Ortak Ikamet Gereksinimleri

• Kimlik Doğrulama Hizmeti, Xsi uygulamalarıyla ortak yerleşiktir, çünkü bu arayüzler hizmet yetkilendirme için uzun süreli belirteçleri kabul etmek gerekir. Bu belirteçleri doğrulamak için kimlik doğrulaması hizmeti gereklidir.

• Kimlik doğrulama hizmeti ve Xsi, gerekirse aynı bağlantı noktası üzerinde çalıştırabilirsiniz.

• Diğerini ayırabilirsiniz services/applications Ölçeğiniz için gerektiği gibi (örneğin, özel cihaz yönetimi XSP|ADP çiftliği).

• Xsi, CTI, Kimlik Doğrulama Hizmeti ve DMS uygulamalarını ortak bulun.

• BroadWorks'ü Webex ile entegre etmek için kullanılan XSP|ADP'lerine başka uygulamalar veya hizmetler yüklemeyin.

• NPS uygulamasını diğer uygulamalarla ortak olarak bulmayın.

Xsi Arayüzleri

Cisco BroadWorks Xtended Hizmetleri Arayüzü Yapılandırma Kılavuzu'nda açıklandığı gibi Xsi-Actions ve Xsi-Events uygulamalarını yükleyin veyapılandırın.

CTI arayüzü için kullanılan XSP|ADP'de yalnızca bir Xsi-Events uygulaması örneği dağıtılmalıdır.

Broadworks'ü Webex ile entegre etmek için kullanılan tüm Xsi-Events'in, altında tanımlanan aynı callControlApplicationName'e sahip olması gerekir Applications/Xsi-Events/GeneralSettings. Örnek:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Bir kullanıcı Webex'e eklendiğinde, Webex, varlık ve çağrı geçmişi için telefon olaylarını almak amacıyla kullanıcı için AS'de bir abonelik oluşturur. Abonelik callControlApplicationName ile ilişkilidir ve AS bunu telefon olaylarını hangi Xsi-Events'e göndereceğini bilmek için kullanır.

Kimlik Doğrulama Hizmetini Yapılandırma (CI Jetonu Doğrulama ile)

Kimlik Doğrulama Hizmetini, TLS ile CI Belirteç Doğrulamasını kullanmak üzere yapılandırmak için bu prosedürü kullanın. Bu kimlik doğrulama yöntemi, R22 veya daha yüksek bir işletim sistemi çalıştıran ve sisteminiz destekliyorsa önerilir.

1. Cisco BroadWorks için Webex'iniz için OAuth kimlik bilgilerinin alınması.

2. Her XSP|ADP sunucusuna aşağıdaki yamaları yükleyin. Sürümünize uygun yamaları yükleyin:

   • R22 için:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • R23 için:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • R24 için - yama gerekmez

   XSP'ye yapılan her atıf XSP'yi veya ADP'yi kapsar.

3. AuthenticationService uygulamasını her XSP|ADP hizmetine yükleyin.

   1. XSP|ADP'de AuthenticationService uygulamasını etkinleştirmek için aşağıdaki komutu çalıştırın /authService bağlam yolu.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. AuthenticationService'i XSP|ADP'ye dağıtmak için bu komutu çalıştırın:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. Broadworks 2022.10 sürümünden başlayarak, Java ile birlikte gelen sertifika yetkilileri, Java'nın yeni bir sürümüne geçildiğinde artık otomatik olarak BroadWorks güven deposuna dahil edilmiyor. AuthenticationService, erişim belirtecini almak için Webex'e bir TLS bağlantısı açar ve IDBroker ve Webex URL'sini doğrulamak için güven deposunda aşağıdakilerin bulunması gerekir:

   • IdenTrust Ticari Kök CA 1

   • Go Daddy Kök Sertifika Yetkilisi - G2

   Bu sertifikaların aşağıdaki CLI altında mevcut olduğunu doğrulayın

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Mevcut değilse, varsayılan Java güvenlerini içe aktarmak için aşağıdaki komutu çalıştırın:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Alternatif olarak, bu sertifikaları aşağıdaki komutla manuel olarak güven bağlantıları olarak ekleyebilirsiniz:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   ADP önceki bir sürümden yükseltilirse, eski sürümdeki sertifika yetkilileri otomatik olarak yeni sürüme aktarılır ve manuel olarak kaldırılıncaya kadar aktarılmaya devam eder.

