Konfigurišite usluge na vašem Vebek-u za Cisco Broadvorks KSSP|ADP-ove

Zahtevamo da se NPS aplikacija pokrene na drugom KSSP|ADP-u. Zahtevi za taj KSSP|ADP su opisani u Konfigurišite obaveštenja o pozivima iz vaše mreže.

Potrebne su vam sledeće aplikacije / usluge na vašim KSSP|ADP-ovima.

Usluga/aplikacija

Potrebna je potvrda identiteta

Svrha usluge/aplikacije

Xsi-Događaji

TLS (server se sam potvrdio klijentima)

Kontrola poziva, obaveštenja o servisu

Xsi-radnje

TLS (server se sam potvrdio klijentima)

Kontrola poziva, radnje

Upravljanje uređajem

TLS (server se sam potvrdio klijentima)

Pozivanje preuzimanja konfiguracije

Usluga potvrde identiteta

TLS (server se sam potvrdio klijentima)

Potvrda identiteta korisnika

Integracija kompjuterske telefonije

mTLS (klijent i server potvrda identiteta)

Prisustvo telefonije

Webview aplikacija "Postavke poziva"

TLS (server se sam potvrdio klijentima)

Otkriva postavke korisničkog poziva u portalu za samoopredeljubivanje u okviru Webex aplikacije

Ovaj odeljak opisuje kako da primenite potrebne konfiguracije za TLS i mTLS na ovim interfejsima, ali treba da se obratite postojećoj dokumentaciji da biste dobili aplikacije instalirane na vašim KSSP|ADP-ovima.

Zahtevi za suvlasni boravak

  • Usluga potvrde identiteta mora biti koegzistentna sa Xsi aplikacijama, jer ti interfejsi moraju da prihvate dugovečne tokene za autorizaciju usluge. Usluga potvrde identiteta je potrebna za proveru valjanosti tih simbola.

  • Usluga potvrde identiteta i Xsi mogu da se pokreću na istom portu ako je to potrebno.

  • Možete razdvojiti ostale usluge / aplikacije po potrebi za vašu skalu (namensko upravljanje uređajima KSSP|ADP farma, na primer).

  • Možete da pronađete Xsi, CTI, Uslugu potvrde identiteta i DMS aplikacije.

  • Ne instalirajte druge aplikacije ili usluge na KSSP|ADP-ovima koji se koriste za integraciju BroadVorks-a sa Vebeksom.

  • Nemojte ko-locirati NPS aplikaciju ni sa jednom drugom aplikacijom.

Xsi interfejsi

Instalirajte i konfigurišite aplikacije Xsi-Actions i Xsi-Events kao što je opisano u vodiču za konfigurisanje Xsi-Actions Xtended Services.

Samo jedna instanca aplikacija Kssi-Events treba da bude raspoređena na KSSP|ADP koji se koristi za CTI interfejs.

Svi Kssi-događaji koji se koriste za integraciju Broadvorks-a sa Vebek-om moraju imati isti callControlApplicationName definisan pod Applications / Xsi-Events / GeneralSettings. Na primer:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Kada je korisnik uključen u Vebek, Vebek kreira pretplatu za korisnika na AS-u kako bi primao telefonske događaje za prisustvo i istoriju poziva. Pretplata je povezana sa callControlApplicationName i AS ga koristi da zna na koje Kssi-događaje da pošalje telefonske događaje.

Promena callControlApplicationName, ili nemaju isto ime na svim Kssi-Events vebapps će uticati na pretplate i telefonske događaje funkcionalnost.

Konfigurisanje usluge potvrde identiteta (sa proverom valjanosti CI oznaka)

Koristite ovaj postupak da biste podesili uslugu potvrde identiteta da koristi proveru valjanosti CI tokena sa TLS-om. Ovaj metod potvrde identiteta se preporučuje ako koristite R22 ili noviji i sistem ga podržava.

Uzajamni TLS (mTLS) je takođe podržan kao alternativni metod potvrde identiteta za Auth Uslugu. Ako imate više Vebek organizacija koje pokreću isti KSSP|ADP server, morate koristiti mTLS autentifikaciju jer CI Token Validation ne podržava više veza sa istom KSSP|ADP Auth uslugom.

Da biste konfigurisali mTLS potvrdu identiteta za Auth Service umesto CI Token Validation, pogledajte Aneks za konfigurisanje usluga (sa mTLS-om za Auth Service).

Ako trenutno koristite mTLS za Auth uslugu, nije obavezno da ponovo konfigurišete korišćenje CI Token Validation sa TLS- om.

  1. Dobijanje OAuth akreditiva za vaš Vebek za Cisco BroadVorks.

  2. Instalirajte sledeće zakrpe na svakom KSSP|ADP serveru. Instalirajte zakrpe koje odgovaraju vašem izdanju:

    Svaka referenca na KSSP uključuje ili KSSP ili ADP.

