Nakonfigurujte služby vo svojom Webexe pre Cisco BroadWorks XSP|ADP

Vyžadujeme, aby bola aplikácia NPS spustená na inom XSP|ADP. Požiadavky na tento XSP|ADP sú popísané v časti Konfigurácia upozornení na hovory z vašej siete.

Na svojich XSP|ADP potrebujete nasledujúce aplikácie/služby.

Služba/Aplikácia

Vyžaduje sa overenie

Účel služby/aplikácie

Xsi-Udalosti

TLS (server sa autentifikuje voči klientom)

Ovládanie hovorov, servisné upozornenia

Xsi-Actions

TLS (server sa autentifikuje voči klientom)

Ovládanie hovorov, akcie

Správa zariadenia

TLS (server sa autentifikuje voči klientom)

Stiahnutie konfigurácie volania

Autentifikačná služba

TLS (server sa autentifikuje voči klientom)

Overenie používateľa

Integrácia počítačovej telefónie

mTLS (klient a server sa navzájom autentifikujú)

Telefonická prítomnosť

Nastavenia hovorov Aplikácia Webview

TLS (server sa autentifikuje voči klientom)

Odhaľuje nastavenia hovorov používateľov na portáli samoobsluhy v rámci aplikácie Webex

Táto časť popisuje, ako na tieto rozhrania použiť požadované konfigurácie pre TLS a mTLS, ale mali by ste si prečítať existujúcu dokumentáciu, aby ste nainštalovali aplikácie do svojich XSP|ADP.

Požiadavky na spolubydlisko

  • Autentifikačná služba musí byť spoločná s aplikáciami Xsi, pretože tieto rozhrania musia akceptovať tokeny s dlhou životnosťou na autorizáciu služby. Overovacia služba je potrebná na overenie týchto tokenov.

  • Autentifikačná služba a Xsi môžu v prípade potreby bežať na rovnakom porte.

  • Ostatné služby/aplikácie môžete oddeliť podľa potreby pre vašu váhu (napríklad farma pre správu zariadení XSP|ADP).

  • Aplikácie Xsi, CTI, Authentication Service a DMS môžete umiestniť spoločne.

  • Neinštalujte iné aplikácie ani služby na XSP|ADP, ktoré sa používajú na integráciu BroadWorks s Webex.

  • Neumiestňujte aplikáciu NPS spoločne so žiadnymi inými aplikáciami.

Rozhrania Xsi

Nainštalujte a nakonfigurujte aplikácie Xsi-Actions a Xsi-Events podľa popisu v Sprievodcovi konfiguráciou rozhrania Cisco BroadWorks Xtended Services.

Iba jedna inštancia aplikácií Xsi-Events by mala byť nasadená na XSP|ADP používanom pre rozhranie CTI.

Všetky udalosti Xsi používané na integráciu Broadworks s Webexom musia mať rovnaký názov callControlApplicationName definovaný v časti Applications/Xsi-Events/GeneralSettings. Napríklad:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> dostať

callControlApplicationName = com.broadsoft.xsi-udalosti

Keď je používateľ zaregistrovaný do Webex, Webex vytvorí predplatné pre používateľa na AS, aby mohol prijímať telefonické udalosti pre prítomnosť a históriu hovorov. Predplatné je spojené s názvom callControlApplicationName a AS ho používa na to, aby vedel, do ktorých Xsi-Events sa majú odoslať telefónne udalosti.

Zmena názvu callControlApplicationName alebo absencia rovnakého názvu vo všetkých webových aplikáciách Xsi-Events ovplyvní funkcie predplatného a telefonických udalostí.

Konfigurácia služby overenia totožnosti (s overením tokenu CI)

Tento postup použite na konfiguráciu Autentifikačnej služby na používanie overenia tokenov CI s TLS. Tento spôsob overenia sa odporúča, ak používate R22 alebo vyšší a váš systém ho podporuje.

Vzájomné TLS (mTLS) je tiež podporované ako alternatívna metóda autentifikácie pre Auth Service. Ak máte viacero organizácií Webex spustených na rovnakom serveri XSP|ADP, musíte použiť overenie mTLS, pretože overenie tokenov CI nepodporuje viaceré pripojenia k rovnakej službe XSP|ADP Auth Service.

Ak chcete namiesto overenia tokenu CI nakonfigurovať overenie mTLS pre službu Auth Service, pozrite si Prílohu pre Konfigurácia služieb (s mTLS pre službu Auth).

Ak v súčasnosti používate mTLS pre službu overovania, nie je povinné prekonfigurovať používanie overenia tokenov CI s TLS.

  1. Získanie poverení OAuth pre váš Webex for Cisco BroadWorks.

  2. Nainštalujte nasledujúce opravy na každý server XSP|ADP. Nainštalujte opravy, ktoré sú vhodné pre vaše vydanie:

    Akýkoľvek odkaz na XSP zahŕňa XSP alebo ADP.