   AuthenticationService uygulaması ADP_kapsamında validatePeerIdentity ayarından muaftır CLI/System/SSLCommonSettings/GeneralSettings, ve her zaman akran kimliğini doğrular. Bu ayar hakkında daha fazla bilgi için Cisco Broadworks X509 Sertifika Doğrulama FD'sine bakın.

5. Her XSP|ADP sunucusunda aşağıdaki komutları çalıştırarak Kimlik Sağlayıcılarını yapılandırın:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName — URLiçin CI Kümeniz için geçerli olan IssuerName URL'sini girin. Aşağıdaki tabloya bakınız.

   • set issuerUrl — URLiçin CI Kümeniz için geçerli olan IssuerUrl'yi girin. Aşağıdaki tabloya bakınız.

   • set tokenInfoUrl —Teams Kümeniz için geçerli IdP Proxy URL'sini girin. Aşağıdaki ikinci tabloya bakınız.

   Tablo 1. issuerName ve issuerURL'yi ayarlayın

   CI Kümesi...	issuerName ve issuerURL'yi şu şekilde ayarlayın...
   ABD-A	https://idbroker.webex.com/idb
   AB	https://idbroker-eu.webex.com/idb
   ABD-B	https://idbroker-b-us.webex.com/idb
   CI Kümenizibilmiyorsanız, Control Hub'ın Yardım Masası görünümündeki Müşteri ayrıntılarından bilgi alabilirsiniz.

   Tablo 2. tokenInfoURL'yi ayarla

   Ekipler Kümesi...	tokenInfoURL'yi...(IdP Proxy URL'si) olarak ayarlayın
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AİSLA	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Aore	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Teams Kümenizibilmiyorsanız, Control Hub'ın Yardım Masası görünümündeki Müşteri ayrıntılarından bilgi alabilirsiniz. Test için, tokenInfoURL'nin geçerliliğini, URL'nin "idp/authenticate" kısmını "ping" ile değiştirerek doğrulayabilirsiniz.

6. Aşağıdaki Webex çalıştırarak geçerli olan ve kullanıcı profili geçerli olması Webex yetkilendirmeyi belirtin:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Her XSP|ADP sunucusunda aşağıdaki komutları kullanarak Cisco Federation için Kimlik Sağlayıcılarını yapılandırın:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. FLS yapılandırmanızı çalıştığını doğrulamak için aşağıdaki komutu çalıştırın. Bu komut, Kimlik Sağlayıcılarının listesini dönecektir:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Her XSP|ADP sunucusunda aşağıdaki komutları kullanarak Token Yönetimini yapılandırın:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. RSA Anahtarları oluşturma ve paylaşma. Önce bir XSP|ADP'de anahtarlar üretmeli, sonra bunları diğer tüm XSP|ADP'lere kopyalamalısınız. Bunun nedeni aşağıdaki etmenlerdir:

    • Kimlik doğrulama hizmetinin tüm örnekleri arasında jeton şifreleme/şifre çözme için aynı genel/özel anahtar çiftlerini kullanabilirsiniz.

    • Anahtar çifti, kimlik doğrulaması hizmeti tarafından ilk olarak bir belirteç oluşturmak gerektiğinde oluşturulur.

    Anahtarları döngüye sokarsanız veya anahtar uzunluğunu değiştirirseniz, aşağıdaki yapılandırmayı tekrarlamanız ve tüm XSP|ADP'lerini yeniden başlatmanız gerekir.

    1. Anahtar çifti oluşturmak için kullanılacak bir XSP|ADP seçin.

    2. Aşağıdaki URL'yi istemcinin tarayıcısından isteyerek, istemciyi kullanarak o XSP|ADP'den şifrelenmiş bir belirteç talep edin:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Bu özel bir / (XSP'de|ADP'de açık anahtar çifti (eğer daha önceden yoksa)

    3. Anahtar depo konumu yapılandırılamaz. Anahtarları dışa aktar:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Dışa aktarılan dosyayı /var/broadworks/tmp/authService.keys diğer XSP|ADP'lerindeki aynı konuma kopyalayın ve gerekirse eski .keys dosyasının üzerine yazın.

