Krav för samrekitet

• Verifieringstjänsten måste ha samma hemvist för Xsi-program, eftersom gränssnitten måste godkänna tokens som används länge för tjänsteauktorisering. Verifieringstjänsten krävs för att verifiera dessa token.

• Autentiseringstjänsten och Xsi kan köras på samma port om det behövs.

• Du kan separera de andra tjänsterna/programmen efter behov för din skala (till exempel dedikerad enhetshantering XSP|ADP-gård).

• Du kan sam leta upp Xsi-, CTI-, autentiseringstjänsten och DMS-programmen.

• Installera inte andra program eller tjänster på XSP|ADP:er som används för att integrera BroadWorks med Webex.

• Lokalisera inte NPS-programmet med några andra program.

Xsi-gränssnitt

Installera och konfigurera Xsi-Actions- och Xsi-Events-applikationerna enligt beskrivningen i Konfigurationsguide för Cisco BroadWorks Xtended Services Interface.

Endast en instans av Xsi-Events-programmen bör distribueras på XSP|ADP som används för CTI-gränssnittet.

Alla Xsi-händelser som används för att integrera BroadWorks med Webex måste ha samma callControlApplicationName som definieras under Program/Xsi-Events/GeneralSettings. Till exempel:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> få

callControlApplicationName = com.broadsoft.xsi-events

När en användare registreras i Webex skapar Webex en prenumeration för användaren på AS för att ta emot telefonihändelser för närvaro och samtalshistorik. Prenumerationen är kopplad till callControlApplicationName och AS använder den för att veta vilka Xsi-Events som ska skicka telefonihändelserna.

Konfigurera autentiseringstjänsten (med CI-tokenvalidering)

Använd den här proceduren för att konfigurera autentiseringstjänsten för att använda CI-tokenvalidering med TLS. Denna verifieringsmetod rekommenderas om du kör R22 eller senare och ditt system stöder den.

1. Hämta OAuth-autentiseringsuppgifter för din Webex för Cisco BroadWorks.

2. Installera följande programfixar på varje XSP|ADP-server. Installera de programfixar som är lämpliga för din version:

   • För R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • För R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • För R24 – ingen programfix krävs

   Alla referenser till XSP inkluderar antingen XSP eller ADP.

3. Installera programmet AuthenticationService på varje XSP|ADP-tjänst.

   1. Kör följande kommando för att aktivera AuthenticationService-programmet på XSP|ADP till kontextsökvägen /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> aktivera programautentiseringstjänst 22.0_1.1123/authService

   2. Kör det här kommandot för att distribuera autentiseringstjänsten på XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> distribuera program /authServiceBroadWorks SW Manager distribuerar /authService ...

4. Från och med BroadWorks version 2022.10 inkluderas inte certifikatutfärdare som kommer med Java automatiskt i BroadWorks förtroendearkiv vid byte till en ny version av Java. Autentiseringstjänsten öppnar en TLS-anslutning till Webex för att hämta åtkomsttoken och måste ha följande i sin truststore för att validera IDBroker- och Webex-URL:en:

   • IdenTrusts kommersiella rot-CA 1

   • Go Daddy Root Certification Authority - G2

   Kontrollera att dessa certifikat finns under följande CLI

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> få

   Om det inte finns kan du köra följande kommando för att importera Java-standardförtroenden:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importeraJavaCATrust

   Alternativt kan du manuellt lägga till dessa certifikat som betrodda ankare med följande kommando:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> uppdateraTrust

   Om ADP uppgraderas från en tidigare version importeras certifikatutfärdare från den gamla versionen automatiskt till den nya versionen och fortsätter att importeras tills de tas bort manuellt.

   Programmet AuthenticationService är undantagen från validatePeerIdentity-inställningen under ADP_CLI/System/SSLCommonSettings/GeneralSettings och validerar alltid peer-identiteten. Se Cisco Broadworks X509 Certificate Validation FD för mer information om den här inställningen.