  3. Nainštalujte aplikáciu AuthenticationService do každej služby XSP|ADP.

    1. Spustite nasledujúci príkaz na aktiváciu aplikácie AuthenticationService na XSP|ADP na kontextovú cestu /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> aktivácia aplikácie AuthenticationService 22.0_1.1123/authService

    2. Spustite tento príkaz na nasadenie AuthenticationService na XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> nasadenie aplikácie /authServiceBroadWorks SW Manager nasadzovanie /authService...

  4. Počnúc verziou Broadworks 2022.10 už nie sú certifikačné autority dodávané s jazykom Java automaticky zahrnuté do úložiska dôveryhodnosti BroadWorks pri prechode na novú verziu jazyka Java. AuthenticationService otvorí TLS pripojenie k Webexu, aby načítalo prístupový token a na overenie adresy URL IDBroker a Webex potrebuje mať vo svojom úložisku dôveryhodnosti nasledovné:

    • IdenTrust Commercial Root CA 1

    • Go Daddy Root Certificate Authority - G2

    Overte, či sa tieto certifikáty nachádzajú v nasledujúcom CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> dostať

    Ak nie je k dispozícii, spustite nasledujúci príkaz a importujte predvolené dôveryhodnosti Java:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    Prípadne môžete tieto certifikáty pridať manuálne ako dôveryhodné kotvy pomocou nasledujúceho príkazu:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Ak je ADP inovovaný z predchádzajúceho vydania, certifikačné autority zo starého vydania sa automaticky importujú do nového vydania a budú sa naďalej importovať, kým nebudú manuálne odstránené.

    Aplikácia AuthenticationService je vyňatá z nastavenia validatePeerIdentity v časti ADP_CLI/System/SSLCommonSettings/GeneralSettings a vždy overuje identitu partnera. Ďalšie informácie o tomto nastavení nájdete v dokumente Cisco Broadworks X509 Certificate Validation FD .

  5. Nakonfigurujte poskytovateľov identity spustením nasledujúcich príkazov na každom serveri XSP|ADP:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> získať

    • nastaviť clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • nastavte ciResponseBodyMaxSizeInBytes 65536

    • set issuerName – pre URL zadajte adresu URL IssuerName, ktorá sa vzťahuje na váš klaster CI. Pozri nasledujúcu tabuľku.

    • set issuerUrl – pre URL zadajte IssuerUrl, ktorá sa vzťahuje na váš klaster CI. Pozrite si nasledujúcu tabuľku.

    • set tokenInfoUrl – zadajte adresu URL proxy IdP, ktorá sa vzťahuje na váš klaster Teams. Pozrite si druhú tabuľku, ktorá nasleduje.

    Tabuľka č. 1 Nastavte meno vydavateľa a adresu URL vydavateľa
    Ak je CI Cluster...Nastaviť meno emitenta a adresu URL emitenta na...

    US-A

    https://idbroker.webex.com/idb

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    Ak nepoznáte svoj CI Cluster, informácie môžete získať z podrobností o zákazníkovi v zobrazení Help Desk v Control Hub.

    Tabuľka 2 Nastaviť tokenInfoURL
    Ak je Teams Cluster...Nastaviť tokenInfoURL na...(IdP proxy URL)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Ak nepoznáte svoj skupina Teams, informácie môžete získať z podrobností o zákazníkovi v zobrazení Help Desk v Control Hub.

    • Pri testovaní môžete overiť, či je tokenInfoURL platná, nahradením časti „idp/authenticate“ adresy URL „ping“.

  6. Zadajte oprávnenie Webex, ktoré sa musí nachádzať v užívateľskom profile vo Webexe spustením nasledujúceho príkazu:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> nastaviť rozsah broadworks-connector:user

  7. Nakonfigurujte poskytovateľov identity pre Cisco Federation pomocou nasledujúcich príkazov na každom serveri XSP|ADP:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> získať

    • nastaviť flsUrl https://cifls.webex.com/federation

    • nastaviť refreshPeriodInMinutes 60

    • nastaviť refreshToken refresh-Token-From-Step1

  8. Spustite nasledujúci príkaz, aby ste overili, že vaša konfigurácia FLS funguje. Tento príkaz vráti zoznam poskytovateľov identity:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Získať

  9. Nakonfigurujte správu tokenov pomocou nasledujúcich príkazov na každom serveri XSP|ADP:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • nastaviť tokenIssuer BroadWorks

    • nastaviť tokenDurationInHours 720

  10. Generujte a zdieľajte kľúče RSA. Kľúče musíte vygenerovať na jednom XSP|ADP a potom ich skopírovať do všetkých ostatných XSP|ADP. Je to spôsobené nasledujúcimi faktormi:

    • Na šifrovanie/dešifrovanie tokenov vo všetkých inštanciách autentifikačnej služby musíte použiť rovnaké páry verejných/súkromných kľúčov.

    • Pár kľúčov je vygenerovaný autentifikačnou službou, keď je prvýkrát požiadaný o vydanie tokenu.

    Ak striedate kľúče alebo meníte dĺžku kľúča, musíte zopakovať nasledujúcu konfiguráciu a reštartovať všetky XSP|ADP.

