Konfigurisanje usluga na Webex za Cisco BroadWorks XSP|ADP-ove

Zahtevamo da NPS aplikacija bude pokrenuta na drugom XSP|ADP-u. Zahtevi za taj XSP|ADP opisani su u Konfiguriši obaveštenja o pozivima sa mreže.

Potrebne su vam sledeće aplikacije/usluge na XSP|ADP-ovima.

Usluga/aplikacija

Potrebna je potvrda identiteta

Svrha usluge/aplikacije

Xsi-Događaji

TLS (server se sam potvrdio klijentima)

Kontrola poziva, obaveštenja o servisu

Xsi-radnje

TLS (server se sam potvrdio klijentima)

Kontrola poziva, radnje

Upravljanje uređajem

TLS (server se sam potvrdio klijentima)

Pozivanje preuzimanja konfiguracije

Usluga potvrde identiteta

TLS (server se sam potvrdio klijentima)

Potvrda identiteta korisnika

Integracija kompjuterske telefonije

mTLS (klijent i server potvrda identiteta)

Prisustvo telefonije

Webview aplikacija "Postavke poziva"

TLS (server se sam potvrdio klijentima)

Otkriva postavke korisničkog poziva u portalu za samoopredeljubivanje u okviru Webex aplikacije

Ovaj odeljak opisuje kako da primenite potrebne konfiguracije za TLS i mTLS na ove interfejse, ali trebalo bi da referencirate postojeću dokumentaciju da biste dobili instalirane aplikacije na XSP|ADP-ovima.

Zahtevi za suvlasni boravak

  • Usluga potvrde identiteta mora biti koegzistentna sa Xsi aplikacijama, jer ti interfejsi moraju da prihvate dugovečne tokene za autorizaciju usluge. Usluga potvrde identiteta je potrebna za proveru valjanosti tih simbola.

  • Usluga potvrde identiteta i Xsi mogu da se pokreću na istom portu ako je to potrebno.

  • Ostale usluge/aplikacije možete po potrebi da odvojite po potrebi za vašu skalu (namensko upravljanje uređajima XSP|ADP farma, na primer).

  • Možete da pronađete Xsi, CTI, Uslugu potvrde identiteta i DMS aplikacije.

  • Nemojte instalirati druge aplikacije ili usluge na XSP|ADP-ove koji se koriste za integraciju BroadWorks-a sa Webex-om.

  • Nemojte ko-locirati NPS aplikaciju ni sa jednom drugom aplikacijom.

Xsi interfejsi

Instalirajte i konfigurišite aplikacije Xsi-Actions i Xsi-Events kao što je opisano u vodiču za konfigurisanje Xsi-Actions Xtended Services.

Samo jedna instanca Xsi-Events aplikacija treba da bude raspoređena na XSP|ADP koji se koristi za CTI interfejs.

Svi Xsi-Events koji se koriste za integraciju Broadworks sa aplikacijom Webex moraju da imaju isti callControlApplicationName definisan u odeljku Aplikacije/Xsi-Events/GeneralSettings. Na primer:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> dobiti

callControlApplicationName = com.broadsoft.xsi-events

Kada se korisnik ulazno migrira u Webex, Webex kreira pretplatu za korisnika na AS-u da bi dobio telefonske događaje za istoriju prisutnosti i poziva. Pretplata je povezana sa callControlApplicationName i AS je koristi da bi znao na koji Xsi-Events može da pošalje telefonske događaje.

Promena usluge ControlApplicationName ili ne imati isto ime na svim Xsi-Events vebapps-ovima će uticati na pretplate i funkcionalnost događaja telefonije.

Konfigurisanje usluge potvrde identiteta (sa proverom valjanosti CI oznaka)

Koristite ovaj postupak da biste podesili uslugu potvrde identiteta da koristi proveru valjanosti CI tokena sa TLS-om. Ovaj metod potvrde identiteta se preporučuje ako koristite R22 ili noviji i sistem ga podržava.

Uzajamni TLS (mTLS) je takođe podržan kao alternativni metod potvrde identiteta za Auth Uslugu. Ako imate više Webex organizacija sa istim XSP|ADP serverom, morate da koristite mTLS potvrdu identiteta jer CI potvrda tokena ne podržava više veza sa istom uslugom XSP|ADP potvrde identiteta.

