水印
2021年4月9日 | 次查看 | 人认为有帮助

Webex for BroadWorks 解决方案指南

本指南适用于部署 Webex for BroadWorks 解决方案的合作伙伴级别管理员。

BroadWorks Webex概述

BroadWorks Webex概述

文档更改历史记录

日期

更改

区域

2021 年 3 月 25 日

  • 更新了 安装身份验证服务,具体更新了查找 IssuerUrlIdPProxy URL

2021 年 3 月 17 日

  • 更新了功能限制,具体更新了关于应用程序集成的信息

  • 更新了安装身份验证服务,具体更新了 IssuerName URL 信息和 FLS 配置验证

2021 年 3 月 3 日

  • 更新了refreshPeriodInMinutes安装身份验证服务过程中的设置。

2021 年 3 月 2 日

  • 为 Webex for BroadWorks 主题添加了消息传递限制

  • 安装身份验证服务主题中的 IdP 代理 URL 信息进行微调编辑

2021 年 2 月 23 日

  • 针对 SIP VoIP 终端端口和协议,更新了美国入口规则欧洲、中东及非洲入口规则表。

  • 修复了用户交互主题中缺少的图像。

  • 安装身份验证服务添加了 IdP 代理 URL

2021 年 2 月 10 日

  • 添加了将 NPS 迁移到 FCMv1 过程主题。

  • 将 mTLS 配置信息移到附录。 还应用了附加的 TOC 格式,以使附录更易于使用。

2021 年 2 月 5 日

  • 添加了呼叫录制群组呼叫代接和取回功能

  • 将软件电话软件包添加到软件包列表中

  • 更新了对于“使用 CI 令牌验证的身份验证服务”的 TLS 引用

2021 年 1 月 29 日

  • 更新了体系结构和基础设施主题中的链接

  • 添加了有关 VDI 支持的限制

  • 更正了功能和限制主题中的“PMR 功能”支持。 添加了桌面共享和会议持续时间。

2021 年 1 月 27 日

  • 使用更新的 DTAF 文件和链接更新了设备档案表。 添加了新的 Webex 平板电脑模板。

  • 小幅更正了有关 Webex Meetings 支持的功能和限制表。

2021 年 1 月 22 日

  • 使用 Webex Meetings 的功能支持信息更新了功能和限制主题。

  • 使用 Apple 的 HTTP 协议支持更新信息,添加了 APN 注意事项主题。

2021 年 1 月 12 日

  • 利用用于 PMR 会议的屏幕共享支持信息,更新了 Webex for BroadWorks 概述一章中的功能主题。 还添加了一个表格,其中包含有关 PMR 会议功能支持的其他信息。

  • 更新了部署 Webex for BroadWorks 一章中的安装 XSP 身份验证过程中的备注。

2020 年 12 月 18 日

  • 更新“安装 XSP 身份验证”步骤(位于“为 BroadWorks 部署 Webex”一章中)。

  • 将预先存在的过程移至附录。

2020 年 12 月 15 日

添加了BroadWorks Calling 目录同步

2020 年 12 月 08 日

更新文档。 Webex Teams 更名为 Webex(应用程序)。

2020 年 11 月 12 日

  • 使用用户预配置和激活流程用户交互

    修复图片引用损坏的问题。

  • Webex 需要的 BroadWorks 标记、BroadWorks 软件要求、防火墙配置、DNS 配置:

    修复表格格式不一致的问题。

DNS 配置

澄清 DNS 要求: 请勿将轮询 A/AAAA 记录用于客户端 Xsi 地址

为 BroadWorks 在 Webex 中配置呼叫推送通知

  • 重做 NPS 代理部分以改进流程并减少重复操作。

  • 删除外部文章的 NPS 迁移建议。

  • 将 Webex 应用程序添加到 AS 允许列表。

  • 澄清创建 NPS 代理 CI 帐户的命令。

2019 年 10 月 22 日

管理用户

  • 添加在 Partner Hub 中编辑用户软件包的过程。

  • 添加通过自助激活预配置用户的过程。

  • 添加用于删除用户的选项。

使用预配置 API

  • 添加 API Responsebody 定义

  • 添加 API 错误代码

部署 Webex for BroadWorks

添加呼叫设置网页视图

通过 CTI 接口进行相互 TLS 身份验证的其他证书要求

添加关于内部 CA 和 BroadWorks OID 的缺失图表和澄清文本。

2020 年 10 月 9 日

使用预配置 API

添加关于开发者和授权用户角色的详细信息,用于实施应用程序以使用 Webex for BroadWorks API。

添加 API 向后兼容和版本控制策略。

EMEA 出口规则

已添加idbroker-eu.webex.com到必须允许从 EMEA 组织出站的域,并从该列表中删除了idbroker.webex.com

配置 NPS 以使用 NPS 代理

更正将阅读器定向到错误 Cisco 资源的 NPS 代理帐户请求过程。

在 Webex for BroadWorks XSP 上配置服务、CTI 接口和相关配置:

添加关于使用容器选项在 XSP R21(SP1) 上配置 TLS 版本和密码的备注。

在针对 BroadWorks XSP Webex配置服务

添加用于生成和共享 RSA 密钥的 XSP R21(SP1) 详细信息。

功能限制

更新参加者限制和拨入选项。

配置 BroadWorks 集群

添加关于不保存无效集群的备注。

使用预配置服务 URL 配置应用程序服务器

删除关于在 BroadWorks 上创建新管理员的一些不相关部分。

2020 年 10 月

更新文档,加入新功能。

  • 添加 CTI 界面和相关配置

  • 更新订购和预配置,加入新用户预配置流程概述。

  • 出口规则中添加 NPS 代理 IP 范围。

    (添加范围 34.64.0.0/10、35.208.0.0/12、35.224.0.0/12、35.240.0.0/13 以及尽可能使用 FQDN 的建议)。

  • 入口规则中添加新 IP,允许从 Webex 到您的 XSP。

    (对于 CTI 和 HTTPS: 来源 44.232.54.0、52.39.97.25、54.185.54.53)

  • 添加备注,强烈建议在 DNS 配置中使用 SRV。

  • 部署概述现在包含所有预配置模式的任务流程。

2020 年 9 月

配置 NPS 以使用 NPS 代理

更正 NPS 身份验证代理 URL

2020 年 8 月

  • XSP 身份和安全要求

    按照 IANA 约定更正密码套件名称

  • 在针对 BroadWorks XSP Webex配置服务

    更正 XSP mTLS 信任锚过程

2020 年 7 月

首次发布

Webex for BroadWorks 简介

本部分面向为客户组织实施 Cisco Webex 或直接向自己的订阅者提供此解决方案的 Cisco 合作伙伴组织(服务商)的系统管理员。

解决方案用途

  • 为已由 BroadWorks 服务商提供呼叫服务的中小型客户提供 Cisco Webex 云协作功能。

  • 为中小型 Webex 客户提供基于 BroadWorks 的呼叫服务。

上下文

我们正在将所有协作客户端发展为一个统一的应用程序。 这一路径可减少采用障碍,改善互操作性和迁移,在我们的整个协作产品组合中提供可预测的用户体验。 这项工作的一部分就是将 BroadWorks 呼叫功能移至 Webex 客户端,最终减少对 UC-One 客户端的投资。

优点

  • 适应未来: 到 UC-One 协作服务生命周期终止时,所有客户端移动至 Unified Client Framework (UCF)

  • 两全其美: 在电话网络上保留 BroadWorks 呼叫的同时启用 Webex 消息传递和会议功能

解决方案适用范围

  • 需要一整套协作功能的小型到中型现有/新客户(订阅者少于 250 名),可能已有 BroadWorks Calling。

  • 希望添加 BroadWorks Calling 的中小规模现有客户。

  • 不适合大型企业(请考虑我们的 Webex 企业产品组合)。

  • 不适合单个用户(请考虑 Webex 在线服务)。

Webex for BroadWorks 中的功能集面向中小型企业使用案例。 Webex for BroadWorks 软件包专为帮助中小企业降低复杂性而设计,我们一直在评估它们对于该细分市场的适用性。 我们可以选择隐藏或删除企业软件包中提供的功能。

成功部署 Webex for BroadWorks 的前提条件

#

要求

说明

1

打过最新补丁的 BroadWorks 21SP1 或以上版本

建议 R22 或以上版本

2

用于 XSI、CTI、DMS 和 authService 的 XSP

Webex for BroadWorks 专用 XSP

3

用于 NPS 的单独 XSP,可与其他使用 NPS 的解决方案共享。

如果您已有协作部署,请考虑关于 XSP 和 NPS 配置的建议。

4

为 Webex 与身份验证服务的连接配置了 CI 令牌验证(使用 TLS)。

5

为 Webex 与CTI 接口的连接配置了 mTLS。

其他应用程序不需要 mTLS。

6

用户必须存在于 BroadWorks 中,并需要以下属性,具体取决于您的预配置决策:

  • 使用受信任电子邮件的流: BroadWorks 用户的电子邮件属性必须包含对该用户唯一的有效电子邮件地址。 用户还必须有主号码。

  • 使用不受信任的电子邮件或自助激活或 API 预配置的流: 用户不需要电子邮件地址,但必须有主号码。

对于受信任的电子邮件: 我们建议在备用 ID 属性中也输入相同的电子邮件地址,以便用户通过 BroadWorks 使用电子邮件地址登录。

对于不受信任的电子邮件: 使用不受信任的电子邮件可能会导致电子邮件被发送到用户的垃圾邮件文件夹,具体情况取决于用户的电子邮件设置。 管理员可能需要更改用户的电子邮件设置,以允许域

7

适用于 Webex 客户端的 Webex for BroadWorks DTAF 文件

8

BW Business Lic 或 Std Enterprise 或 Prem Enterprise User Lic + Webex for BroadWorks 订购

如果您已有协作部署,就不再需要 UC-One 附加捆绑包、Collab Lic 和 Meet-me 会议端口。

如果您已有 UC-One SaaS 部署,除接受“高级服务软件包”条款外,无需进行其他更改。

9

IP/端口必须能够在公共互联网上通过 Webex 后端服务和 Webex 应用程序访问。

请参阅“准备网络”部分。

10

XSP 上的 TLS v1.2 配置

11

对于流式预配置,应用程序服务器必须连接到 BroadWorks 预配置适配器。


 

我们不测试也不支持出站代理配置。 如果您使用出站代理,则代表您负责为它提供使用 Webex for BroadWorks 的支持。

请参阅“准备网络”话题。

关于本文档

本文档的目的是帮助您了解、准备、部署和管理 Webex for BroadWorks 解决方案。 本文档中的主要部分反映了这一目的。

本指南包含概念性和参考材料。 我们希望通过本文档涵盖解决方案的各个方面。

部署解决方案的最小任务集为:

  1. 联系您的帐户团队,成为 Cisco 合作伙伴。 您必须探索 Cisco 接触点以便熟悉(和培训),这一点至关重要。 在您成为 Cisco 合作伙伴之后,我们会将 Webex for BroadWorks 开关应用于您的 Webex 合作伙伴组织。 (请参阅本文档中的“部署 Webex for BroadWorks > 合作伙伴加入”。)

  2. 配置您的 BroadWorks 系统以便与 Webex 集成。 (请参阅本文档中的“部署 Webex for BroadWorks > 在 Webex for BroadWorks XSP 上配置服务”。)

  3. 使用 Partner Hub 将 Webex 连接到 BroadWorks。 (请参阅本文档中的“部署 Webex for BroadWorks > 在 Partner Hub 中配置合作伙伴组织”。)

  4. 使用 Partner Hub 准备用户预配置模板。 (请参阅本文档中的“部署 Webex for BroadWorks > 配置客户模板”。)

  5. 通过预配置至少一位用户,测试并加入一个客户。(请参阅本文档中的“部署 Webex for BroadWorks > 配置测试组织”。)


    • 按照通常顺序,以上为高级步骤。 有几项相关任务不可忽视。

    • 如果您希望创建自己的应用程序以便管理 Webex for BroadWorks 订阅者,应阅读本指南参考资料部分中的“使用预配置 API”

术语

我们尽力减少本文档中使用的行话和首字母缩略词,并且会在每个术语首次使用时予以说明。(如果某个术语在上下文中没有解释,请参阅“Webex for BroadWorks 参考资料 > 术语”。)

工作方式

Cisco Webex for BroadWorks 是一款在 Webex 中集成了 BroadWorks Calling 的服务。 订阅者使用单个应用程序(Webex 应用程序)来利用两个平台提供的功能:

  • 用户使用 BroadWorks 基础设施呼叫 PSTN 号码。

  • 用户使用 BroadWorks 基础设施呼叫其他 BroadWorks 号码(音频/视频呼叫,方法为选择与用户或拨号键盘关联的号码以引入这些号码)。

  • 或者,用户可以通过 Webex 应用程序上的选项“Webex Call”,通过 Webex 基础设施进行 Webex VOIP 呼叫。(这些呼叫是 Webex 应用程序到 Webex 应用程序,而非 Webex 应用程序到 PSTN)。

  • 用户可主持和加入 Cisco Webex 会议。

  • 用户可以在空间中互相发送一对一消息(永久群聊),享受搜索和文件共享等功能(在 Webex 云基础设施上)。

  • 用户可以共享在线状态(状态)。 他们可以选择自定义在线状态或客户端计算在线状态。

  • 我们在控制中心中将您作为合作伙伴组织加入后,如果您拥有正确权限,可以配置 BroadWorks 实例和 Cisco Webex。

  • 您可以在控制中心中创建客户组织,并对这些组织中的用户进行预配置。

  • BroadWorks 中的每个订阅者会基于其 Webex 电子邮件地址(BroadWorks 中的电子邮件 ID 属性)获得一个 Webex 标识。

  • 用户与 BroadWorks 或 Cisco Webex 进行身份验证。

  • 向客户端发放长效令牌,以允许其使用 BroadWorks 和 Cisco Webex。

本解决方案的核心是 Webex 客户端;这是一款可品牌化的应用程序,可用于 Mac/Windows 桌面电脑以及 Android/iOS 移动设备和平板电脑。

此外 Webex 应用程序还有一个 Web 版本,当前不包含呼叫功能。

客户端与 Cisco Webex 云连接,可提供消息传递、在线状态和会议功能。

客户端会注册到 BroadWorks 系统以实现呼叫功能。

Cisco Webex 云与 BroadWorks 系统配合使用可确保无缝的用户预配置体验。

功能限制

我们提供多种包含不同功能的软件包。

“基础”软件包

基础软件包包含呼叫和消息传递功能。 包括 25 人“空间”会议。 在 Webex 中,此功能可发起与“空间”中参加者的“会议”会话。 此会议不可拨入,所有用户必须是同一空间中的 Webex 用户。

基础软件包不包含个人会议室 (PMR)。

“标准”软件包

此软件包包含基础软件包中的所有内容,以及最多 25 位参加者的“空间”会议和一个最多可容纳 25 位参加者的个人会议室 (PMR)。 SP 为会议和所有用户提供 BYOPSTN(SP 拨入号码)。 参加者可以使用会议主持人提供的链接拨入或使用 Webex 应用程序加入。 会议拨入时会使用 Cisco Webex 拨入号码。

只允许会议主持人在 PMR 会议内共享屏幕。 但在一个会议内,PMR 所有者可以指定新的主持人进行屏幕共享。

“高级”软件包

此软件包包含标准软件包中的所有内容,以及一个最多可容纳 1000 位参加者的个人会议室 (PMR)。

允许任何会议出席者在 PMR 会议内共享屏幕。

“软件电话”软件包

此软件包类型将 Webex 应用程序用作具有呼叫功能,但没有消息传递功能的仅软件电话客户端。 使用此软件包类型的用户可以加入 Webex 会议,但无法自行开始会议。

比较软件包

收费标准

呼叫

通信

空间会议

PMR 会议

基本

包含

包含

25 个参加者

没有

标准

包含

包含

25 个参加者

25 个参加者

高级

包含

包含

25 个参加者

1000 个参加者

软电话

包含

不包含

没有

没有

消息传递和会议功能

请参阅下表,以了解“标准”和“高级”软件包的 PMR 会议功能支持差异。 请注意,基本软件包不支持 PMR 会议。

表 1. PMR 会议的功能支持差异

会议功能

标准软件包支持

高级软件包支持

注释

会议持续时间

无限

无限

桌面共享

支持

支持

标准 — 只允许 PMR 会议主持人共享桌面。

高级 — 任何 PMR 会议参加者都可以共享桌面。

应用程序共享

支持

支持

标准 — 只允许 PMR 会议主持人共享应用程序。

高级 — 任何 PMR 会议参加者都可以共享应用程序。

多方聊天

支持

支持

白板

支持

支持

密码保护

支持

支持

Web 应用程序 - 无下载或插件(访客体验)

支持

支持

支持与 Cisco Webex 设备配对

支持

支持

发言权控制(静音一人/全部驱逐)

支持

支持

持久会议链接

支持

支持

会议站点访问

支持

支持

通过 VoIP 加入会议

支持

支持

锁定

支持

支持

主讲人控制

不支持

支持

远程桌面控制

不支持

支持

参加者人数

25

1000

在系统中本地保存录制文件

不支持

支持

在云端录制

不支持

支持

录制 - 云存储

不支持

10 GB

录制文件转录

不支持

支持

会议安排

支持

支持

允许通过外部集成进行内容共享

不支持

支持

标准 — 只允许 PMR 会议主持人共享内容。

高级 — 任何 PMR 会议参加者都可以共享内容。

允许更改 PMR URL

不支持

支持

标准 — PMR URL 只能由合作伙伴和组织管理员从 Partner Hub 中进行更改。

高级 — 用户可以从 Webex 站点修改 PMR URL。 合作伙伴和组织管理员可以从 Partner Hub 修改 URL。

会议实时流(例如在 Facebook、Youtube 上)

不支持

支持

让其他用户代表自己安排会议

不支持

支持

添加候补主持人

不支持

支持

应用程序集成(例如 Zendesk、Slack)

取决于集成

支持

请参阅下面的应用程序集成部分获取更多关于支持的信息。

与 Microsoft Office 365 Calendaring 集成

支持

支持

与 Google Calendaring for G Suite 集成

支持

支持

Webex 帮助中心会在 help.webex.com 发布 Webex 的功能和面向用户的文档。 阅读下列文章,进一步了解这些功能:

Calling 功能

呼叫体验与之前使用 BroadWorks 呼叫控制引擎的解决方案类似。 与 UC-One Collaborate 和 UC-One SaaS 不同的是,Webex 应用程序是主要的软件客户端。

应用程序集成

您可以将 Webex for BroadWorks 与下列应用程序集成:

未来路线图

要深入了解我们对于未来版本的 Webex for BroadWorks 的打算,请访问 https://salesconnect.cisco.com/#/program/PAGE-16649。 路线图项目不具有任何约束力。 Cisco 保留在今后的发行版中保留或修改上述任何或所有项目的权利。

限制

预配置限制

Meetings 站点时区

每个软件包第一个订阅者的时区将成为为该软件包创建的 Webex Meetings 站点的时区。

如果没有在预配置申请中为每个软件包的第一个用户指定时区,该软件包的 Webex Meetings 站点时区将设置为订阅者组织的区域默认值。

如果客户需要特定的 Webex Meetings 站点时区,请在下列用户的预配置请求中指定timezone参数:

  • 组织中第一个为标准软件包预配置的用户。

  • 组织中第一个为高级软件包预配置的用户。

    (此限制不影响使用基础软件包预配置的组织。)

