Pregled proxy servera NPS potvrde identiteta


Ovaj članak opisuje kako se deljeni NPS konfiguriše tako da koristi proxy server za potvrdu identiteta NPS, tako da se može koristiti i za guranje obaveštenja o pozivima u Webex aplikacije. Ako NPS ne podržava druge aplikacije, možete da sledite pojednostavljenu proceduru u Webex vodiču za BroadWorks https://help.webex.com/z9gt5j.

Pregled proxy servera NPS

Da biste bili kompatibilni sa Webex-om za BroadWorks, NPS mora biti zakrpljen da bi podržao NPS proxy funkciju, Push Server za VoIP u UCaaS-u.

Funkcija primenjuje novi dizajn u serveru za guranje obaveštenja da bi rešila bezbednosnu ranjivost deljenja potvrde o guranju privatnih ključeva certifikata sa dobavljačima usluga za mobilne klijente. Umesto deljenja push notification sertifikata i ključeva sa provajderom usluga, NPS koristi novi API za dobijanje kratkotrajnog tokena obaveštenja od UCaaS backend-a, i koristi ovaj simbol za potvrdu identiteta sa Apple APNS i Google FCM servisima.

Funkcija takođe poboljšava mogućnost Notification Push Servera da gura obaveštenja na Android uređaje putem novog Google Firebase Cloud Messaging (FCM) HTTPv1 API.

BroadWorks zakrpe za ovu funkciju dostupne su na Xchange- u: https://xchange.broadsoft.com/node/1046235

Više informacija potražite u članku Push Server for VoIP u opisu funkcije UCaaS na Xchange-u: https://xchange.broadsoft.com/node/1045458

XSP (ili Platforma za isporuku aplikacija ADP) koja je domaćin NPS-u mora da ispuni sledeće zahteve:

Minimalne verzije i ograničenja boravka

  • NPS mora biti aktiviran na namenskom XSP/ADP i NPS mora biti jedina hostovana aplikacija na serveru. Ovo je da bi se eliminisale smetnje u isporuci Push obaveštenja.

  • U primeni bi trebalo da postoji samo jedna NPS aplikacija. Ako koristite mobilni UC-One Collaborate/Connect i ili UC-One SaaS i implementirate Webex za BroadWorks, morate da delite ovaj jedinstveni NPS za sve aplikacije.

  • NPS mora biti na verziji R22 ili novijoj XSP ili ADP.

    R22/R23 XSP je kompatibilan sa R21 nizom ako XSP pokreće samo NPS, a AS R21. SP1. Više informacija potražite u matrici kompatibilnosti za BroadWorks.

  • Više informacija na ADP serveru možete pronaći na https://xchange.broadsoft.com/node/1051580.

Deljeni NPS

Pročitajte ove beleške pre nego što konfigurišete deljeni NPS da koristi NPS Proxy server:

  • Ako se NPS koristi sa drugim aplikacijama (ne samo sa Webex aplikacijom): Nemojte menjati NPS od korišćenja FCM zastarelog API-ja u korišćenje FCM HTTP v1 API pre nego što konfigurišete NPS proxy server.

    Možete da se promenite dok konfigurišete NPS da koristi NPS Proxy server.

  • Kada proverite da li obaveštenja rade ispravno za starije aplikacije sa NPS proxy serverom, možete da uklonite FCM API ključ za Android aplikaciju, kao i APNS auth taster za iOS aplikaciju.

APNs HTTP/2

  • Ako ste rasporedili sve iOS aplikacije koje nisu iz Cisco/BroadSoft, konfigurišite te aplikacije da koriste HTTP/2 APNS protokol pre konfigurisanja NPS-a za korišćenje NPS proxy servera.

  • XSP/ADPs koji već podržavaju aplikaciju Collaborate ili SaaS BroadWorks treba migrirati na HTTP/2. Detaljne informacije o konfigurisanju HTTP/2 potražite u članku HTTP/2 Podrška za obaveštavanje Push Server za APNS (migracija NPS-a radi podrške za ove iOS aplikacije je rezimirana u ovom članku).

