Požiadavky na spoločné bydlisko

• Autentifikačná služba musí byť ko-rezidentná s aplikáciami Xsi, pretože tieto rozhrania musia akceptovať dlhodobé tokeny na autorizáciu služby. Na overenie týchto tokenov je potrebná autentifikačná služba.

• Autentifikačná služba a Xsi môžu v prípade potreby bežať na rovnakom porte.

• Ostatné môžete oddeliť services/applications podľa požiadaviek vášho rozsahu (napríklad farma ADP|XSP pre správu vyhradených zariadení).

• Môžete spoločne umiestniť aplikácie Xsi, CTI, Authentication Service a DMS.

• Neinštalujte na ADP XSP|iné aplikácie ani služby, ktoré sa používajú na integráciu BroadWorks s Webexom.

• Neumiestňujte aplikáciu NPS spolu s inými aplikáciami.

Rozhrania Xsi

Nainštalujte a nakonfigurujte aplikácie Xsi-Actions a Xsi-Events podľa popisu v príručke konfigurácie rozhrania Cisco BroadWorks Xtended Services.

Na XSP|ADP používanom pre rozhranie CTI by mala byť nasadená iba jedna inštancia aplikácií Xsi-Events.

Všetky udalosti Xsi používané na integráciu Broadworks s Webexom musia mať rovnaký názov callControlApplicationName definovaný v Applications/Xsi-Events/GeneralSettings. Napríklad:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Keď sa používateľ zaregistruje do Webexu, Webex preňho vytvorí predplatné v AS, aby mohol prijímať telefonické udalosti týkajúce sa prítomnosti a histórie hovorov. Predplatné je priradené k názvu callControlApplicationName a AS ho používa na to, aby zistil, ktorým Xsi-Events má odosielať telefonické udalosti.

Konfigurácia overovacej služby (s overením tokenu CI)

Tento postup použite na konfiguráciu overovacej služby na používanie overovania tokenov CI s TLS. Táto metóda overovania sa odporúča, ak používate R22 alebo novší a váš systém ju podporuje.

1. Získanie prihlasovacích údajov OAuth pre váš Webex pre Cisco BroadWorks.

2. Nainštalujte nasledujúce záplaty na každý ADP server XSP|. Nainštalujte si záplaty, ktoré sú vhodné pre vašu verziu:

   • Pre R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Pre R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Pre R24 – nie je potrebná žiadna záplata

   Akýkoľvek odkaz na XSP zahŕňa buď XSP, alebo ADP.

3. Nainštalujte aplikáciu AuthenticationService na každú službu XSP|ADP.

   1. Spustite nasledujúci príkaz na aktiváciu aplikácie AuthenticationService na XSP|ADP pre /authService kontextová cesta.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Spustite tento príkaz na nasadenie služby AuthenticationService na serveri XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. Počnúc verziou Broadworks 2022.10 sa certifikačné autority, ktoré sú súčasťou Javy, už pri prechode na novú verziu Javy automaticky nezahŕňajú do úložiska dôveryhodných certifikátov Broadworks. Služba AuthenticationService otvorí pripojenie TLS k Webexu, aby načítala prístupový token, a na overenie adresy URL IDBroker a Webexu potrebuje mať vo svojom úložisku dôveryhodných údajov nasledujúce údaje:

   • IdenTrust Commercial Root CA 1

   • GoDaddy Root Certificate Authority – G2

   Overte, či sú tieto certifikáty prítomné v nasledujúcom rozhraní CLI

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Ak nie je k dispozícii, spustite nasledujúci príkaz na importovanie predvolených dôveryhodných vzťahov Java:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Prípadne môžete tieto certifikáty manuálne pridať ako dôveryhodné kotvy pomocou nasledujúceho príkazu:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Ak sa ADP aktualizuje z predchádzajúcej verzie, certifikačné autority zo starej verzie sa automaticky importujú do novej verzie a budú sa importovať, kým sa manuálne neodstránia.