一般限制

  • Webex 客户端的 Web 版本中没有呼叫(这是客户端限制,不是解决方案限制。)

  • Webex 可能没有支持 BroadWorks 提供的一些呼叫控制功能所需的所有 UI 控件。

  • 当前 Webex 客户端不能为“白标”。

  • 您使用所选择的预配置方法创建客户组织时,客户组织会自动创建到您的合作伙伴组织所在的地区。 设计就是如此。 我们希望跨国企业合作伙伴在管理客户组织的每个地区创建合作伙伴组织。

  • 不支持通过服务商 IdP 进行身份验证。

  • 没有关于 Webex for BroadWorks 的合作伙伴级分析和报告。 有关会议和消息传递使用情况的报告可以通过控制中心中的客户组织提供。

  • 虚拟桌面基础架构 (VDI) 部署不支持 Webex for BroadWorks。

消息传递限制

以下数据存储限制(消息传递与文件的组合)适用于通过服务商购买 Webex for BroadWorks 服务的组织。 这些限制代表包含消息传递与文件在内的最大存储空间。

  • 基本: 每个用户 2 GB,为期 3 年

  • 标准:每个用户 5 GB,为期 3 年

  • 高级: 每个用户 10 GB,为期 5 年

对于每个客户组织,将会归纳每个用户的这些储存空间,以根据用户数量为该客户提供汇总总计。 例如,一家拥有 5 名高级用户的公司的总消息传递和文件存储空间限制为 50 GB。 只要该公司的存储空间仍低于汇总最大值 (50 GB),单个用户就可以超过每个用户的限制 (10 GB)。

对于已创建的团队空间,消息传递限制适用于拥有团队空间的客户组织的汇总总计。 您可以在“空间策略”中找到有关个别团队空间的所有者的信息。 有关如何查看个别团队空间的空间策略的信息,请参阅 https://help.webex.com/en-us/baztm6/Webex-Space-Policy

其他信息

有关适用于 Webex 消息传递团队空间的一般消息传递限制的其他信息,请参阅 https://help.webex.com/en-us/n8vw82eb/Webex-Capacities

安全性、数据和角色

Cisco Webex 安全性

Webex 客户端是一个安全的应用程序,可安全连接到 Webex 和 BroadWorks。 存储在 Cisco Webex 云并通过 Webex 应用程序界面向用户公开的数据在传输中和静止时都会加密。

本文档的参考资料部分可找到有关数据交换的更多详细信息。

补充阅读

组织数据驻留

我们会将 Webex 数据存储在与您所在地区最匹配的数据中心中。 请参阅帮助中心中的“Cisco Webex 中的数据驻留”

角色

服务商管理员(您): 对于日常维护活动,您可以使用自己的系统管理解决方案的本地部署(呼叫)部分。 您可通过 Partner Hub 管理解决方案的 Webex 部分。

Cisco 云运营团队: 加入期间,在 Partner Hub 中创建您的“合作伙伴组织“(如果不存在)。

获得 Partner Hub 帐户后,即可配置 Webex 与您自有系统的接口。 接下来,创建“客户模板”以代表通过这些系统服务的套件或软件包。 然后即可为客户或订阅者进行预配置。

#

典型任务

SP

Cisco

1

合作伙伴加入 - 创建不存在的合作伙伴组织并启用必要的功能开关

2

在合作伙伴组织中通过 Partner Hub(集群)进行 BroadWorks 配置

3

在合作伙伴组织中通过 Partner Hub 配置集成设置(服务模板、品牌)

4

准备用于集成的 BroadWorks 环境(AS、XSP 补丁、防火墙、XSP 配置、XSI、AuthService、CTI、NPS、XSP 上的 DMS 应用程序)

5

开发预配置集成或流程

6

准备 GTM 材料

7

迁移或预配置新用户

体系结构

图中内容

客户端

  • 在 Webex for BroadWorks 服务中,Webex 客户端充当主应用程序。 客户端可在桌面、移动及网络平台上使用。

    客户端具有原生消息传递、在线状态以及由 Cisco Webex 云提供的多方音频/视频会议会议。 Webex 客户端使用 BroadWorks 基础设施进行 SIP 呼叫和 PSTN 呼叫。

  • Cisco IP 电话和相关配件还使用 BroadWorks 基础设施进行 SIP 呼叫和 PSTN 呼叫。 我们希望能够支持第三方电话。

  • 用户激活门户可供用户使用其 BroadWorks 凭据登录 Cisco Webex 登录站点。

  • Partner Hub 是用于管理 Webex 组织和客户组织的 Web 界面。 Partner Hub 用于配置 BroadWorks 基础设施和 Cisco Webex 之间集成。 您还可以使用 Partner Hub 管理客户端配置和计费。

服务商网络

图表左侧的绿色块表示您的网络。 您网络中托管的组件向解决方案的其他部分提供以下服务和接口:

  • 面向公众的 XSP,用于 Webex for BroadWorks: (此框代表一个或多个 XSP 场,可能位于负载平衡器之后。)

    • 托管 Xtended Services Interface(XSI-Actions 和 XSI-Events)、设备管理服务 (DMS)、CTI 接口和身份验证服务。 这些应用程序共同使电话和 Webex 客户端能够进行身份验证、下载其呼叫配置文件、拨打和接听呼叫以及查看彼此的摘挂机状态(电话状态)。

    • 将目录发布到 Webex 客户端。

  • 面向公众的 XSP,运行 NPS:

    • 主机呼叫通知推送服务器: 您环境中 XSP 上的通知推送服务器。 它连接着您的应用程序服务器和 NPS 代理。 代理向 NPS 提供短效令牌,以授权向云服务发送通知。 这些服务(APNS 和 FCM)会向 Apple iOS 和 Google Android 设备上的 Webex 客户端发送呼叫通知。

  • 应用程序服务器:

    • 向其他 BroadWorks 系统提供呼叫控制和接口(一般)

    • 对于流式预配置,合作伙伴管理员使用 AS 在 Webex 中为用户进行预配置

    • 将用户档案推送到 BroadWorks

  • OSS/BSS: 用于管理 BroadWorks 企业的运营支持系统/业务 SIP 服务。

Cisco Webex Cloud

图中的蓝色块表示 Cisco Webex。 Cisco Webex 微服务支持一系列完整的 Cisco Webex 协作功能:

  • Cisco Common Identity (CI) 是 Cisco Webex 内部的标识服务。

  • Webex for BroadWorks 是一组支持 Cisco Webex 与服务商托管 BroadWorks 之间集成的微服务:

    • 用户预配置 API

    • 服务商配置

    • 使用 BroadWorks 凭据的用户登录

  • 相关微服务的 Webex Messaging 框。

  • Webex Meetings 框代表媒体处理服务器和多参与者视频会议的SBC(SIP 和 SRTP)

第三方 Web 服务

下图中显示了以下第三方组件:

  • APNS(Apple 推送通知服务)将呼叫和消息通知推送到 Apple 设备上的 Webex 应用程序。

  • FCM (FireBase Cloud Messaging) 将呼叫和消息通知推送到 Android 设备上的 Webex 应用程序。

XSP 架构考虑因素

面向公众的 XSP 服务器在 Webex for BroadWorks 中的角色

您环境中面向公众的 XSP 向 Cisco Webex 和客户端提供以下接口/服务:

  • 受 TLS 保护的身份验证服务 (AuthService),这项服务将代表用户响应对于 BroadWorks JWT(JSON Web 令牌)的 Webex 请求

  • 受 mTLS 保护的 CTI 接口,Webex 向其订阅 BroadWorks 的电话状态(摘挂机状态)

  • 用于订阅者呼叫控制、联系人和呼叫列表目录以及最终用户电话服务配置的 Xsi 操作和事件接口 (eXtended Services Interface)

  • 用于客户端检索其呼叫配置文件的 DM(设备管理)服务

配置 Webex for BroadWorks 时,请提供这些接口的 URL。 (请参阅本文档中的“在 Partner Hub 中配置 BroadWorks 集群”。) 对于每个集群,只能为每个接口提供一个 URL。 如果 BroadWorks 基础设施中有多个接口,可以创建多个集群。

XSP 架构要求

图 1. 推荐的 XSP 架构选项 1
图 2. 推荐的 XSP 体系结构选项 2

我们要求您使用单独的专用 XSP 实例或场来托管 NPS(通知推送服务器)应用程序。 您可以在 UC-One SaaS 或 UC-One Collaborate 中使用相同的 NPS。 但是,您可能无法在托管 NPS 应用程序的同一 XSP 上部署 Webex for BroadWorks 所需的其他应用程序。

我们强烈建议您使用专用 XSP 实例/场来托管用于 Webex 集成的应用程序。

  • 例如,如果您提供 UC-One SaaS,我们建议为 Webex for BroadWorks 创建一个新的 XSP 场。 这样,在迁移订阅者时,这两项服务可独立运行。

  • 如果您将 Webex for BroadWorks 应用程序分配在其他用途的 XSP 场上,则您需负责监控使用情况、管理由此导致的复杂性并针对规模增加进行规划。

  • 容量计算器假定专用 XSP 场,如果您使用它进行分配计算,可能不准确。

专用的 Webex for BroadWorks XSP 必须托管以下应用程序:

  • AuthService (TLS)

  • CTI (mTLS)

  • XSI-Actions (TLS)

  • XSI-Events (TLS)

  • DMS (TLS)

Webex 要求通过受相互 TLS 身份验证保护的接口访问 CTI。 为支持该要求,我们建议使用以下选项之一:

  • (标注选项 1 的示意图)所有应用程序使用同一个 XSP 实例或场,在每个服务器上配置两个接口: 用于 CTI 的 mTLS 接口以及用于 AuthService 等其他应用程序的 TLS 接口。

  • (标有选项 2 的图)两个 XSP 实例或场,一个带有用于 CTI 的 mTLS 接口,另一个带有用于 AuthService 等其他应用程序的 TLS 接口。

在 XSP 上配置 NTP 同步

该部署需要对 Webex 使用的所有 XSP 进行时间同步。

在安装操作系统之后和安装 BroadWorks 软件之前安装 ntp 软件包。 然后您可以在 XSP 软件安装过程中配置 NTP。 请参阅“BroadWorks 软件管理指南”了解更多详细信息。

在 XSP 软件的交互式安装过程中,您可以选择配置 NTP。 继续如下操作:

  1. 如果安装程序询问Do you want to configure NTP?,输入y

  2. 如果安装程序询问Is this server going to be a NTP server?,输入n

  3. 如果安装程序询问What is the NTP address, hostname, or FQDN?,输入 NTP 服务器或公共 NTP 服务的地址,例如,pool.ntp.org

如果 XSP 使用无提示(非交互式)安装,安装程序配置文件中必须包含以下 Key=Value 对:

NTP
NTP_SERVER=<NTP Server address, e.g., pool.ntp.org>

XSP 身份和安全要求

背景

Cisco BroadWorks TLS 连接的协议和密码可配置为不同的特异性级别。 这些级别范围从最一般的(SSL 提供程序)到最特殊的(个别接口)。 较特殊的设置会始终覆盖较为一般的设置。 如果没有具体指定,“低”级别的 SSL 设置会从“高”级别继承。

如果不更改默认设置,所有级别都会继承 SSL 提供程序默认设置(JSSE,Java 安全套接字扩展)。

要求列表

  • XSP 必须使用 CA 签名证书向客户端进行身份验证,证书中公用名或主题备用名与 XSI 接口的域部分匹配。

  • Xsi 接口必须支持 TLSv1.2 协议。

  • Xsi 界面必须使用符合以下要求的密码套件。

    • Diffie-Hellman 临时 (DHE) 或椭圆曲线 Diffie-Hellman 临时 (ECDHE) 密钥交换

    • AES(高级加密标准)密码,最小块大小为 128 位(例如 AES-128 或 AES-256)

    • GCM(Galois/Counter 模式)或 CBC(密码块链)密码模式

      • 如果使用 CBC 密码,则只允许使用 SHA2 哈希函数系列(SHA256、SHA384、SHA512)进行密钥衍生。

例如,以下密码符合要求:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384


如上文所示,XSP CLI 要求密码套件使用 IANA 命名约定,而不是 openSSL 约定。

用于 AuthService 和 XSI 接口的受支持的 TLS 密码


此列表可能会随云安全要求的变化而改变。 请按照本文档的要求列表所述,遵循当前关于密码选择的 Cisco 云安全性建议。

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Xsi Events 规模参数

您可能需要增加 Xsi-Events 队列大小和线程数,以便处理 Webex for BroadWorks 解决方案需要的事件数量。 您可以将参数增加至如下所示最小值(如果参数高于这些最小值,请勿降低):

XSP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

多个 XSP

负载平衡边缘元素

如果您的网络边缘有负载平衡元素,其必须透明地处理多个 XSP 服务器与 Webex for BroadWorks 云和客户端之间的流量分布。 在这种情况下,您需要向 Webex for BroadWorks 配置提供负载平衡器的 URL。

有关此体系结构的注意事项:

  • 配置 DNS,让客户端在连接到 Xsi 接口时可以找到负载平衡器(请参阅“DNS 配置”)。

  • 我们建议您在反向 SSL 代理模式下配置边缘元素,以确保进行点对点数据加密。

  • 来自 XSP01 和 XSP02 的证书在主题备用名中均应具有 XSP 域,例如 your-xsp.example.com。 这些地址在公用名中应具有自己的 FQDN,例如 xsp01.example.com。 您可以使用通配符证书,但我们不建议使用。

面向互联网的 XSP 服务器

如果直接公开 Xsi 接口,请使用 DNS 将流量分发到多个 XSP 服务器。

有关此体系结构的注意事项:

  • 使用轮询 A/AAAA 记录将目标锁定为多个 XSP 的 IP 地址,因为 Webex 微服务无法执行 SRV 查找。 请参阅“DNS 配置”中的示例。

  • 来自 XSP01 和 XSP02 的证书在主题备用名中均应具有 XSP 域,例如 your-xsp.example.com。 这些地址在公用名中应具有自己的 FQDN,例如 xsp01.example.com。

  • 您可以使用通配符证书,但我们不建议使用。

避免 HTTP 重定向

有时,DNS 配置为将 XSP URL 解析为 HTTP 负载平衡器,而负载平衡器配置为通过反向代理重定向至 XSP 服务器。

Webex 连接到您提供的 URL 时不会遵循重定向,因此该配置不起作用。

订购和预配置

订购和预配置适用于以下级别:

  • 合作伙伴/服务商预配置

    已加入的每个 Webex for BroadWorks 服务商(或经销商)都必须在 Cisco Webex 中配置为合作伙伴组织,并授予必要权限。 Cisco Operations 为合作伙伴组织的管理员提供在 Cisco Webex Partner Hub 上管理 Webex for BroadWorks 的权限。 合作伙伴管理员必须先执行所有必需的预配置步骤,才能预配置客户/企业组织。

  • 客户/企业订购和预配置

    每个为 Webex for BroadWorks 启用的 BroadWorks 企业都会触发创建一个关联的 Cisco Webex 客户组织。 此过程会作为用户/订阅者预配置的一部分自动进行。 BroadWorks 企业内的所有用户/订阅者都在同一 Cisco Webex 客户组织中进行预配置。

    如果您的 BroadWorks 系统配置为包含群组的服务商,则会有同样的行为。 当您在 BroadWorks 群组中预配置订阅者时,会在 Webex 内自动创建与该群组对应的客户组织。

  • 用户/订阅者订购和预配置

    Cisco Webex for BroadWorks 目前支持以下用户预配置模型:

    • 使用受信任电子邮件的流式预配置

    • 不使用受信任电子邮件的流式预配置

    • 用户自行预配置

    • API 预配置

使用受信任电子邮件的流式预配置

您可将集成 IM&P 服务配置为使用 Webex 预配置 URL,然后将该服务分配给用户。 应用程序服务器使用 Webex 预配置 API 来请求相应的 Webex 用户帐户。

如果您能够断言 BroadWorks 的订阅者电子邮件地址有效且对于 Webex 唯一,则此设置选项会自动创建并激活以这些电子邮件地址作为用户 ID 的 Webex 帐户。

您可以通过 Partner Hub 更改订阅者软件包,也可以自行编写应用程序,使用配置 API 来更改订阅者软件包。

不使用受信任电子邮件的流式预配置

您可将集成 IM&P 服务配置为使用 Webex 预配置 URL,然后将该服务分配给用户。 应用程序服务器使用 Webex 预配置 API 来请求相应的 Webex 用户帐户。

如果您无法依靠 BroadWorks 保留的订阅者电子邮件地址,该预配置选项会创建 Webex 帐户,但无法将其激活,直到订阅者提供并验证其电子邮件地址。 此时,Webex 会激活帐户,使用这些电子邮件地址作为用户 ID。
图 3. 不使用受信任电子邮件的流式预配置

您可以通过 Partner Hub 更改订阅者软件包,也可以自行编写应用程序,使用配置 API 来更改订阅者软件包。

用户自行预配置

选择此选项时,不会从 BroadWorks 到 Webex 进行流式预配置。 配置 Webex 和 BroadWorks 系统之间的集成后,您会得到一个或多个在您的 Webex for BroadWorks 合作伙伴组织中预配置用户的专用链接。

然后,您可以设计自己的通信内容(或委托给客户),将链接分发给订阅者。 订阅者会关注此链接,然后提供并验证其电子邮件地址,以创建并激活自己的 Webex 帐户。

图 4. 自行预配置

由于帐户是在其合作伙伴组织的范围内预配置,所以您可以通过 Partner Hub 手动调整用户软件包,或者使用 API 来完成这一操作。


用户必须存在于您与 Webex 集成的 BroadWorks 系统中,否则会禁止他们使用该链接创建帐户。

服务商 API 预配置

Cisco Webex 公开一组公共 API,使您能够将 Webex for BroadWorks 用户/订阅者预配置构建到现有用户管理流程/工具中。

流式预配置所需的补丁

如果您将使用流式预配置,则必须安装并激活适用于 BroadWorks 发行版的补丁:

  • 对于 R21: AP.as.21.sp1.551.ap375094

  • 对于 R22: AP.as.22.0.1123.ap376508

  • 对于 R23: AP.as.23.0.1075.ap376509

  • 对于 R24: AP.as.24.0.944.ap375100

迁移和适应未来

Cisco 在 BroadSoft 统一通信客户端方面的发展是从 UC-One 转向 Webex。 相应地,配套服务也从服务商网络(除了呼叫)向 Cisco Webex 云平台发展。

无论您运行的是 UC-One SaaS 还是 BroadWorks Collaborate,首选的迁移策略都是部署新的专用 XSP 来与 Webex for BroadWorks 集成。 您可以在将客户迁移到 Webex 的同时并行运行这两项服务,最终收回用于之前解决方案的基础设施。

水印
2021年4月9日| 次查看 | 人认为有帮助

准备您的环境

准备您的环境

决策点

注意事项 问与答 资源

体系结构和基础设施

多少个 XSP?

它们如何获取 mTLS?

Cisco BroadWorks 系统容量规划程序

Cisco Broadworks 系统工程指南

XSP CLI 参考资料

本文档

客户和用户预配置

您能否宣称自己信任 BroadWorks 中的电子邮件?

您希望用户提供电子邮件地址以激活他们自己的帐户吗?

您能否构建工具以使用我们的 API?