5. Konfigurera identitetsleverantörer genom att köra följande kommandon på varje XSP|ADP-server:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> hämta

   • ställ in klientId klient-ID-från-steg1

   • ange aktiverat sant

   • ställ in clientSecret client-Secret-From-Step1

   • ställ in ciResponseBodyMaxSizeInBytes 65536

   • ställ in issuerName – för URL anger du URL:en för utfärdarnamnet som gäller för ditt CI-kluster. Se följande tabell.

   • ställ in issuerUrl – för URL anger du utfärdareUrl som gäller för ditt CI-kluster. Se följande tabell.

   • ställ in tokenInfoUrl – Ange den IdP-proxy-URL som gäller för ditt Teams-kluster. Se den andra tabellen som följer.

   Tabell 1. Ange utfärdarnamn och utfärdarURL

   Om CI-kluster är...	Ställ in issuerName och issuerURL på ...
   USA – EN	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   USA–B	https://idbroker-b-us.webex.com/idb
   Om du inte känner till ditt CI-kluster kan du hämta informationen från kundinformationen i Help Desk-vyn i Control Hub.

   Tabell 2. Ställ in tokeninfoURL

   Om Teams-klustret är...	Ställ in tokenInfoURL till... (IdP-proxy-URL)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AFRA	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AORE	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Om du inte känner till ditt Teams-kluster kan du hämta informationen från kundinformationen i Help Desk-vyn i Control Hub. För testning kan du kontrollera att tokenInfoURL:en är giltig genom att ersätta ”idp/autentisera”-delen av URL:en med ”ping”.

6. Ange vilka Webex-berättiganden som måste finnas i användarprofil i Webex genom att köra följande kommando:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> inställt område broadworks-anslutning:användare

7. Konfigurera identitetsleverantörer för Cisco Federation med hjälp av följande kommandon på varje XSP|ADP-server:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> hämta

   • ställ in flsUrl https://cifls.webex.com/federation

   • ställ in uppdateringPeriodInMinutes 60

   • ställ in uppdateringstoken uppdatera-token-från-steg1

8. Kör följande kommando för att validera att din FLS-konfiguration fungerar. Det här kommandot returnerar listan över identitetsleverantörer:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Hämta

9. Konfigurera tokenhantering med följande kommandon på varje XSP|ADP-server:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • ange tokenIssuer BroadWorks

   • ställ in tokenDurationInHours 720

10. Generera och dela RSA-nycklar. Du måste generera nycklar på en XSP|ADP och sedan kopiera dem till alla andra XSP|ADP. Detta beror på följande faktorer:

    • Du måste använda samma offentliga/privata nyckelpar för tokenkryptering/dekryptering mellan alla instanser av autentiseringstjänsten.

    • Nyckelparet skapas av autentiseringstjänsten när det först måste utfärda en token.

    Om du cyklar nycklar eller ändrar nyckellängden måste du upprepa följande konfiguration och starta om alla XSP|ADP:er.

    1. Välj en XSP|ADP som ska användas för att generera ett nyckelpar.

    2. Använd en klient för att begära en krypterad token från XSP|ADP genom att begära följande URL från klientens webbläsare:

       https://<XSP|ADP-IPddress>/authService/token?key=BASE64URL(clientPublicKey)

       (Detta genererar ett privat/offentligt nyckelpar på XSP|ADP, om det inte redan fanns en)

    3. Lagringsplatsen för nyckeln kan inte konfigureras. Exportera nycklarna:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportnycklar

    4. Kopiera den exporterade filen /var/broadworks/tmp/authService.keys till samma plats på de andra XSP|ADPs och skriv vid behov över en äldre .keys -fil.

