Требования к совместному размещению

• Служба аутентификации должна быть совместно размещена с приложениями Xsi, поскольку эти интерфейсы должны принимать долгосрочные токены для авторизации службы. Для проверки этих токенов требуется служба аутентификации.

• При необходимости служба аутентификации и Xsi могут работать через один порт.

• Другие службы или приложения можно разделить по мере необходимости для масштабирования (например, XSP управления выделенными устройствами|ферма ADP).

• Можно установить совместное местоположение приложений Xsi, CTI, службы аутентификации и DMS.

• Не устанавливайте другие приложения или службы в ADP XSP|, которые используются для интеграции BroadWorks с Webex.

• Не размещайте приложение NPS совместно с другими приложениями.

Интерфейсы Xsi

Установите и настройте приложения Xsi-Actions и Xsi-Events, как описано в руководстве по настройке интерфейса Cisco BroadWorks Xtended Services.

В |ADP XSP, используемом для интерфейса CTI, должен быть развернут только один экземпляр приложений Xsi-Events.

Все Xsi-Events, используемые для интеграции Broadworks с Webex, должны иметь тот же callControlApplicationName, который определен в разделе Applications/Xsi-Events/GeneralSettings. Например:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> получить

callControlApplicationName = com.broadsoft.xsi-events

Когда пользователь подключается к Webex, Webex создает подписку для пользователя в AS, чтобы получать события телефонии, связанные с состоянием доступности и журналом вызовов. Подписка связана с callControlApplicationName и AS использует ее для того, чтобы узнать, на какой Xsi-Events отправлять события телефонии.

Настройка службы аутентификации (с проверкой маркера CI)

Эта процедура позволяет настроить службу аутентификации для использования проверки маркера CI с TLS. Этот метод аутентификации рекомендуется использовать при работе с версией R22 или более поздними версиями, если ваша система поддерживает его.

1. Получение учетных данных OAuth для Webex для Cisco BroadWorks.

2. Установите следующие исправления на каждом сервере XSP|ADP. Установите исправления, соответствующие вашей версии.

   • Для R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Для R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Для R24 – исправление не требуется

   Любая ссылка на XSP включает либо XSP, либо ADP.

3. Установите приложение AuthenticationService на каждую службу XSP|ADP.

   1. Запустите следующую команду, чтобы активировать приложение AuthenticationService в XSP|ADP к пути контекста /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> активирует службу аутентификации приложений 22.0_1.1123/authService

   2. Выполните эту команду, чтобы развернуть службу аутентификации в XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> разверните приложение /authServiceBroadWorks SW Manager, разверните /authService...

4. Начиная с сборки BroadWorks 2022.10 центры сертификации, поставляемые с Java, больше не будут автоматически добавлены в доверенное хранилище BroadWorks при переключении на новую версию Java. Служба аутентификации открывает соединение TLS с Webex для получения маркера доступа. Для проверки IDBroker и URL-адреса Webex в хранилище доверия должно присутствовать следующее:

   • IdenTrust Commercial Root CA 1

   • Go Daddy Root Certification Authority - G2;

   Убедитесь, что эти сертификаты присутствуют в следующем интерфейсе командной строки

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> получить

   Если нет, выполните следующую команду, чтобы импортировать сертификаты доверия Java по умолчанию:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Кроме того, можно вручную добавить эти сертификаты в качестве якорей доверия с помощью следующей команды:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Если ADP модернизирован с предыдущего выпуска, центры сертификации из старого выпуска автоматически импортируются в новый выпуск и будут продолжать импортироваться до тех пор, пока они не будут удалены вручную.

   Приложение AuthenticationService освобождается от настройки validatePeerIdentity в разделе ADP_CLI/System/SSLCommonSettings/GeneralSettings и всегда проверяет удостоверение однорангового узла. Дополнительную информацию об этой настройке см. в статье Cisco Broadworks X509 Certificate Validation FD .

5. Настройте поставщиков удостоверений, выполнив следующие команды на каждом сервере XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName : для URL введите URL IssuerName, который применяется к вашему кластеру CI. См. таблицу ниже.

   • set issuerUrl : для URL введите IssuerUrl, который применяется к вашему кластеру CI. См. таблицу ниже.

   • set tokenInfoUrl – введите URL-адрес прокси-сервера IdP, который применяется к вашему кластеру Teams. См. вторую таблицу ниже.

   Таблица 1. Установить issuerName и issuerURL

   Если кластер CI...	Установить issuerName и issuerURL в...
   США-A	https://idbroker.webex.com/idb
   Евросоюз	https://idbroker-eu.webex.com/idb
   США-B	https://idbroker-b-us.webex.com/idb
   Если вы не знаете свой кластер CI, можно получить информацию из сведений о клиенте в представлении службы технической поддержки Control Hub.

   Таблица 2. Задать токенInfoURL

   Если кластер Teams...	Установить для токенаInfoURL значение...(URL-адрес прокси-сервера IdP)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AFRA	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Если вы не знаете свой кластер Teams, можно получить информацию из сведений о клиенте в представлении службы технической поддержки Control Hub. Для тестирования можно проверить, является ли tokenInfoURL действительным, заменив часть URL-адреса "idp/authenticate" на "ping".

