Вимоги до спільного проживання

• Служба аутентифікації повинна бути співмешканкою з програмами Xsi, оскільки ці інтерфейси повинні приймати довгострокові токени для авторизації служби. Служба автентифікації необхідна для перевірки цих токенів.

• Служба аутентифікації та Xsi можуть працювати на одному порту, якщо потрібно.

• Можна відокремити інші служби/програми, якщо це необхідно для вашого масштабу (наприклад, спеціальна ферма керування пристроями XSP|ADP).

• Ви можете спільно знаходити програми Xsi, CTI, службу автентифікації та DMS.

• Не встановлюйте інші програми або служби на XSP|ADP, які використовуються для інтеграції BroadWorks із Webex.

• Не поєднуйте програму NPS з будь-якими іншими програмами.

Інтерфейси Xsi

Встановіть та налаштуйте програми Xsi-Actions та Xsi-Events, як описано в Посібнику зконфігурації інтерфейсу Xtended Services Cisco BroadWorks.

У XSP|ADP, що використовується для інтерфейсу CTI, повинен бути розгорнутий лише один екземпляр програм Xsi-Events.

Усі Xsi-Events, що використовуються для інтеграції Broadworks із Webex, повинні мати однакове ім’яControlApplicationName, визначене в Applications/Xsi-Events/GeneralSettings. Наприклад:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> отримати

callControlApplicationName = com.broadsoft.xsi-events

Коли користувач підключається до Webex, Webex створює підписку для користувача в AS, щоб отримувати події телефонії для присутності та історії викликів. Підписка пов’язана з callControlApplicationName, а AS використовує її, щоб знати, якому Xsi-Events надсилати події телефонії.

Налаштувати службу автентифікації (з перевіркою токена CI)

Використовуйте цю процедуру, щоб налаштувати службу автентифікації на використання перевірки токена CI з TLS. Цей метод автентифікації рекомендується використовувати, якщо ви використовуєте R22 або вище, і ваша система його підтримує.

1. Отримання облікових даних OAuth для Webex для Cisco BroadWorks.

2. Установіть наступні виправлення на кожному сервері XSP|ADP. Встановіть патчі, які відповідають вашому випуску:

   • Для R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Для R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Для R24 — патч не потрібен

   Будь-яке посилання на XSP включає XSP або ADP.

3. Установіть програму AuthenticationService на кожну службу XSP|ADP.

   1. Запустіть наведену далі команду, щоб активувати програму AuthenticationService в XSP|ADP до шляху контексту /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> активувати службу автентифікації застосунку 22.0_1.1123/служба автентифікації

   2. Запустіть цю команду, щоб розгорнути службу автентифікації на XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> розгортає програму /authServiceBroadWorks SW Manager розгортає /authService...

4. Починаючи з версії Broadworks 2022.10, повноваження сертифікатів, які надходять за допомогою Java, більше не включаються автоматично до сховища довіри BroadWorks під час перемикання на нову версію Java. Служба автентифікації відкриває підключення TLS до Webex, щоб отримати маркер доступу, і для перевірки IDBroker і URL Webex потрібно мати таке в своєму сховищі довіри:

   • IdenTrust Commercial Root CA 1

   • Go Daddy Root Центр сертифікації - G2

   Переконайтеся, що ці сертифікати наявні за наступним CLI

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> отримати

   Якщо його немає, запустіть таку команду, щоб імпортувати довіри Java за замовчуванням:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> імпортJavaCATrust

   Крім того, ви можете вручну додати ці сертифікати як якори довіри за допомогою такої команди:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   Якщо ADP оновлено порівняно з попереднім випуском, органи сертифікації з старого випуску автоматично імпортуватимуться до нового випуску й будуть імпортовані, доки їх не буде видалено вручну.

   Застосунок служби автентифікації звільнено від параметра validatePeerIdentity у ADP_CLI/System/SSLCommonSettings/GeneralSettings і завжди перевіряє однорангову Ідентичність. Додаткову інформацію про це налаштування див. в FD перевірки сертифіката Cisco Broadworks X509 .