Da biste konfigurisali mTLS potvrdu identiteta za Auth Service umesto CI Token Validation, pogledajte Aneks za konfigurisanje usluga (sa mTLS-om za Auth Service).

Ako trenutno koristite mTLS za Auth uslugu, nije obavezno da ponovo konfigurišete korišćenje CI Token Validation sa TLS- om.

  1. Pribavljanje OAuth akreditiva za vaš Webex za Cisco BroadWorks.

  2. Instalirajte sledeće zakrpe na svakom XSP|ADP serveru. Instalirajte zakrpe koje odgovaraju vašem izdanju:

    Svaka referenca na XSP uključuje ili XSP ili ADP.

  3. Instalirajte aplikaciju AuthenticationService na svaku XSP|ADP uslugu.

    1. Pokrenite sledeću komandu da biste aktivirali aplikaciju AuthenticationService na XSP|ADP na putanji konteksta /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> aktivirajte aplikaciju AuthenticationService 22.0_1.1123/authService

    2. Pokrenite ovu komandu da biste primenili Service za potvrdu identiteta na XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> primeni aplikaciju /authServiceBroadWorks primenu /authService...

  4. Počevši od verzije programa Broadworks 2022.10, organi za izdavanje sertifikata koji dolaze sa programom Java više nisu automatski uključeni u BroadWorks pouzdana skladišta za BroadWorks prilikom prelaska na novu verziju programa Java. Usluga potvrde identiteta otvara TLS vezu sa uslugom Webex da bi se pribavio token za pristup i mora da ima sledeće u svom pouzdanom skladištu da bi se proverio valjanost IDBroker i Webex URL adrese:

    • IdenTrust Commercial Root CA 1

    • Go Daddy Root Certificate Authority – G2

    Proverite da li su ovi sertifikati prisutni pod sledećim CLI-om

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> dobiti

    Ako nije prisutan, pokrenite sledeću komandu da biste uvezli podrazumevani Java pouzdani:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> Опције

    Možete ručno da dodate ove sertifikate kao sidra pouzdanosti sa sledećom komandom:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> ažuriranjeTrust

    Ako je ADP nadograđen iz prethodnog izdanja, onda se autoriteti za izdavanje sertifikata automatski uvoze u novo izdanje i nastaviće da se uvoze sve dok se ručno ne uklone.

    Aplikacija AuthenticationService je izuzeta od podešavanja validacijePeerIdentity pod ADP_CLI/System/SSLCommonSettings/GeneralSettings i uvek proverava Identitet partnera. Pogledajte FD za proveru valjanosti sertifikata Cisco Broadworks X509 za više informacija o ovoj postavci.

  5. Konfigurišite pružaoce usluge identiteta pokretanjem sledećih komandi na svakom XSP|ADP serveru:

    XSP|ADP_CLI/aplikacije/autentifikacijaService/IdentityProviders/Cisco> preuzmi

    • podesi clientId client-Id-From-Step1

    • podešavanje je omogućeno tačno

    • podesi clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • podesite izdavaocaName – Za URL unesite URL adresu izdavača koji se primenjuje na vaš CI klaster. Pogledajte sledeću tabelu.

    • set issuerUrl – Za URL unesite IssuerUrl koji se primenjuje na vaš CI klaster. Pogledajte sledeću tabelu.

    • set tokenInfoUrl – Unesite URL adresu IdP proxy servera koja se primenjuje na vaš Teams klaster. Pogledajte drugu tabelu koja sledi.

    Tabela 1. Podesi izdavaocaName i izdavačURL
    Ako je CI klaster...Postavi issuerName i izdavačURL na...

    US-A

    https://idbroker.webex.com/idb

    Evropska unija

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    Ako ne znate svoj CI klaster, informacije iz detalja o kupcu možete dobiti u prikazu službe za pomoć na platformi Control Hub.

    Tabela 2. Set tokenInfoURL
    Ako je klaster timova...Postavi tokenInfoURL na...(URL IdP proxy)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • Ako ne znate svoj Teams klaster, informacije iz detalja o kupcu možete dobiti u prikazu službe za pomoć na platformi Control Hub.

