Krav för samrekitet

• Verifieringstjänsten måste ha samma hemvist för Xsi-program, eftersom gränssnitten måste godkänna tokens som används länge för tjänsteauktorisering. Verifieringstjänsten krävs för att verifiera dessa token.

• Autentiseringstjänsten och Xsi kan köras på samma port om det behövs.

• Du kan separera den andra services/applications efter behov för din skala (till exempel dedikerad enhetshantering XSP|ADP-farm).

• Du kan sam leta upp Xsi-, CTI-, autentiseringstjänsten och DMS-programmen.

• Installera inte andra program eller tjänster på XSP|ADP:er som används för att integrera BroadWorks med Webex.

• Lokalisera inte NPS-programmet med några andra program.

Xsi-gränssnitt

Installera och konfigurera Xsi-Actions- och Xsi-Events-applikationerna enligt beskrivningen i Konfigurationsguide för Cisco BroadWorks Xtended Services Interface.

Endast en instans av Xsi-Events-applikationerna bör distribueras på XSP|ADP som används för CTI-gränssnittet.

Alla Xsi-Events som används för att integrera Broadworks med Webex måste ha samma callControlApplicationName definierat under Applications/Xsi-Events/GeneralSettings. Till exempel:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

När en användare registreras i Webex skapar Webex en prenumeration för användaren på AS:et för att ta emot telefonihändelser för närvaro och samtalshistorik. Prenumerationen är associerad med callControlApplicationName och AS använder den för att veta till vilka Xsi-Events telefonihändelserna ska skickas.

Konfigurera autentiseringstjänsten (med CI-tokenvalidering)

Använd den här proceduren för att konfigurera autentiseringstjänsten för att använda CI-tokenvalidering med TLS. Denna verifieringsmetod rekommenderas om du kör R22 eller senare och ditt system stöder den.

1. Hämta OAuth-inloggningsuppgifter för ditt Webex för Cisco BroadWorks.

2. Installera följande patchar på varje XSP|ADP-server. Installera de programfixar som är lämpliga för din version:

   • För R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • För R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • För R24 – ingen korrigering krävs

   Alla hänvisningar till XSP inkluderar antingen XSP eller ADP.

3. Installera AuthenticationService -applikationen på varje XSP|ADP-tjänst.

   1. Kör följande kommando för att aktivera AuthenticationService-applikationen på XSP|ADP till /authService kontextsökväg.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Kör det här kommandot för att distribuera AuthenticationService på XSP|ADP:n:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. Från och med Broadworks build 2022.10 inkluderas certifikatutfärdarna som följer med Java inte längre automatiskt i BroadWorks trust store när man byter till en ny version av Java. Autentiseringstjänsten öppnar en TLS-anslutning till Webex för att hämta åtkomsttoken och behöver ha följande i sin truststore för att validera IDBroker och Webex-URL:en:

   • IdenTrusts kommersiella rot-CA 1

   • Go Daddy Root Certification Authority - G2

   Verifiera att dessa certifikat finns under följande CLI

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Om det inte finns, kör följande kommando för att importera standard Java-förtroendena:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Alternativt kan du manuellt lägga till dessa certifikat som förtroendeankare med följande kommando:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Om ADP:n uppgraderas från en tidigare version importeras certifikatutfärdarna från den gamla versionen automatiskt till den nya versionen och fortsätter att importeras tills de tas bort manuellt.

   AuthenticationService-applikationen är undantagen från inställningen validatePeerIdentity under ADP_CLI/System/SSLCommonSettings/GeneralSettings, och validerar alltid peer-identiteten. Se Cisco Broadworks X509-certifikatvalideringsdokumentet för mer information om den här inställningen.

5. Konfigurera identitetsleverantörerna genom att köra följande kommandon på varje XSP|ADP-server:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName —För URLanger du den IssuerName-URL som gäller för ditt CI-kluster. Se följande tabell.

   • set issuerUrl —För URLanger du den IssuerUrl som gäller för ditt CI-kluster. Se följande tabell.

   • set tokenInfoUrl – Ange IdP-proxy-URL:en som gäller för ditt Teams-kluster. Se den andra tabellen som följer.

   Tabell 1. Ange issuerName och issuerURL

   Om CI-kluster är...	Ställ in issuerName och issuerURL till...
   USA – EN	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   USA–B	https://idbroker-b-us.webex.com/idb
   Om du inte känner till ditt CI-klusterkan du hämta informationen från kunduppgifterna i helpdesk-vyn i Control Hub.

   Tabell 2. Ange tokenInfoURL

   Om Teams-klustret är...	Ställ in tokenInfoURL till...(IdP Proxy URL)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AFRA	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Om du inte känner till ditt Teams-klusterkan du hämta informationen från kunduppgifterna i helpdesk-vyn i Control Hub. För testning kan du verifiera att tokenInfoURL är giltig genom att ersätta "idp/authenticate"-delen av URL:en med "ping".