5. Налаштуйте постачальників посвідчень, виконуючи такі команди на кожному сервері XSP|ADP:

   XSP|ADP_CLI/Програми/Служба автентифікації/IdentityProviders/Cisco> отримати

   • set clientId client-Id-From-Step1

   • установити ввімкнено true

   • set clientSecret client-Secret-From-Step1

   • установити ciResponseBodyMaxSizeInBytes 65536

   • задайте ім’яЕмітента —Для URL введіть URL-адресуЕмітента, що застосовується до кластера CI. Дивіться наступну таблицю.

   • установіть UrlЕмітента —Для URL введіть UrlЕмітента, що застосовується до кластера CI. Дивіться наведену нижче таблицю.

   • налаштуйте tokenInfoUrl —введіть URL-адресу проксі-сервера IdP, що застосовується до кластера Teams. Дивіться другу таблицю, яка слідує далі.

   Таблиця 1. Установлення імені емітента та емітентаURL

   Якщо кластер CI є...	Встановіть ім'я емітента та емітентаURL на...
   УС-А	https://idbroker.webex.com/idb
   ЄС	https://idbroker-eu.webex.com/idb
   УС-Б	https://idbroker-b-us.webex.com/idb
   Якщо ви не знаєте свій КластерCI, ви можете отримати інформацію з даних про клієнта в розділі Служби підтримки Центру керування.

   Таблиця 2. Встановити токенInfoURL

   Якщо кластер Teams – це...	Встановіть токенInfoURL, щоб... (URL-адреса проксі-сервера IdP)
   ACHM	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   БОЇТЬСЯ	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   АОРЕ	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Якщо ви не знаєте свій КластерTeams, ви можете отримати інформацію з даних про клієнта в розділі «Довідкова служба» Центру керування. "Для тестування ви можете перевірити, чи дійсний токенInfoURL, замінивши частину ""idp/authenticate"" URL на ""ping""."

6. Вкажіть право Webex, яке має бути присутнім у профілі користувача у Webex, виконавши таку команду:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> задайте область дії Broadworks-з’єднувач:користувач

7. Налаштуйте постачальників посвідчень для Cisco Federation за допомогою таких команд на кожному сервері XSP|ADP:

   XSP|ADP_CLI/Програми/Служба автентифікації/IdentityProviders/Cisco/Federation> отримати

   • установити flsUrl https://cifls.webex.com/federation

   • установитиПеріодУХвилинах 60

   • задати оновленняТокена оновлення-токена-з-кроку1

8. Запустіть таку команду, щоб перевірити, чи працює конфігурація FLS. Ця команда поверне список постачальників посвідчень:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Отримати

9. Налаштуйте керування токенами за допомогою таких команд на кожному сервері XSP|ADP:

   • XSP|ADP_CLI/Програми/Служба автентифікації/Керування токенами>

   • налаштувати маркерЕмітент BroadWorks

   • установити маркерDurationInHours 720

10. Генерувати та ділитися ключами RSA. Потрібно створити ключі на одному XSP|ADP, а потім скопіювати їх у всі інші XSP|ADP. Це пов'язано з наступними факторами:

    • Ви повинні використовувати однакові пари відкритих/приватних ключів для шифрування/дешифрування токенів у всіх екземплярах служби автентифікації.

    • Пара ключів генерується службою аутентифікації, коли вперше потрібно випустити токен.

    Якщо ви виконуєте цикл клавіш або змінюєте довжину клавіш, потрібно повторити наведену далі конфігурацію та перезапустити всі XSP|ADP.

    1. Виберіть один XSP|ADP, який буде використовуватися для створення пари ключів.

    2. Використовуйте клієнт, щоб запитати токен зашифрованого від цього XSP|ADP, запитуючи таку URL-адресу в браузері клієнта:

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

       (Це створює пару закритих / відкритих ключів на XSP|ADP, якщо його ще не було)

    3. Розташування ключового магазину не налаштовується. Експорт клавіш:

       XSP|ADP_CLI/програми/автентифікаціяСлужба/Керування ключами> експортуватиКлючі

    4. Скопіюйте експортований файл /var/broadworks/tmp/authService.keys в те саме розташування на інших XSP|ADP, перезаписавши за потреби старіший файл .keys .