    • Za testiranje možete da proverite da li je tokenInfoURL važeći zamenom „idp/potvrdite“ dela URL adrese sa „ping“.

  6. Navedite Webex pravo koje mora biti prisutno u korisničkom profilu u Webexu pokretanjem sledeće komande:

    XSP|ADP_CLI/aplikacije/autentifikacijaService/IdentityProviders/Cisco/Scopes> podesi broadworks konektor opsega:korisnik

  7. Konfigurišite pružaoce usluge identiteta za Cisco savez koristeći sledeće komande na svakom XSP|ADP serveru:

    XSP|ADP_CLI/aplikacije/autentifikacijaService/IdentityProviders/Cisco/Federation> preuzmi

    • podesi flsUrl https://cifls.webex.com/federation

    • podesi osvežavanje periodaUMinutes 60

    • podesi token za osvežavanje token za osvežavanje-Token-Iz-Koraka1

  8. Pokrenite sledeću komandu da biste proverili valjanost da li FLS konfiguracija funkcioniše. Ova komanda će vratiti listu dobavljača identiteta:

    XSP|ADP_CLI/aplikacije/AuthService/Pružaoci usluge identiteta/Cisco/Federation/ClusterMap> Preuzmi

  9. Konfigurišite upravljanje tokenima pomoću sledećih komandi na svakom XSP|ADP serveru:

    • XSP|ADP_CLI/aplikacije/autentifikacijaService/TokenManagement>

    • set tokenIssuer BroadWorks

    • podesi tokenDurationInHours 720

  10. Generiši i deli RSA ključeve. Morate da generišete ključeve na jednom XSP|ADP-u, a zatim ih kopirajte u sve druge XSP|ADP-ove. Do ovoga je došlo zbog sledećih faktora:

    • Morate koristiti iste parove javnih/privatnih ključeva za šifrovanje/dešifrovanje tokena u svim instancama usluge potvrde identiteta.

    • Ključni par generiše usluga potvrde identiteta kada je prvi put potrebno da izdate simbol.

    Ako pokrećete tastere ili promenite dužinu ključa, potrebno je da ponovite sledeću konfiguraciju i ponovo pokrenete sve XSP|ADP-ove.

    1. Izaberite jedan XSP|ADP koji ćete koristiti za generisanje para ključa.

    2. Koristite klijenta da zatražite šifrovani token sa tog XSP|ADP-a, zahtevajući sledeću URL adresu iz pregledača klijenta:

      https://<XSP|ADP-IPAddress>/authService/token?key=BAZA URL(clientPublicKey)

      (Ovim putem se generiše privatni/javni par ključeva na XSP|ADP-u, ako ga već nije bilo)

    3. Lokacija skladišta ključeva nije konfigurisana. Izvezi ključeve:

      XSP|ADP_CLI/aplikacije/autentifikacijaService/KeyManagement> exportKeys

    4. Kopirajte izvezenu datoteku /var/broadworks/tmp/authService.keys na istu lokaciju na drugim XSP|ADP-ovima, zamenite stariju .keys datoteku ako je potrebno.

    5. Uvezite ključeve na svakom od drugih XSP|ADP-ova:

      XSP|ADP_CLI/aplikacije/potvrda identitetaService/KeyManagement> uvozKljučevi /var/broadworks/tmp/authService.keys

  11. Obezbedite AuthService URL adresu Veb kontejneru. Veb-kontejner XSP|ADP-a potrebna je URL adresa authService da bi mogao da proveri valjanost tokena. Na svakom od XSP|ADP-ova:

    1. Dodajte URL adresu usluge potvrde identiteta kao uslugu eksterne potvrde identiteta za BroadWorks uslužni program za komunikacije:

      XSP|ADP_CLI/sistem/komunikacijaUtility/PodrazumevanaPodešavanja/ExternalAuthentication/AuthService> URL podešavanja http://127.0.0.1:80/authService

    2. Dodajte URL adresu usluge potvrde identiteta kontejneru:

      XSP|ADP_CLI/Maintenance/ContainerOptions> dodajte tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      Ovo omogućava Webexu da koristi uslugu potvrde identiteta za proveru tokena predstavljenih kao akreditivi.