6. Укажите права Webex, которые должны присутствовать в профиле пользователя Webex, запустив следующую команду:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> задайте область broadworks-connector:user

7. Настройте поставщиков удостоверений для федерации Cisco с помощью следующих команд на каждом сервере XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • Установить flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • Настройка токена обновления refresh-Token-From-Step1

8. Для проверки работы конфигурации FLS выполните следующую команду. Эта команда повторно отобразит список поставщиков удостоверений:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Получить

9. Настройте управление маркерами с помощью следующих команд на каждом сервере ADP XSP|:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. Создайте ключи RSA и обеспечьте их совместное использование. Необходимо создать ключи на одном XSP|ADP, а затем скопировать их во все остальные|ADP XSP. Это обусловлено следующими факторами.

    • Для шифрования/дешифрования токенов во всех экземплярах службы аутентификации необходимо использовать те же пары открытых и закрытых ключей.

    • Пара ключей создается службой аутентификации при первой необходимости в выпуске токена.

    При циклическом изменении ключей или изменении длины ключа необходимо повторить приведенную ниже конфигурацию и перезапустить все XSP|ADP.

    1. Выберите один XSP|ADP для создания пары ключей.

    2. Используйте клиент для запроса зашифрованного токена от этого XSP|ADP путем запроса в браузере клиента следующего URL-адреса:

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

       (При этом в XSP|ADP создается пара закрытого или открытого ключей, если она еще не была создана)

    3. Местоположение хранения ключей не настраивается. Экспорт ключей:

       XSP|ADP_CLI/Applications/AuthenticationService/KeyManagement> exportKeys

    4. Скопируйте экспортированный файл /var/broadworks/tmp/authService.keys в то же местоположение на других XSP|ADP, при необходимости перезаписывая более старый файл .keys .

    5. Импортируйте ключи на каждом из других ADP XSP|.

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Укажите URL-адрес authService в веб-контейнере. Для проверки токенов веб-контейнеру ADP XSP|необходим URL-адрес authService. В каждом из XSP|ADP:

    1. Добавьте URL службы аутентификации в качестве внешней службы аутентификации для сервиса BroadWorks Communications.

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> задать URL-адрес http://127.0.0.1:80/authService

    2. Добавьте URL службы аутентификации в контейнер:

       XSP|ADP_CLI/Maintenance/ContainerOptions> добавить tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Это позволяет Webex использовать службу аутентификации для проверки токенов, предоставленных в качестве учетных данных.

    3. Проверьте параметр с помощью команды get.

    4. Перезапустите XSP|ADP.

Удаление требования аутентификации клиента для службы аутентификации (только R24)

Если для службы аутентификации настроена проверка маркера CI в R24, также необходимо удалить требование аутентификации клиента для службы аутентификации. Выполните следующую команду CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> задайте AuthenticationService clientAuthReq false

Настройка TLS и шифров на интерфейсах HTTP (для службы XSI и аутентификации)

Приложения службы аутентификации, Xsi-Actions и Xsi-Events используют интерфейсы HTTP-сервера. Уровни настройки TLS для этих приложений:

Более общий = Системный уровень > Транспортный уровень > HTTP > Интерфейс HTTP-сервера = более конкретный

Контексты CLI, которые используются для просмотра или изменения различных параметров SSL:

Чтение конфигурации интерфейса TLS HTTP-сервера в |ADP XSP

1. Войдите в XSP|ADP и перейдите к XSP|ADP_CLI/Interface/Http/HttpServer>

2. Введите команду get и просмотрите результаты. Вы должны увидеть интерфейсы (IP-адреса) и по каждому из них проверить их безопасность и необходимость аутентификации клиента.

Apache tomcat обеспечивает сертификат для каждого защищенного интерфейса; система создает самозаверяемый сертификат, если он необходим.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Добавление протокола TLS 1.2 в интерфейс HTTP-сервера

Интерфейс HTTP, взаимодействующий с облаком Webex, должен быть настроен для использования TLSv1.2. Облако не может быть согласовано с более ранними версиями протокола TLS.

Чтобы настроить протокол TLSv1.2 в интерфейсе HTTP-сервера:

1. Войдите в XSP|ADP и перейдите к XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Введите команду get 443 , чтобы узнать, какие протоколы уже используются в этом интерфейсе.

3. Введите команду add 443 TLSv1.2 , чтобы интерфейс мог использовать TLS 1.2 при взаимодействии с облаком.

Редактирование конфигурации шифров TLS в интерфейсе HTTP-сервера

Чтобы настроить необходимые шифры:

1. Войдите в XSP|ADP и перейдите к XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Введите команду get 443 , чтобы узнать, какие шифры уже используются в этом интерфейсе. Должен быть хотя бы один из рекомендованных наборов Cisco (см. xsp|Требования к идентификации и безопасности ADP в разделе «Обзор»).

3. Введите команду add 443 , чтобы добавить шифр в интерфейс HTTP-сервера.

   Для XSP|ADP CLI требуется имя стандартного пакета шифров IANA, а не имя пакета шифров openSSL. Например, для добавления в интерфейс HTTP-сервера шифра openSSL ECDHE-ECDSA-CHACHA20-POLY1305 необходимо использовать: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>добавить 192.0.2.7 443 TLS_ECDHE_ECDSA_С_CHACHA20_POLY1305

   См. https://ciphersuite.info/, чтобы провести набор по имени.

Настройка управления устройствами на XSP|ADP, сервере приложений и сервере профилей

Сервер профилей и XSP|ADP являются обязательными для управления устройствами. Они должны быть настроены в соответствии с инструкциями, приведенными в руководстве по настройке управления устройствами BroadWorks.