  3. Instalirajte AuthenticationService aplikaciju na svakom KSSP|ADP servisu.

    1. Pokrenite sledeću komandu da biste aktivirali aplikaciju AuthenticationService na KSSP|ADP-u na / authService kontekstnu putanju.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

    2. Pokrenite ovu komandu da biste postavili AuthenticationService na KSSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

  4. Počevši od Broadvorks build 2022.10, autoriteti za sertifikate koji dolaze sa Javom više nisu automatski uključeni u BroadVorks prodavnicu poverenja prilikom prelaska na novu verziju Jave. AuthenticationService otvara TLS vezu sa Vebeksom da bi preuzeo pristupni token i mora imati sledeće u svom truststore-u da bi potvrdio IDBroker i Vebek URL:

    • IdenTrust Commercial Root CA 1

    • Go Daddi Root Certificate Authority - G2

    Proverite da li su ovi sertifikati prisutni pod sledećim CLI

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

    Ako nije prisutan, pokrenite sledeću komandu da uvezete podrazumevani Java poverenja:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    Alternativno, možete ručno dodati ove sertifikate kao sidra poverenja sa sledećom komandom:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    Ako je ADP nadograđen iz prethodnog izdanja, onda se autoriteti sertifikata iz starog izdanja automatski uvoze u novo izdanje i nastaviće da se uvoze sve dok se ručno ne uklone.

    Aplikacija AuthenticationService je izuzeta od podešavanja validatePeerIdentity pod ADP_CLI / Sistem / SSLCommonSettings/GeneralSettings, i uvek potvrđuje identitet vršnjaka. Pogledajte Cisco Broadvorks KSKSNUMKS sertifikat za validaciju FD za više informacija o ovom podešavanju.

  5. Konfigurišite provajdere identiteta tako što ćete pokrenuti sledeće komande na svakom KSSP|ADP serveru:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName —Za URL, unesite URL adresu IssuerName koja se odnosi na vaš CI klaster. Pogledajte sledeću tabelu.

    • set issuerUrl —Za URL, unesite IssuerUrl koji se odnosi na vaš CI klaster. Pogledajte sledeću tabelu.

    • set tokenInfoUrl – Unesite IdP proxy URL adresu koja se primenjuje na klaster timova. Pogledajte drugu tabelu koja sledi.

    Tabela 1. Podesite issuerName i issuerURL
    Ako je CI klaster...Podesite issuerName i issuerURL na...

    US-A

    https://idbroker.webex.com/idb

    Evropska unija

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    Ako ne znate svoj CI Cluster, možete dobiti informacije iz detalja o klijentu u prikazu Help Desk Control Hub-a.

    Tabela 2. Podesite tokenInfoURL
    Ako je klaster timova...Podesite tokenInfoURL na... (IdP Proki URL)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Ako ne znate svoj Teams Cluster, možete dobiti informacije iz detalja o klijentu u prikazu Help Desk Control Hub-a.

    • Za testiranje, možete da proverite da li je tokenInfoURL važi zamenom "idp/authenticate" deo URL-a sa "".ping

  6. Navedite Webex pravo koje mora biti prisutno u korisničkom profilu u Webexu pokretanjem sledeće komande:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  7. Konfigurišite provajdere identiteta za Cisco federaciju koristeći sledeće komande na svakom KSSP|ADP serveru:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken refresh-Token-From-Step1

  8. Pokrenite sledeću komandu da biste proverili valjanost da li FLS konfiguracija funkcioniše. Ova komanda će vratiti listu dobavljača identiteta:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. Konfigurišite upravljanje tokenima koristeći sledeće komande na svakom KSSP|ADP serveru:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. Generiši i deli RSA ključeve. Morate generisati ključeve na jednom KSSP|ADP-u, a zatim ih kopirati na sve ostale KSSP|ADP-ove. Do ovoga je došlo zbog sledećih faktora:

    • Morate koristiti iste parove javnih/privatnih ključeva za šifrovanje/dešifrovanje tokena u svim instancama usluge potvrde identiteta.

    • Ključni par generiše usluga potvrde identiteta kada je prvi put potrebno da izdate simbol.

    Ako ciklus tastera ili promenite dužinu ključa, potrebno je da ponovite sledeću konfiguraciju i ponovo sve KSSP|ADP.

    1. Izaberite jedan KSSP|ADP koji će se koristiti za generisanje ključnog para.

    2. Koristite klijenta da zatražite šifrovani token iz tog KSSP|ADP-a, tako što ćete zatražiti sledeći URL iz pretraživača klijenta:

      https:///authService/token?key=BASE64URL(clientPublicKey)

      (Ovo generiše privatni / javni par ključeva na KSSP|ADP, ako ga već nije bilo)

    3. Lokacija skladišta ključeva nije konfigurisana. Izvezi ključeve:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopirajte izvezenu datoteku /var/broadworks/tmp/authService.keys na istu lokaciju na drugim KSSP|ADP-ovima, prepisujući stariju .keys datoteku ako je potrebno.