6. Ange vilka Webex-berättiganden som måste finnas i användarprofil i Webex genom att köra följande kommando:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Konfigurera identitetsleverantörer för Cisco Federation med följande kommandon på varje XSP|ADP-server:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Kör följande kommando för att validera att din FLS-konfiguration fungerar. Det här kommandot returnerar listan över identitetsleverantörer:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Konfigurera tokenhantering med följande kommandon på varje XSP|ADP-server:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. Generera och dela RSA-nycklar. Du måste generera nycklar på en XSP|ADP och sedan kopiera dem till alla andra XSP|ADP:er. Detta beror på följande faktorer:

    • Du måste använda samma offentliga/privata nyckelpar för tokenkryptering/dekryptering mellan alla instanser av autentiseringstjänsten.

    • Nyckelparet skapas av autentiseringstjänsten när det först måste utfärda en token.

    Om du cyklar nycklar eller ändrar nyckellängden måste du upprepa följande konfiguration och starta om alla XSP|ADP:er.

    1. Välj en XSP|ADP som ska användas för att generera ett nyckelpar.

    2. Använd en klient för att begära en krypterad token från den XSP|ADP:n genom att begära följande URL från klientens webbläsare:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Detta genererar en privat / publikt nyckelpar på XSP|ADP, om det inte redan fanns ett)

    3. Lagringsplatsen för nyckeln kan inte konfigureras. Exportera nycklarna:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Kopiera den exporterade filen /var/broadworks/tmp/authService.keys till samma plats på de andra XSP|ADP:erna, och skriv över en äldre .keys fil om det behövs.

    5. Importera nycklarna på var och en av de andra XSP|ADP:erna:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Ange authService-URL:en till webbbehållaren. XSP|ADP:s webbcontainer behöver authService-URL:en så att den kan validera tokens. På var och en av XSP|ADP:erna:

    1. Lägg till URL för verifieringstjänsten som en extern verifieringstjänst för BroadWorks Communications-verktyget:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Lägg till URL för verifieringstjänsten till behållaren:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Detta gör det möjligt för Webex att använda autentiseringstjänsten för att validera tokens som presenterats som inloggningsuppgifter.

    3. Kontrollera parametern med get.

    4. Starta om XSP|ADP.

Ta bort autentiseringskravet för verifieringstjänsten (endast R24)

Om du har autentiseringstjänsten konfigurerad med CI-tokenvalidering på R24 måste du också ta bort kravet på klientautentisering för autentiseringstjänsten. Kör följande CLI-kommando:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Konfigurera TLS och chiffer på HTTP-gränssnitt (för XSI- och autentiseringstjänst)

Autentiseringstjänsten, Xsi-Actions- och Xsi-Events-programmen använder HTTP-servergränssnitt. Dessa program kan konfigureras på olika nivåer av TLS enligt följande:

Mest allmänt = System > transport > HTTP > HTTP Server-gränssnitt = Mest specifikt

De CLI-sammanhang du använder för att visa eller ändra de olika SSL-inställningarna är:

Läser HTTP-serverns TLS-gränssnittskonfiguration på XSP|ADP

1. Logga in på XSP|ADP och navigera till XSP|ADP_CLI/Interface/Http/HttpServer>

2. Skriv in kommandot get och läs av resultaten. Du bör se gränssnitten (IP-adresser) och för var och en om de är säkra och om de kräver klientautentisering.

En tomcat utk?perrer ett certifikat för varje säkert användargränssnitt. systemet skapar ett själv signerat certifikat om det behövs ett.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Lägga till TLS 1.2-protokoll till HTTP Server Interface

HTTP-gränssnittet som interagerar med Webex Cloud måste konfigureras för TLSv1.2. Molnet förhandlar inte om tidigare versioner av TLS-protokollet.

Så här konfigurerar du TLSv1.2-protokollet i HTTP-servergränssnittet:

1. Logga in på XSP|ADP och navigera till XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Skriv kommandot get 443 för att se vilka protokoll som redan används på det här gränssnittet.

3. Ange kommandot add 443 TLSv1.2 för att säkerställa att gränssnittet kan använda TLS 1.2 vid kommunikation med molnet.

Redigera TLS-chifferkonfiguration i HTTP Server Interface

Så här konfigurerar du de chiffer som krävs:

1. Logga in på XSP|ADP och navigera till XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Skriv kommandot get 443 för att se vilka chiffer som redan används i det här gränssnittet. Det måste finnas minst en från Ciscos rekommenderade programsviter (se XSP|ADP-identitets- och säkerhetskrav i översiktsavsnittet).

3. Skriv kommandot add 443 för att lägga till en chiffer i HTTP-servergränssnittet.

   XSP|ADP CLI kräver IANA-standardnamnet för krypteringssviten, inte openSSL-krypteringssvitens namn. För att till exempel lägga till openSSL-chiffern ECDHE-ECDSA-CHACHA20-POLY1305 till HTTP-servergränssnittet använder du: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Se https://ciphersuite.info/ för att hitta sviten med ett av filnamnen.

Konfigurera enhetshantering på XSP|ADP, applikationsserver och profilserver

Profilserver och XSP|ADP är obligatoriska för enhetshantering. De måste konfigureras enligt anvisningarna i BroadWorks Device Management Konfigurationsguide.