Ortak Ikamet Gereksinimleri

• Kimlik Doğrulama Hizmeti, Xsi uygulamalarıyla ortak yerleşiktir, çünkü bu arayüzler hizmet yetkilendirme için uzun süreli belirteçleri kabul etmek gerekir. Bu belirteçleri doğrulamak için kimlik doğrulaması hizmeti gereklidir.

• Kimlik doğrulama hizmeti ve Xsi, gerekirse aynı bağlantı noktası üzerinde çalıştırabilirsiniz.

• Diğer hizmetleri/uygulamaları ölçekiniz için gerektiği şekilde ayırabilirsiniz (örneğin, özel cihaz yönetimi XSP|ADP çiftliği).

• Xsi, CTI, Kimlik Doğrulama Hizmeti ve DMS uygulamalarını ortak bulun.

• BroadWorks'ü Webex ile entegre etmek için kullanılan XSP|ADP'lere başka uygulamalar veya hizmetler yüklemeyin.

• NPS uygulamasını diğer uygulamalarla ortak olarak bulmayın.

Xsi Arayüzleri

Cisco BroadWorks Xtended Hizmetleri Arayüzü Yapılandırma Kılavuzu'nda açıklandığı gibi Xsi-Actions ve Xsi-Events uygulamalarını yükleyin veyapılandırın.

CTI arayüzü için kullanılan XSP|ADP’de Xsi-Events uygulamalarının yalnızca bir örneği dağıtılmalıdır.

BroadWorks'ü Webex ile entegre etmek için kullanılan tüm Xsi-Events, Applications/Xsi-Events/GeneralSettings altında tanımlanan callControlApplicationName öğesine sahip olmalıdır. Örneğin:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> alma

callControlApplicationName = com.broadsoft.xsi-events

Bir kullanıcı Webex'e eklendiğinde, Webex iletişim durumu ve çağrı geçmişi için telefon etkinliklerini almak üzere AS'de kullanıcı için bir abonelik oluşturur. Abonelik callControlApplicationName ile ilişkilidir ve AS, telefon etkinliklerinin hangi Xsi-Events’e göndereceğini bilmek için bunu kullanır.

Kimlik Doğrulama Hizmetini Yapılandırma (CI Jetonu Doğrulama ile)

Kimlik Doğrulama Hizmetini, TLS ile CI Belirteç Doğrulamasını kullanmak üzere yapılandırmak için bu prosedürü kullanın. Bu kimlik doğrulama yöntemi, R22 veya daha yüksek bir işletim sistemi çalıştıran ve sisteminiz destekliyorsa önerilir.

1. Cisco BroadWorks için Webex’iniz için OAuth kimlik bilgilerini alma.

2. Her bir XSP|ADP sunucusuna aşağıdaki yamaları yükleyin. Sürümünize uygun yamaları yükleyin:

   • R22 için:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     .xsp.22.0.1123.ap368601

   • R23 için:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • R24 için - yama gerekmez

   XSP'ye yapılan tüm referanslar XSP veya ADP'yi içerir.

3. AuthenticationService uygulamasını her bir XSP|ADP hizmetine yükleyin.

   1. XSP|ADP’deki AuthenticationService uygulamasını /authService bağlam yoluna etkinleştirmek için aşağıdaki komutu çalıştırın.

      XSP|ADP_CLI/Maintenance/ManagedObjects> uygulamasını etkinleştir AuthenticationService 22.0_1.1123/authService

   2. AuthenticationService’i XSP|ADP’de dağıtmak için bu komutu çalıştırın:

      XSP|ADP_CLI/Maintenance/ManagedObjects> uygulama dağıtımı /authServiceBroadWorks SW Manager dağıtımı /authService...

4. Broadworks derlemesi 2022.10'dan itibaren, Java ile birlikte gelen sertifika yetkilileri artık Java'nın yeni bir sürümüne geçilirken otomatik olarak BroadWorks güven deposuna dahil edilmeyecektir. AuthenticationService, erişim belirtecini almak için Webex’e bir TLS bağlantısı açar ve IDBroker ve Webex URL’sini doğrulamak için güven mağazasında aşağıdakilerin bulunması gerekir:

   • IdenTrust Ticari Kök CA 1

   • Go Daddy Kök Sertifika Yetkilisi - G2

   Bu sertifikaların aşağıdaki CLI altında mevcut olduğunu doğrulayın

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> alma

   Mevcut değilse varsayılan Java güvenlerini içe aktarmak için aşağıdaki komutu çalıştırın:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> JavaCATrust

   Alternatif olarak, bu sertifikaları aşağıdaki komutla manuel olarak güven bağlayıcısı olarak ekleyebilirsiniz:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   ADP önceki bir sürümden yükseltilirse eski sürümdeki sertifika yetkilileri otomatik olarak yeni sürüme aktarılır ve manuel olarak kaldırılana kadar içe aktarılmaya devam eder.