    5. Uvezite ključeve na svakom od ostalih KSSP|ADP-ova:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. Obezbedite AuthService URL adresu Veb kontejneru. Veb kontejner KSSP|ADP-a treba authService URL kako bi mogao da potvrdi tokene. Na svakom od KSSP|ADP-ova:

    1. Dodajte URL adresu usluge potvrde identiteta kao uslugu eksterne potvrde identiteta za BroadWorks uslužni program za komunikacije:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Dodajte URL adresu usluge potvrde identiteta kontejneru:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Ovo omogućava Webexu da koristi uslugu potvrde identiteta za proveru tokena predstavljenih kao akreditivi.

    3. Proverite parametar sa .get

    4. Ponovo pokrenite KSSP|ADP.

Ukloni zahtev za potvrdu identiteta klijenta za uslugu potvrde identiteta (samo R24)

Ako je usluga potvrde identiteta konfigurisana sa proverom valjanosti CI tokena na R24, takođe morate da uklonite zahtev za potvrdu identiteta klijenta za uslugu potvrde identiteta. Pokrenite sledeću CLI komandu:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Konfigurisanje TLS i šifrovanja na HTTP interfejsima (za XSI i uslugu potvrde identiteta)

Aplikacije "Usluga potvrde identiteta", "Xsi-radnje" i "Xsi-Events" koriste HTTP interfejse servera. Nivoi TLS konfigurativnosti za ove aplikacije su sledeći:

Najočitijenije = Sistem > Transport > HTTP > INTERFEJS HTTP servera = Najslo je određeno

CLI konteksti koje koristite za prikazivanje ili menjanje različitih SSL postavki su:

Specifičnost CLI kontekst
Sistem (globalni)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
Transportni protokoli za ovaj sistem

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
HTTP na ovom sistemu

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
Određeni interfejsi HTTP servera na ovom sistemu

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Čitanje konfiguracije HTTP servera TLS interfejsa na KSSP|ADP-u

  1. Prijavite se na KSSP|ADP i idite na XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Unesite komandu get i pročitajte rezultate. Trebalo bi da vidite interfejse (IP adrese) i, za svaku od njih, da li su bezbedni i da li zahtevaju potvrdu identiteta klijenta.

Apache tomcat propisuje sertifikat za svaki bezbedan interfejs; sistem generiše samopotpisani certifikat ako mu je potreban.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Rezultati se prikazuju nakon ulaska u komandu get, prikazujući interfejse (IP adrese) i, za svaki, da li su sigurni i da li zahtevaju autentifikaciju klijenta.

Dodavanje TLS 1.2 protokola u interfejs HTTP servera

HTTP interfejs koji je u interakciji sa Webex Cloud-om mora biti konfigurisan za TLSv1.2. Oblak ne pregovara o ranijim verzijama TLS protokola.

Da biste konfigurisali TLSv1.2 protokol na HTTP Server interfejsu:

  1. Prijavite se na KSSP|ADP i idite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Unesite komandu get 443 da biste videli koji se protokoli već koriste na ovom interfejsu.

  3. Unesite komandu add 443 TLSv1.2 kako bi se osiguralo da interfejs može da koristi TLS 1.2 kada komunicira sa oblakom.

Uređivanje TLS konfiguracije šifri na HTTP serveru

Da biste konfigurisali potrebne šifre:

  1. Prijavite se na KSSP|ADP i idite na XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Unesite komandu get 443 da biste videli koje šifre se već koriste na ovom interfejsu. Mora postojati najmanje jedan od preporučenih paketa Cisco (pogledajte KSSP|ADP identitet i bezbednosni zahtevi u odeljku Pregled).

  3. Unesite komandu add 443 da biste dodali šifru u HTTP Server interfejs.

    KSSP|ADP CLI zahteva IANA standardno ime paketa za šifrovanje, a ne ime paketa za šifrovanje openSSL. Na primer, da biste dodali openSSL šifru ECDHE-ECDSA-CHACHA20-POLY1305 u interfejs HTTP servera, koristili biste: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Pogledajte https://ciphersuite.info/ da pronađete apartman pod bilo koje ime.

Konfigurišite upravljanje uređajima na KSSP|ADP-u, aplikativnom serveru i serveru profila

Profil Server i KSSP|ADP su obavezni za upravljanje uređajima. Oni moraju biti konfigurisani u skladu sa uputstvima u Vodiču za konfiguraciju BroadWorks uređaja.