Android FCMv1

  • Ako ste rasporedili sve Android aplikacije koje nisu iz Cisco/BroadSoft, konfigurišite te aplikacije da koriste FCMv1 ključeve pre konfigurisanja NPS-a za korišćenje NPS proxy servera.

  • Ako XSP/ADP trenutno podržava aplikaciju Connect ili UC-One SaaS, ne može se omogućiti FCMv1 ključevi pre nego što konfigurišete NPS proxy server. Preporučujemo da preselite sve dodatne aplikacije na FCMv1 ključeve, omogućite i testirate, a zatim onemogućite dok ne budete spremni da dovršite uputstva za instalaciju (tok migracije je dokumentovan u ovom članku).

Slika 1. Visual Summary of Migration to NPS Authentication Proxy
Tabela 1. Rezime zadataka za migraciju na NPS proxy server

Sekvence

Naslov zadatka

Kada/zašto je zadatak potreban?

1

Preseli NPS u HTTP/2 za UC-One SaaS (ili Connect) iOS aplikacije.

Ako NPS podržava te aplikacije, a one još uvek nisu konfigurisane za HTTP/2.

2

Preseli NPS u FCMv1 za UC-One SaaS (ili Connect) Android aplikacije.

Ako NPS podržava te aplikacije, a one još uvek nisu konfigurisane za FCMv1.

3

Omogućite FCMv1 režim i testirajte push obaveštenja.

Ako NPS podržava UC-One Connect i/ili druge (non-Cisco) Android aplikacije.

4

Ponovo omogućite FCM zastareli režim.

Ako NPS podržava UC-One SaaS. Ako fcMv1 ostavite omogućen, pre nego što konfigurišete NPS proxy server, onda gurni obaveštenja na UC-One SaaS počnite da otkazujete.

5

Instalirajte NPS proxy zakrpe za potvrdu identiteta.

Ako je NPS na XSP R22 ili XSP R23.

6

Konfigurišite NPS da koristi proxy server za NPS potvrdu identiteta:

  • Priloži techsupport iz NPS-a

  • Zahtevaj CI OAuth nalog

  • Kreiraj CI nalog na NPS-u i konfiguriši vremensko osvežavanje tokena

  • Dodavanje ID-a Android aplikacija

  • Dodavanje iOS id-a aplikacija

  • Provere/podešavanje URL adresa i vremenskih tajmauta veze

  • Dodavanje aplikacija na AS listu dozvoljenih lokacija

  • (Ponovo) Omogući FCMv1

  • Ponovo pokreni XSP / ADP

  • Testiranje PNS-a za iOS i Android aplikacije

Uvek obavezno.

7

Uklonite tastere FCM zastarelog režima.

Za aplikacije koje NPS uspešno podržava na FCMv1.

Ovaj zadatak je obavezan za guranje obaveštenja UC-One SaaS i Webex aplikacijama na iOS platformama.

Pre nego što počneš

Ako XSP radi pod operativnim sistemom R22, potrebno je da primenite ap354313 da biste mogli da konfigurišete NPS aplikaciju da koristi HTTP/2 za APNS.

1

Postavite URL adresu proizvodnje i parametre veze na XSP_CLI/Applications/NotificationPushServer/APNS/Production>

postavljanje url adrese https://api.push.apple.com/3/device

postavi vezuPoolSize 2

podešavanje prelamanja veze 3000

postavi vezaIdleTimeoutInSeconds 600

Nota: Nemojte postavljati vremensko vreme veze ispod 1000.

2

Dodajte ID-ove aplikacije u kontekst APNS aplikacija, obavezno izostavite taster Auth – podesite ga na prazan.

