Konfigurirajte storitve v storitvi Webex za Cisco BroadWorks XSP|ADP-ji

Zahtevamo, da se aplikacija NPS izvaja na drugem XSP|ADP. Zahteve za ta XSP|ADP so opisane v Konfiguracija obvestil o klicih iz vašega omrežja.

Potrebujete naslednje aplikacije / storitve na vaših XSP|ADP-jih.

Service/Application

Zahtevana je avtentikacija

Service/application namen

Xsi-Dogodki

TLS (strežnik se overi pred odjemalci)

Nadzor klicev, obvestila o storitvah

Xsi-Dejanja

TLS (strežnik se overi pred odjemalci)

Nadzor klicev, dejanja

Upravljanje naprav

TLS (strežnik se overi pred odjemalci)

Prenos konfiguracije klica

Storitev preverjanja pristnosti

TLS (strežnik se overi pred odjemalci)

Avtentikacija uporabnika

Integracija računalniške telefonije

mTLS (odjemalec in strežnik se medsebojno overjata)

Prisotnost telefonije

Nastavitve klicev Aplikacija Webview

TLS (strežnik se overi pred odjemalci)

Prikaže nastavitve klicev uporabnika na portalu za samopomoč v aplikaciji Webex

V tem razdelku je opisano, kako uporabiti zahtevane konfiguracije za TLS in mTLS na teh vmesnikih, vendar se morate za namestitev aplikacij na vaše XSP|ADP-je sklicevati na obstoječo dokumentacijo.

Zahteve za sočasno bivanje

  • Storitev za preverjanje pristnosti mora sočasno delovati z aplikacijami Xsi, ker morajo ti vmesniki sprejemati dolgoživne žetone za avtorizacijo storitve. Za potrditev teh žetonov je potrebna storitev preverjanja pristnosti.

  • Storitev za preverjanje pristnosti in Xsi se lahko po potrebi izvajata na istih vratih.

  • Drugega lahko ločite services/applications kot je potrebno za vašo lestvico (na primer namensko upravljanje naprav XSP|ADP farma).

  • Aplikacije Xsi, CTI, Authentication Service in DMS lahko postavite na isto lokacijo.

  • Na ADP-je XSP|, ki se uporabljajo za integracijo BroadWorksa z Webexom, ne nameščajte drugih aplikacij ali storitev.

  • Aplikacije NPS ne uporabljajte skupaj z drugimi aplikacijami.

Vmesniki Xsi

Namestite in konfigurirajte aplikaciji Xsi-Actions in Xsi-Events, kot je opisano v Vodniku za konfiguracijo vmesnika Cisco BroadWorks Xtended Services.

Na XSP|ADP, ki se uporablja za vmesnik CTI, naj bo nameščen samo en primerek aplikacij Xsi-Events.

Vsi dogodki Xsi, ki se uporabljajo za integracijo Broadworksa z Webexom, morajo imeti v razdelku definirano isto lastnost callControlApplicationName. Applications/Xsi-Events/GeneralSettings. Na primer:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Ko se uporabnik prijavi v Webex, Webex zanj ustvari naročnino v AS, da lahko prejema telefonske dogodke za prisotnost in zgodovino klicev. Naročnina je povezana z imenom callControlApplicationName in AS jo uporablja za ugotavljanje, katerim Xsi-Eventom poslati telefonske dogodke.

Spreminjanje imena callControlApplicationName ali če ime ni enako v vseh spletnih aplikacijah Xsi-Events, bo to vplivalo na naročnine in funkcionalnost dogodkov telefonije.

Konfiguracija storitve preverjanja pristnosti (s preverjanjem veljavnosti žetona CI)

S tem postopkom konfigurirajte storitev preverjanja pristnosti za uporabo preverjanja veljavnosti žetonov CI s TLS. Ta metoda preverjanja pristnosti je priporočljiva, če uporabljate R22 ali novejši in vaš sistem to podpira.

Vzajemni TLS (mTLS) je podprt tudi kot alternativna metoda preverjanja pristnosti za storitev Auth. Če imate več organizacij Webex, ki uporabljajo isti strežnik XSP|ADP, morate uporabiti preverjanje pristnosti mTLS, ker preverjanje CI žetonov ne podpira več povezav z isto storitvijo preverjanja pristnosti XSP|ADP.

Če želite konfigurirati preverjanje pristnosti mTLS za storitev preverjanja pristnosti namesto preverjanja žetonov CI, glejte Dodatek za Konfiguriranje storitev (z mTLS za storitev preverjanja pristnosti).

Če trenutno uporabljate mTLS za storitev preverjanja pristnosti, ni obvezno, da ponovno konfigurirate storitev za uporabo preverjanja žetonov CI s TLS.

  1. Pridobivanje poverilnic OAuth za vaš Webex za Cisco BroadWorks.

  2. Na vsak strežnik XSP|ADP namestite naslednje popravke. Namestite popravke, ki ustrezajo vaši izdaji:

    Vsaka omemba XSP vključuje bodisi XSP bodisi ADP.

