Требования к совместному размещению

• Служба аутентификации должна быть совместно размещена с приложениями Xsi, поскольку эти интерфейсы должны принимать долгосрочные токены для авторизации службы. Для проверки этих токенов требуется служба аутентификации.

• При необходимости служба аутентификации и Xsi могут работать через один порт.

• Вы можете отделить другого services/applications в соответствии с вашим масштабом (например, выделенное устройство управления XSP|ADP-фермой).

• Можно установить совместное местоположение приложений Xsi, CTI, службы аутентификации и DMS.

• Не устанавливайте другие приложения или службы на XSP|ADP, которые используются для интеграции BroadWorks с Webex.

• Не размещайте приложение NPS совместно с другими приложениями.

Интерфейсы Xsi

Установите и настройте приложения Xsi-Actions и Xsi-Events, как описано в руководстве по настройке интерфейса Cisco BroadWorks Xtended Services.

Только один экземпляр приложений Xsi-Events должен быть развернут на XSP|ADP, используемом для интерфейса CTI.

Все события Xsi, используемые для интеграции Broadworks с Webex, должны иметь одинаковое значение callControlApplicationName, определенное в Applications/Xsi-Events/GeneralSettings. Пример.

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Когда пользователь подключается к Webex, Webex создает для него подписку на AS, чтобы получать события телефонии для присутствия и истории вызовов. Подписка связана с callControlApplicationName, и AS использует ее, чтобы узнать, каким Xsi-Events отправлять события телефонии.

Настройка службы аутентификации (с проверкой маркера CI)

Эта процедура позволяет настроить службу аутентификации для использования проверки маркера CI с TLS. Этот метод аутентификации рекомендуется использовать при работе с версией R22 или более поздними версиями, если ваша система поддерживает его.

1. Получение учетных данных OAuth для вашего Webex для Cisco BroadWorks.

2. Установите следующие исправления на каждый сервер XSP|ADP. Установите исправления, соответствующие вашей версии.

   • Для R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Для R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Для R24 – исправление не требуется

   Любая ссылка на XSP включает в себя как XSP, так и ADP.

3. Установите приложение AuthenticationService на каждую службу XSP|ADP.

   1. Выполните следующую команду, чтобы активировать приложение AuthenticationService на XSP|ADP для /authService контекстный путь.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Выполните эту команду для развертывания AuthenticationService на XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. Начиная с версии Broadworks 2022.10, центры сертификации, поставляемые с Java, больше не включаются автоматически в хранилище доверенных сертификатов BroadWorks при переходе на новую версию Java. Служба аутентификации открывает TLS-соединение с Webex для получения токена доступа и должна иметь в своем хранилище доверенных сертификатов следующее для проверки URL-адреса IDBroker и Webex:

   • IdenTrust Commercial Root CA 1

   • Go Daddy Root Certification Authority - G2;

   Проверьте наличие этих сертификатов в следующем CLI

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Если они отсутствуют, выполните следующую команду для импорта трастов Java по умолчанию:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Кроме того, вы можете вручную добавить эти сертификаты в качестве якорей доверия с помощью следующей команды:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Если ADP обновляется с предыдущей версии, то центры сертификации из старой версии автоматически импортируются в новую версию и будут продолжать импортироваться до тех пор, пока не будут удалены вручную.

   Приложение AuthenticationService освобождено от настройки validatePeerIdentity в ADP_CLI/System/SSLCommonSettings/GeneralSettings, и всегда проверяет подлинность однорангового узла. Дополнительные сведения об этом параметре см. в документе Проверка сертификата Cisco Broadworks X509 FD .

5. Настройте поставщиков удостоверений, выполнив следующие команды на каждом сервере XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName — Для URLвведите URL-адрес IssuerName, который применяется к вашему кластеру CI. См. следующую таблицу.

   • set issuerUrl — Для URLвведите IssuerUrl, который применяется к вашему кластеру CI. См. следующую таблицу.

   • set tokenInfoUrl Введите URL-адрес прокси IdP, который относится к вашему кластеру Webex. См. вторую таблицу ниже.

   Таблица 1. Задайте имя эмитента и URL эмитента

   Если кластер CI...	Установите issuerName и issuerURL на...
   США-A	https://idbroker.webex.com/idb
   Евросоюз	https://idbroker-eu.webex.com/idb
   США-B	https://idbroker-b-us.webex.com/idb
   Если вы не знаете свой кластер CI, вы можете получить информацию из сведений о клиенте в представлении Help Desk в Control Hub.

   Таблица 2. Установить tokenInfoURL

   Если кластер Teams...	Установить tokenInfoURL на...(URL-адрес прокси-сервера IdP)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AFRA	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Если вы не знаете свой кластер команд, вы можете получить информацию из сведений о клиенте в представлении службы поддержки Control Hub. Для тестирования вы можете проверить корректность tokenInfoURL, заменив часть URL-адреса «idp/authenticate» на «ping».