Za UC-One SaaS: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.broadsoft.uc-one

Za Webex aplikaciju: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

3

Proverite ključeve od potvrde o XSP_CLI/Aplikacije/ObaveštenjePushServer/APNS/Proizvodnja/Tokeni> dobiti

4

Ako auth ključ nije prazan za com.broadsoft.uc-one, možete ga očistiti pomoću XSP_CLI/Aplikacije/ObaveštenjePushServer/APNS/Proizvodnja/Tokeni> obrišite authkey

5

Omogući HTTP/2:

XSP_CLI/Applications/NotificationPushServer/APNS/GeneralSettings> set HTTP2Enabled true

6

Samo za UC-One SaaS aplikacije: Prijavite se na portal prodavca i idite na adresu Configuration > BroadWorks > .

7

Pomerite se nadole do odeljka Notification Push Server i izaberite izdanje (npr. Izdanje 22 ), a zatim sledite uputstva navedena u portalu.

  • Ovaj zadatak se primenjuje na NPS na XSP- u. Ignorišite to ako je NPS u ADP-u.

  • Ovu proceduru možete da koristite za migraciju na FCMv1 obaveštenja za UC-One Connect ili UC-One SaaS Android aplikacije.

  • Morate da koristite FCMv1 ako želite da koristite NPS proxy server da biste potvrdili verodostojnost push obaveštenja UC-One ili Webex Android aplikacijama.

  • Ovaj zadatak priprema NPS za FCMv1 tako da ga možete omogućiti kao deo konfiguracije proxy servera NPS potvrde identiteta. Nemojte omogućiti FCMv1 dok ne budete spremni da konfigurišete proxy server za potvrdu identiteta NPS-a ili obaveštenja sa SaaS klijentima neće uspeti.

1

Nabavite ID projekta sa Firebase konzole:

  1. Prijavljivanje u console.firebase.google.com.

  2. Izaberite UC-One (Connect ili SaaS) projekat aplikacije, otvorite njegove postavke projekta.

  3. Otvorite karticu Opšte postavke i zakažete ID projekta.

2

Nabavite privatni ključ svog naloga za servis iz Firebase-a:

  1. Dođite do kartice "Nalozi usluge" u postavkama projekta.

  2. Kreirajte novi nalog usluge i nabavite njegov privatni ključ.

  3. Ili otvorite postojeći nalog usluge i generišite novi privatni ključ za njega.

    Nota: Nalog usluge mora imati dozvolu za požarnu bazuadmin-sdk.

  4. Preuzmite ključ na bezbednu lokaciju.

3

Kopirajte ključ na XSP hosting vašeg NPS-a.

4

Dodajte ID projekta i pridruženi privatni ključ kontekstu FCM projekata:

XSP_CLI/Applications/NotificationPushServer/FCM/Projects> add project-id path/to/keyfile

5

Dodajte UC-One (Connect ili SaaS) aplikaciju i pridruženi ID projekta u kontekst FCM aplikacija:

XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.broadsoft.connect projectId project-id

6

Proverite konfiguraciju FCM-a u odnosu na atribute i preporučene vrednosti prikazane ovde. Koristite skup verziju komande da biste promenili vrednosti ako je potrebno:

Pokreni XSP_CLI/Aplikacije/ObaveštenjePushServer/FCM> dobiti

Parametar

Preporučena vrednost

authURL

https://www.googleapis.com/oauth2/v4/token

pushURL

https://fcm.googleapis.com/v1/projects/ PROJECT-ID /messages:send

Opseg

https://www.googleapis.com/auth/firebase.messaging

tokenTimeToLiveInSeconds

3600

vezaPoolSize

10

vezaTimeoutInMillisekunde

3000

vezaIdleTimeoutInSeconds

600

  • Ovaj zadatak se primenjuje na NPS u ADP-u. Ignorišite to ako je vaš NPS na XSP-u.

  • Ovu proceduru možete da koristite za migraciju na FCMv1 obaveštenja za UC-One Connect ili UC-One SaaS Android aplikacije.