公共 API 文档,位于 https://developer.webex.com

本文档

定制 您希望使用哪种颜色和徽标? Webex 应用程序定制文章
模板 您有哪些不同的客户使用案例? 本文档
每个客户/企业/群组的订阅者功能 选择软件包,以定义每个模板的服务级别。 基本、标准、高级或软件电话。

本文档

功能/软件包矩阵

用户身份验证 BroadWorks 或 Webex 本文档
预配置适配器(用于流式预配置选项)

您是否已经在对 UC-One SaaS 等对象使用集成式 IM&P?

您打算使用多个模板吗?

预计是否会有更常见的使用案例?

本文档

应用程序服务器 CLI 参考资料

体系结构和基础设施

  • 您打算从哪种规模入手? 可以在将来进行扩展,但您目前的预计使用情况应该推动基础设施规划。

  • 请与您的 Cisco 客户经理/销售代表合作,以根据 Cisco BroadWorks 系统容量规划程序 (https://xchange.broadsoft.com/node/1051462) 和《Cisco BroadWorks 系统工程指南》(https://xchange.broadsoft.com/node/1051496) 调整您的 XSP 基础设施规模。

  • Cisco Webex 如何建立与 XSP 之间的相互 TLS 连接? 要直接连接到 DMZ 中的 XSP 还是通过 TLS 代理进行连接? 这将影响您的证书管理和您用于接口的 URL。 (我们不支持与网络边缘建立未加密的 TCP 连接。)

客户和用户预配置

哪些用户预配置方法最适合您?

  • 使用受信任电子邮件的流式预配置: 在 BroadWorks 上分配“集成式 IM&P”服务之后,会自动在 Cisco Webex 中预配置订阅者。

    如果您还能宣城 BroadWorks 中的订阅者电子邮件地址有效并且对 Webex 是唯一的,则您可以使用流式预配置的“受信任电子邮件”变体。 无需订阅者介入即可创建并激活订阅者 Webex 帐户;他们只需下载客户端并登录。

    电子邮件地址是 Cisco Webex 上的一个关键用户属性。 因此,服务商必须为用户提供有效的电子邮件地址,以便为 Cisco Webex 服务预配置这些用户。 这必须存在于 BroadWorks 的用户“电子邮件 ID”属性中。 我们还建议您将其复制到“备用 ID”属性中。

  • 不使用受信任电子邮件的流式预配置: 如果您不信任订阅者的电子邮件地址,则您仍然可以在 BroadWorks 中分配集成式 IM&P 服务,以便在 Webex 中预配置用户。

    使用此选项,会在您分配此服务时创建帐户,但订阅者需要提供并验证他们的电子邮件地址,以激活 Webex 帐户。

  • 用户自行预配置: 此选项不要求在 BroadWorks 中分配 IM&P 服务。 您(或您的客户)利用定制和说明,分发预配置链接以及用于下载不同客户端的链接。

    订阅者需要使用此链接,然后提供并验证他们的电子邮件地址,以创建并激活他们的 Webex 帐户。 随后,他们需要下载客户端并登录,Webex 会从 BroadWorks 获取一些有关他们的其他配置(包括他们的主号码)。

  • 通过 API 进行 SP 受控预配置: Cisco Webex 公开一组公共 API,允许服务商构建用户/订阅者预配置,以添加到其现有工作流程中。

客户模板

使用客户模板,您可以定义在 Cisco Webex for BroadWorks 上自动预配置客户和相关订阅者时使用的参数。 您可以按要求配置多个客户模板,但当您加入客户时,此客户将只与一个模板相关联(您无法对一个客户应用多个模板)。

下面列出了一些主要模板参数。

收费标准

  • 创建模板时,必须选择默认软件包(请参阅“概述”一节中的软件包,以了解详细信息)。 使用此模板预配置的所有用户,无论是通过流式预配置还是自行预配置,都将收到默认软件包。

  • 您可以创建多个模板并在每个模板中选择不同的默认软件包,以控制不同客户的软件包选择。 随后,您可以根据您为这些模板选择的用户预配置方法,分发不同的预配置链接或者供每个企业使用的不同预配置适配器。

  • 您可以使用预配置 API(请参阅在“参考资料”部分中的与 Webex for BroadWorks 预配置 API 集成)或通过 Partner Hub,从此默认设置中更改特定订阅者的软件包。

  • 您无法从 BroadWorks 中更改订阅者的软件包。 集成式 IM&P 服务的分配已打开或关闭;如果在 BroadWorks 中为订阅者分配了此服务,则与此订阅者的企业预配置 URL 关联的 Partner Hub 模板将定义软件包。

是转售商和企业还是服务商和群组?

  • BroadWorks 系统的配置方式会影响流式预配置。 如果您是企业的转售商,则需要在创建模板时启用“企业”模式。
  • 如果在“服务商”模式下配置了您的 BroadWorks 系统,则可以在模板中关闭“企业”模式。
  • 如果您打算同时使用这两种 BroadWorks 模式来预配置客户组织,则必须对群组和企业使用不同的模板。

验证模式

客户的订阅者如何进行身份验证?

验证模式 BroadWorks Webex
主用户 ID BroadWorks 用户 ID 电子邮件地址
身份提供程序

BroadWorks。

由 Cisco Webex 托管的中介服务帮助进行身份验证。

Cisco Common Identity
多因素身份验证? 不支持 需要支持多因素身份验证的客户 IdP。

凭证验证路径

  1. 启动浏览器,用户将在其中提供电子邮件,以进行初始登录流程并了解他们的身份验证模式。

  2. 随后会将浏览器重定向到一个由 Cisco Webex 托管的 BroadWorks 登录页面(此页面可定制)。

  3. 用户在登录页面上提供 BroadWorks 用户 ID 和密码。

  4. 针对 BroadWorks 验证用户凭证。

  5. 成功后,从 Cisco Webex 获得一个授权码。 此授权码用于获取 Cisco Webex 服务的必要访问令牌。

  1. 启动浏览器,用户将在其中提供电子邮件,以进行初始登录流程并了解他们的身份验证模式。

  2. 将浏览器重定向到 IdP(Cisco Common Identity 或客户 IdP),并在那里向用户显示登录门户。

  3. 用户在登录页面上提供适当的凭证。

  4. 如果客户 IdP 支持,可以进行多因素身份验证。

  5. 成功后,从 Cisco Webex 获得一个授权码。 此授权码用于获取 Cisco Webex 服务的必要访问令牌。

多个合作伙伴协议

您是否要将 Webex for BroadWorks 再授权给另一个服务商? 在这种情况下,每个服务商都需要在 Webex Control Hub 中拥有一个独有的合作伙伴组织,以使他们能够为客户群预配置解决方案。

预配置适配器和模板

当使用流式预配置时,在 BroadWorks 中输入的预配置 URL 将来自 Control Hub 中的模板。 您可以有多个模板,因此可以有多个预配置 URL。 这样,您可以按企业选择在向订阅者授予“集成式 IM&P”服务时对订阅者应用哪个软件包。

您需要考虑是否要将系统级预配置 URL 设置为默认预配置路径以及您希望对其使用哪个模板。 这样,您只需为需要不同模板的企业明确设置预配置 URL。

此外,请记住,您可能已经在对 UC-One SaaS 等对象使用系统级预配置 URL。 如果是这样,您可以选择在 UC-One SaaS 上保留用于预配置用户的系统级 URL,并覆盖迁移到 Webex for BroadWorks 的那些企业。 您也可能希望采用另一种方法设置用于 Webex for BroadWorks 的系统级 URL,并重新配置您希望在 UC-One SaaS 上保留的那些企业。

“部署 Webex for BroadWorks”一节的使用预配置服务 URL 配置应用程序服务器中详细说明了与此决定相关的配置选项。

最低要求

帐户

您为 Webex 预配置的所有订阅者必须都存在于与 Webex 集成的 BroadWorks 系统中。 如有必要,您可以集成多个 BroadWorks 系统。

所有订阅者都必须拥有 BroadWorks 许可证和主要号码。

Webex 将电子邮件地址用作所有用户的主要标识符。 如果您使用受信任的电子邮件进行流式预配置,则您的用户必须在 BroadWorks 的“电子邮件”属性中拥有有效的地址。

如果您的模板使用 BroadWorks 身份验证,则您可以将订阅者电子邮件地址复制到 BroadWorks 的“备用 ID”属性中。 这样,用户就能够使用他们的电子邮件地址和 BroadWorks 密码登录到 Webex。

您的管理员必须使用他们的 Webex 帐户登录到 Partner Hub。

网络服务器和软件要求

  • 最低版本为 R21 SP1 的 BroadWorks 实例。 有关支持的版本和补丁,请参阅(本文档中的)“BroadWorks 软件要求”。 另请参阅生命周期管理 - BroadSoft 服务器


    对于 R21 SP1 的支持仅截止到 2021 年中期。 即使您目前可以将 Webex 与 R21 SP1 集成,我们也强烈建议将 R22 或更高版本与 Webex 集成。

  • BroadWorks 实例应当至少包含以下服务器:

    • 具有上述 BroadWorks 版本的应用程序服务器 (AS)

    • 网络服务器 (NS)

    • 档案服务器 (PS)

  • 满足以下要求的面向公众的 XSP 服务器或应用程序交付平台 (ADP):

    • 身份验证服务 (BWAuth)

    • XSI Actions 和 XSI Events 接口

    • DMS(设备管理 Web 应用程序)

    • CTI 接口(计算机电话集成)

    • 具有(未自签名的)有效证书和所需的任何中间资料的 TLS 1.2。 需要系统级管理员来帮助查找企业。

    • 用于身份验证服务的相互 TLS (mTLS) 身份验证(需要将公共 Cisco Webex 客户端证书链作为信任锚安装)

    • 用于 CTI 接口的相互 TLS (mTLS) 身份验证(需要将公共 Cisco Webex 客户端证书链作为信任锚安装)

  • 一台充当“呼叫通知推送服务器”的独立 XSP/ADP 服务器(您环境中用于向 Apple/Google 推送呼叫通知的 NPS)。 在这里,我们将它称为“CNPS”,以将其与 Webex 中负责为消息传递和在线状态提供推送通知的服务区分开。

    此服务器必须位于 R22 或更高版本上。

  • 我们强制要求为 CNPS 使用单独的 XSP/ADP 服务器,因为从 Webex for BWKS 云连接加载时的不可预见性可能会因通知延迟增大而对 NPS 服务器的性能产生负面影响。 有关 XSP 规模的更多信息,请参阅《Cisco BroadWorks 系统工程指南》(https://xchange.broadsoft.com/node/422649)。

物理电话和配件

设备档案

您需要将这些 DTAF 文件加载到应用程序服务器中,以支持用作呼叫客户端的 Webex 应用程序。 这些文件与 UC-One SaaS 使用的 DTAF 文件相同,但有一个新的config-wxt.xml.template文件专用于 Webex 应用程序。

客户端名称

设备档案类型和软件包名称

Webex 移动设备模板

https://xchange.broadsoft.com/support/uc-one/connect/software

身份/设备档案类型: 连接 - 移动设备

DTAF:ucone-mobile-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

配置文件:config-wxt.xml

Webex 平板电脑模板

https://xchange.broadsoft.com/support/uc-one/connect/software

身份/设备档案类型: 连接 - 平板电脑

DTAF:ucone-tablet-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

配置文件:config-wxt.xml

Webex 桌面模板

https://xchange.broadsoft.com/support/uc-one/communicator/software

身份/设备档案类型: Business Communicator - PC

DTAF:ucone-desktop-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

配置文件:config-wxt.xml

订购证书

TLS 身份验证证书要求

对于所有必要的应用程序,您需要由知名的证书颁发机构签发并部署在面向公众的 XSP 上的安全证书。 这些安全证书将用于支持对 XSP 服务器的所有入站连接进行 TLS 证书验证。

这些证书应当包含 XSP 公共完全限定的域名,作为“使用者公用名”或“使用者替代名称”。

部署这些服务器证书时,具体的要求取决于您面向公众的 XSP 的部署方式:

  • 通过 TLS 桥接代理

  • 通过 TLS 传递代理

  • 直接连接到 XSP

下图总结了在下面这三种情况下需要加载 CA 签发的公共服务器证书的位置:

支持的 Cisco Webex 混合服务证书颁发机构中列出了 Webex 应用程序支持用于身份验证的公共支持 CA。

TLS 桥接代理的 TLS 证书要求

  • 将公开签发的服务器证书加载到代理中。

  • 代理向 Webex 出示此公开签发的服务器证书。

  • Webex 信任签发代理服务器证书的公共 CA。

  • 可以将内部 CA 签发的证书加载到 XSP。

  • XSP 向代理出示此内部签发的服务器证书。

  • 代理信任签发 XSP 服务器证书的内部 CA。

DMZ 中的 TLS 传递代理或 XSP 的 TLS 证书要求

  • 将公开签发的服务器证书加载到 XSP 中。

  • XSP 向 Webex 出示公开签发的服务器证书。

  • Webex 信任签发 XSP 服务器证书的公共 CA。

通过 CTI 接口进行相互 TLS 身份验证的其他证书要求

当连接到 CTI 接口时,Cisco Webex 会在执行相互 TLS 身份验证时出示客户端证书。 可以通过 Control Hub 下载 Webex 客户端证书 CA/链证书。

要下载证书:

登录到 Partner Hub,转到 设置 > BroadWorks Calling 并单击“下载证书链接。

部署此 Webex CA 证书链时,具体的要求取决于您面向公众的 XSP 的部署方式:

  • 通过 TLS 桥接代理

  • 通过 TLS 传递代理

  • 直接连接到 XSP

下图总结了下面这三种情况下的证书要求:

图 1. 通过不同的边缘配置对 CTI 进行 mTLS 证书交换

(选项)TLS 桥接代理的 TLS 证书要求

  • Webex 向代理出示公开签发的客户端证书。

  • 代理信任签发客户端证书的 Cisco 内部 CA。 可以从 Control Hub 下载此 CA/链,并将其添加到代理的信任库。 还要将公开签发的 XSP 服务器证书加载到代理中。

  • 代理向 Webex 出示公开签发的服务器证书。

  • Webex 信任签发代理服务器证书的公共 CA。

  • 代理向 XSP 出示内部签发的客户端证书。

    必须为此证书的 x509.v3 扩展字段 Extended Key Usage 填充 BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 和 TLS clientAuth 目的。 例如:

    X509v3 extensions:
        X509v3 Extended Key Usage:
            1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client Authentication

    内部证书的 CN 必须是 bwcticlient.webex.com


    • 请注意,当为代理生成内部客户端证书时,不支持 SAN 证书。 XSP 的内部服务器证书可以是 SAN。

    • 公共证书颁发机构可能不愿意使用所要求的专用 BroadWorks OID 签发证书。 当使用桥接代理时,您可能被迫使用内部 CA 来签发代理要向 XSP 出示的客户端证书。

  • XSP 信任内部 CA。

  • XSP 出示内部签发的服务器证书。

  • 代理信任内部 CA。

  • 应用程序服务器的 ClientIdentity 包含代理向 XSP 出示的内部签发客户端证书的 CN。

(选项)DMZ 中的 TLS 传递代理或 XSP 的证书要求

  • Webex 向 XSP 出示 Cisco 内部 CA 签发的客户端证书。

  • XSP 信任签发客户端证书的 Cisco 内部 CA。 可以从 Control Hub 下载此 CA/链,并将其添加到代理的信任库。 还要将公开签发的 XSP 服务器证书加载到 XSP 中。

  • XSP 向 Webex 出示公开签发的服务器证书。

  • Webex 信任签发 XSP 服务器证书的公共 CA。

  • 应用程序服务器的 ClientIdentity 包含 Webex 向 XSP 出示的 Cisco 签发客户端证书的 CN。

准备网络

连接映射

下图显示了集成要点。 下图旨在说明您需要查看与您的环境内外连接的 IP 和端口。 以下表格中说明了 Webex for BroadWorks 使用的连接。

但客户端应用程序正常运转时需要满足的防火墙要求作为参考信息列出,因为这些要求已记录在 help.webex.com 上。

防火墙配置

连接映射和以下表格说明了客户端、您的网络和 Webex 平台之间(客户网络内外)所需的连接和协议。

我们只记录 Webex for BroadWorks 专用的连接。 我们并不显示 Webex 应用程序与 Webex 云之间的通用连接,它们记录在以下位置:

欧洲、中东及非洲入口规则

(连接您的网络内)

目的 来源 协议 目标位置 目标端口

WebexCloud

CTI/Auth/XSI

18.196.116.47

35.156.83.118

35.158.206.190

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

CTI

您的 XSP

TCP/TLS 8012

443

Webex 应用程序

Xsi/DMS

任何

HTTPS

您的 XSP

443

Webex 应用程序 VoIP 终端 SIP

任何

SIP

您的 SBC

SP 定义的协议和端口

TCP/UDP


由于在移动设备上使用标准 SIP 端口 (5060) 时会发生已知问题,因此强烈建议使用除 5060 以外的 SIP 端口(例如 5075)。

EMEA 出口规则

(连接您的网络外)

目的

来源

协议

目标位置

目标端口

通过 API 进行用户预配置

您的应用程序服务器

HTTPS

webexapis.com

443

代理推送通知(生产服务)

您的 NPS 服务器

HTTPS

https://nps.uc-one.broadsoft.com/

或者 34.64.0.0/10、35.208.0.0/12、35.224.0.0/12、35.240.0.0/13

443

Webex Common Identity

您的 NPS 服务器

HTTPS

https://idbroker-eu.webex.com

443

APNS 和 FCM 服务

您的 NPS 服务器

HTTPS

任意 IP 地址*

443

代理推送通知(生产服务)

Webex Common Identity

APNS 和 FCM 服务

您的 NPS 服务器

HTTPS

https://nps.uc-one.broadsoft.com/ *

https://idbroker-eu.webex.com

任意 IP 地址*

443

通过 BroadWorks 预配置适配器进行用户预配置

您的 BroadWorks AS

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(其中的 * 可以是任意字母。 您在 Partner Hub 中创建的模板中包含确切的预配置 URL)

443

† 这些范围包含用于 NPS 代理的主机,但我们无法提供确切的地址。 这些范围还可能包含与 Webex for BroadWorks 不相关的主机。 我们建议您将防火墙配置为允许流量前往 NPS 代理 FQDN,以确保您的出口仅指向我们对 NPS 代理公开的主机。

* APNS 和 FCM 没有一组固定的 IP 地址。

美国入口规则

(连接您的网络内)

目的

来源

协议

目标位置

目标端口

WebexCloud

CTI/Auth/XSI

13.58.232.148

18.217.166.80

18.221.216.175

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

CTI

您的 XSP

TCP/TLS 8012

TLS 443

Webex 应用程序   

Xsi/DMS

任何

HTTPS

您的 XSP

443

Webex 应用程序 VoIP 终端 SIP

任何

SIP

您的 SBC

SP 定义的协议和端口

TCP/UDP


由于在移动设备上使用标准 SIP 端口 (5060) 时会发生已知问题,因此强烈建议使用除 5060 以外的 SIP 端口(例如 5075)。

美国出口规则

(连接您的网络外)

目的

来源

协议

目标位置

目标端口

通过 API 进行用户预配置

您的应用程序服务器

HTTPS

webexapis.com

443

代理推送通知(生产服务)