    1. Vyberte jeden XSP|ADP, ktorý chcete použiť na vygenerovanie páru kľúčov.

    2. Pomocou klienta požiadajte o zašifrovaný token z tohto XSP|ADP vyžiadaním nasledujúcej adresy URL z prehliadača klienta:

      https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

      (Tým sa vygeneruje pár súkromný/verejný kľúč na XSP|ADP, ak ešte taký neexistuje)

    3. Umiestnenie úložiska kľúčov nie je možné konfigurovať. Exportujte kľúče:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Skopírujte exportovaný súbor /var/broadworks/tmp/authService.keys do rovnakého umiestnenia v iných XSP|ADP, pričom v prípade potreby prepíšte starší súbor .keys .

    5. Importujte kľúče do každého z ostatných XSP|ADP:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Zadajte webovú adresu authService webového kontajnera. Webový kontajner XSP|ADP potrebuje adresu URL služby authService, aby mohol overiť tokeny. Na každom z XSP|ADP:

    1. Pridajte adresu URL autentifikačnej služby ako externú autentifikačnú službu pre BroadWorks Communications Utility:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> nastaviť adresu URL http://127.0.0.1:80/authService

    2. Pridajte adresu URL overovacej služby do kontajnera:

      XSP|ADP_CLI/Maintenance/ContainerOptions> pridať tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      To umožňuje Webexu používať Autentifikačnú službu na overenie tokenov prezentovaných ako poverenia.

    3. Skontrolujte parameter pomocou funkcie get.

    4. Reštartujte XSP|ADP.

Odstrániť požiadavku na overenie klienta pre službu overovania (len R24)

Ak máte službu autentifikácie nakonfigurovanú s overením tokenu CI na R24, musíte tiež odstrániť požiadavku na autentifikáciu klienta pre službu autentifikácie. Spustite nasledujúci príkaz CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> nastaviť AuthenticationService clientAuthReq false

Konfigurácia TLS a šifier na rozhraniach HTTP (pre XSI a službu overovania )

Aplikácie Authentication Service, Xsi-Actions a Xsi-Events používajú rozhrania HTTP servera. Úrovne konfigurovateľnosti TLS pre tieto aplikácie sú nasledovné:

Najvšeobecnejšie = Systém > Preprava > HTTP > Rozhranie servera HTTP = Najšpecifickejšie

Kontexty CLI, ktoré používate na zobrazenie alebo úpravu rôznych nastavení SSL, sú:

Špecifickosť kontext CLI
Systém (globálny)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Transportné protokoly pre tento systém

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP v tomto systéme

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Špecifické rozhrania servera HTTP v tomto systéme

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Čítanie konfigurácie rozhrania HTTP Server TLS na XSP|ADP

  1. Prihláste sa do XSP|ADP a prejdite na XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Zadajte príkaz získať a prečítajte si výsledky. Mali by ste vidieť rozhrania (IP adresy) a pre každé, či sú bezpečné a či vyžadujú autentifikáciu klienta.

Apache tomcat nariaďuje certifikát pre každé zabezpečené rozhranie; systém vygeneruje certifikát s vlastným podpisom, ak ho potrebuje.

XSP|ADP_CLI/Interface/Http/HttpServer> získať

Pridanie protokolu TLS 1.2 do rozhrania servera HTTP

Rozhranie HTTP, ktoré interaguje s Webex Cloud, musí byť nakonfigurované na TLSv1.2. Cloud nevyjednáva staršie verzie protokolu TLS.

Ak chcete nakonfigurovať protokol TLSv1.2 na rozhraní servera HTTP:

  1. Prihláste sa do XSP|ADP a prejdite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Ak chcete zistiť, ktoré protokoly sa v tomto rozhraní už používajú, zadajte príkaz get 443 .

  3. Zadajte príkaz add 443 TLSv1.2 , aby ste zabezpečili, že rozhranie môže používať TLS 1.2 pri komunikácii s cloudom.

Úprava konfigurácie šifier TLS na rozhraní servera HTTP

Ak chcete nakonfigurovať požadované šifry:

  1. Prihláste sa do XSP|ADP a prejdite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Zadajte príkaz get 443 a zistite, ktoré šifry sa už v tomto rozhraní používajú. Musí existovať aspoň jeden z balíkov odporúčaných spoločnosťou Cisco (pozrite si časť XSP|Požiadavky na identitu a zabezpečenie ADP v časti Prehľad).

  3. Zadajte príkaz add 443 na pridanie šifry do rozhrania servera HTTP.

    XSP|ADP CLI vyžaduje názov štandardnej šifrovacej sady IANA, nie názov šifrovacej sady openSSL. Napríklad na pridanie openSSL šifry ECDHE-ECDSA-CHACHA20-POLY1305 do rozhrania servera HTTP by ste použili: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>pridať 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20POLY1305_

    Pozrite si časť https://ciphersuite.info/ , kde nájdete súpravu podľa ľubovoľného názvu.

Nakonfigurujte správu zariadenia na XSP|ADP, aplikačnom serveri a profilovom serveri

Profilový server a XSP|ADP sú povinné pre správu zariadenia. Musia byť nakonfigurované podľa pokynov v Príručke konfigurácie správy zariadenia BroadWorks.