  3. Namestite aplikacijo AuthenticationService na vsako storitev XSP|ADP.

    1. Za aktivacijo aplikacije AuthenticationService na XSP|ADP za /authService kontekstna pot.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

    2. Za namestitev storitve AuthenticationService na strežnik XSP|ADP zaženite ta ukaz:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

  4. Od različice Broadworks 2022.10 naprej overitelji potrdil, ki so vključeni v Javo, niso več samodejno vključeni v shrambo zaupanja Broadworks ob prehodu na novo različico Jave. Storitev AuthenticationService odpre povezavo TLS z Webexom, da pridobi dostopni žeton, in mora imeti v svojem skladišču zaupanja naslednje za potrditev URL-ja IDBrokerja in Webexa:

    • IdenTrust Commercial Root CA 1

    • GoDaddy korenski overitelj potrdil – G2

    Preverite, ali so ta potrdila prisotna v naslednjem CLI-ju

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

    Če ni prisoten, za uvoz privzetih zaupanj Java zaženite naslednji ukaz:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    Lahko pa te certifikate ročno dodate kot sidra zaupanja z naslednjim ukazom:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Če je ADP nadgrajen iz prejšnje izdaje, se overitelji potrdil iz stare izdaje samodejno uvozijo v novo izdajo in se bodo uvažali, dokler jih ročno ne odstranite.

    Aplikacija AuthenticationService je izvzeta iz nastavitve validatePeerIdentity v ADP_CLI/System/SSLCommonSettings/GeneralSettings, in vedno potrdi identiteto vrstnika. Za več informacij o tej nastavitvi glejte Cisco Broadworks X509 Certificate Validation FD.

  5. Ponudnike identitet konfigurirajte tako, da na vsakem strežniku XSP|ADP zaženete naslednje ukaze:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName – Za URLvnesite URL izdajatelja (IssuerName), ki velja za vašo gručo CI. Glejte naslednjo tabelo.

    • set issuerUrl – Za URLvnesite IssuerUrl, ki velja za vašo gručo CI. Glejte naslednjo tabelo.

    • set tokenInfoUrl – Vnesite URL proxyja IdP, ki velja za vašo gručo Teams. Glejte drugo tabelo, ki sledi.

    Tabela 1. Nastavi ime izdavatelja in URL izdavatelja
    Če je gruča CI ...Nastavite ime izdavatelja in URL izdavatelja na ...

    ZDA-A

    https://idbroker.webex.com/idb

    EU

    https://idbroker-eu.webex.com/idb

    ZDA-B

    https://idbroker-b-us.webex.com/idb

    Če ne poznate svoje gruče CI, lahko te podatke dobite v podrobnostih o stranki v pogledu službe za pomoč uporabnikom v Control Hub.

    Tabela 2. Nastavi URL z informacijami o žetonu
    Če je gruča Teams ...Nastavi tokenInfoURL na ... (URL proxyja IdP)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Če ne poznate svoje skupine Teams, lahko te podatke dobite v podrobnostih o stranki v pogledu službe za pomoč uporabnikom v Control Hub.

    • Za testiranje lahko preverite, ali je tokenInfoURL veljaven, tako da del URL-ja »idp/authenticate« zamenjate z »ping«.

  6. Določite upravičenje Webex, ki mora biti prisotno v uporabniškem profilu v Webexu, tako da zaženete naslednji ukaz:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  7. Konfigurirajte ponudnike identitete za Cisco Federation z uporabo naslednjih ukazov na vsakem strežniku XSP|ADP:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken refresh-Token-From-Step1

  8. Za preverjanje delovanja konfiguracije FLS zaženite naslednji ukaz. Ta ukaz bo vrnil seznam ponudnikov identitete:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. Konfigurirajte upravljanje žetonov z naslednjimi ukazi na vsakem strežniku XSP|ADP:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. Generiranje in skupna raba ključev RSA. Ključe morate ustvariti na enem XSP|ADP-ju in jih nato kopirati na vse ostale XSP|ADP-je. To je posledica naslednjih dejavnikov:

    • Uporabiti morate isto public/private pari ključev za žeton encryption/decryption v vseh primerih storitve preverjanja pristnosti.

    • Par ključev ustvari storitev za preverjanje pristnosti, ko je prvič potrebna izdaja žetona.

    Če ciklično menjate ključe ali spreminjate dolžino ključa, morate ponoviti naslednjo konfiguracijo in znova zagnati vse ADP-je XSP|.