  • Morate da koristite FCMv1 ako želite da koristite NPS proxy server da biste potvrdili verodostojnost push obaveštenja UC-One ili Webex Android aplikacijama.

  • Ovaj zadatak priprema NPS za FCMv1 tako da ga možete omogućiti kao deo konfiguracije proxy servera NPS potvrde identiteta. Nemojte omogućiti FCMv1 dok ne budete spremni da konfigurišete proxy server za potvrdu identiteta NPS-a ili obaveštenja sa SaaS klijentima neće uspeti.

1

Nabavite ID projekta sa Firebase konzole:

  1. Prijavite se u console.firebase.google.com.

  2. Izaberite UC-One (Connect ili SaaS) projekat aplikacije, otvorite njegove postavke projekta.

  3. Otvorite karticu Opšte postavke i zakažete ID projekta.

2

Nabavite privatni ključ svog naloga za servis iz Firebase-a:

  1. Dođite do kartice "Nalozi usluge" u postavkama projekta.

  2. Kreirajte novi nalog usluge i nabavite njegov privatni ključ.

  3. Ili otvorite postojeći nalog usluge i generišite novi privatni ključ za njega.

    Nota: Nalog usluge mora imati dozvolu za požarnu bazuadmin-sdk.

  4. Preuzmite ključ (.json datoteka) na bezbednu lokaciju.

3

Uvezite .json datoteku na ADP server /bw/install.

4

Prijavite se na ADP CLI i dodajte projekat i API ključ kontekstu FCM projekata:

ADP_CLI/Applications/NotificationPushServer/FCM/Projects> add connect-ucaas /bw/install/ filename.json

5

Dodajte aplikaciju i ID projekta kontekstu FCM aplikacija:

ADP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.broadsoft.ucaas.connect projectId project-id

6

Proverite konfiguraciju:

ADP_CLI/Applications/NotificationPushServer/FCM/Projects> get Project ID Accountkey =============== connect-ucaas ********
ADP_CLI/Applications/NotificationPushServer/FCM/Applications> get Application ID Project ID =========================== com.broadsoft.ucaas.connect-ucaas

Ovo je potrebno da uradite (kao deo migracije) samo ako:

  • Vaš NPS se koristi za UC-One SaaS ili BroadWorks Connect Android aplikacije.

  • Već ste testirali da obaveštenja o guranju poziva drugim aplikacijama rade sa FCMv1 API.

Privremeno onemogućavate FCMv1 jer FCMv1 ključevi za ove aplikacije moraju biti omogućeni samo tokom procesa konfiguracije proxy servera NPS potvrde identiteta.

1

Prijavite se na XSP hosting deljenog NPS-a.

2

Krećite se do FCM konteksta i onemogućite FCM v1: XSP_CLI/Applications/NotificationPushServer/FCM> postavio V1enabled false da se vrati na korišćenje FCM zastarelog API ključa.

Instalirajte sledeće zakrpe da biste podržali funkciju proxy servera NPS potvrde identiteta:

R22 zakrpe

R23 zakrpe

1

Kreirajte zahtev za uslugu sa kontaktom na brodu ili sa TAC-om da biste obezbedili svoj (Webex Common Identity) OAuth klijentski nalog. Naslov zahteva za uslugu NPS Konfiguracija za podešavanje Auth Proxy servera.

Cisco vam daje ID klijenta OAutha, klijentsku tajnu i simbol za osvežavanje koji važi 60 dana. Ako simbol istekne pre nego što ga upotrebite sa NPS-om, možete da podignete još jedan zahtev.
2

Kreirajte klijentski nalog u NPS-u:

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set client-Id-From-Step1

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set clientSecret Nova lozinka: klijent-Tajna-od-koraka1
XSP_CLI/Aplikacije/ObaveštenjePushServer/CiscoCI/Client> postavio RefreshToken Novu lozinku: Osveži-token-iz-koraka1

Da biste proverili da li se vrednosti koje ste uneli podudaraju sa onim što vam je dato, pokrenite XSP_CLI/Aplikacije/ObaveštenjePushServer/CiscoCI/Client> get

3

Unesite NPS proxy URL adresu i podesite interval osvežavanja simbola (preporučuje se 30 minuta):

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set url https://nps.uc-one.broadsoft.com/nps/

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set VOIPTokenRefreshInterval 1800

4

(Za Android obaveštenja) Dodajte ID-ove Android aplikacija u kontekst FCM aplikacija na NPS- u.