   Aplikácia AuthenticationService je vyňatá z nastavenia validatePeerIdentity v rámci ADP_CLI/System/SSLCommonSettings/GeneralSettings, a vždy overuje identitu partnera. Viac informácií o tomto nastavení nájdete v dokumente Cisco Broadworks X509 Certificate Validation FD.

5. Nakonfigurujte poskytovateľov identít spustením nasledujúcich príkazov na každom serveri XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName – Do políčka URLzadajte URL adresu vydavateľa (IssuerName), ktorá sa vzťahuje na váš klaster CI. Pozri nasledujúcu tabuľku.

   • set issuerUrl – Do políčka URLzadajte adresu IssuerUrl, ktorá sa vzťahuje na váš klaster CI. Pozrite si nasledujúcu tabuľku.

   • set tokenInfoUrl —Zadajte URL adresu proxy IdP, ktorá sa vzťahuje na váš klaster Teams. Pozrite si druhú tabuľku, ktorá nasleduje.

   Tabuľka č. 1 Nastaviť názov vydavateľa a URL vydavateľa

   Ak je klaster CI...	Nastavte názov_vydavateľa a URL_vydavateľa na...
   USA-A	https://idbroker.webex.com/idb
   EÚ	https://idbroker-eu.webex.com/idb
   US-B	https://idbroker-b-us.webex.com/idb
   Ak nepoznáte svoj CI klaster, môžete získať informácie z údajov o zákazníkovi v zobrazení Help Desk v aplikácii Control Hub.

   Tabuľka 2. Nastaviť URL s informáciami o tokene

   Ak je klaster Teams...	Nastaviť tokenInfoURL na... (URL proxy servera IdP)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AFRA	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Ak nepoznáte svoj klaster Teams, môžete získať informácie z údajov o zákazníkovi v zobrazení Help Desk v aplikácii Control Hub. Na testovanie môžete overiť platnosť adresy tokenInfoURL nahradením časti „idp/authenticate“ adresy URL za „ping“.

6. Spustením nasledujúceho príkazu zadajte oprávnenie Webex, ktoré musí byť prítomné v používateľskom profile vo Webexe:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Nakonfigurujte poskytovateľov identít pre Cisco Federation pomocou nasledujúcich príkazov na každom serveri XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Spustite nasledujúci príkaz na overenie funkčnosti konfigurácie FLS. Tento príkaz vráti zoznam poskytovateľov identity:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Nakonfigurujte správu tokenov pomocou nasledujúcich príkazov na každom serveri XSP|ADP:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. Generovanie a zdieľanie RSA kľúčov. Musíte vygenerovať kľúče na jednom XSP|ADP a potom ich skopírovať do všetkých ostatných XSP|ADP. Je to spôsobené nasledujúcimi faktormi:

    • Musíte použiť to isté public/private páry kľúčov pre token encryption/decryption vo všetkých inštanciách autentifikačnej služby.

    • Pár kľúčov generuje autentifikačná služba, keď je prvýkrát potrebné vydať token.

    Ak cyklicky menite kľúče alebo zmeníte dĺžku kľúča, musíte zopakovať nasledujúcu konfiguráciu a reštartovať všetky ADP XSP|.

    1. Vyberte jeden XSP|ADP, ktorý sa má použiť na generovanie páru kľúčov.

    2. Použite klienta na vyžiadanie šifrovaného tokenu z daného XSP|ADP vyžiadaním nasledujúcej URL adresy z prehliadača klienta:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Týmto sa vygeneruje súkromný / pár verejných kľúčov na XSP|ADP, ak už taký nebol)

    3. Umiestnenie úložiska kľúčov nie je konfigurovateľné. Exportovať kľúče:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Skopírujte exportovaný súbor /var/broadworks/tmp/authService.keys na rovnaké miesto na ostatných XSP|ADP a v prípade potreby prepíšte starší súbor .keys.