您的 NPS 服务器

HTTPS

https://nps.uc-one.broadsoft.com/

或者 34.64.0.0/10、35.208.0.0/12、35.224.0.0/12、35.240.0.0/13

443

Webex Common Identity

您的 NPS 服务器

HTTPS

https://idbroker.webex.com

https://idbroker-b-us.webex.com

443

APNS 和 FCM 服务

您的 NPS 服务器

HTTPS

任意 IP 地址*

443

通过 BWKS 预配置适配器进行用户预配置

您的 BroadWorks AS

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(其中的 * 可以是任意字母。 您在 Partner Hub 中创建的模板中包含确切的预配置 URL)

443

† 这些范围包含用于 NPS 代理的主机,但我们无法提供确切的地址。 这些范围还可能包含与 Webex for BroadWorks 不相关的主机。 我们建议您将防火墙配置为允许流量前往 NPS 代理 FQDN,以确保您的出口仅指向我们对 NPS 代理公开的主机。

* APNS 和 FCM 没有一组固定的 IP 地址。

DNS 配置

Webex for BroadWorks 客户端必须能够找到用于进行身份验证、授权、呼叫控制和设备管理的 BroadWorks XSP 服务器。

Webex 云微服务必须能够找到用于连接到 XSI 接口和身份验证服务的 BroadWorks XSP 服务器。

如果您将不同的 XSP 服务器用于不同的用途,则可能需要记录多个 DNS 条目。

Cisco Webex 云如何查找 XSP 地址

Cisco Webex 云服务将对所配置的 XSP 主机名执行 DNS A/AAAA 查找,并连接到返回的 IP 地址。 此云可以是一个负载平衡边缘元素,也可以是 XSP 服务器本身。 如果返回多个 IP 地址,将选中列表中的初始条目。

下面的示例 2 和 3 包含分别映射到单个和多个 IP 地址的 A/AAAA 记录。

Webex 应用程序如何查找 XSP 地址

客户端尝试使用以下 DNS 流程找到 XSP 节点:

  1. 客户端最初从 Cisco Webex 云中检索 XSI 操作/XSI 事件 URL(您在创建关联的 BroadWorks Calling 集群时输入了这些 URL)。 从 URL 解析 XSI 主机名/域,客户端执行 SRV 查找,如下所示:

    1. 客户端针对以下项目执行 SRV 查找:_xsi-client._tcp.<xsi domain>

      (请参见下面的示例 1)

    2. 如果 SRV 查找返回一个或多个目标:

      客户针对这些目标执行 A/AAAA 查找,并缓存返回的 IP 地址。


      每个 A/AAAA 记录都必须映射到一个 IP 地址。 我们强制使用此配置,因为客户端的 XSI 事件检测信号必须转到用于建立事件通道的那个 IP 地址。

      如果您将 A/AAAA 名称映射到多个 IP 地址,客户端最终会向没有建立事件通道的地址发送检测信号。 这样会导致通道被破坏,还会有多得多的内部流量影响您的 XSP 集群性能。

      客户根据 SRV 优先级,然后是权重(或者它们等同,则随机选择),连接到其中一个目标(因此使用一个 IP 地址连接到它的 A/AAAA 记录)。

    3. 如果 SRV 查找未返回任何目标:

      客户端首先对 XSI 根参数执行 A/AAAA 查找,然后尝试连接到返回的 IP 地址。 此云可以是一个负载平衡边缘元素,也可以是 XSP 服务器本身。

      如上所述,由于同样的原因,A/AAAA 记录必须解析为一个 IP 地址

      (请参见下面的示例 2)

  2. (可选)随后,您可以使用以下标记,在 Webex 应用程序的设备配置中提供自定义的 XSI 操作/XSI 事件详细信息:

    
    <protocols>
        <xsi>
            <paths>
                <root>%XSI_ROOT_WXT%</root>
                <actions>%XSI_ACTIONS_PATH_WXT%</actions>
                <events>%XSI_EVENTS_PATH_WXT%</events>
            </paths>
        </xsi>
    </protocols>
    1. 这些配置参数优先于 Control Hub 中的 BroadWorks 集群中的任何配置。

    2. 如果它们存在,客户端会将它们与通过“BroadWorks 集群”配置收到的原始 XSI 地址进行比较。

    3. 如果检测到任何差异,客户端将重新初始化它的 XSI 操作/XSI 事件连接。 这里的第一步是执行步骤 1 中所列的同一 DNS 查找过程,但此次要求查找配置文件中%XSI_ROOT_WXT%参数的值。


      如果您使用此标记更改 XSI 接口,请确保创建相应的 SRV 记录。

DNS 记录示例

表 1. 示例 1: DNS SRV 记录,供 Webex 应用程序用于发现多个面向互联网的 XSP 服务器(Webex 尚不支持利用 SRV 查找功能查找 BroadWorks 云微服务)

录制类型

记录

目标

目的

SRV

_xsi-client._tcp.your-xsp.example.com.

xsp01.example.com

XSI 接口的客户端发现

SRV

_xsi-client._tcp.your-xsp.example.com.

xsp02.example.com

XSI 接口的客户端发现

A

xsp01.example.com.

198.51.100.48

XSP IP 查找

A

xsp02.example.com.

198.51.100.49

XSP IP 查找

表 2. 示例 2: DNS A 记录,供 Webex 应用程序或 Webex 云微服务用于发现面向 XSP 服务器池的负载平衡器

录制类型

名称

目标

目的

A

your-xsp.example.com.

198.51.100.50

边缘负载平衡器 IP 查找

表 3. 示例 3: DNS A 记录,用于供 Webex 云微服务发现轮询平衡的面向互联网的 XSP 服务器池(不受 Webex 应用程序支持)

录制类型

名称

目标

目的

A

your-xsp.example.com.

198.51.100.48

XSP IP 查找

A

your-xsp.example.com.

198.51.100.49

XSP IP 查找


如果将您的 DNS A/AAAA 记录映射到多个 IP 地址(以便为微服务提供冗余连接,如上表中所示),则不得使用与客户端的 XSI 地址相同的 A/AAAA 记录。

在这种情况下,您可以为客户段配置 SRV 记录(如上表 1 中所示),但 SRV 必须解析为另一组 A/AAAA 记录。 如上所述,这些 A/AAAA 记录必须分别映射到一个 IP 地址。

XSP 节点 DNS 建议

  • 如果需要将一个负载平衡反向代理解析为 XSP 服务器,则应使用单个 A/AAAA 记录。

  • 您只应在以下情况下使用轮询 A/AAAA 记录:

    • 您有多个面向互联网的 XSP 服务器,并希望 Webex 微服务找到这些服务器。

    • 请勿将轮询 A/AAAA 记录用于解析客户端 XSI 地址。

  • 在以下情况下,您必须使用“DNS 服务发现”功能:

    • 需要在具有多个 XSP 的环境中执行目录搜索。

    • 具有需要“SRV 发现”功能的现有集成。

    • 在标准 A/AAAA 记录不足的情况下,具有唯一的配置。

水印
2021年4月9日| 次查看 | 人认为有帮助

部署 Webex for BroadWorks

部署 Webex for BroadWorks

部署概况

下图代表不同用户预配置模式部署任务的典型顺序。 许多任务是所有预配置模式下共有的。

图 1. 部署流式预配置所需的任务
显示使用流式预配置和受信任电子邮件部署 Webex for BroadWorks 任务顺序
图 2. 在没有受信任电子邮件的情况下部署流式预配置所需的任务
显示没有受信任电子邮件的情况下使用流式预配置部署 Webex for BroadWorks 的任务顺序
图 3. 部署用户自行预配置所需的任务
显示部署 Webex for BroadWorks 自助激活所需的任务顺序

Cisco Webex for BroadWorks 合作伙伴加入

Webex for BroadWorks 服务商或转售商需要设置为适用于 Cisco Webex for BroadWorks 的合作伙伴组织。 如果您已有 Cisco Webex 伙伴组织,则可使用此功能。

为了完成必要的加入工作,您必须执行 Webex for BroadWorks 文书工作,并且新合作伙伴必须接受在线的间接渠道合作伙伴协议 (ICPA)。 完成这些步骤后,Cisco Compliance 将在 Partner Hub(如有必要)中创建新的合作伙伴组织,并向文书工作中的记录管理员发送一封含身份验证详细信息的电子邮件。 同时,您的合作伙伴激活和/或客户成功项目经理会联系您以开始加入。

在针对 BroadWorks XSP Webex配置服务

我们要求 NPS 应用程序必须运行在另一个 XSP 上。 针对该 XSP 的要求在“从您的网络配置呼叫通知”中有说明。

您的 XSP 上需要以下应用程序/服务。

服务/应用程序

必须验证

服务/应用程序用途

Xsi-Events

TLS(服务器向客户端验证自身)

呼叫控制,服务通知

Xsi-Actions

TLS(服务器向客户端验证自身)

呼叫控制,操作

设备管理

TLS(服务器向客户端验证自身)

呼叫配置下载

验证服务

TLS(服务器向客户端验证自身)

用户身份验证

计算机电话集成

mTLS(客户端和服务器相互验证)

电话状态

呼叫设置网页视图应用程序

TLS(服务器向客户端验证自身)

在 Webex 应用程序内的自助门户中公开用户呼叫设置

本部分描述如何在这些接口上应用 TLS 和 mTLS 所需的配置,但您应当参考现有文档来在 XSP 上安装应用程序。

共驻要求

  • 身份验证服务必须与 Xsi 应用程序共驻,因为这些接口必须接受长效令牌才能进行服务授权。 需要身份验证服务才能验证这些令牌。

  • 如有必要,身份验证服务和 Xsi 可以在同一端口上运行。

  • 您可以根据规模(例如专用设备管理 XSP 场)分开其他服务/应用程序。

  • 您可以将 Xsi、CTI、身份验证服务和 DMS 应用程序设在同地。

  • 请勿在用于 BroadWorks 与 Webex 集成所使用的 XSP 上安装其他应用程序或服务。

  • 请勿将 NPS 应用程序与其他任何应用程序设在同地。

Xsi 接口

按照“Cisco BroadWorks Xtended 服务接口配置指南”中的描述安装和配置 Xsi-Actions 和 Xsi-Events 应用程序。

安装身份验证服务

通过此过程,使用“CI 令牌验证”功能,配置 Cisco Webex 与本地 BroadWorks 部署之间的身份验证。


此过程仅适用于 R22 或以上版本。 如果您运行的是 R21SP1,请参阅安装 XSP 身份验证服务 (R21SP1),以便为身份验证配置 mTLS 验证。

如果您运行的是 R22 或更高版本,并为身份验证服务配置了 mTLS 验证(如上面的链接中所示),则并不强制重新配置为使用 CI 令牌验证。 但新的部署应将身份验证与 CI 令牌验证配合使用,如下面的过程中所示。

  1. 使用已加入的联系人或 TAC 创建服务请求以预配置 (Webex Common Identity) OAuth 客户端帐户。 将服务请求标题设为“XSP AuthService Configuration”(XSP AuthService 配置)。 Cisco 会为您提供一个 OAuth 客户端 ID、客户端密码和一个有效期为 60 天的刷新令牌。 如果令牌在 XSP 上使用之前已到期,您可以再提交一次请求。

  2. 在每个 XSP 服务器上安装下列补丁。 安装适合您发行版的补丁:

    • 对于 R22:

      AP.platform.22.0.1123.ap376508

      AP.xsp.22.0.1123.ap376508

    • 对于 R23:

      AP.xsp.23.0.1075.ap376509

      AP.platform.23.0.1075.ap376509

    • 对于 R24 - 不需要补丁

  3. AuthenticationService应用程序安装到每个 XSP 服务上。

    1. 运行以下命令将 XSP 上的 AuthenticationService 应用程序激活到 /authService 上下文路径。

      XSP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService
    2. 运行以下命令以在 XSP 上部署身份验证服务:

      XSP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...
  4. 通过在每个 XSP 服务器上运行以下命令来配置标识提供程序:

    XSP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set enabled true

    • set clientId <client id>

    • set clientSecret <secret from TAC service request>

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName <URL>—对于URL,输入应用于 CI 集群的 IssuerName URL。 请参阅以下表格。

    • set issuerUrl <URL>—对于URL,输入应用于 CI 集群的 IssuerUrl。 请参阅以下表格。

    • set tokenInfoUrl <IdPProxy URL>—输入应用于 Teams 集群的 IdP 代理 URL。 请参阅以下表格。

    表 1. 身份提供程序 URL

    IssuerURL 和 IssuerName URL

    IdP 代理 URL

    如果 CI 集群是...

    将 IssuerURL 和 IssuerName 设置为...

    如果 Teams 集群是...

    将 IdP 代理 URL 设置为...

    US-A

    https://idbroker.webex.com/idb

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    EU

    https://idbroker-eu.webex.com/idb

    AFRA

    http://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    US-B

    https://idbroker-b-us.webex.com/idb

    AORE

    http://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    * 如果您不知道您的 CI 集群Teams 集群,则可以通过 Control Hub 中的帮助台视图获取该信息。 在客户详细信息下,查看 CI 集群Teams 集群字段的值。


     
    在进行测试时,可以通过将 URL 的“idp/authenticate”部分替换为”ping”来验证 URL 是否有效。
  5. 通过运行以下命令指定 Webex 中用户档案中必须存在的 Webex 权限:

    XSP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  6. 在每个 XSP 服务器上使用以下命令为 Cisco Federation 配置标识提供程序:

    XSP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken <token from service request>

  7. 运行以下命令以验证您的 FLS 配置是否有效。 该命令将返回身份提供程序列表:

    XSP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  8. 在每个 XSP 服务器上使用以下命令配置令牌管理:

    • XSP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  9. 生成并共享 RSA 密钥。 您必须在一个 XSP 上生成密钥,然后将密钥复制到所有其他 XSP。 这是由于以下因素:

    • 身份验证服务的所有实例必须使用相同的公钥/私钥对进行令牌加密/解密。

    • 首次收到颁发令牌要求时,身份验证服务会生成密钥对。


    如果循环密钥或更改密钥长度,需要重复以下配置并重启所有 XSP。
    1. 选择一个 XSP 用于生成密钥对。

    2. 使用客户端向该 XSP 请求加密令牌,方式是从客户端浏览器请求以下 URL:

      https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

      (如果 XSP 上没有私钥/公钥对,则会生成一个私钥/公钥对)

    3. 密钥存储位置不可配置。 导出密钥:

      XSP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. 将导出的文件/var/broadworks/tmp/authService.keys复制到其他 XSP 上的同一位置,覆盖较旧的.keys文件(如有必要)。

    5. 在其他每一个 XSP 上导入密钥:

      XSP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  10. 向 Web 容器提供 authService URL。 XSP 的 Web 容器需要 authService URL 以便验证令牌。 在每个 XSP 上:

    1. 添加身份验证服务 URL 作为 BroadWorks Communications Utility 的外部身份验证服务:

      XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

    2. 将身份验证服务 URL 添加到容器:

      XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

      这样,Cisco Webex 即可使用身份验证服务来验证作为凭据提交的令牌。

    3. 用下列命令检查参数:get

    4. 重启 XSP。

在 HTTP 接口上配置 TLS 和密码(用于 XSI 和身份验证服务)

身份验证服务、Xsi-Actions 和 Xsi-Events 应用程序使用 HTTP 服务器接口。 这些应用程序的 TLS 配置级别如下:

最一般 = 系统 > 传输 > HTTP > HTTP 服务器接口 = 最特殊

您用于查看或修改不同 SSL 设置的 CLI 上下文包括:

特异性 CLI 上下文
系统(全局)

XSP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP_CLI/System/SSLCommonSettings/JSSE/Protocols>

此系统的传输协议

XSP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

此系统上的 HTTP

XSP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP_CLI/Interface/Http/SSLCommonSettings/Protocols>

此系统上的特定 HTTP 服务器接口

XSP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

读取 XSP 上的 HTTP 服务器 TLS 接口配置

  1. 登录 XSP 并导航至XSP_CLI/Interface/Http/HttpServer>

  2. 输入get命令并阅读结果。 您应看到接口(IP 地址),并分别查看是否安全以及是否需要客户端身份验证。

Apache tomcat 要求每个安全接口都有证书;如果需要,系统会生成自签名证书。

XSP_CLI/Interface/Http/HttpServer> get

将 TLS 1.2 协议添加到 HTTP 服务器接口


该过程仅适用于 R22 及更高版本。 要在 R21(SP1) 上配置 TLS 版本,必须使用 XSP 平台容器选项bw.apache.sslenabledprotocols

与 Cisco Webex 云交互的 HTTP 接口必须针对 TLSv1.2 进行配置。 云不会协商早期版本的 TLS 协议。

要在 HTTP 服务器接口上配置 TLSv1.2 协议,请执行以下操作:

  1. 登录 XSP 并导航至XSP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. 输入命令get <interfaceIp> 443以查看已在此接口上使用的协议。

  3. 输入命令add <interfaceIp> 443 TLSv1.2以确保该接口在与云通信时可以使用 TLS 1.2。

在 HTTP 服务器接口上编辑 TLS 密码配置


该过程仅适用于 R22 及更高版本。 要在 R21(SP1) 上配置 TLS 密码,必须使用 XSP 平台容器选项bw.apache.sslciphersuite

要配置所需的密码,请执行以下操作:

  1. 登录 XSP 并导航至XSP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. 输入命令get <interfaceIp> 443以查看已在此接口上使用的密码。 必须至少包含一个来自 Cisco 建议套件的密码(请参阅“概述”部分中的“XSP 标识和安全要求”)。

  3. 输入命令add <interfaceIp> 443 <cipherName>以向 HTTP 服务器接口添加密码。


    XSP CLI 要求使用 IANA 标准密码套件名称,而非 openSSL 密码套件名称。 例如,要将 openSSL 密码ECDHE-ECDSA-CHACHA20-POLY1305添加到 HTTP 服务器接口,您将使用:XSP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    请参阅 https://ciphersuite.info/,以便按任一名称查找此套件。

在 XSP、应用程序服务器和档案服务器上配置设备管理

档案服务器和 XSP 是设备管理所必需的。 必须按照《BroadWorks 设备管理配置指南》(https://xchange.broadsoft.com/node/1031995) 中的说明对它们进行配置。

CTI 接口和相关配置

以下是“从最里到最外”的配置顺序。 并不强制遵循此顺序。

  1. 为 CTI 订阅配置应用程序服务器

  2. 为 mTLS 身份验证的 CTI 订阅配置 XSP

  3. 打开用于安全 CTI 接口的入站端口

  4. 为您的 Webex 组织订阅 BroadWorks CTI 活动

为 CTI 订阅配置应用程序服务器

使用 Webex for BroadWorks CTI 客户端证书的公用名 (CN),更新应用程序服务器上的 ClientIdentity。

对于 Webex 使用的每个应用服务器,使用以下命令将证书标识添加到 ClientIdentity 中:

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com


Webex for BroadWorks 客户端证书的公用名是bwcticlient.webex.com

在 CTI 接口上配置 TLS 和密码

XSP CTI 接口的可配置性级别如下:

最一般 = 系统 > 传输 > CTI > CTI 接口 = 最特殊

您用于查看或修改不同 SSL 设置的 CLI 上下文包括:

特异性

CLI 上下文

系统(全局)

(R22 及以上版本)

XSP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP_CLI/System/SSLCommonSettings/JSSE/Protocols>

此系统的传输协议

(R22 及以上版本)

XSP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

此系统上的所有 CTI 接口

(R22 及以上版本)

XSP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

XSP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

此系统上的特定 CTI 接口

(R22 及以上版本)