    5. Importera nycklarna till var och en av de andra XSP|ADP:erna:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importnycklar /var/broadworks/tmp/authService.keys

11. Ange authService-URL:en till webbbehållaren. XSP|ADP:s webbbehållare behöver autentiserings-URL:en så att den kan validera token. På var och en av XSP|ADP:erna:

    1. Lägg till URL för verifieringstjänsten som en extern verifieringstjänst för BroadWorks Communications-verktyget:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> ställ in url http://127.0.0.1:80/authService

    2. Lägg till URL för verifieringstjänsten till behållaren:

       XSP|ADP_CLI/Maintenance/ContainerOptions> lägg till tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Detta gör det möjligt för Webex att använda autentiseringstjänsten för att validera tokens som presenterats som inloggningsuppgifter.

    3. Kontrollera parametern med hämta.

    4. Starta om XSP|ADP.

Ta bort autentiseringskravet för verifieringstjänsten (endast R24)

Om du har autentiseringstjänsten konfigurerad med CI-tokenvalidering på R24 måste du också ta bort kravet på klientautentisering för autentiseringstjänsten. Kör följande CLI-kommando:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> ställ in AuthenticationService clientAuthReq false

Konfigurera TLS och chiffer på HTTP-gränssnitt (för XSI- och autentiseringstjänst)

Autentiseringstjänsten, Xsi-Actions- och Xsi-Events-programmen använder HTTP-servergränssnitt. Dessa program kan konfigureras på olika nivåer av TLS enligt följande:

Mest allmänt = System > transport > HTTP > HTTP Server-gränssnitt = Mest specifikt

De CLI-sammanhang du använder för att visa eller ändra de olika SSL-inställningarna är:

Läser HTTP-serverns TLS-gränssnittskonfiguration på XSP|ADP

1. Logga in på XSP|ADP och navigera till XSP|ADP_CLI/Interface/Http/HttpServer>

2. Ange kommandot hämta och läs resultaten. Du bör se gränssnitten (IP-adresser) och för var och en om de är säkra och om de kräver klientautentisering.

En tomcat utk?perrer ett certifikat för varje säkert användargränssnitt. systemet skapar ett själv signerat certifikat om det behövs ett.

XSP|ADP_CLI/Interface/Http/HttpServer> hämta

Lägga till TLS 1.2-protokoll till HTTP Server Interface

HTTP-gränssnittet som interagerar med Webex Cloud måste konfigureras för TLSv1.2. Molnet förhandlar inte om tidigare versioner av TLS-protokollet.

Så här konfigurerar du TLSv1.2-protokollet i HTTP-servergränssnittet:

1. Logga in på XSP|ADP och navigera till XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Ange kommandot get 443 för att se vilka protokoll som redan används i det här gränssnittet.

3. Ange kommandot lägg till 443 TLSv1.2 för att säkerställa att gränssnittet kan använda TLS 1.2 vid kommunikation med molnet.

Redigera TLS-chifferkonfiguration i HTTP Server Interface

Så här konfigurerar du de chiffer som krävs:

1. Logga in på XSP|ADP och navigera till XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Ange kommandot get 443 för att se vilka chiffer som redan används i det här gränssnittet. Det måste finnas minst en av Ciscos rekommenderade paket (se XSP|ADP-identitetskrav och säkerhetskrav i avsnittet Översikt).

3. Ange kommandot lägg till 443 för att lägga till en chiffer i HTTP-servergränssnittet.

   XSP|ADP CLI kräver IANA-standardkrypteringssvitnamnet, inte openSSL-krypteringssvitnamnet. Om du exempelvis vill lägga till openSSL-chiffer ECDHE-ECDSA-CHACHA20-POLY1305 i HTTP-servergränssnittet använder du: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>lägg till 192.0.2.7 443 TLS_ECDHE_ECDSA_MED_CHACHA20_POLY1305

   Se https://ciphersuite.info/ för att hitta sviten med ett av filnamnen.

Konfigurera enhetshantering på XSP|ADP, programserver och profilserver

Profilserver och XSP|ADP är obligatoriska för enhetshantering. De måste konfigureras enligt anvisningarna i BroadWorks Device Management Konfigurationsguide.