS.

  5. В поле Имя пользователя введите имя администратора обеспечения. Оно должно совпадать со значением в шаблоне в Partner Hub.

  6. Введите пароль для администратора обеспечения. Он должен совпадать со значением в шаблоне в Partner Hub.

  7. В поле Идентификация пользователя по умолчанию для IM&P ID выберите Основной.

  8. Нажмите Применить.

  9. Повторите эту процедуру для других предприятий, которые необходимо настроить для непрерывного обеспечения.

Поиск в каталоге для вызовов BroadWorks

Синхронизация каталогов гарантирует, что пользователи Webex для BroadWorks могут использовать каталог Webex для вызова любого вызываемого объекта с сервера BroadWorks. Эта функция гарантирует, что даже объекты телефонии без клиента обмена сообщениями синхронизируются с каталогом Webex.


Подготовка Webex для BroadWorks включает в себя синхронизацию пользователей обмена сообщениями по умолчанию и связанную с ними информацию о вызовах с сервера BroadWorks с каталогом Webex. Однако, синхронизация обеспечения не учитывает пользователей, для которых не включена передача сообщений, а также не являющиеся пользователями объекты (например, телефон в комнате для совещаний, факс или номер группы портов с одним адресом). Необходимо включить синхронизацию каталогов, чтобы убедиться в добавлении в каталог Webex неучитываемых объектов вызовов.

Условия синхронизации каталога

  • Синхронизация каталогов выполняется еженедельно для заданного шаблона клиента. Начальная синхронизация будет запланирована на неделю после включения синхронизации (время для запуска синхронизации является случайным).

  • В случае сбоя синхронизации каждые 24 часа происходит автоматическая повторная попытка синхронизации до следующей запланированной синхронизации.

  • Можно просматривать состояние синхронизации в Control Hub (с информацией о последней успешной синхронизации) для заданного шаблона клиента.

  • Включение синхронизации для заданного шаблона клиента обеспечивает синхронизацию для всех организаций, которые используют этот шаблон. При сбое синхронизации с одной или более из этих организаций отображается состояние частичного сбоя.

  • При синхронизации будут игнорироваться пользователи, у которых нет номера телефона.

  • Каждое приложение Webex имеет локальный кэш, который может очищаться до 72 часов до появления обновлений после синхронизации в приложении Webex. Эта задержка зависит от включения или отключения этой функции.

Подготовка к работе

Рекомендуется использовать следующие настройки.

  • Значения ограничения скорости — Установите следующие свойства системы OverloadControl (XSP_CLI/Applications/Xsi-Actions/OverloadControl).

    • userDirectoryTransactionLimit — Установите значение «null». В противном случае установите 5 (минимальное количество).

    • globalDirectoryTransactionLimit — Установите значение «null». В противном случае установите 5 (минимальное количество).

  • Значения пейджинговой системы — Установите свойства пейджинговой системы (XSP_CLI/applications/Xsi-Actions/Paging).

    • defaultPageSize – Значение «50»

    • availableUserMaxLimit – Значение «100»

  • Интерфейс CTI — Убедитесь в том, что вы загрузили сертификаты Webex CA в trust store интерфейса CTI и в том, что вы включили аутентификацию клиента в интерфейсе CTI.

Кроме того, рекомендуется применить системные исправления ap368517 к развертыванию BroadWorks перед тем, как включить эту функцию (информацию о исправлении см. в разделе Требования BroadWorks к программному обеспечению в разделе «Справка»).

Процедура

Чтобы включить синхронизацию каталогов, выполните следующие действия:

  1. В Partner Hub выберите Настройки.

  2. Прокрутите страницу до раздела Вызовы BroadWorks и щелкните Просмотр шаблона.

  3. Выберите соответствующий шаблон

  4. Прокрутите страницу до раздела Синхронизация каталогов BroadWorks и установите переключатель Активировать синхронизацию каталогов в положение Вкл.

  5. Щелкните Сохранить.


Чтобы отключить синхронизацию каталогов, установите переключатель Активировать синхронизацию каталогов в положение Выкл. Это удалит из каталога Webex пользователей, которые относятся только к BroadWorks.

Настройка и обеспечение клиентов

Пользователи загружают и устанавливают свои универсальные приложения Webex для рабочего стола или мобильных устройств (см. Платформы приложений Webex в разделе «Подготовка среды»). После аутентификации пользователя клиент регистрируется в облаке Cisco Webex для обмена сообщениями и проведения совещаний, получает информацию о брендинге, получает информацию о службе BroadWorks и скачивает конфигурацию вызовов с сервера приложений BroadWorks (через DMS в XSP).