XSP_CLI/Interface/CTI/SSLSettings/Ciphers>

XSP_CLI/Interface/CTI/SSLSettings/Protocols>

读取 XSP 上的 CTI TLS 接口配置

  1. 登录 XSP 并导航至XSP_CLI/Interface/CTI/SSLSettings>

    在 BroadWorks R21 上: 导航至XSP_CLI/Interface/CTI/SSLConfiguration>

  2. 输入get命令并阅读结果。 您应看到接口(IP 地址),并分别查看是否需要服务器证书以及是否需要客户端身份验证。

将 TLS 1.2 协议添加到 CTI 接口


该过程仅适用于 R22 及更高版本。 若要在 CTI 接口上为 R21(SP1) 配置 TLS 版本,您必须使用 tomcat 容器选项bw.cti.sslenabledprotocols

与 Cisco Webex 云交互的 XSP CTI 接口必须针对 TLS v1.2 进行配置。 云不会协商早期版本的 TLS 协议。

要在 CTI 接口上配置 TLSv1.2 协议,请执行以下操作:

  1. 登录 XSP 并导航至XSP_CLI/Interface/CTI/SSLSettings/Protocols>

  2. 输入命令get <interfaceIp>以查看已在此接口上使用的协议。

  3. 输入命令add <interfaceIp> TLSv1.2以确保该接口在与云通信时可以使用 TLS 1.2。

在 CTI 接口上编辑 TLS 密码配置


该过程仅适用于 R22 及更高版本。 若要在 CTI 接口上为 R21(SP1) 配置密码,您必须使用 tomcat 容器选项bw.cti.enabledciphers

要在 CTI 接口上配置所需的密码,请执行以下操作:

  1. 登录 XSP 并导航至XSP_CLI/Interface/CTI/SSLSettings/Ciphers>

  2. 输入get命令以查看已在此接口上使用的密码。 必须至少包含一个来自 Cisco 建议套件的密码(请参阅“概述”部分中的“XSP 标识和安全要求”)。

  3. 输入命令add <interfaceIp> <cipherName>以将密码添加到 CTI 接口。


    XSP CLI 要求使用 IANA 标准密码套件名称,而非 openSSL 密码套件名称。 例如,要将 openSSL 密码ECDHE-ECDSA-CHACHA20-POLY1305添加到 CTI 接口,您将使用:XSP_CLI/Interface/CTI/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    请参阅 https://ciphersuite.info/,以便按任一名称查找此套件。

更新 CTI 接口(R22 及以上版本)的信任锚

此过程假设 XSP 面向互联网或通过传递代理面向互联网。 桥接代理的证书配置不同(请参阅“TLS 桥接代理的 TLS 证书要求”)。

对于基础设施中每个将 CTI 事件发布到 Webex的 XSP,执行以下操作:

  1. 登录合作伙伴中心。

  2. 转至设置 > BroadWorks Calling,然后单击下载 Webex CA 证书以将CombinedCertChain.txt下载至您的本地计算机。


    此文件包含两个证书。 在将文件上传到 XSP 之前,您需要先拆分文件。

  3. 将证书链分割为两个证书:

    1. 打开combinedcertchain.txt(在文本编辑器中)。

    2. 选择并剪切第一个文本块,包括行-----BEGIN CERTIFICATE----------END CERTIFICATE-----,然后将文本块粘贴到新文件中。

    3. 将新文件另存为broadcloudroot.txt

    4. 将原始文件另存为broadcloudissuing.txt

      原始文件现在应只包含一个文本块,周围环绕着行-----BEGIN CERTIFICATE----------END CERTIFICATE-----

  4. 将两个文本文件复制到您保护的 XSP 上的临时位置,例如/tmp/broadcloudroot.txt/tmp/broadcloudissuing.txt

  5. 登录 XSP 并导航至 /XSP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (可选)运行help updateTrust以查看参数和命令格式。

  7. 将证书文件上传到新的信任锚:

    XSP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexissuing /tmp/broadcloudissuing.txt


    webexrootwebexissuing是信任锚的示例别名;您可以使用自己的别名。

  8. 确认已更新锚:

    XSP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
    =============================================================================
    webexissuing    BroadCloud Commercial Issuing CA – DA3     BroadCloud Commercial Trusted Root CA
    webexroot       BroadCloud Commercial Trusted Root CA      BroadCloud Commercial Trusted Root CA[self-signed]
  9. 允许客户端使用证书进行身份验证:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

更新 CTI 接口的信任锚 (R21)

此过程假设 XSP 面向互联网或通过传递代理面向互联网。 桥接代理的证书配置不同(请参阅“TLS 桥接代理的 TLS 证书要求”)。

对于基础设施中每个将 CTI 事件发布到 Webex的 XSP,执行以下操作:

  1. 登录合作伙伴中心。

  2. 转至设置 > BroadWorks Calling,然后单击下载 Webex CA 证书以将CombinedCertChain.txt下载至您的本地计算机。


    此文件包含两个证书。 在将文件上传到 XSP 之前,您需要先拆分文件。

  3. 将证书链分割为两个证书:

    1. 打开combinedcertchain.txt(在文本编辑器中)。

    2. 选择并剪切第一个文本块,包括行-----BEGIN CERTIFICATE----------END CERTIFICATE-----,然后将文本块粘贴到新文件中。

    3. 将新文件另存为broadcloudroot.txt

    4. 将原始文件另存为broadcloudissuing.txt

      原始文件现在应只包含一个文本块,周围环绕着行-----BEGIN CERTIFICATE----------END CERTIFICATE-----

  4. 将两个文本文件复制到您保护的 XSP 上的临时位置,例如/tmp/broadcloudroot.txt/tmp/broadcloudissuing.txt

  5. 登录 XSP 并导航至 /XSP_CLI/Interface/CTI/SSLConfiguration/ClientAuthentication/Trusts>

  6. (可选)运行help updateTrust以查看参数和命令格式。

  7. 使用证书更新新的信任锚:

    /XSP_CLI/Interface/CTI/SSLConfiguration/ClientAuthentication/Trusts> updateTrust webexroot /tmp/broadcloudroot.txt

    /XSP_CLI/Interface/CTI/SSLConfiguration/ClientAuthentication/Trusts> updateTrust webexissuing /tmp/broadcloudissuing.txt

    (其中“webexroot“和“webexissuing“是信任锚的示例别名;您可以使用自己的名称)

  8. 确认两个证书均已上传:

    /XSP_CLI/Interface/CTI/SSLConfiguration/ClientAuthentication/Trusts> get

    XSP_CLI/Interface/CTI/SSLConfiguration/ClientAuthentication/Trusts> get
                 Alias                                   Owner                                           Issuer
    ===========================================================================================================
         webexissuing   BroadCloud Commercial Issuing CA - DA3 BroadCloud Commercial Trusted Root CA
            webexroot   BroadCloud Commercial Trusted Root CA  BroadCloud Commercial Trusted Root CA[self-signed]
  9. 允许客户端使用证书进行身份验证:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

添加 CTI 接口并启用 mTLS

  1. 添加 CTI SSL 接口。

    CLI 上下文取决于您的 BroadWorks 版本。 此命令会在界面上创建自签名服务器证书,并强制要求接口提供客户端证书。

    • 在 BroadWorks 22 和 23.0 上:

      XSP_CLI/Interface/CTI/SSLSettings> add <Interface IP> true true

    • 在 BroadWorks 21.sp1 上:

      XSP_CLI/Interface/CTI/SSLConfiguration> add <Interface IP> true true

  2. 在 XSP 上启用和定义安全 CTI 端口:

    XSP_CLI/Interface/CTI> set securePortEnabled true

    XSP_CLI/Interface/CTI> set securePort 8012

  3. 替换 XSP CTI 接口上的服务器证书和密钥。 您需要 CTI 接口的 IP 地址来进行这一操作;您可以在以下上下文中读取该内容:

    • 在 BroadWorks 22 和 23.0 上:

      XSP_CLI/Interface/CTI/SSLSettings> get

    • 在 BroadWorks 21.sp1 上:

      XSP_CLI/Interface/CTI/SSLConfiguration> get

      然后运行以下命令以将接口的自签名证书替换为您自己的证书和私钥:

      在 BroadWorks 22.0 和 23.0 上:

      XSP_CLI/Interface/CTI/SSLSettings/Certificates> sslUpdate <interface IP> keyFile</path/to/certificate key file> certificateFile </path/to/server certificate> chainFile</path/to/chain file>

      在 BroadWorks 21.sp1 上:

      XSP_CLI/Interface/CTI/SSLConfiguration> sslUpdate <interface IP> keyFile </path/to/certificate key file> certificateFile </path/to/server certificate> chainFile </path/to/chain file>

  4. 重启 XSP。

打开用于安全 CTI 接口的入站端口

打开防火墙上 CTI 的安全端口(默认为 TCP 8012),该端口用于与 XSP CTI 接口的入站 TLS 连接。

要检查是否启用了安全端口及其端口号,请执行以下操作:

  1. 登录 XSP CLI 并导航至XSP_CLI/Interface/CTI>上下文。

  2. Enterget

除其他信息外,您应能看到以下内容:

securePortEnabled = true

securePort = 8012

这样可确保 Webex 能够发起加密连接。

Webex 仅使用安全端口,因此我们建议您设置portEnabled = false以禁用不安全的端口。

在 Cisco Webex 上启用 BroadWorks CTI 事件访问

在 Partner Hub 中配置集群时,您需要添加并验证 CTI 接口。 详细说明请参阅“在控制中心中配置合作伙伴组织”

  • 指定 Cisco Webex 可订阅 BroadWorks CTI 事件的 CTI 地址。

  • CTI 订阅按用户进行,并且只有在该用户预配置 Webex for BroadWorks 时才会建立并维护。

呼叫设置网页视图

呼叫设置网页视图 (CSWV) 是一个应用程序,托管在 XSP(或 ADP)上,允许用户通过他们在软见客户端中看到的网页视图修改其 BroadWorks 呼叫设置。 https://xchange.broadsoft.com/node/1050149 上提供了详细的《CSWV 解决方案指南》。

Webex 利用此功能为用户提供对非 Webex 应用程序原生的通用 BroadWorks 呼叫设置的访问。

如果您想让您的 Webex for BroadWorks 用户访问 Webex 应用程序中默认值以外的呼叫设置,需要部署呼叫设置网页视图功能。

呼叫设置网页视图有两个组件:

  • 呼叫设置网页视图应用程序,托管在 Cisco BroadWorks XSP(或 ADP)上。

  • Webex 应用程序,在网页视图中呈现呼叫设置。

用户体验

  • Windows 用户: 单击档案照片,然后单击 设置 > 呼叫 > 自助

  • Mac 用户: 单击档案照片,然后单击 首选项 > 呼叫 > 自助。

在 BroadWorks 上部署 CSWV

在 XSP 上安装呼叫设置网页视图

CSWV 应用程序必须位于环境中托管 Xsi-Actions 接口的 XSP 上。 它是 XSP 上的一个非托管应用程序,因此需要安装和部署 Web 存档文件。

  1. 登录 Xchange,在软件下载部分搜索“BWCallSettingsWeb”。

  2. 查找并下载文件的最新版本。

    例如,撰写此文时,BWCallSettingsWeb_1.8.2_1.war (https://xchange.broadsoft.com/node/1057167) 是最新版本。

  3. 根据 XSP 版本的 Xtended 服务平台配置指南安装、激活和部署 Web 存档。 (R23 版本是 https://xchange.broadsoft.com/node/1033484)。

    1. 将 .war 文件复制到 XSP 上的临时位置,例如/tmp/

    2. 导航至以下 CLI 上下文并运行安装命令:

      XSP_CLI/Maintenance/ManagedObjects> install application /tmp/BWCallSettingsWeb_1.7.5_1.war

      BroadWorks 软件管理器会验证并安装文件。

    3. [可选]删除/tmp/BWCallSettingsWeb_1.7.5_1.war(不再需要此文件)。

    4. 激活应用程序:

      XSP_CLI/Maintenance/ManagedObjects> activate application BWCallSettingsWeb 1.7.5 /callsettings

      任何应用程序的名称版本都是必填的,但是对于 CSWV,还必须提供 contextPath,因为它不是托管应用程序。 您可以使用任何未被另一应用程序使用的值,例如/callsettings

    5. 在选定的上下文路径上部署呼叫设置应用程序:

      XSP_CLI/Maintenance/ManagedObjects> deploy application /callsettings

  4. 现在可以预测将为客户指定的呼叫设置 URL,如下所示:

    https://<XSP-FQDN>/callsettings/

    注意:

    • 当您在客户端配置文件中输入此 URL 时,必须输入结尾的斜杠。

    • XSP-FQDN 必须与 Xsi-Actions FQDN 匹配,因为 CSWV 需要使用 Xsi-Actions,并且不支持 CORS。

  5. 对 Webex for BroadWorks 环境中的其他 XSP 重复此过程(如有必要)

呼叫设置网页视图应用程序当前在 XSP 上处于活动状态。

XSP R21 的其他配置

如果您在 R21 XSP 上部署 CSWV 应用程序:

  1. 导航至呼叫设置应用程序上下文并运行 get 读取其配置:XSP_CLI/Applications/BWCallSettingsWeb_1.7.5/General> get

    您应看到以下参数和值:

    xsiActionsContextOrURL=/com.broadsoft.xsi-actions
    displayCriteriaOrScheduleName=criteria
    applicationMode=prod
    
  2. 使用set(如有必要)将参数更改为上述值。

  3. 如有必要,对其他 R21 XSP 重复上述步骤。

将Webex 应用程序配置为使用呼叫设置网页视图

有关客户端配置的更多详细信息,请参阅 Xchange 上适用于您的 Webex 应用程序版本的“Webex for BroadWorks 应用程序客户端配置指南”。 例如,此文件的 2020 年 9 月版本位于 https://xchange.broadsoft.com/node/1054075

Webex 应用程序配置文件中有一个自定义标记,可用于设置 CSWV URL。 此 URL 通过应用程序的界面向用户显示呼叫设置。

<config>
    <services>
        <web-call-settings target="%WEB_CALL_SETTINGS_TARGET_WXT%">
            <url>%WEB_CALL_SETTINGS_URL_WXT%</url>
        </web-call-settings>

在 BroadWorks 上的 Webex 应用程序配置模板中,配置 %WEB_CALL_SETTINGS_URL_WXT% 标记中的 CSWV URL。

如果不明确指定 URL,缺省值为空,用户看不到呼叫设置页面。

  1. 确保您拥有 Webex 应用程序的最新配置模板(请参阅“设备配置文件”)。

  2. 将 Web 呼叫设置目标设置为csw

    %WEB_CALL_SETTINGS_TARGET_WXT% csw

  3. 设置环境的 Web 呼叫设置 URL,例如:

    %WEB_CALL_SETTINGS_URL_WXT% https://yourxsp.example.com/callsettings/

    (此值在部署 CSWV 应用程序时衍生)

  4. 生成的客户端配置文件应有一个如下所示的条目:
    <web-call-settings target="csw">
        <url>https://yourxsp.example.com/callsettings/</url>
    </web-call-settings>

为 BroadWorks 在 Webex 中配置呼叫推送通知

在此文档中,我们使用术语呼叫通知推送服务器 (CNPS) 来描述环境中运行的 XSP 托管或 ADP 托管应用程序。 CNPS 可以配合 BroadWorks 系统运行,识别用户收到的传入呼叫,并向 Google Firebase Cloud Messaging (FCM) 或 Apple Push Notification service (APN) 通知服务推送这些呼叫的通知。

这些服务会向 Webex for BroadWorks 订阅者的移动设备发出通知,告诉他们在 Webex 上有传入呼叫。

有关 NPS 的更多信息,请参阅 https://xchange.broadsoft.com/node/485737 上的“通知推送服务器功能说明”。

Webex 中的类似机制可配合 Webex 消息传递和在线状态服务运行,向 Google (FCM) 或 Apple (APNS) 通知服务推送通知。 这些服务又会将收到的消息或存在的变化通知给移动 Webex 用户。


本部分描述当 NPS 尚未支持其他应用程序时如何为身份验证代理配置 NPS。 如果您需要迁移共享的 NPS 以使用 NPS 代理,请参阅 更新 Cisco BroadWorks NPS 以使用 NPS 代理https://help.webex.com/nl5rir2/

NPS 代理概述

为了与 Webex for BroadWorks 兼容,必须对 CNPS 打补丁以支持 NPS 代理功能,即 UCaaS 中用于 VoIP 的推送服务器

该功能在通知推送服务器中实现了新的设计,可解决与移动客户端的服务商共享推送通知证书私钥的安全漏洞。 NPS 不再与服务商共享推送通知证书和密钥,而是使用新 API 从 Webex 的 BroadWorks 后端获取短效推送通知令牌,并使用此令牌与 Apple APNS 和 Google FCM 服务进行身份验证。

此功能还增强了通知推送通过新的 Google Firebase Cloud Messaging (FCM) HTTPv1 API 向 Android 设备推送通知的功能。

APNS 注意事项

自 2021 年 3 月 31 日起,Apple 将不再支持 Apple 推送通知服务上基于 HTTP/1 的二进制协议。 我们建议您将 XSP 配置为对 APNS 使用基于 HTTP/2 的接口。 此更新要求托管 NPS 的 XSP 运行 R22 或更高版本。

为 Webex for BroadWorks 准备 NPS

1

安装和配置专用 XSP(最低版本 R22)或应用程序交付平台 (ADP)。

2

安装 NPS 身份验证代理补丁:

XSP R22 补丁:

XSP R23 补丁:

3

激活通知推送服务器应用程序。

4

(对于 Android 通知)在 NPS 上启用 FCM v1 API。

XSP_CLI/Applications/NotificationPushServer/FCM> set V1Enabled true

5

(对于 Apple iOS 通知)在 NPS 上启用 HTTP/2。

XSP_CLI/Applications/NotificationPushServer/APNS/GeneralSettings> set HTTP2Enabled true

6

附加 NPS XSP/ADP 技术支持。

下一步

当新安装 NPS 时,请转到配置 NPS 以使用身份验证代理

要将现有的 Android 部署迁移到 FCMv1,请转到将 NPS 迁移到 FCMv1

配置 NPS 以使用身份验证代理

此任务适用于新的 NPS 安装,专用于 Webex for BroadWorks。

如果您希望在与其他移动应用程序共享的 NPS 上配置身份验证代理,请参阅更新 Cisco BroadWorks NPS 以使用 NPS 代理 (https://help.webex.com/nl5rir2)。

1

使用已加入的联系人或 TAC 创建服务请求以预配置 (Webex Common Identity) OAuth 客户端帐户。 将您的服务请求标题设为 NPS Configuration for Auth Proxy Setup(用于身份验证代理设置的 NPS 配置)

Cisco 会为您提供一个 OAuth 客户端 ID、客户端密码和一个有效期为 60 天的刷新令牌。 如果令牌在您与 NPS 一同使用前已到期,您可以提出另一个请求。
2

在 NPS 上创建客户端帐户:

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set clientId client-Id-From-Step1

XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set clientSecret
New Password: client-Secret-From-Step1
XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> set RefreshToken
New Password: Refresh-Token-From-Step1

要验证您输入的值与所提供的值是否匹配,请运行XSP_CLI/Applications/NotificationPushServer/CiscoCI/Client> get

3

输入 NPS 代理 URL,并设置令牌刷新间隔(建议 30 分钟):

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set url https://nps.uc-one.broadsoft.com/nps/

XSP_CLI/Applications/NotificationPushServer/CloudNPSService> set VOIPTokenRefreshInterval 1800