Za Webex aplikaciju na Androidu: XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.cisco.wx2.android

Za UC-One aplikaciju na Androidu: XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.broadsoft.connect

5

(Za Apple iOS obaveštenja) Dodajte ID aplikacije u kontekst APNS aplikacija, obavezno izostavite taster Auth – podesite ga na prazan.

Za Webex aplikaciju na iOS-u: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

Za UC-One aplikaciju na iOS-u: XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

6

Konfigurišite sledeće NPS URL adrese:

Sto 2.

XSP CLI kontekst

Parametar

Вредност

XSP_CLI/Prijave/ObaveštenjePushServer/FCM>

authURL

https://www.googleapis.com/oauth2/v4/token

pushURL

https://fcm.googleapis.com/v1/projects//messages:send

Opseg

https://www.googleapis.com/auth/firebase.messaging

XSP_CLI/Aplikacije/ObaveštenjePushServer/APNS/Proizvodnja>

url adresa

https://api.push.apple.com/3/device

7

Konfigurišite sledeće parametre NPS veze sa prikazanim preporučenim vrednostima:

Sto 3.

XSP CLI kontekst

Parametar

Вредност

XSP_CLI/Prijave/ObaveštenjePushServer/FCM>

tokenTimeToLiveInSeconds

3600

vezaPoolSize

10

vezaTimeoutInMillisekunde

3000

vezaIdleTimeoutInSeconds

600

XSP_CLI/Aplikacije/ObaveštenjePushServer/APNS/Proizvodnja>

prelamanje veze

3000

vezaPoolSize

2

vezaIdleTimeoutInSeconds

600

8

Proverite da li server aplikacije pregleda ID-ove aplikacija zato što ćete možda morati da dodate Webex aplikacije na listu dozvoljenih stavki:

  1. Pokrenite AS_CLI/System/PushNotification> nabavite i proverite vrednost enforceAllowedApplicationList. Ako je to tačno, potrebno je da dovršite ovaj potkompjute. U suprotnom, preskočite ostatak potkompjute.

  2. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.wx2.android "Webex Android"

  3. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.squared "Webex iOS"

1

Ponovo pokreni XSP:

bwrestart
2

Testirajte obaveštenja o pozivima na Android tako što ćete na Androidu pozivati pretplatnika sa BroadWorksa na klijenta za pozivanje. Proverite da li se obaveštenje o pozivu pojavljuje na Android uređaju.

Nota: Ako push obaveštenja počnu da otkazuju za UC-One android aplikaciju, moguće je da postoji pogrešna konfiguracija. Ako je ovo vaša situacija, možete se vratiti na zaostavštinu FCM na sledeći način:

  1. Onemogući FCMv1: XSP_CLI/Applications/NotificationPushServer/FCM> set V1Enabled false

  2. Ponovo pokreni XSP: bwrestart

  3. Proverite konfiguraciju.

  4. Ponovo omogućite FCMv1 i ponovo pokrenite XSP.

  5. Ponovite test.

3

Testirajte obaveštenja o pozivima na iOS tako što ćete pozivati pretplatnika broadWorks-a na klijenta koji zove na iOS-u. Proverite da li se obaveštenje o pozivu pojavljuje na iOS uređaju.

Nota: Ako push obaveštenja počnu da otkazuju za UC-One iOS aplikaciju, moguće je da postoji pogrešna konfiguracija. Ako je ovo vaša situacija, možete da se vratite na zastareli binarni interfejs sa netačnim skupom HTTP2Enabled