Вимоги до спільного проживання

• Служба аутентифікації повинна бути співмешканкою з програмами Xsi, оскільки ці інтерфейси повинні приймати довгострокові токени для авторизації служби. Служба автентифікації необхідна для перевірки цих токенів.

• Служба аутентифікації та Xsi можуть працювати на одному порту, якщо потрібно.

• Ви можете відокремити інші services/applications відповідно до потреб вашого масштабу (наприклад, виділена ферма керування пристроями XSP|ADP).

• Ви можете спільно знаходити програми Xsi, CTI, службу автентифікації та DMS.

• Не встановлюйте інші програми чи служби на XSP|ADP, які використовуються для інтеграції BroadWorks з Webex.

• Не поєднуйте програму NPS з будь-якими іншими програмами.

Інтерфейси Xsi

Встановіть та налаштуйте програми Xsi-Actions та Xsi-Events, як описано в Посібнику зконфігурації інтерфейсу Xtended Services Cisco BroadWorks.

На XSP|ADP, що використовується для інтерфейсу CTI, слід розгортати лише один екземпляр програм Xsi-Events.

Усі події Xsi, що використовуються для інтеграції Broadworks з Webex, повинні мати однаковий callControlApplicationName, визначений у Applications/Xsi-Events/GeneralSettings. Наприклад:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

Коли користувач реєструється у Webex, Webex створює для нього підписку в AS, щоб отримувати події телефонії для відстеження присутності та історії викликів. Підписка пов'язана з callControlApplicationName, і AS використовує її, щоб знати, куди Xsi-Events надсилати події телефонії.

Налаштувати службу автентифікації (з перевіркою токена CI)

Використовуйте цю процедуру, щоб налаштувати службу автентифікації на використання перевірки токена CI з TLS. Цей метод автентифікації рекомендується використовувати, якщо ви використовуєте R22 або вище, і ваша система його підтримує.

1. Отримання облікових даних OAuth для вашого Webex для Cisco BroadWorks.

2. Встановіть наступні патчі на кожен ADP-сервер XSP|. Встановіть патчі, які відповідають вашому випуску:

   • Для R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Для R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Для R24 — патч не потрібен

   Будь-яке посилання на XSP включає або XSP, або ADP.

3. Встановіть програму AuthenticationService на кожну службу ADP XSP|.

   1. Виконайте таку команду, щоб активувати програму AuthenticationService на XSP|ADP для /authService контекстний шлях.

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

   2. Виконайте цю команду, щоб розгорнути AuthenticationService на XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

4. Починаючи зі збірки Broadworks 2022.10, центри сертифікації, що постачаються з Java, більше не додаються автоматично до сховища довірених сертифікатів Broadworks під час переходу на нову версію Java. Служба автентифікації відкриває TLS-з’єднання з Webex для отримання токена доступу та потребує наступного у своєму сховищі довірених сертифікатів для перевірки URL-адреси IDBroker та Webex:

   • IdenTrust Commercial Root CA 1

   • Go Daddy Root Центр сертифікації - G2

   Перевірте, чи ці сертифікати присутні в наступному інтерфейсі командного рядка.

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

   Якщо немає, виконайте таку команду, щоб імпортувати довіри Java за замовчуванням:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

   Або ж ви можете вручну додати ці сертифікати як точки довіри за допомогою такої команди:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Якщо ADP оновлюється з попереднього випуску, то центри сертифікації зі старого випуску автоматично імпортуються до нового випуску та продовжуватимуть імпортуватися, доки їх не буде видалено вручну.

   Застосунок AuthenticationService звільнено від налаштування validatePeerIdentity в ADP_CLI/System/SSLCommonSettings/GeneralSettings, і завжди перевіряє ідентичність вузла. Див. FD перевірки сертифіката Cisco Broadworks X509 для отримання додаткової інформації про цей параметр.

5. Налаштуйте постачальників ідентифікації, виконавши такі команди на кожному ADP-сервері XSP|:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

   • set clientId client-Id-From-Step1

   • set enabled true

   • set clientSecret client-Secret-From-Step1

   • set ciResponseBodyMaxSizeInBytes 65536

   • set issuerName —Для URLвведіть URL-адресу IssuerName, яка застосовується до вашого кластера CI. Дивіться наступну таблицю.

   • set issuerUrl —Для URLвведіть IssuerUrl, що застосовується до вашого кластера CI. Дивіться наведену нижче таблицю.

   • set tokenInfoUrl —Введіть URL-адресу проксі-сервера IdP, яка застосовується до вашого кластера Teams. Дивіться другу таблицю, яка слідує далі.

   Таблиця 1. Установлення імені емітента та емітентаURL

   Якщо кластер CI є...	Встановіть ім'я емітента та емітентаURL на...
   УС-А	https://idbroker.webex.com/idb
   ЄС	https://idbroker-eu.webex.com/idb
   УС-Б	https://idbroker-b-us.webex.com/idb
   Якщо ви не знаєте свій КластерCI, ви можете отримати інформацію з даних про клієнта в розділі Служби підтримки Центру керування.

   Таблиця 2. Встановити токенInfoURL

   Якщо кластер Teams – це...	Встановіть токенInfoURL, щоб... (URL-адреса проксі-сервера IdP)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   БОЇТЬСЯ	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   АОРЕ	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Якщо ви не знаєте свій КластерTeams, ви можете отримати інформацію з даних про клієнта в розділі «Довідкова служба» Центру керування. Для тестування ви можете перевірити дійсність tokenInfoURL, замінивши частину "idp/authenticate" URL-адреси на "ping".