6. Укажите права Webex, которые должны присутствовать в профиле пользователя Webex, запустив следующую команду:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Настройте поставщиков удостоверений для Cisco Federation с помощью следующих команд на каждом сервере XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Для проверки работы конфигурации FLS выполните следующую команду. Эта команда повторно отобразит список поставщиков удостоверений:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Настройте управление токенами с помощью следующих команд на каждом сервере XSP|ADP:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. Создайте ключи RSA и обеспечьте их совместное использование. Вам необходимо сгенерировать ключи на одном XSP|ADP, а затем скопировать их на все остальные XSP|ADP. Это обусловлено следующими факторами.

    • Для шифрования/дешифрования токенов во всех экземплярах службы аутентификации необходимо использовать те же пары открытых и закрытых ключей.

    • Пара ключей создается службой аутентификации при первой необходимости в выпуске токена.

    Если вы циклически переключаете ключи или меняете длину ключа, вам необходимо повторить следующую конфигурацию и перезапустить все XSP|ADP.

    1. Выберите один XSP|ADP, который будет использоваться для генерации пары ключей.

    2. Используйте клиент для запроса зашифрованного токена из XSP|ADP, запросив следующий URL-адрес из браузера клиента:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Это создает частный / пара открытых ключей на XSP|ADP, если ее еще нет)

    3. Местоположение хранения ключей не настраивается. Экспорт ключей:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Скопируйте экспортированный файл /var/broadworks/tmp/authService.keys в то же место на других XSP|ADP, при необходимости перезаписав старый файл .keys.

    5. Импортируйте ключи на каждый из остальных XSP|ADP:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Укажите URL-адрес authService в веб-контейнере. Веб-контейнеру XSP|ADP необходим URL-адрес authService для проверки токенов. На каждом из XSP|ADP:

    1. Добавьте URL службы аутентификации в качестве внешней службы аутентификации для сервиса BroadWorks Communications.

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Добавьте URL службы аутентификации в контейнер:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Это позволяет Webex использовать службу аутентификации для проверки токенов, предоставленных в качестве учетных данных.

    3. Проверьте параметр с помощью get.

    4. Перезапустите XSP|ADP.

Удаление требования аутентификации клиента для службы аутентификации (только R24)

Если для службы аутентификации настроена проверка маркера CI в R24, также необходимо удалить требование аутентификации клиента для службы аутентификации. Выполните следующую команду CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Настройка TLS и шифров на интерфейсах HTTP (для службы XSI и аутентификации)

Приложения службы аутентификации, Xsi-Actions и Xsi-Events используют интерфейсы HTTP-сервера. Уровни настройки TLS для этих приложений:

Более общий = Системный уровень > Транспортный уровень > HTTP > Интерфейс HTTP-сервера = более конкретный

Контексты CLI, которые используются для просмотра или изменения различных параметров SSL:

Чтение конфигурации интерфейса TLS HTTP-сервера на XSP|ADP

1. Войдите в XSP|ADP и перейдите в XSP|ADP_CLI/Interface/Http/HttpServer>

2. Введите команду get и прочитайте результаты. Вы должны увидеть интерфейсы (IP-адреса) и по каждому из них проверить их безопасность и необходимость аутентификации клиента.

Apache tomcat обеспечивает сертификат для каждого защищенного интерфейса; система создает самозаверяемый сертификат, если он необходим.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Добавление протокола TLS 1.2 в интерфейс HTTP-сервера

Интерфейс HTTP, взаимодействующий с облаком Webex, должен быть настроен для использования TLSv1.2. Облако не может быть согласовано с более ранними версиями протокола TLS.

Чтобы настроить протокол TLSv1.2 в интерфейсе HTTP-сервера:

1. Войдите в XSP|ADP и перейдите в XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Введите команду get 443, чтобы увидеть, какие протоколы уже используются на этом интерфейсе.

3. Введите команду add 443 TLSv1.2, чтобы убедиться, что интерфейс может использовать TLS 1.2 при взаимодействии с облаком.

Редактирование конфигурации шифров TLS в интерфейсе HTTP-сервера

Чтобы настроить необходимые шифры:

1. Войдите в XSP|ADP и перейдите в XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Введите команду get 443, чтобы увидеть, какие шифры уже используются на этом интерфейсе. Должен быть хотя бы один из рекомендуемых Cisco наборов (см. XSP|Требования к идентификации и безопасности ADP в разделе «Обзор»).

3. Введите команду add 443 , чтобы добавить шифр к интерфейсу HTTP-сервера.

   Для XSP|ADP CLI требуется имя стандартного набора шифров IANA, а не имя набора шифров openSSL. Например, чтобы добавить шифр openSSL ECDHE-ECDSA-CHACHA20-POLY1305 к интерфейсу HTTP-сервера, вы должны использовать: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   См. https://ciphersuite.info/, чтобы провести набор по имени.

Настройка управления устройствами на XSP|ADP, сервере приложений и сервере профилей

Profile Server и XSP|ADP являются обязательными для управления устройствами. Они должны быть настроены в соответствии с инструкциями, приведенными в руководстве по настройке управления устройствами BroadWorks.