4

(对于 Android 通知)将 Android 应用程序 ID 添加到 NPS 上的 FCM 应用程序上下文。

XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add applicationId com.cisco.wx2.android

5

(适用于 Apple iOS 通知)将应用程序 ID 添加到 APNS 应用程序上下文,确保省略 Auth 密钥 - 将其设置为空。

XSP_CLI/Applications/NotificationPushServer/APNS/Production/Tokens> add com.cisco.squared

6

配置以下 NPS URL:

XSP CLI 上下文

参数

  • XSP_CLI/Applications/

    NotificationPushServer/FCM>

authURL

https://www.googleapis.com/oauth2/v4/token

pushURL

https://fcm.googleapis.com/v1/projects/PROJECT-ID/messages:send

scope

https://www.googleapis.com/auth/firebase.messaging

  • XSP_CLI/Applications/NotificationPushServer

    /APNS/Production>

url

https://api.push.apple.com/3/device

7

根据显示的推荐值配置以下 NPS 连接参数:

XSP CLI 上下文

参数

  • XSP_CLI/Applications/

    NotificationPushServer/FCM>

tokenTimeToLiveInSeconds

3600

connectionPoolSize

10

connectionTimeoutInMilliseconds

3600

connectionIdleTimeoutInSeconds

600

  • XSP_CLI/Applications/NotificationPushServer/

    APNS/Production>

connectionTimeout

300

connectionPoolSize

2

connectionIdleTimeoutInSeconds

600

8

检查应用程序服务器是否筛选应用程序 ID,因为您可能需要将 Webex 应用程序添加到允许列表中:

  1. 运行AS_CLI/System/PushNotification> get并检查下列参数的值:enforceAllowedApplicationList。 如果为true,您需要完成此子任务。 否则,请跳过剩余的子任务。

  2. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.wx2.android “Webex Android”

  3. AS_CLI/System/PushNotification/AllowedApplications> add com.cisco.squared “Webex iOS”

9

重启 XSP:bwrestart

10

通过从 BroadWorks 订阅者向两个 Webex 移动用户进行呼叫来测试呼叫通知。 验证 iOS 和 Android 设备上是否显示呼叫通知。

将 NPS 迁移到 FCMv1

本主题包含可以在 Google FCM 控制台中使用的可选过程,当需要将现有的 NPS 部署迁移到 FCMv1 时,您可以执行这些步骤。 有三个过程:

将 UCaaS 客户端迁移到 FCMv1

在 Google FCM 控制台中使用以下步骤,将 UCaaS 客户端迁移到 Google FCM HTTPv1。


如果对客户端应用了定制,则客户端必须拥有发件人 ID。 在 FCM 控制台中,请参阅 项目设置 > 云消息传递。 此设置显示在“项目凭证”表中。

有关详细信息,请参阅 上的《https://xchange.broadsoft.com/node/1053211连接定制指南》。 请参阅gcm_defaultSenderId参数,其位于定制套件资源文件夹的 branding.xml 文件中,并包含下列语法:

<string name="gcm_defaultSenderId">xxxxxxxxxxxxx</string>

  1. 登录到 http://console.firebase.google.com 上的 FCM 管理员 SDK。

  2. 选择适当的 Android 应用程序。

  3. 常规标签页,记录项目 ID。

  4. 导航到“服务帐户”标签页,以配置一个服务帐户。 您可以创建一个新的服务帐户,也可以配置一个现有的服务帐户。

    要创建新的服务帐户:

    1. 单击蓝色按钮,以创建一个新的服务帐户

    2. 单击蓝色按钮,以生成一个新的私钥

    3. 将密钥下载到安全的位置

    要重复使用现有的服务帐户:

    1. 单击蓝色文本,以查看现有的服务帐户。

    2. 确定要使用的服务帐户。 服务帐户需要 firebaseadmin-sdk 权限。

    3. 在最右侧,单击汉堡菜单并创建一个新的私钥。

    4. 将密钥下载到安全的位置。

  5. 将密钥复制到 XSP。

  6. 配置项目 ID 以及:

    XSP_CLI/Applications/NotificationPushServer/FCM/Projects> add <project id> <path/to/key/file>
    ...Done
    
    XSP_CLI/Applications/NotificationPushServer/FCM/Projects> get
      Project ID  Accountkey
    ========================
      my_project    ********
  7. 配置应用程序:

    XSP_CLI/Applications/NotificationPushServer/FCM/Applications> add <app id> projectId <project id>
    ...Done
    
    XSP_CLI/Applications/NotificationPushServer/FCM/Applications> get
      Application ID    Project ID
    ==============================
              my_app    my_project
  8. 启用 FCMv1:

    XSP_CLI/Applications/NotificationPushServer/FCM> set V1Enabled true
    ...Done
  9. 运行bwrestart命令以重新启动 XSP。

将 SaaS 客户端迁移到 FCMv1

如果您希望将 SaaS 客户端迁移到 FCMv1,请在 Google FCM 控制台上使用以下步骤。


确保您已完成“配置 NPS 以使用身份验证代理”过程。
  1. 禁用 FCM:

    XSP_CLI/Applications/NotificationPushServer/FCM> set V1Enabled false
    ...Done
  2. 运行bwrestart命令以重新启动 XSP。

  3. 启用 FCM:

    XSP_CLI/Applications/NotificationPushServer/FCM> set V1Enabled true
    ...Done
  4. 运行bwrestart命令以重新启动 XSP。

更新 ADP 服务器

如果您要迁移 NPS 以使用 ADP 服务器,请在 Google FCM 控制台中使用以下步骤。

  1. 从 Google 云控制台获取 JSON 文件:

    1. 在 Google 云控制台上,转到服务帐户页面。

    2. 单击选择项目,选择您的项目,然后单击打开

    3. 找到要为其创建密钥的服务帐户的行,单击更多垂直按钮,然后单击创建密钥。

    4. 选择一个密钥类型,然后单击创建

      随后会下载此文件。

  2. 将 FCM 添加到 ADP 服务器:

    1. 使用下列命令将 JSON 文件导入 ADP 服务器:/bw/install

    2. 登录到 ADP CLI 并添加项目和 API 密钥:

      ADP_CLI/Applications/NotificationPushServer/FCM/Projects> add connect /bw/install/google JSON

    3. 接下来,添加应用程序和密钥:

      ADP_CLI/Applications/NotificationPushServer/FCM/Applications> add com.broadsoft.ucaas.connect projectId connect-ucaas...Done

    4. 验证配置:

      ADP_CLI/Applications/NotificationPushServer/FCM/Projects> g
      Project ID Accountkey
      ========================
      connect-ucaas ********
      
      ADP_CLI/Applications/NotificationPushServer/FCM/Applications> g
      Application ID Project ID
      ===================================
      com.broadsoft.ucaas.connect connect-ucaas

在 Partner Hub 中配置合作伙伴组织

配置 BroadWorks 集群

[每个集群一次]

进行此操作的原因如下:

  • 要启用 Webex 云以与 BroadWorks 验证您的用户(通过 XSP 托管的身份验证服务)。

  • 要启用 Webex 应用程序以便使用 Xsi 接口进行呼叫控制。

  • 要允许 Webex 侦听 BroadWorks 发布的 CTI 事件(电话在线状态)。


集群向导会在添加接口时自动进行验证。 如果任何接口未能成功验证,您可以继续编辑集群,但是如果存在无效条目,则不能保存集群

我们阻止保存是因为配置错误的集群可能会导致问题难以解决。

您需要进行的操作:

  1. 使用合作伙伴管理员凭证登录 Partner Hub (admin.webex.com)。

  2. 从侧边菜单中打开 Settings(设置)页面,找到 BroadWorks Calling 设置。

  3. 单击 Add Cluster(添加集群)

    这将启动一个向导,您可以在其中提供 XSP 接口 (URL)。 如果您使用非标准端口,可以将端口添加到接口 URL。

  4. 为此集群命名,然后单击 Next(下一步)

    此处的集群概念只是一组接口(通常位于 XSP 服务器或场上),允许 Webex 从应用程序服务器 (AS) 读取信息。 每个 AS 集群可以有一个 XSP,或者每个集群有多个 XSP,或者每个 XSP 有多个 AS 集群。 此处已超出 BroadWorks 系统的扩展要求。

  5. (可选)输入您用于连接到 Webex 的 BroadWorks 系统中的 BroadWorks 用户帐户名密码,然后单击 Next(下一步)

    验证测试可以使用该帐户来验证与集群中接口的连接。

  6. 添加 XSI 操作XSI 活动的 URL,然后单击 Next(下一步)

  7. 添加 CTI 接口 URL,然后单击 Next(下一步)

  8. 添加验证服务 URL。

  9. 选择使用 CI 令牌验证的身份验证服务

    该选项不需要通过 mTLS 保护来自 Webex 的连接,因为验证服务会首先根据 Webex 身份服务正确验证用户令牌,然后再向用户发放长期令牌。

  10. 查看最终屏幕上的条目,然后单击 Create(创建)。 您应该会看到一条成功消息。

    Partner Hub 会将 URL 传递给 Webex 的各种微服务,以测试与所提供接口的连接。

  11. 单击 View Clusters(查看集群)可看到新集群以及验证是否成功。

  12. 在向导的最终(预览)屏幕上,Create(创建)按钮可能会禁用。 如果您无法保存模板,则表明您刚刚配置的某个集成存在问题。

    我们已实施此类检查以防止后续任务发生错误。 您可以在配置部署时重新浏览一遍向导,并可能需要按照本指南中的说明对基础架构(例如 XSP、负载平衡器或防火墙)进行修改,然后才能保存模板。

检查与 BroadWorks 接口的连接

  1. 使用合作伙伴管理员凭证登录 Partner Hub (admin.webex.com)。

  2. 从侧边菜单中打开 Settings(设置)页面,找到 BroadWorks Calling 设置。

  3. 单击 View Clusters(查看集群)

  4. Partner Hub 可通过各种微服务向集群中的接口发起连接测试。

    测试完成后,集群列表页面会在每个集群旁边显示状态消息。

    您应该会看到绿色成功消息。 如果您看到红色错误消息,请单击受影响的集群名称以查看导致问题的设置。

配置客户模板

客户模板支持通过预配置方法在添加客户时为一个或多个客户应用共享配置。 您必须将每个模板与(在前一部分创建的)集群关联。

您可以根据需要创建任意数量的模板,但是只有一个模板可以与客户关联。

  1. 使用合作伙伴管理员凭证登录 Partner Hub (admin.webex.com)。

  2. 从侧边菜单中打开 Settings(设置)页面,找到 BroadWorks Calling 设置。

  3. 单击 Add Template(添加模板)

    这将启动一个向导,您可以在其中为使用此模板的客户提供配置。

  4. 使用 Cluster(集群)下拉列表选择要用于此模板的集群。

  5. 输入 Template Name(模板名称),然后单击 Next(下一步)

  6. 使用这些建议的设置来配置预配置模式:

    表 2. 建议的针对不同预配置模式的预配置设置

    设置名称

    使用受信任电子邮件的流式预配置

    无需电子邮件的流式预配置

    用户自行预配置

    启用 BroadWorks Flow Through 预配置(在启用情况下包含预配置帐户凭证)

    开启

    根据 BroadWorks 配置提供预配置的帐户名密码

    开启

    根据 BroadWorks 配置提供预配置的帐户名密码

    关闭

    在 Control Hub 中自动创建新组织

    服务商电子邮件地址

    从下拉列表中选择电子邮件地址(如果列表太长,您可以输入一些字符来查找地址)。

    此电子邮件地址标识合作伙伴组织内部的管理员,该管理员将被授予对使用客户模板创建的任何新客户组织的委派管理员权限。

    国家/地区

    选择使用该模板的国家/地区。

    您选择的国家/地区会将使用此模板创建的客户组织与特定区域相匹配。 目前,该区域可以是(欧洲、中东、非洲及俄罗斯)或(北美和世界其他地区)。 请参阅“此电子表格中的国家/地区与区域的映射”

    BroadWorks 企业模式激活

    如果您使用此模板预配置的客户是 BroadWorks 中的企业,则启用此功能。

    如果他们是组,则关闭该开关。

    如果您在 BroadWorks 中有多个企业和组,您应针对这些不同情况创建不同的模板。

    • 表格注释:

    • † 此开关可确保在订阅者的电子邮件域与现有 Webex 组织不匹配时创建新的客户组织。

      除非您使用手动订购和履行流程(通过 Cisco Commerce Workspace)在 Webex 中创建客户组织(在开始预配置这些组织中的用户前),否则该项应始终处于启用状态。 该选项通常称为“混合预配置”模型,不在本文档的讨论范围内。

  7. 为使用此模板的客户选择默认服务软件包(请参阅“概述”一节中的软件包);可以是基本标准高级软件电话

    您可以通过 Partner Hub 针对个别用户覆盖此设置。

  8. 为使用此模板的客户选择默认验证模式(BroadWorks 验证Webex 验证)。

    (请参阅“准备环境”部分的“验证模式”)。

  9. 配置用户向 Webex 验证身份的方式。 此页上的设置与您选择的用户预配置模式相对应,如表所示:

    表 3. 建议的针对不同预配置模式的用户验证设置

    设置名称

    使用受信任电子邮件的流式预配置

    无需电子邮件的流式预配置

    用户自行预配置

    用户验证

    信任 BroadWorks 电子邮件

    不受信的电子邮件

    不受信的电子邮件

    预配置的第一个用户是管理员

    建议*

    建议*

    不适用

    允许用户自激活

    不适用

    不适用

    必填

    • 表格注释:

    • *如果在 Webex 中创建了新的客户组织,则 BroadWorks 中第一个被分配集成 IM&P 的用户将担任客户管理员角色。 选择此设置可以让您对承担该角色的人员进行一些控制。 如果不选中该设置,则新组织中第一个激活的用户将成为客户管理员。

      如有必要,您可以在预配置后修改 Partner Hub 中的客户用户角色。

  10. 选择是否要“在登录页中预填充用户电子邮件地址”

    只有在选择了 BroadWorks 验证并将用户的电子邮件地址输入到 BroadWorks 的“备用 ID”属性,才能使用此选项。 否则,他们需要使用其 BroadWorks 用户名。 登录页面提供了更改用户的选项(如果需要),但这可能会导致登录问题。

  11. 选择是否“启用目录同步”

    此选项允许 Webex 将 BroadWorks 联系人读入客户组织,以便用户可以从 Webex 应用程序中查找并呼叫联系人。

  12. 输入 Partner Admin(合作伙伴管理员)

    该名称用于 Webex 自动发送的电子邮件,用于邀请用户验证其电子邮件地址。

  13. 查看最终屏幕上的输入内容。 您可以单击向导顶部的导航控件以返回并更改任何详细信息。 单击创建

    您应该会看到一条成功消息。

  14. 单击 View Templates(查看模板),您应看到新模板与其他模板一起列出。

  15. 如有必要,单击模板名称可修改或删除模板。

    无需重新输入预配置帐户详细信息。 提供了空密码/密码确认字段用于更改凭据(如果需要),不过将其留空可保留您提供给向导的值。

  16. 如果要向客户提供不同的共享配置,请添加更多模板。


    View Templates(查看模板)页保持打开状态,因为以下任务可能需要模板详细信息。

使用预配置服务 URL 配置应用程序服务器


此任务仅用于流式预配置。

对应用程序服务器进行修补

  1. 应用补丁 ap373197(请参阅“参考”部分中的“BroadWorks 软件要求”)。

  2. 更改到Maintenance/ContainerOptions上下文。

  3. 启用预配置 URL 参数:

    /AS_CLI/Maintenance/ContainerOptions> add provisioning bw.imp.useProvisioningUrl true

从 Partner Hub 获取预配置 URL

请参见“Cisco BroadWorks 应用程序服务器命令行接口管理指南”,了解 AS 命令的详细信息(Interface(接口)> Messaging and Service(消息传递和服务)> Integrated IM&P(集成的 IM&P))。

  1. 登录到 Partner Hub 并转到 设置 > BroadWorks Calling

  2. 单击 View Templates(查看模板)

  3. 选择用于在 Webex 中预配置此企业/群组的订阅者的模板。

    模板详细信息显示在右侧浮出窗格中。 如果您尚未创建模板,需要先进行创建才能获取预配置 URL。

  4. 复制预配置适配器 URL

如果您有多个模板,对其他模板重复此操作。

(选项)在应用程序服务器上配置系统范围的预配置参数


如果使用的是 UC-One SaaS,您可能不想设置系统范围的预配置和服务域。 请参阅“准备环境”部分的“决策点”

  1. 登录应用程序服务器并配置消息传递接口。

    1. AS_CLI/Interface/Messaging> set provisioningUrl EnterValueFromPartnerHubTemplate

    2. AS_CLI/Interface/Messaging> set provisioningUserId EnterValueFromPartnerHubTemplate

    3. AS_CLI/Interface/Messaging> set provisioningPassword EnterValueFromPartnerHubTemplate

    4. AS_CLI/Interface/Messaging> set enableSynchronization true

  2. 激活集成的 IMP 接口:

    1. /AS_CLI/Service/IntegratedIMP> set serviceDomain example.com

    2. /AS_CLI/Service/IntegratedIMP/DefaultAttribute> set userAttrIsActive true


必须输入provisioningURL参数的完全限定名称,正如在 Control Hub 中提供的。 如果应用程序服务器无法访问 DNS 来解析主机名,那么必须在 AS 上的/etc/hosts文件中创建映射。

(选项)在应用程序服务器上配置每个企业的预配置参数

  1. 在 BroadWorks UI 中,打开要配置的企业,然后进入 Services(服务)> Integrated IM&P(集成的 IM&P)

  2. 选择 Use service domain(使用服务域)并输入虚拟值(Webex 会忽略此参数。 您可以使用example.com)。

  3. 选择 Use Messaging Server(使用消息传递服务器)

  4. URL 字段中,粘贴从 Partner Hub 的模板中复制的预配置 URL。


    必须输入provisioningURL参数的完全限定名称,正如在 Partner Hub 中提供的。 如果应用程序服务器无法访问 DNS 来解析主机名,那么必须在 AS 上的/etc/hosts文件中创建映射。

  5. Username(用户名)字段中,输入预配置管理员的名称。 这必须与 Partner Hub 包含的模板中的值匹配。

  6. 输入预配置管理员的密码。 这必须与 Partner Hub 包含的模板中的值匹配。

  7. 对于 Default User Identity for IM&P ID(IM&P ID 的默认用户身份),选择 Primary(主要)

  8. 单击 Apply(应用)

  9. 对其他要配置流式预配置的企业重复此步骤。

目录同步 — Webex 之 BroadWorks Calling

目录同步确保 Webex for BroadWorks 用户可以使用 Webex 目录调用来自 BroadWorks 服务器的任何呼叫实体。 此功能可确保即使电话实体没有消息传递客户端也能同步到 Webex 目录。


Webex for BroadWorks 预配置包括从 BroadWorks 服务器到 Webex 目录的消息传递用户及其关联呼叫信息的缺省同步。 但是,预配置同步会忽略未启用消息传递的用户和非用户实体(例如,会议室电话、传真机或寻线组号码)。 您必须启用目录同步,以确保将这些省略的呼叫实体添加到 Webex 目录。