   AuthenticationService uygulaması, ADP_CLI/System/SSLCommonSettings/GeneralSettings altındaki validatePeerIdentity ayarından muaftır ve eş Kimliğini her zaman doğrular. Bu ayar hakkında daha fazla bilgi için Cisco Broadworks X509 Sertifika Doğrulaması FD'sine bakın.

5. Her bir XSP|ADP sunucusunda aşağıdaki komutları çalıştırarak Kimlik Sağlayıcıları yapılandırın:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • clientId ayarlayın client-Id-From-Step1

   • etkinleştirildi true olarak ayarla

   • clientSecret client-Secret-From-Step1

   • ciResponseBodyMaxSizeInBayts 65536 olarak ayarla

   • issuerName olarak ayarla: URL için, CI kümeniz için geçerli IssuerName URL'sini girin. Aşağıdaki tabloya bakın.

   • düzenleyenUrl’sini ayarla: URL için, CI kümeniz için geçerli olan Düzenleyen Url’sini girin. Aşağıdaki tabloya bakın.

   • set tokenInfoUrl —Teams kümeniz için geçerli olan IdP Proxy URL’sini girin. Aşağıdaki ikinci tabloya bakın.

   Tablo 1. Düzenleyen adı ve düzenleyen URL’sini ayarla

   CI Kümesi...	Düzenleyen adı ve düzenleyen URL’yi şu şekilde ayarla...
   ABD-A	https://idbroker.webex.com/idb
   AB	https://idbroker-eu.webex.com/idb
   ABD-B	https://idbroker-b-us.webex.com/idb
   CI Kümenizi bilmiyorsanız, bilgileri Control Hub’ın Yardım Masası görünümündeki Müşteri ayrıntılarından edinebilirsiniz.

   Tablo 2. BelirteçBilgisiURL’sini ayarla

   Ekipler Kümesi...	tokenInfoURL’yi şuna ayarla:... (IdP Proxy URL’si)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   AİSLA	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Aore	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Teams Kümenizi bilmiyorsanız, bilgileri Control Hub'ın Yardım Masası görünümündeki Müşteri ayrıntılarından edinebilirsiniz. Test için, URL'nin "idp/authenticate" kısmını "ping" ile değiştirerek tokenInfoURL'nin geçerli olduğunu doğrulayabilirsiniz.

6. Aşağıdaki Webex çalıştırarak geçerli olan ve kullanıcı profili geçerli olması Webex yetkilendirmeyi belirtin:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> kapsamı BroadWorks-Connector:user

7. Her bir XSP|ADP sunucusunda aşağıdaki komutları kullanarak Cisco Federasyonu için Kimlik Sağlayıcıları yapılandırın:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • flsUrl olarak ayarla https://cifls.webex.com/federation

   • yenileme ayarlaPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. FLS yapılandırmanızı çalıştığını doğrulamak için aşağıdaki komutu çalıştırın. Bu komut, Kimlik Sağlayıcılarının listesini dönecektir:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Al

9. Her bir XSP|ADP sunucusunda aşağıdaki komutları kullanarak Belirteç Yönetimini yapılandırın:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • tokenIssworks'i ayarla

   • jetonuDurationInHours 720 olarak ayarlayın

10. RSA Anahtarları oluşturma ve paylaşma. Bir XSP|ADP'de anahtar oluşturmanız ve ardından bunları diğer tüm XSP|ADP'lere kopyalamanız gerekir. Bunun nedeni aşağıdaki etmenlerdir:

    • Kimlik doğrulama hizmetinin tüm örnekleri arasında jeton şifreleme/şifre çözme için aynı genel/özel anahtar çiftlerini kullanabilirsiniz.

    • Anahtar çifti, kimlik doğrulaması hizmeti tarafından ilk olarak bir belirteç oluşturmak gerektiğinde oluşturulur.

    Tuşları dönüşümlü hale getirirseniz veya anahtar uzunluğunu değiştirirseniz aşağıdaki yapılandırmayı tekrarlamanız ve tüm XSP|ADP'leri yeniden başlatmanız gerekir.

    1. Anahtar çifti oluşturmak için kullanılacak bir XSP|ADP seçin.

    2. Istemcinin tarayıcısından aşağıdaki URL'yi talep ederek o XSP|ADP'den şifreli bir belirteç istemek için bir istemci kullanın:

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

       (Bu, zaten bir tane yoksa XSP|ADP üzerinde özel/genel anahtar çifti oluşturur)

    3. Anahtar depo konumu yapılandırılamaz. Anahtarları dışa aktar:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Dışa aktarılan /var/broadworks/tmp/authService.keys dosyasını diğer XSP|ADP’lerde aynı konuma kopyalayın ve gerekirse eski bir .keys dosyasının üzerine yazar.