    1. Izberite en XSP|ADP, ki ga želite uporabiti za generiranje para ključev.

    2. Z odjemalcem zahtevajte šifriran žeton od tega XSP|ADP tako, da iz brskalnika odjemalca zahtevate naslednji URL:

      https:///authService/token?key=BASE64URL(clientPublicKey)

      (To ustvari zasebno / par javnih ključev na XSP|ADP, če ga še ni bilo)

    3. Lokacije shrambe ključev ni mogoče konfigurirati. Izvozi ključe:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Izvoženo datoteko /var/broadworks/tmp/authService.keys kopirajte na isto mesto na drugih XSP|ADP-jih in po potrebi prepišite starejšo .keys datoteko.

    5. Uvozite ključe na vsakem od ostalih XSP|ADP-jev:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Spletnemu vsebniku navedite URL storitve authService. Spletni vsebnik XSP|ADP potrebuje URL authService, da lahko preveri žetone. Na vsakem od ADP-jev XSP|:

    1. Dodajte URL storitve za preverjanje pristnosti kot zunanjo storitev za preverjanje pristnosti za orodje BroadWorks Communications Utility:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. V vsebnik dodajte URL storitve za preverjanje pristnosti:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      To omogoča Webexu, da s storitvijo za preverjanje pristnosti preveri žetone, predstavljene kot poverilnice.

    3. Preverite parameter z get.

    4. Znova zaženite XSP|ADP.

Odstranitev zahteve za preverjanje pristnosti odjemalca za storitev preverjanja pristnosti (samo R24)

Če imate storitev preverjanja pristnosti konfigurirano s preverjanjem veljavnosti žetona CI na R24, morate odstraniti tudi zahtevo za preverjanje pristnosti odjemalca za storitev preverjanja pristnosti. Zaženite naslednji ukaz CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Konfiguriranje TLS in šifer na vmesnikih HTTP (za XSI in storitev preverjanja pristnosti)

Aplikacije Authentication Service, Xsi-Actions in Xsi-Events uporabljajo vmesnike strežnika HTTP. Stopnje konfiguracije TLS za te aplikacije so naslednje:

Najbolj splošno = Sistem > Prevoz > HTTP > Vmesnik strežnika HTTP = Najbolj specifično

Konteksti CLI, ki jih uporabljate za ogled ali spreminjanje različnih nastavitev SSL, so:

Specifičnost Kontekst ukazne vrstice (CLI)
Sistem (globalno)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Transportni protokoli za ta sistem

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP v tem sistemu

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Specifični vmesniki strežnika HTTP v tem sistemu

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Branje konfiguracije vmesnika TLS strežnika HTTP na XSP|ADP

  1. Prijavite se v XSP|ADP in pojdite na XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Vnesite ukaz get in preberite rezultate. Videti morate vmesnike (IP-naslove) in za vsakega od njih, ali so varni in ali zahtevajo preverjanje pristnosti odjemalca.

Apache tomcat zahteva potrdilo za vsak varni vmesnik; sistem ustvari samopodpisano potrdilo, če ga potrebuje.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Rezultati, prikazani po vnosu ukaza get, prikazujejo vmesnike (IP-naslove) in za vsak vmesnik, ali so varni in ali zahtevajo preverjanje pristnosti odjemalca.

Dodajanje protokola TLS 1.2 vmesniku strežnika HTTP

Vmesnik HTTP, ki komunicira z Webex Cloudom, mora biti konfiguriran za TLSv1.2. Oblak ne pogaja o starejših različicah protokola TLS.

Če želite konfigurirati protokol TLSv1.2 na vmesniku strežnika HTTP:

  1. Prijavite se v XSP|ADP in pojdite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Vnesite ukaz get 443, da vidite, kateri protokoli se že uporabljajo na tem vmesniku.

  3. Vnesite ukaz add 443 TLSv1.2, da zagotovite, da lahko vmesnik pri komunikaciji z oblakom uporablja TLS 1.2.

Urejanje konfiguracije šifer TLS na vmesniku strežnika HTTP

Za konfiguracijo zahtevanih šifer:

  1. Prijavite se v XSP|ADP in pojdite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Vnesite ukaz get 443, da vidite, katere šifre se že uporabljajo na tem vmesniku. Prisoten mora biti vsaj eden iz Cisco priporočenih paketov (glejte XSP|Zahteve za identiteto in varnost ADP v razdelku Pregled).

  3. Vnesite ukaz add 443 , da dodate šifro v vmesnik strežnika HTTP.

    CLI XSP|ADP zahteva ime standardnega paketa šifer IANA, ne imena paketa šifer openSSL. Na primer, če želite v vmesnik strežnika HTTP dodati šifro openSSL ECDHE-ECDSA-CHACHA20-POLY1305, bi uporabili: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Za iskanje apartmaja po katerem koli imenu glejte https://ciphersuite.info/.

Konfigurirajte upravljanje naprav na XSP|ADP, aplikacijski strežnik in strežnik profilov

Profilni strežnik in XSP|ADP sta obvezna za upravljanje naprav. Konfigurirati jih je treba v skladu z navodili v Priročniku za konfiguracijo upravljanja naprav BroadWorks.