目录同步条件

  • 给定的客户模板每周运行一次目录同步。 初始同步将安排在启用同步后的下一周(所选的同步开始时间是随机的)。

  • 如果同步失败,同步会每 24 小时自动重新尝试一次,直到下次预定的同步。

  • 您可以在控制中心中查看给定客户模板的同步状态(及上次同步成功信息)。

  • 为给定的客户模板启用同步功能后,将为使用该模板的所有组织启用同步功能。 如果这些组织中的一个或多个发生同步失败,状态将显示部分失败。

  • 同步会忽略没有电话号码的用户。

  • 每个 Webex 应用程序都有一个本地缓存,可能需要最长 72 个小时才能清除,之后才能在 Webex 应用程序中显示后同步更新。无论您是启用还是禁用该功能,此延迟都将存在。

准备工作

我们建议您使用以下设置:

  • 速率限制值—设置以下 OverloadControl 系统属性 (XSP_CLI/Applications/Xsi-Actions/OverloadControl):

    • userDirectoryTransactionLimit—设置为空值。 否则,设置为 5(最小值)。

    • globalDirectoryTransactionLimit—设置为空值。 否则,设置为 5(最小值)。

  • 寻呼值—设置寻呼系统属性 (XSP_CLI/Applications/Xsi-Actions/Paging):

    • defaultPageSize—设为 50

    • availableUserMaxLimit—设为 100

  • CTI 接口—确保将 Webex CA 证书上传到 CTI 接口信任库,并启用 CTI 接口上的客户端验证。

此外,我们建议您在启用此功能前对 BroadWorks 部署应用系统补丁 ap368517(有关补丁信息,请参阅“参考”部分中的“BroadWorks 软件要求”)。

步骤

完成以下步骤以启用目录同步:

  1. 在 Partner Hub,选择 Settings(设置)

  2. 滚动到 BroadWorks Calling,然后单击 View Template(查看模板)

  3. 选择相应的模板。

  4. 滚动至 BroadWorks Directory Sync(BroadWorks 目录同步),并将 Enable directory synchronisation(启用目录同步)开关设置为 On(开启)

  5. 单击保存


要禁用目录同步,将 Enable directory synchronisation(启用目录同步)开关设置为 Off(关闭)。 这将从 Webex 目录中删除仅使用 BroadWorks 的用户。

通话录制

Webex for BroadWorks 支持四种呼叫录制模式。

表 4. 录制模式

录制模式

描述

显示在 Webex 应用程序上的控件/指示器

一直使用

在建立呼叫之后自动开始录制。 用户无法开始或停止录制。

  • 表明正在录制的可视指示器

始终使用“暂停/恢复”

在建立呼叫之后自动开始录制。 用户可以暂停和恢复录制。

  • 表明正在录制的可视指示器

  • 暂停录制按钮

  • 恢复录制按钮

按需

在建立呼叫之后自动开始录制,但除非用户按下开始录制,否则会删除录制文件。

如果用户开始录制,将保留呼叫设置中的完整录制。 开始录制之后,用户还可以暂停和恢复录制。

  • 开始录制按钮

  • 暂停录制按钮

  • 恢复录制按钮

按需并允许用户开始

除非用户在 Webex 应用程序上选择开始录制选项,否则不会开始录制。用户可以在呼叫期间多次开始和停止录制。

  • 开始录制按钮

  • 停止录制按钮

  • 暂停录制按钮

要求

要在 Webex for BroadWorks 上部署此功能,您必须部署以下 BroadWorks 补丁:

  • AP.as.22.0.1123.ap377718

  • AP.as.23.0.1075.ap377718

  • AP.as.24.0.944.ap377718

AS 必须配置为发送X-BroadWorks-Correlation-InfoSIP 标头:

  • AS_CLI/Interface/SIP> set sendCallCorrelationIDNetwork true

  • AS_CLI/Interface/SIP> set sendCallCorrelationIDAccess true

必须启用如下配置标记,才能使用此功能:%ENABLE_CALL_RECORDING_WXT%

此功能要求与第三方呼叫录制平台集成。

要配置 BroadWorks 上的呼叫录制,请转到 上的《https://xchange.broadsoft.com/node/1033722Cisco BroadWorks 呼叫录制接口指南》。

其他信息

有关如何使用“录制”功能的用户信息,请转到 Webex | 录制您的呼叫

要重播录制文件,用户或管理员必须转到自己的第三方呼叫录制平台。

群组呼叫保留和取回

Webex for BroadWorks 支持群组呼叫保留和取回。 此功能允许群组内的用户保留呼叫,随后,此群组中的其他用户可以取回呼叫。 例如,商店中的零售员工可以使用此功能来保留呼叫,随后,其他部门中的人员可以代接此呼叫。

要部署此功能,管理员必须创建一个呼叫保留群组,并将用户添加到此群组。 配置此功能之后:

  • 在呼叫期间,用户可以单击 Webex 应用程序上的保留选项,以便将呼叫保留在系统自动选择的分机上。 系统会向此用户显示此分机并持续 10 秒钟。

  • 群组中的其他用户可以单击 Webex 应用程序上的取回呼叫选项。随后,用户可以输入已保留的呼叫的分机号,以继续此呼叫。

有关如何在 BroadWorks 上配置此功能的管理详细信息,请参阅 上的https://xchange.broadsoft.com/node/1051947《BroadWorks 应用程序服务器群组 Web 界面管理指南》第 2 部分中的“呼叫保留”一节。

其他信息

有关如何使用“群组呼叫保留”功能的用户信息,请参阅 Webex | 保留和取回呼叫

呼叫保留/定向呼叫保留

Webex 应用程序 UI 不支持常规或定向呼叫保留,但预配置的用户可以使用功能访问码部署此功能:

  • 输入 *68 以保留呼叫

  • 输入 *88 以取回呼叫

自定义和预配置客户端

用户下载并安装桌面或移动设备的通用 Webex 应用程序(请参阅“准备环境”部分中的“Webex 应用程序平台”)。 用户通过验证后,客户端会在 Cisco Webex 云上注册消息传递和会议、检索其品牌信息、发现其 BroadWorks 服务信息,然后从 BroadWorks 应用程序服务器(通过 XSP 上的 DMS)下载其呼叫配置。

您可以为 BroadWorks 中的 Webex 应用程序配置呼叫参数(正常)。 您可以在控制中心中为客户端配置品牌、消息传递和会议参数。 您不能直接修改配置文件。

这两组配置可能重叠,在这种情况下,Webex 配置将取代 BroadWorks 配置。

将 Webex 应用程序配置模板添加到 BroadWorks 应用程序服务器

Webex 应用程序配置有 DTAF 文件。 客户端通过 XSP 上的设备管理服务从应用程序服务器下载配置 XML 文件。

  1. 获取所需的 DTAF 文件(请参阅“准备环境”部分中的“设备档案”)。

  2. 确认是否在 BroadWorks System(BroadWorks 系统)> Resources(资源)> Device Management Tag Sets(设备管理标记集)中正确设置了标记集。

  3. 对于您正在预配置的每个客户端:

    1. 下载并解压特定客户端的 DTAF zip 文件。

    2. System(系统)> Resources(资源)> Identity/Device Profile Types(身份/设备档案类型)处将 DTAF 文件导入 BroadWorks

    3. 打开新添加的设备档案进行编辑,然后输入 XSP 场的 FQDN 和设备访问协议。

    4. 根据环境修改模板(见下表)。

    5. 保存该档案。

  4. 单击 Files and Authentication(文件和验证),然后选择用于重新构建所有系统文件的选项。

名称

描述

编解码器优先级

配置用于网络语音呼叫的音频和视频编解码器的优先顺序

TCP、UDP 和 TLS

配置用于 SIP 信令和媒体的协议

RTP 音频和视频端口

配置 RTP 音频和视频的端口范围

SIP 选项

配置与 SIP 相关的各种选项(SIP 信息、使用 rport、SIP 代理发现、注册和订阅的刷新间隔等)

在控制中心中自定义客户端

桌面和移动客户端有不同的品牌配置,因此如果同时使用这两者,则必须重复此品牌过程:

  1. 登录控制中心并进入 Configuration(配置)> Clients(客户端)

  2. 找到客户端配置页的 Branding(品牌)区域。

  3. 更新徽标和主导航栏颜色。 有关详细信息,请参阅“将公司品牌添加到 Webex”


用户激活门户使用您为客户端品牌添加的相同徽标。

自定义问题报告和帮助 URL

请参阅 https://help.webex.com/n0cswhcb 中的“自定义客户的定制和问题报告”。

配置 Webex for BroadWorks 的测试组织

准备工作

使用流式预配置

您必须先在控制中心中配置所有 XSP 服务和合作伙伴组织,然后才能执行此任务。

1

在 BroadWorks 中分配服务:

  1. 在 BroadWorks 的服务商企业下创建测试企业,或者在您的服务提供商下创建测试组(取决于 BroadWorks 的设置)。

  2. 配置该企业的 IM&P 服务,指向要测试的模板(从控制中心客户模板中检索预配置适配器 URL 和凭证)。

  3. 在该企业/组中创建测试订阅者。

  4. 在 BroadWorks 的电子邮件字段中为用户提供唯一的电子邮件地址。 将它们也复制到“备用 ID”属性中。

  5. 向这些订阅者分配集成的 IM&P 服务。


     

    此操作将触发客户组织和第一个用户的创建,并需要几分钟的时间。 请等待一会,然后尝试使用新用户登录。

2

在控制中心中验证客户组织和用户:

  1. 使用合作伙伴管理员帐户登录控制中心。

  2. 进入 Customers(客户),验证您的新客户组织是否位于列表中(名称遵循 BroadWorks 中的组名或企业名称)。

  3. 打开客户组织并验证订阅者是该组织中的用户。

  4. 验证您为其分配集成 IM&P 服务的第一个订阅者已成为该组织的客户管理员。

用户测试

1

将 Webex 应用程序下载到两台不同的计算机上。

2

在这两台机器上以测试用户登录。

3

进行测试呼叫。

水印
2021年4月9日| 次查看 | 人认为有帮助

管理 Webex for BroadWorks

管理 Webex for BroadWorks

预配置客户组织

在当前模型中,当您通过本文所述的任何方法添加首个用户时,我们会自动预配置客户组织。 每个客户只能进行一次预配置。

管理用户

要管理 Webex for BroadWorks 中的用户,请记住该用户同时存在于 BroadWorks 和 Webex 中。 呼叫属性和用户的 BroadWorks 身份保存在 BroadWorks 中。 而 Webex 中保留了用户的独有电子邮件身份及其 Webex 功能的许可。

预配置用户

您可以用以下方式对用户进行预配置:

  • 使用 API 创建 Webex 帐户

  • 使用可信电子邮件分配集成的 IM&P(流式预配置)以创建 Webex 帐户

  • 不使用可信电子邮件分配集成的 IM&P(流式预配置)。 用户提供并验证电子邮件地址以创建 Webex 帐户

  • 允许用户自激活(您向用户发送链接,他们创建 Webex 帐户)

公共预配置 API

Cisco Webex 会公开公共 API,以允许服务商将 Webex for BroadWorks 订阅者集成到其现有预配置工作流中。 这些 API 的规范在 developer.webex.com 中提供。 如果希望使用这些 API 进行开发,请联系您的 Cisco 代表获取 Webex for BroadWorks。

流式预配置

在 BroadWorks 上,您可以为用户提供预配置 Enable Integrated IM&P(启用集成的 IM&P)选项。 此操作将允许 BroadWorks 预配置适配器进行 API 调用,以在 Cisco Webex 上预配置用户。 我们的预配置 API 向后兼容 UC-One SaaS API。 BroadWorks AS 无需更改代码,只需对预配置适配器的 API 端点进行配置更改。


在 Cisco Webex 上进行订阅方预配置可能需要大量时间(对于企业内的初始用户可能需要几分钟时间)。 Webex 会作为后台任务执行预配置。 因此,流式预配置成功表示该预配置已开始。 不表示完成。

要确认已在 Cisco Webex 中完全预配置的用户和客户组织,您必须登录到 Partner Hub 并查看客户列表。

用户自激活

要在 Webex 中预配置 BroadWorks 用户,而不分配集成的 IM&P 服务:

  1. 登录 Partner Hub 并找到 BroadWorks Settings(BroadWorks 设置)页面。

  2. 单击 View Templates(查看模板)

  3. 选择要应用于此用户的预配置模板。

    请记住,每个模板都与集群和您的合作伙伴组织关联。 如果用户不在与此模板关联的 BroadWorks 系统中,则用户无法通过链接自激活。

  4. 复制预配置链接并发送给用户。

    您可能还希望包含软件下载链接,并提醒用户需要提供并验证其电子邮件地址以激活其 Webex 帐户。

  5. 您可以在所选模板上监控用户的激活状态。

有关详细信息,请参阅“用户预配置和激活流程”

更改用户 ID 或电子邮件地址

用户 ID 和电子邮件地址更改

电子邮件 ID 和备用 ID 是用于 Webex for BroadWorks 的 BroadWorks 用户属性。 BroadWorks 用户 ID 仍是 BroadWorks 中用户的主标识符。 下表描述了这些不同属性的用途,以及需要更改这些属性时应执行的操作:

BroadWorks 中的属性 Webex 中的对应属性 目的 说明
BroadWorks 用户 ID 没有 主标识符 您无法更改此标识符,并仍会将用户连接到 Webex 中的同一帐户。 您可以删除用户,然后重新创建(如果有误)。
电子邮件 ID 用户 ID

如果声明信任电子邮件,则必须为流式预配置(创建 Webex 用户 ID)提供

如果不声明信任电子邮件,则不需要在 BroadWorks 中提供

如果允许订阅者自激活,则不需要在 BroadWorks 中提供

如果为用户预配置了错误的电子邮件地址,有一个手动过程可以在这两个位置进行更改:

  1. 在控制中心中更改用户的电子邮件地址

  2. 在 BroadWorks 中更改电子邮件 ID 属性

请勿更改 BroadWorks 用户 ID。 此操作不受支持。

备用 ID 没有 通过电子邮件和密码针对 BroadWorks 用户 ID 启用用户验证 应与电子邮件 ID 相同。 如果您无法将电子邮件置于备用 ID 属性中,用户在验证时必须输入其 BroadWorks 用户 ID。

在 Partner Hub 中更改用户软件包

1

登录 Partner Hub 并单击 Customers(客户)

2

查找并选择用户所属的客户组织。

组织概述页面将在屏幕右侧的面板中打开。

3

单击 View Customer(查看客户)

客户组织将在控制中心中打开,显示“概述”页面。
4

单击 Users(用户),然后查找并单击受影响的用户。

用户详细信息面板将在屏幕右侧打开。

5

在用户的 Services(服务)中,单击 Webex for BroadWorks Packages (Subscriptions)(Webex for BroadWorks 软件包(订阅))

随即将打开用户的软件包面板,您可以查看当前分配给用户的软件包。

6

为此用户选择所需的软件包(基本标准高级软件电话)。

控制中心会显示用户正在更新的消息。

7

您可以关闭用户详细信息和控制中心标签页。


标准软件包和高级软件包拥有与每个软件包相关联的独有会议站点。 如果拥有管理员权限的订阅者将这两种软件包之一迁移到另一种软件包,Control Hub 中会显示此订阅者拥有两个会议站点。 此订阅者的主持人会议功能和会议站点与他们当前的软件包一致。 会议站点管理员依然可以访问上一个软件包的会议站点以及以前在此站点上创建的任何内容,例如录制文件。

重新配置系统

可按照以下方式重新配置系统:

  • 在 Partner Hub 中添加 BroadWorks 集群 -

  • 在 Partner Hub 中编辑或删除 BroadWorks

  • 在 Partner Hub 中添加客户模板 -

  • 在 Partner Hub 中编辑或删除客户模板

在 Partner Hub 中编辑或删除 BroadWorks

您可以在 Partner Hub 中编辑或删除 BroadWorks 集群。

1

https://admin.webex.com 上,使用您的合作伙伴管理凭证登录到 Partner Hub。

2

进入 Settings(设置),找到 BroadWorks Calling 部分。

3

单击 View Clusters(查看集群)

4

单击要编辑或删除的集群。

集群详细信息显示在右侧浮出窗格中。
5

您有以下选择:

  • 更改您需要变更的任何详细信息,然后单击 Save(保存)
  • 单击 Delete(删除)移除集群,然后确认。

     

    如果模板与集群关联,则不能删除集群。 在删除集群之前需要删除关联的模板。 请参阅“在 Partner Hub 中编辑或删除客户模板”

集群列表会随更改更新。

在 Partner Hub 中编辑或删除客户模板

您可以在 Partner Hub 中编辑或删除客户模板。

1

https://admin.webex.com 上,使用您的合作伙伴管理凭证登录到 Partner Hub。

2

进入 Settings(设置),找到 BroadWorks Calling 部分。

3

单击 View Templates(查看模板)

4

单击要编辑或删除的模板。

5

您有以下选择:

  • 编辑您需要更改的任何详细信息,然后单击 Save(保存)
  • 单击 Delete(删除)移除模板,然后确认。

设置

价值

说明

预配置帐户名/密码

用户提供的字符串

编辑模板时无需重新输入预配置帐户详细信息。 提供了空密码/密码确认字段用于更改凭据(如果需要),不过将其留空可保留最初提供的值。

在登录页面中预填用户电子邮件地址

打开/关闭

在此设置中所做的更改最多需要 7 小时才能生效。 也就是说,在您启用后,用户可能仍然需要在登录屏幕上输入其电子邮件地址。

集群列表会随更改更新。

增加容量

XSP 场

我们建议您使用容量规划器来确定建议的订阅者数量增加所需的额外 XSP 资源数量。 对于用于 BroadWorks 场的专用 NPS 或专用 Webex,您具有以下可伸缩性选项:

  • 扩展专用场: 在需要额外容量的场中添加一台或多台 XSP 服务器。 安装并激活与场现有节点相同的应用程序和配置。

  • 添加专用场: 添加新的专用 XSP 场。 您需要在 Partner Hub 中创建新集群和新模板,只有这样才能开始在新场中添加新客户,从而缓解现有场的压力。

  • 添加专业场: 如果您遇到特定服务的瓶颈,您可能需要为此创建单独的 XSP 场,同时考虑本文档中列出的共驻要求。 如果您更改了具有新场的服务的 URL,您可能需要重新配置控制中心集群和 DNS 条目。

在任何情况下,您都有责任对 BroadWorks 环境进行监控和资源配置。 如果希望获得 Cisco 的协助,您可以联系客户安排专业服务。

管理 HTTP 服务器证书

您必须在 XSP 上管理经 mTLS 验证的这些 Web 应用程序的证书:

  • 我们的来自 Cisco Webex Cloud 的信任链证书

  • 您 XSP 的 HTTP 服务器接口的证书

信任链

您可以从控制中心下载信任链证书,并在初始配置期间将其安装到 XSP 上。 我们希望在证书过期之前更新证书,并通知您更改证书的方式和时间。

HTTP 服务器接口

XSP 必须按“订单证书”中的描述向 Webex 提供公开签名的服务器证书。 当您首次获得接口时,系统会为接口生成一个自签名证书。 该证书自该日期起一年内有效。 必须使用公开签名的证书替换自签名证书。 您负责在证书过期前申请新证书。

Webex for BroadWorks 故障排除

订阅 Webex 状态页

当您遇到服务意外中断时,请首先检查 https://status.webex.com。 如果在中断前未在控制中心或 BroadWorks 中更改配置,请检查状态页。 请访问 Webex 帮助中心,阅读有关订阅状态和事件通知的更多信息。

使用控制中心分析

Webex 会跟踪您所在组织和客户组织的使用情况和质量数据。 在 Webex 帮助中心,阅读有关控制中心分析的更多信息。

网络问题

未使用流式预配置在控制中心中创建客户或用户:

  • 应用程序服务器能否访问预配置 URL?