    5. Diğer XSP|ADP'lerinin her birindeki anahtarları içe aktarın:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Web kapsayıcısı için authService URL'sini girin. XSP|ADP'nin web konteynerinin, belirteçleri doğrulayabilmesi için authService URL'sine ihtiyacı vardır. XSP|ADP'lerinin her birinde:

    1. BroadWorks Communications Yardımcı Programı için kimlik doğrulama hizmeti URL'sini harici kimlik doğrulaması hizmeti olarak ekleyin:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Kapsayıcıya kimlik doğrulaması hizmeti URL'sini ekleyin:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Bu, Webex bilgileri olarak sunulan belirteçleri doğrulamak için Kimlik Doğrulaması Hizmetini kullanmalarını sağlar.

    3. Parametreyi getile kontrol edin.

    4. XSP|ADP'yi yeniden başlatın.

Auth Hizmeti için İstemci Kimlik Doğrulaması Gereksinimini Kaldırma (yalnızca R24)

R24'te CI Belirteci doğrulamasıyla yapılandırılmış kimlik doğrulama Hizmetiniz varsa Kimlik Doğrulama Hizmeti için İstemci Kimlik Doğrulaması Gereksinimini de kaldırmanız gerekir. Aşağıdaki CLI komutunu çalıştırın:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

TLS ve Şifreleri HTTP Arayüzlerde Yapılandırma (XSI ve Kimlik Doğrulama Hizmeti için)

Kimlik Doğrulama Hizmeti, Xsi-Eylemler ve Xsi-Events uygulamaları, HTTP sunucusu arayüzlerini kullanır. Bu uygulamalar için TLS yapılandırılabilirlik düzeyleri şunlardır:

En genel = Sistem > Taşıma > HTTP > HTTP Server arayüzü = En özel

Farklı SSL ayarlarını görüntülemek veya değiştirmek için kullanabileceğiniz CLI bağlamları:

XSP|ADP'de HTTP Sunucusu TLS Arayüz Yapılandırmasının Okunması

1. XSP|ADP'ye giriş yapın ve XSP|ADP_CLI/Interface/Http/HttpServer>' e gidin

2. get komutunu girin ve sonuçları okuyun. Arayüzleri (IP adresleri) ve güvenli olup olmadığı ve istemci kimlik doğrulaması gerekip gerek açmamalarını görmeniz gerekir.

Bu zorunlu olarak her bir güvenli arayüz için bir sertifika gerekir; sistem, gerekirse kendinden imzalı bir sertifika oluşturmektedir.

XSP|ADP_CLI/Interface/Http/HttpServer> get

HTTP Server Interface'e TLS 1.2 Protokolü ekleme

Webex Cloud ile etkileşime Webex HTTP arayüzü, TLSv1.2 için yapılandırılacaktır. Bulut, TLS protokolü için daha eski sürümler anlaşmaz.

HTTP Server arayüzünde TLSv1.2 protokolü yapılandırmak için:

1. XSP|ADP'ye giriş yapın ve XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>' e gidin

2. Bu arayüzde hangi protokollerin zaten kullanıldığını görmek için get 443 komutunu girin.

3. Arayüzün bulutla iletişim kurarken TLS 1.2'yi kullanabilmesini sağlamak için add 443 TLSv1.2 komutunu girin.

HTTP Server Interface'de TLS Şifre Yapılandırmasını Düzenleme

Gerekli şifreleri yapılandırmak için:

1. XSP|ADP'ye giriş yapın ve XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>' e gidin

2. Bu arayüzde hangi şifrelerin kullanıldığını görmek için get 443 komutunu girin. Cisco'nun önerdiği paketlerden en az bir tanesi olmalıdır (Genel Bakış bölümündeki XSP|ADP Kimlik ve Güvenlik Gereksinimleri konusuna bakın).

3. HTTP Sunucusu arayüzüne bir şifre eklemek için add 443 komutunu girin.

   XSP|ADP CLI, openSSL şifre paketi adını değil, IANA standart şifre paketi adını gerektirir. Örneğin, HTTP sunucusu arayüzüne openSSL şifresini ECDHE-ECDSA-CHACHA20-POLY1305 eklemek için şunu kullanırsınız: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Paketi https://ciphersuite.info/ her iki adla da bulun.

XSP|ADP, Uygulama Sunucusu ve Profil Sunucusunda Aygıt Yönetimini Yapılandırma

Cihaz Yönetimi için Profil Sunucusu ve XSP|ADP zorunludur. Bu yapılandırmaların, BroadWorks Cihaz Yönetimi Yapılandırma Kılavuzu'daki talimatlara göre yapılandırılmasıgerekir.