    3. Proverite parametar pomoću get.

    4. Ponovo pokrenite XSP|ADP.

Ukloni zahtev za potvrdu identiteta klijenta za uslugu potvrde identiteta (samo R24)

Ako je usluga potvrde identiteta konfigurisana sa proverom valjanosti CI tokena na R24, takođe morate da uklonite zahtev za potvrdu identiteta klijenta za uslugu potvrde identiteta. Pokrenite sledeću CLI komandu:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Konfigurisanje TLS i šifrovanja na HTTP interfejsima (za XSI i uslugu potvrde identiteta)

Aplikacije "Usluga potvrde identiteta", "Xsi-radnje" i "Xsi-Events" koriste HTTP interfejse servera. Nivoi TLS konfigurativnosti za ove aplikacije su sledeći:

Najočitijenije = Sistem > Transport > HTTP > INTERFEJS HTTP servera = Najslo je određeno

CLI konteksti koje koristite za prikazivanje ili menjanje različitih SSL postavki su:

Specifičnost CLI kontekst
Sistem (globalni)

XSP|ADP_CLI/sistem/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/Sistem/SSLCommonSettings/JSSE/Protokoli>
Transportni protokoli za ovaj sistem

XSP|ADP_CLI/sistem/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protokoli>
HTTP na ovom sistemu

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protokoli>
Određeni interfejsi HTTP servera na ovom sistemu

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

Čitanje konfiguracije HTTP servera TLS interfejsa na XSP|ADP-u

  1. Prijavite se na XSP|ADP i dođite do XSP|ADP_CLI/Interface/Http/HttpServer>

  2. Unesite komandu i pročitajte rezultate. Trebalo bi da vidite interfejse (IP adrese) i, za svaku od njih, da li su bezbedni i da li zahtevaju potvrdu identiteta klijenta.

Apache tomcat propisuje sertifikat za svaki bezbedan interfejs; sistem generiše samopotpisani certifikat ako mu je potreban.

XSP|ADP_CLI/Interface/Http/HttpServer> preuzmi

Dodavanje TLS 1.2 protokola u interfejs HTTP servera

HTTP interfejs koji je u interakciji sa Webex Cloud-om mora biti konfigurisan za TLSv1.2. Oblak ne pregovara o ranijim verzijama TLS protokola.

Da biste konfigurisali TLSv1.2 protokol na HTTP Server interfejsu:

  1. Prijavite se na XSP|ADP i dođite do XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. Unesite komandu preuzmite 443 da biste videli koji protokoli se već koriste na ovom interfejsu.

  3. Unesite komandu dodaj 443 TLSv1.2 da biste obezbedili da interfejs može da koristi TLS 1.2 prilikom komunikacije sa oblakom.

Uređivanje TLS konfiguracije šifri na HTTP serveru

Da biste konfigurisali potrebne šifre:

  1. Prijavite se na XSP|ADP i dođite do XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. Unesite komandu preuzmite 443 da biste videli koji se šifri već koriste na ovom interfejsu. Mora da postoji najmanje jedan od paketa koji preporučuje Cisco (pogledajte XSP|ADP zahtevi za identitet i bezbednost u odeljku „Pregled“).

  3. Unesite komandu dodaj 443 da biste dodali lozinku na HTTP server interfejs.

    XSP|ADP CLI zahteva IANA standardni naziv paketa šifri, a ne openSSL ime paketa šifri. Na primer, da biste dodali openSSL šifrovanje ECDHE-ECDSA-CHACHA20-POLY1305 na interfejs HTTP servera, potrebno je da koristite: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>dodaj 192.0.2.7 443 TLS_ECDHE_ECDSA_SA_CHACHA20_POLY1305

    Pogledajte https://ciphersuite.info/ da pronađete apartman pod bilo koje ime.

Konfigurišite upravljanje uređajima na XSP|ADP, serveru aplikacije i serveru profila

Server profila i XSP|ADP su obavezni za upravljanje uređajima. Oni moraju biti konfigurisani u skladu sa uputstvima u Vodiču za konfiguraciju BroadWorks uređaja.