6. Вкажіть право Webex, яке має бути присутнім у профілі користувача у Webex, виконавши таку команду:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

7. Налаштуйте постачальників ідентифікації для Cisco Federation за допомогою таких команд на кожному ADP-сервері XSP|:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

   • set flsUrl https://cifls.webex.com/federation

   • set refreshPeriodInMinutes 60

   • set refreshToken refresh-Token-From-Step1

8. Запустіть таку команду, щоб перевірити, чи працює конфігурація FLS. Ця команда поверне список постачальників посвідчень:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Налаштуйте керування токенами за допомогою таких команд на кожному ADP-сервері XSP|:

   • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • set tokenDurationInHours 720

10. Генерувати та ділитися ключами RSA. Ви повинні згенерувати ключі на одному XSP|ADP, а потім скопіювати їх на всі інші XSP|ADP. Це пов'язано з наступними факторами:

    • Ви повинні використовувати однакові пари відкритих/приватних ключів для шифрування/дешифрування токенів у всіх екземплярах служби автентифікації.

    • Пара ключів генерується службою аутентифікації, коли вперше потрібно випустити токен.

    Якщо ви циклічно змінюєте ключі або змінюєте довжину ключа, вам потрібно повторити наступну конфігурацію та перезапустити всі ADP XSP|.

    1. Виберіть один XSP|ADP для використання під час створення пари ключів.

    2. Використайте клієнта, щоб запросити зашифрований токен від цього XSP|ADP, запросивши таку URL-адресу з браузера клієнта:

       https:///authService/token?key=BASE64URL(clientPublicKey)

       (Це генерує приватне / пара відкритих ключів на XSP|ADP, якщо такої ще не було)

    3. Розташування ключового магазину не налаштовується. Експорт клавіш:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. Скопіюйте експортований файл /var/broadworks/tmp/authService.keys у те саме місце на інших XSP|ADP, за потреби перезаписавши старіший .keys файл.

    5. Імпортуйте ключі на кожному з інших XSP|ADP:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

11. Надайте URL-адресу authService веб-контейнеру. Веб-контейнеру XSP|ADP потрібна URL-адреса authService, щоб він міг перевіряти токени. На кожному з ADP XSP|:

    1. Додайте URL-адресу служби автентифікації як зовнішню службу автентифікації для комунікаційної утиліти BroadWorks:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. Додайте URL-адресу служби автентифікації до контейнера:

       XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Це дозволяє Webex використовувати службу автентифікації для перевірки токенів, представлених як облікові дані.

    3. Перевірте параметр за допомогою get.

    4. Перезапустіть ADP XSP|.

Видаліть вимогу аутентифікації клієнта для служби auth (лише R24)

Якщо у вас є служба автентифікації, настроєна на перевірку токена CI на R24, вам також потрібно видалити вимогу аутентифікації клієнта для служби автентифікації. Запустіть таку команду CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

Налаштування TLS і шифрів на HTTP-інтерфейсах (для XSI і служби аутентифікації)

Служба аутентифікації, програми Xsi-Actions і Xsi-Events використовують інтерфейси HTTP-сервера. Рівні налаштовуваності TLS для цих додатків наступні:

Найбільш загальні = Системний > Транспортний > HTTP > HTTP Інтерфейс сервера = Найбільш специфічний

Контексти CLI, які використовуються для перегляду або зміни різних параметрів SSL:

Зчитування конфігурації інтерфейсу TLS HTTP-сервера на XSP|ADP

1. Увійдіть до XSP|ADP та перейдіть до XSP|ADP_CLI/Interface/Http/HttpServer>

2. Введіть команду get та прочитайте результати. Ви повинні побачити інтерфейси (IP-адреси) і, для кожного, чи є вони безпечними і чи вимагають вони аутентифікації клієнта.

Apache tomcat вимагає сертифікат для кожного захищеного інтерфейсу; система генерує самопідписаний сертифікат, якщо він йому потрібен.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Додавання протоколу TLS 1.2 до інтерфейсу HTTP-сервера

Інтерфейс HTTP, який взаємодіє з хмарою Webex, повинен бути налаштований для TLSv1.2. Хмара не веде переговори про більш ранні версії протоколу TLS.

Для настройки протоколу TLSv1.2 в інтерфейсі HTTP Server:

1. Увійдіть до XSP|ADP та перейдіть до XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Введіть команду get 443, щоб побачити, які протоколи вже використовуються на цьому інтерфейсі.

3. Введіть команду add 443 TLSv1.2, щоб переконатися, що інтерфейс може використовувати TLS 1.2 під час зв'язку з хмарою.

Редагування конфігурації шифрів TLS в інтерфейсі HTTP-сервера

Для настройки необхідних шифрів:

1. Увійдіть до XSP|ADP та перейдіть до XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Введіть команду get 443, щоб побачити, які шифри вже використовуються на цьому інтерфейсі. Повинен бути принаймні один із рекомендованих пакетів Cisco (див. XSP|Вимоги до ідентифікації та безпеки ADP у розділі «Огляд»).

3. Введіть команду add 443 , щоб додати шифр до інтерфейсу HTTP-сервера.

   Інтерфейс командного рядка XSP|ADP вимагає стандартної назви набору шифрів IANA, а не назви набору шифрів openSSL. Наприклад, щоб додати шифр openSSL ECDHE-ECDSA-CHACHA20-POLY1305 до інтерфейсу HTTP-сервера, потрібно використовувати: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

   Перегляньте https://ciphersuite.info/ , щоб знайти пакет під будь-яким ім'ям.

Налаштування керування пристроями на XSP|ADP, сервері застосунків та сервері профілів

Сервер профілів та XSP|ADP є обов'язковими для керування пристроями. Вони повинні бути налаштовані відповідно до інструкцій, наведених у Посібнику зконфігурації керування пристроями BroadWorks.