    5. Імпортуйте ключі кожен з інших XSP|ADP:

       XSP|ADP_CLI/Applications/AuthenticationService/KeyManagement> імпортКлючів /var/broadworks/tmp/authService.keys

11. Надайте URL-адресу authService веб-контейнеру. Вебконтейнер XSP|ADP потребує URL-адреси служби автентифікації, щоб він міг перевіряти маркери. Для кожного з XSP|АДП:

    1. Додайте URL-адресу служби автентифікації як зовнішню службу автентифікації для комунікаційної утиліти BroadWorks:

       XSP|ADP_CLI/система/комунікаційна утиліта/налаштування за замовчуванням/зовнішня автентифікація/служба автентифікації> установити URL http://127.0.0.1:80/authService

    2. Додайте URL-адресу служби автентифікації до контейнера:

       XSP|ADP_CLI/Обслуговування/ContainerOptions> додати tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Це дозволяє Webex використовувати службу автентифікації для перевірки токенів, представлених як облікові дані.

    3. Перевірте параметр із використанням get.

    4. Перезапустіть XSP|ADP.

Видаліть вимогу аутентифікації клієнта для служби auth (лише R24)

Якщо у вас є служба автентифікації, настроєна на перевірку токена CI на R24, вам також потрібно видалити вимогу аутентифікації клієнта для служби автентифікації. Запустіть таку команду CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set клієнта служби автентифікаціїAuthReq false

Налаштування TLS і шифрів на HTTP-інтерфейсах (для XSI і служби аутентифікації)

Служба аутентифікації, програми Xsi-Actions і Xsi-Events використовують інтерфейси HTTP-сервера. Рівні налаштовуваності TLS для цих додатків наступні:

Найбільш загальні = Системний > Транспортний > HTTP > HTTP Інтерфейс сервера = Найбільш специфічний

Контексти CLI, які використовуються для перегляду або зміни різних параметрів SSL:

Читання конфігурації інтерфейсу TLS HTTP сервера на XSP|ADP

1. Увійдіть до XSP|ADP і перейдіть до XSP|ADP_CLI/Interface/Http/HttpServer>

2. Введіть команду get і прочитайте результати. Ви повинні побачити інтерфейси (IP-адреси) і, для кожного, чи є вони безпечними і чи вимагають вони аутентифікації клієнта.

Apache tomcat вимагає сертифікат для кожного захищеного інтерфейсу; система генерує самопідписаний сертифікат, якщо він йому потрібен.

XSP|ADP_CLI/Інтерфейс/Http/HttpServer> отримати

Додавання протоколу TLS 1.2 до інтерфейсу HTTP-сервера

Інтерфейс HTTP, який взаємодіє з хмарою Webex, повинен бути налаштований для TLSv1.2. Хмара не веде переговори про більш ранні версії протоколу TLS.

Для настройки протоколу TLSv1.2 в інтерфейсі HTTP Server:

1. Увійдіть до XSP|ADP і перейдіть до XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Введіть команду отримати 443 , щоб побачити, які протоколи вже використовуються в цьому інтерфейсі.

3. Введіть команду додати 443 TLSv1.2 , щоб інтерфейс міг використовувати TLS 1.2 під час зв’язку з хмарою.

Редагування конфігурації шифрів TLS в інтерфейсі HTTP-сервера

Для настройки необхідних шифрів:

1. Увійдіть до XSP|ADP і перейдіть до XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Введіть команду отримати 443 , щоб побачити, які шифри вже використовуються в цьому інтерфейсі. "Має бути принаймні один із рекомендованих програмних комплексів Cisco (див. Вимоги до ідентифікації та безпеки XSP|ADP в розділі ""Огляд"")."

3. Введіть команду додати 443 , щоб додати шифр в інтерфейс HTTP-сервера.

   Для XSP|ADP CLI потрібне ім’я пакета шифрів IANA, а не ім’я пакета шифрів openSSL. Наприклад, щоб додати шифр openSSL ECDHE-ECDSA-CHACHA20-POLY1305 в інтерфейс HTTP-сервера, ви використовуєте: XSP|ADP_CLI/Інтерфейс/Http/HttpServer/SSLSettings/Ciphers>додати 192.0.2.7 443 TLS_ECDHE_ECDSA_З_CHACHA20_POLY1305

   Перегляньте https://ciphersuite.info/ , щоб знайти пакет під будь-яким ім'ям.

Налаштування керування пристроями на XSP|ADP, сервері програм і сервері профілю

Сервер профілю та XSP|ADP є обов’язковими для керування пристроями. Вони повинні бути налаштовані відповідно до інструкцій, наведених у Посібнику зконфігурації керування пристроями BroadWorks.