    5. Importujte kľúče na každom z ostatných XSP|ADP:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Poskytnite webovému kontajneru URL adresu služby authService. Webový kontajner XSP|ADP potrebuje URL adresu authService, aby mohol overovať tokeny. Na každom z XSP|ADP:

    1. Pridajte URL adresu overovacej služby ako externú overovaciu službu pre nástroj BroadWorks Communications Utility:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Pridajte URL adresu overovacej služby do kontajnera:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Vďaka tomu môže Webex používať autentifikačnú službu na overovanie tokenov predložených ako poverenia.

    3. Skontrolujte parameter pomocou get.

    4. Reštartujte XSP|ADP.

Odstránenie požiadavky na overenie klienta pre službu overenia (iba R24)

Ak máte na R24 nakonfigurovanú overovaciu službu s overovaním tokenu CI, musíte pre overovaciu službu odstrániť aj požiadavku na overenie klienta. Spustite nasledujúci príkaz rozhrania príkazového riadka:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Konfigurácia TLS a šifier na rozhraniach HTTP (pre XSI a autentifikačnú službu)

Aplikácie Authentication Service, Xsi-Actions a Xsi-Events používajú rozhrania HTTP servera. Úrovne konfigurovateľnosti TLS pre tieto aplikácie sú nasledovné:

Najvšeobecnejšie = Systém > Doprava > HTTP > Rozhranie HTTP servera = Najšpecifickejšie

Kontexty rozhrania príkazového riadka, ktoré používate na zobrazenie alebo úpravu rôznych nastavení SSL, sú:

Čítanie konfigurácie rozhrania TLS HTTP servera na XSP|ADP

1. Prihláste sa do XSP|ADP a prejdite na XSP|ADP_CLI/Interface/Http/HttpServer>

2. Zadajte príkaz get a prečítajte si výsledky. Mali by ste vidieť rozhrania (IP adresy) a pre každé z nich, či sú zabezpečené a či vyžadujú autentifikáciu klienta.

Apache Tomcat vyžaduje certifikát pre každé zabezpečené rozhranie; systém vygeneruje certifikát s vlastným podpisom, ak ho potrebuje.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Pridanie protokolu TLS 1.2 do rozhrania HTTP servera

Rozhranie HTTP, ktoré interaguje s Webex Cloud, musí byť nakonfigurované pre TLSv1.2. Cloud nevyjednáva staršie verzie protokolu TLS.

Ak chcete nakonfigurovať protokol TLSv1.2 na rozhraní HTTP servera:

1. Prihláste sa do XSP|ADP a prejdite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Zadajte príkaz get 443 a zistite, ktoré protokoly sa už na tomto rozhraní používajú.

3. Zadajte príkaz add 443 TLSv1.2, aby ste zabezpečili, že rozhranie môže pri komunikácii s cloudom používať TLS 1.2.

Úprava konfigurácie šifier TLS na rozhraní HTTP servera

Ak chcete nakonfigurovať požadované šifry:

1. Prihláste sa do XSP|ADP a prejdite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Zadajte príkaz get 443 a zistite, ktoré šifry sa už na tomto rozhraní používajú. Musí existovať aspoň jeden z odporúčaných balíkov spoločnosti Cisco (pozri XSP|Požiadavky na identitu a zabezpečenie ADP v časti Prehľad).

3. Zadajte príkaz add 443 na pridanie šifry do rozhrania HTTP servera.

   Rozhranie príkazového riadka XSP|ADP vyžaduje štandardný názov šifrovacej sady IANA, nie názov šifrovacej sady openSSL. Napríklad, ak chcete do rozhrania HTTP servera pridať šifru openSSL ECDHE-ECDSA-CHACHA20-POLY1305, použijete: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Ak chcete nájsť apartmán podľa ktoréhokoľvek z názvov, pozrite si https://ciphersuite.info/.

Konfigurácia správy zariadení na XSP|ADP, aplikačnom serveri a profilovom serveri

Profilový server a XSP|ADP sú povinné pre správu zariadení. Musia byť nakonfigurované podľa pokynov v Sprievodcovi konfiguráciou správy zariadení BroadWorks.