    5. Diğer XSP|ADP'lerin her birinde anahtarları içe aktarın:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Web kapsayıcısı için authService URL'sini girin. XSP|ADP’nin web kapsayıcısı, belirteçleri doğrulayabilmesi için authService URL’sine ihtiyaç duyar. Her bir XSP|ADP'de:

    1. BroadWorks Communications Yardımcı Programı için kimlik doğrulama hizmeti URL'sini harici kimlik doğrulaması hizmeti olarak ekleyin:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> ayar url’si http://127.0.0.1:80/authService

    2. Kapsayıcıya kimlik doğrulaması hizmeti URL'sini ekleyin:

       XSP|ADP_CLI/Maintenance/ContainerOptions> tomcat bw.authservice.authServiceUrl ekle http://127.0.0.1:80/authService

       Bu, Webex bilgileri olarak sunulan belirteçleri doğrulamak için Kimlik Doğrulaması Hizmetini kullanmalarını sağlar.

    3. get parametresini kontrol edin.

    4. XSP|ADP’yi yeniden başlatın.

Auth Hizmeti için İstemci Kimlik Doğrulaması Gereksinimini Kaldırma (yalnızca R24)

R24'te CI Belirteci doğrulamasıyla yapılandırılmış kimlik doğrulama Hizmetiniz varsa Kimlik Doğrulama Hizmeti için İstemci Kimlik Doğrulaması Gereksinimini de kaldırmanız gerekir. Aşağıdaki CLI komutunu çalıştırın:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> AuthenticationService clientAuthReq false olarak ayarla

TLS ve Şifreleri HTTP Arayüzlerde Yapılandırma (XSI ve Kimlik Doğrulama Hizmeti için)

Kimlik Doğrulama Hizmeti, Xsi-Eylemler ve Xsi-Events uygulamaları, HTTP sunucusu arayüzlerini kullanır. Bu uygulamalar için TLS yapılandırılabilirlik düzeyleri şunlardır:

En genel = Sistem > Taşıma > HTTP > HTTP Server arayüzü = En özel

Farklı SSL ayarlarını görüntülemek veya değiştirmek için kullanabileceğiniz CLI bağlamları:

XSP|ADP'de HTTP Sunucusu TLS Arayüz Yapılandırmasını Okuma

1. XSP|ADP'de oturum açın ve XSP|ADP_CLI/Interface/Http/HttpServer> adresine gidin

2. Get komutunu girin ve sonuçları okuyun. Arayüzleri (IP adresleri) ve güvenli olup olmadığı ve istemci kimlik doğrulaması gerekip gerek açmamalarını görmeniz gerekir.

Bu zorunlu olarak her bir güvenli arayüz için bir sertifika gerekir; sistem, gerekirse kendinden imzalı bir sertifika oluşturmektedir.

XSP|ADP_CLI/Interface/Http/HttpServer> get

HTTP Server Interface'e TLS 1.2 Protokolü ekleme

Webex Cloud ile etkileşime Webex HTTP arayüzü, TLSv1.2 için yapılandırılacaktır. Bulut, TLS protokolü için daha eski sürümler anlaşmaz.

HTTP Server arayüzünde TLSv1.2 protokolü yapılandırmak için:

1. XSP|ADP'de oturum açın ve XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols> adresine gidin

2. Bu arabirimde zaten hangi protokollerin kullanıldığını görmek için get 443 komutunu girin.

3. Arabirimin bulutla iletişim kurarken TLS 1.2'yi kullanabilmesini sağlamak için 443 TLSv1.2 komutunu girin.

HTTP Server Interface'de TLS Şifre Yapılandırmasını Düzenleme

Gerekli şifreleri yapılandırmak için:

1. XSP|ADP'de oturum açın ve XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers> adresine gidin

2. Bu arayüzde zaten hangi şifrelerin kullanıldığını görmek için get 443 komutunu girin. Cisco tarafından önerilen paketlerden en az biri olmalıdır (Genel Bakış bölümünde XSP|ADP Kimliği ve Güvenlik Gereksinimleri ’ne bakın).

3. HTTP Sunucusu arabirimine şifre eklemek için add 443 komutunu girin.

   XSP|ADP CLI, openSSL şifre paketi adı değil, IANA standart şifre paketi adı gerektirir. Örneğin, openSSL şifre ECDHE-ECDSA-CHACHA20-POLY1305'i HTTP sunucusu arayüzüne eklemek için şunları kullanırsınız: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Paketi https://ciphersuite.info/ her iki adla da bulun.

XSP|ADP, Uygulama Sunucusu ve Profil Sunucusu’nda Cihaz Yönetimini Yapılandırma

Cihaz Yönetimi için Profil Sunucusu ve XSP|ADP zorunludur. Bu yapılandırmaların, BroadWorks Cihaz Yönetimi Yapılandırma Kılavuzu'daki talimatlara göre yapılandırılmasıgerekir.