Параметры вызовов для приложений Webex настраиваются в BroadWorks (как обычно). Для клиентов в Control Hub можно настроить параметры брендинга, обмена сообщениями и совещаний. Вы не изменяете файл конфигурации напрямую.

Эти два набора конфигураций могут совпадать, в таком случае конфигурация Webex заменяет конфигурацию BroadWorks.

Добавление шаблонов конфигурации приложений Webex в сервер приложений BroadWorks

В приложениях Webex настроены файлы DTAF. Клиенты загружают XML-файл конфигурации с сервера приложений с помощью службы управления устройствами на сервере XSP.

  1. Получите необходимые файлы DTAF (см. Профили устройств в разделе «Подготовка среды»).

  2. Убедитесь в том, что в Система BroadWorks > Ресурсы > Наборы тегов для управления устройствами имеются правильные наборы тегов.

  3. Для каждого клиента, которого вы обеспечиваете:

    1. Скачайте и извлеките файл ZIP DTAF для конкретного клиента.

    2. Импортируйте файлы DTAF в BroadWorks в меню Система > Ресурсы > Идентификаторы/Типы профилей устройств

    3. Откройте только что добавленный профиль устройства для редактирования и введите FQDN фермы XSP и протокол доступа к устройству.

    4. Измените шаблоны в соответствии с вашей средой (см. таблицу ниже).

    5. Сохраните профиль.

  4. Щелкните Файлы и аутентификация, а затем выберите операцию обновления всех системных файлов

Название

Описание

Приоритет кодека

Настройте порядок приоритета аудио- и видео кодеков для вызовов VoIP

TCP, UDP и TLS

Настройка протоколов, используемых для сигналов SIP и мультимедиа

Порты аудио и видео RTP

Настройка диапазонов портов для аудио и видео RTP

Параметры SIP

Настройте различные параметры, связанные с SIP (информация SIP, использование rport, обнаружение прокси-сервера SIP, обновление интервалов для регистрации и подписки и т. д.)

Настройка клиентов в Control Hub

Для клиентов настольных и мобильных приложений существуют раздельные конфигурации брендирования, поэтому при использовании обеих технологий необходимо повторить процесс брендирования:

  1. Войдите в Control Hub и перейдите к Настройки > Клиенты.

  2. Найдите раздела Брендированиена странице конфигурации клиента.

  3. Обновите логотип и цвет основной панели навигации. Чтобы получить более подробную информацию, см. Добавление фирменной марки компании в Webex.


На портале активации пользователей используется тот же логотип, который вы добавляете в фирменную марку клиента.

Настройка отчетов о проблемах и URL-адресов для справки

См. https://help.webex.com/n0cswhcb «Настройка фирменной марки и отчеты о проблемах для клиентов».

Настройка тестовой организации в Webex для BroadWorks

Подготовка к работе

Непрерывное обеспечение

Прежде чем выполнить эту задачу, необходимо настроить все службы XSP и организацию-партнера в Control Hub.

1

Назначение службы в BroadWorks.

  1. Создайте тестовую организацию в своем предприятии поставщика услуг в BroadWorks, либо создайте группу тестов для поставщика услуг (зависит от настройки BroadWorks).

  2. Настройте службу IM&P для этого предприятия, чтобы указать на шаблон, который вы тестируете (получите URL-адрес адаптера обеспечения и учетные данные из шаблона клиента в Control Hub).

  3. Создайте тестовых подписчиков в этой группе предприятия или группы.

  4. В поле электронной почты BroadWorks введите уникальные адреса электронной почты пользователей. Также скопируйте их в атрибут Alternate ID.

  5. Назначьте этим подписчикам интегрированную службу IM&P.


     

    Это активирует создание клиентской организации и первых пользователей, что занимает несколько минут. Подождите некоторое время, прежде чем войти с использованием новых данных пользователей.

2

Проверка клиентской организации и пользователей в Control Hub.

  1. Войдите в Control Hub с помощью своей учетной записи администратора-партнера.

  2. Перейдите в раздела Клиенты и убедитесь в том, что новая клиентская организация находится в списке (имя отвечает названию группы или названию предприятия в BroadWorks).

  3. Откройте клиентскую организацию и убедитесь в том, что подписчики являются пользователями в этой организации.

  4. Убедитесь в том, что первый абонент, которому вы назначили интегрированную службы IM&P, является администратором клиента этой организации.

Тестирование пользователей

1

Скачайте приложение Webex на двух разных машинах.

2

Войдите в качестве тестовых пользователей на двух машинах.

3

Осуществите тестовые вызовы.