  • 预设置的帐户和密码正确吗?BroadWorks 中是否存在该帐户?

集群一直无法进行连接测试:


在 Partner Hub 中创建第一个集群时,mTLS 与验证服务的连接预计会失败,因为您需要创建集群才能访问 Webex 证书链。 否则,您将无法在验证服务 XSP 上创建信任定位点,因此来自 Partner Hub 的测试 mTLS 连接将不会成功。

  • XSP 接口可以公开访问吗?

  • 使用的端口是否正确? 您可以在集群的接口定义中输入端口。

接口验证失败

Xsi-Actions 和 Xsi-Events 接口:

  • 检查是否在 Partner Hub 中的集群上正确输入了接口 URL,包括 URL 末尾的/v2.0/
  • 检查防火墙是否允许 Webex 与这些接口之间的通信。

  • 查看本文档中的接口配置建议。

验证服务接口:

  • 检查是否在 Partner Hub 中的集群上正确输入了接口 URL,包括 URL 末尾的/v2.0/
  • 检查防火墙是否允许 Webex 与这些接口之间的通信。

  • 查看本文档中的接口配置建议,特别注意:

    1. 确保在所有 XSP 之间共享 RSA 密钥。
    2. 确保已在所有 XSP 上向 Web 容器提供 AuthService URL。
    3. 如果编辑了 TLS 密码配置,请检查是否使用了正确的命名约定。 XSP 需要您为 TLS 密码输入 IANA 名称格式。 本文档的早期版本在 OpenSSL 命名约定中错误地列出了所需的密码套件。
    4. 如果您将 mTLS 与验证服务一同使用,则 Webex 客户端证书是否已加载到 XSP/ADP 信任库中? 应用程序(或接口)是否配置为需要客户端证书?

    5. 如果您将 CI 令牌验证与身份验证服务一同使用,应用程序(或接口)是否配置为需要客户端证书?

客户端问题

验证客户端是否已连接到 BroadWorks

  1. 登录到 Webex 应用程序。

  2. 检查侧边栏上是否有呼叫选项图标(一个上方有齿轮的听筒)。

    如果图标不存在,用户可能尚未在控制中心中启用呼叫服务。

  3. 打开 Settings/Preferences(设置/首选项)菜单,然后进入 Phone Services(电话服务)部分。 您应能看到您登录的 SSO 会话的状态。

    如果显示了其他电话服务,如 Webex Calling,则用户未使用 Webex for BroadWorks。

此验证意味着:

  • 客户端已成功通过所需的 Webex 微服务。

  • 用户已成功通过身份验证。

  • 客户端已由 BroadWorks 系统颁发长效 JSON Web 令牌。

  • 客户端已检索其设备配置文件,并注册到 BroadWorks。

客户端日志

所有 Webex 应用程序客户端均可将日志发送给 Webex。 这是移动客户端的最佳选项。 如果您寻求 TAC 的协助,还应该记录用户的电子邮件地址和问题发生的大致时间。 要了解更多信息,请参阅“在哪里可以找到 Cisco Webex 的有关支持?”

如果您需要从 Windows PC 手动收集日志,这些日志位于如下位置:

Windows PCC:\Users\{username}\AppData\Local\CiscoSpark

Mac/Users/{username}/Library/Logs/SparkMacDesktop

用户登录问题

错误配置了 mTLS 验证

如果所有用户都受到影响,请检查从 Webex 到验证服务 URL 的 mTLS 连接:

  • 检查验证服务应用程序或其使用的接口是否针对 mTLS 进行了配置。

  • 检查 Webex 证书链是否作为信任定位点安装。

  • 检查接口/应用程序上的服务器证书是否有效,并由知名 CA 签名。

已知 BroadWorks 错误配置

chainDepth 过低

  • 条件: 您按照该过程将证书链复制到 XSP,并用其创建用于验证 Cisco Webex 客户端连接的定位点。 XSP 正在运行 R21 SP1。

  • 症状: 在 R21 中,XSP_CLI/Interface/HttpClientAuthentication/Trusts> get未显示颁发者链中预期的所有证书。

  • 原因: 在 R21 中,有一个chainDepth参数,如果设置太低的话,该参数会阻止将整个证书颁发者链添加至信任锚。

  • 解决/XSP_CLI/Interface/Http?ClientAuthentication> set chainDepth 3


    在编写本文时,Webex 客户端证书链有 2 个中间颁发者。 请勿将此参数设置为低于 2,尤其当参数较高时。 如果 chainDepth 不低于 2,这些症状可能表明链文件已损坏。

支持

稳定状态支持策略

服务商是最终客户(企业)支持的第一联系人。 将 SP 无法解决的问题上报给 TAC。 BroadWorks 服务器版本支持遵循当前版本和上两个主要版本 (N-2) 的 BroadSoft 策略。 请在 https://xchange.broadsoft.com/php/xchange/support/maintenancesupport/softwaremaintenancepolicies/lifecyclepolicy/broadworksservers 上阅读更多信息。

上报策略

  • 您(服务商/合作伙伴)是最终客户(企业)支持的第一个联系人。

  • SP 无法解决的问题将上报给 TAC。

BroadWorks 版本

自支持的资源

  • 用户可通过 Webex 帮助中心获取支持,该站点包含一个特定于 Webex for BroadWorks 的页面,其中列出了常见的 Webex 应用程序的帮助和支持主题。

  • 可以使用此帮助 URL 和问题报告 URL 自定义 Webex 应用程序。

  • Webex 应用程序用户可以直接从客户端发送反馈或日志。 日志会传至 Webex 云,在那里由 Cisco Webex DevOps 进行分析。

  • 我们还提供一个帮助中心页面,专用于为 Webex for BroadWorks 提供管理员级别的帮助。

收集提交服务请求的信息

当您在控制中心中发现错误时,它们可能附带了一些信息,可以帮助 TAC 调查您的问题。 例如,如果您看到特定错误的跟踪 ID 或者错误代码,请保存文本以与我们共享。

在您提交查询或创建案件时,请至少包含以下信息:

  • 客户组织 ID 和合作伙伴组织 ID(每个 ID 是由 32 个十六进制数字组成的字符串,由连字符隔开)

  • 如果接口或错误消息提供跟踪 ID(也是一个 32 位的十六进制字符串)

  • 用户电子邮件地址(如果特定用户遇到问题)

  • 客户端版本(如果问题有通过客户端注意到的症状)

水印
2021年4月9日| 次查看 | 人认为有帮助

Webex BroadWorks 参考

Webex BroadWorks 参考

UC-One SaaS 与 Webex for BroadWorks 的对比

解决方案 >

UC-One SaaS

Webex for BroadWorks

Cisco UC-One 云 (GCP)

Cisco Webex 云 (AWS)

客户端

UC-One: 移动、桌面

前台、主管

Webex: 移动、桌面、Web

主要技术差异

通过 Broadsoft Meet 技术提供的会议

通过 Webex Meetings 技术提供的会议

早期现场试用

过渡环境,测试版客户端

生产环境,GA 客户端

用户 ID

BroadWorks ID 充当主要 ID,除非服务商已有 SSO 集成。

 

BroadWorks 中的用户 ID 和密码

Cisco CI 中电子邮件 ID 作为主要 ID

SSO 与服务商 BroadWorks 集成,用户将在其中同时使用 BroadWorks 用户 ID 和 BroadWorks 密码进行身份验证。

 

用户通过 BroadWorks SSO 以及 BroadWorks 密码提供凭据

CI IdP 中的用户 ID 和密码

CI 中的用户 ID、IdP 中的 ID 和密码

客户端身份验证

用户通过客户端提供凭据

使用 Webex 消息传递时需要 BroadWorks 长效令牌

用户通过浏览器提供凭据(Webex BIdP 代理或 CI 的登录页面)

Webex 访问和刷新令牌

管理/配置

您的 OSS/BSS 系统和

转售商门户

您的 OSS/BSS 系统和控制中心

合作伙伴/服务商激活

由 Cisco Operations 进行一次性设置

由 Cisco Operations 进行一次性设置

客户/企业激活

转售商门户

Control Hub

首次用户注册时自动创建

用户激活选项

自助注册

在 BroadWorks 中设置外部 IM&P

在 BroadWorks 中设置集成 IM&P(通常是企业)

XSP 服务接口

XSI-Actions

 

XSI-Events

CTI (mTLS)

AuthService(可选 mTLS)

DMS

XSI-Actions

XSI-Actions (mTLS)

XSI-Events

CTI (mTLS)

AuthService (TLS)

DMS

安装 Webex 并登录(订阅者角度)

1

下载并安装 Webex。 有关详细信息,请参阅 Webex | 下载应用程序

2

运行 Webex。

Webex 提示您输入电子邮件地址。
3

输入电子邮件地址,然后选择单击 Next(下一步)

4

根据您的组织在 Webex 中的配置方式,会发生以下情况之一:

  1. Webex 会启动浏览器,以便您与标识提供程序完成身份验证。 这可能是多因素身份验证 (MFA)。

  2. Webex 将启动浏览器,供您输入 BroadWorks 用户 ID 和密码。

您与 IdP 或 BroadWorks 成功进行身份验证后,Webex 会加载。

数据交换和存储

这些部分详细介绍了使用 Cisco Webex 进行数据交换和存储。 所有数据在传输中和静止时都会加密。 有关其他详细信息,请参阅“Cisco Webex 应用程序安全性”

服务商加入

在加入服务商的过程中,当您在 Cisco Webex 控制中心中配置集群和用户模板时,会交换 Webex 存储的以下 BroadWorks 数据:

  • Xsi-Actions URL

  • Xsi-Events URL

  • CTI 接口 URL

  • 身份验证服务 URL

  • BroadWorks 预配置适配器凭据

服务商用户预配置

该表列出了作为通过 Webex API 进行用户预配置的一部分而交换的用户和企业数据。

数据移动到 Webex

通过

由 Webex 存储?

BroadWorks 用户 ID

BroadWorks

Webex API

支持

电子邮件(如为 SP 提供)

BroadWorks

Webex API

支持

电子邮件(如为用户提供)

用户

用户激活门户

支持

名字

BroadWorks

Webex API

支持

BroadWorks

Webex API

支持

主要电话号码

BroadWorks

Webex API

支持

移动电话号码

BroadWorks

Webex API

不支持

主要分机

BroadWorks,通过 API

Webex API

不支持

BroadWorks 服务商 ID 和群组 ID

BroadWorks,通过 API

Webex API

支持

语言

BroadWorks,通过 API

Webex API

支持

时区

BroadWorks,通过 API

Webex API

支持

用户删除

Webex for BroadWorks API 支持部分和完全用户删除。 此表列出了预配置期间存储的所有用户数据,以及每种场景下删除的数据。

用户数据

部分删除

全部删除

BroadWorks 用户 ID

支持

支持

电子邮件

不支持

支持

名字

不支持

支持

不支持

支持

主要电话号码

支持

支持

BroadWorks 服务商 ID 和群组 ID

支持

支持

语言

不支持

支持

用户登录和配置检索

Webex 验证

Webex 身份验证是指用户通过任何一种 Cisco Webex 支持的身份验证机制登录 Webex 应用程序。 (BroadWorks 身份验证会另行介绍。) 此表说明了身份验证流程上不同组件之间交换的数据类型。

数据移动

电子邮件地址

用户通过 Webex 应用程序

Webex

受限访问令牌和(独立)IdP URL

Webex

用户浏览器

用户凭据

用户浏览器

标识提供程序(已有用户 ID)

SAML 断言

用户浏览器

Webex

验证代码

Webex

用户浏览器

验证代码

用户浏览器

Webex

访问和刷新令牌

Webex

用户浏览器

访问和刷新令牌

用户浏览器

Webex 应用程序

BroadWorks 验证

BroadWorks 验证是指用户使用其 BroadWorks 凭据登录 Webex 应用程序。 此表说明了身份验证流程上不同组件之间交换的数据类型。

数据移动

电子邮件地址

用户通过 Webex 应用程序

Webex

受限访问令牌和(Webex Bwks IdP 代理)IdP URL

Webex

用户浏览器

品牌信息和 BroadWorks URL

Webex

用户浏览器

BroadWorks 用户凭据

用户通过浏览器(由 Webex 提供的品牌登录页面)

Webex

BroadWorks 用户凭据

Webex

BroadWorks

BroadWorks 用户档案

BroadWorks

Webex

SAML 断言

用户浏览器

Webex

验证代码

Webex

用户浏览器

验证代码

用户浏览器

Webex

访问和刷新令牌

Webex

用户浏览器

访问和刷新令牌

用户浏览器

Webex 应用程序

客户端配置检索

此表说明了检索客户端配置时不同组件之间交换的数据类型。

数据移动

注册

客户端

Webex

组织设置,包括 BroadWorks URL

Webex

客户端

BroadWorks JWT 令牌

BroadWorks 通过 Webex

客户端

BroadWorks JWT 令牌

客户端

BroadWorks

设备令牌

BroadWorks

客户端

设备令牌

客户端

BroadWorks

配置文件

BroadWorks

客户端

稳定状态使用情况

本部分描述在令牌过期后重新验证期间各组件之间的数据移动,通过 BroadWorks 或 Webex。

此表列出了呼叫的数据移动。

数据移动

SIP 信令

客户端

BroadWorks

RTP 媒体

客户端

BroadWorks

SIP 信令

BroadWorks

客户端

RTP 媒体

BroadWorks

客户端

此表列出了消息传递、在线状态和会议的数据移动。

数据移动

HTTPS REST 消息传递和在线状态

客户端

Webex

HTTPS REST 消息传递和在线状态

Webex

客户端

SIP 信令

客户端

Webex

RTP 媒体

客户端

Webex

SIP 信令

Webex

客户端

RTP 媒体

Webex

客户端

使用预配置 API

开发者访问

https://developer.webex.com 上提供了 API 规范,https://developer.webex.com/docs/api/guides/webex-for-broadworks-developers-guide 上提供了有关如何使用此规范的指南。

您需要登录到 https://developer.webex.com/docs/api/v1/broadworks-subscribers 以阅读 API 规范。

应用程序验证和授权

您的应用程序作为集成与 Cisco Webex 集成。 该机制允许应用程序为合作伙伴组织的管理员执行管理任务(例如订阅者预配置)。

Cisco Webex API 遵循 OAuth 2 标准 (http://oauth.net/2/)。 OAuth 2 允许第三方集成代表您选择的合作伙伴管理员获取刷新和访问令牌,用于对 API 调用进行身份验证。

您必须先将集成注册到 Cisco Webex。 注册后,您的应用程序必须支持此 OAuth 2.0 授权授予流程,以便获取必要的令牌刷新和访问。

有关集成和如何在应用程序中构建此 OAuth 2 授权流程的更多详细信息,请参阅 https://developer.webex.com/docs/integrations


实施集成有两个必要的角色(开发者授权用户),它们可由您环境中的不同人员/团队担任。

  • 开发者创建应用程序并将其注册到 https://developer.webex.com,以生成具有应用程序预期范围的必要 OAuth ClientID/密码。 如果应用程序是由第三方创建的,他们可以注册应用程序(如果您之前请求过访问),或者您也可以使用您自己的访问权限进行注册。

  • 授权用户是应用程序用来授权其 API 呼叫和更改合作伙伴组织、客户组织或订阅者的帐户。 该帐户需要合作伙伴组织中具有完全权限管理员或销售完全权限管理员角色。 该帐户不能由第三方持有。

BroadWorks 软件要求

请参阅“生命周期管理 - BroadSoft 服务器”

我们预期服务商“打过最新补丁”。 以下补丁列表是集成 Webex 的最低要求。

版本 21 SP1(支持的最低版本)

服务器

需要补丁

应用程序服务器

AP.as.21.sp1.551.ap233913

AP.as.21.sp1.551.ap342028

AP.as.21.sp1.551.ap343504

AP.as.21.sp1.551.ap343572

AP.as.21.sp1.551.ap343670

AP.as.21.sp1.551.ap343760

AP.as.21.sp1.551.ap343918

AP.as.21.sp1.551.ap346337

AP.as.21.sp1.551.ap358508

AP.as.21.sp1.551.ap369763

平台

AP.platform.21.sp1.551.ap233913

AP.platform.21.sp1.551.ap346337

AP.platform.21.sp1.551.ap347534

AP.platform.21.sp1.551.ap348531

AP.platform.21.sp1.551.ap355855

AP.platform.21.sp1.551.ap358508

AP.platform.21.sp1.551.ap364243

AP.platform.21.sp1.551.ap367732

AP.platform.21.sp1.551.ap361945

AP.platform.21.sp1.551.ap364239

档案服务器

AP.ps.21.sp1.551.ap233913

执行服务器

AP.xs.21.sp1.551.ap233913

XSP

AP.xsp.21.sp1.551.ap233913

AP.xsp.21.sp1.551.ap338964

AP.xsp.21.sp1.551.ap338965

AP.xsp.21.sp1.551.ap339087

AP.xsp.21.sp1.551.ap346337

AP.xsp.21.sp1.551.ap347534

AP.xsp.21.sp1.551.ap347879

AP.xsp.21.sp1.551.ap348531

AP.xsp.21.sp1.551.ap348574

AP.xsp.21.sp1.551.ap348987

AP.xsp.21.sp1.551.ap349230

AP.xsp.21.sp1.551.ap349443

AP.xsp.21.sp1.551.ap349923

AP.xsp.21.sp1.551.ap350396

AP.xsp.21.sp1.551.ap350524

AP.xsp.21.sp1.551.ap351040

AP.xsp.21.sp1.551.ap352340

AP.xsp.21.sp1.551.ap358508

AP.xsp.21.sp1.551.ap362075

22 版

服务器

所需补丁

应用程序服务器

AP.as.22.0.1123.ap364260

AP.as.22.0.1123.ap365173

AP.as.22.0.1123.ap369763

AP.as.22.0.1123.ap372989

AP.as.22.0.1123.ap372757

AP.as.22.0.1123.ap377868

档案服务器

AP.ps.22.0.1123.ap372989

AP.ps.22.0.1123.ap372757

平台

AP.platform.22.0.1123.ap353577

AP.platform.22.0.1123.ap354313

AP.platform.22.0.1123.ap365173

AP.platform.22.0.1123.ap367732

AP.platform.22.0.1123.ap369433

AP.platform.22.0.1123.ap369607

AP.platform.22.0.1123.ap372757

AP.platform.22.0.1123.ap376508

XSP

AP.xsp.22.0.1123.ap354313

AP.xsp.22.0.1123.ap365173

AP.xsp.22.0.1123.ap368067

AP.xsp.22.0.1123.ap370952

AP.xsp.22.0.1123.ap369607

AP.xsp.22.0.1123.ap373008

AP.xsp.22.0.1123.ap372757

AP.xsp.22.0.1123.ap372433

AP.xsp.22.0.1123.ap374677

AP.xsp.22.0.1123.ap375206

AP.xsp.22.0.1123.ap376508

其他

AP.xsa.22.0.1123.ap372757

AP.xs.22.0.1123.ap372757

23 版

服务器

所需补丁

应用程序服务器

AP.as.23.0.1075.ap369763

AP.as.23.0.1075.ap377868

平台

AP.platform.23.0.1075.ap367732

AP.platform.23.0.1075.ap370952

AP.platform.23.0.1075.ap369607

XSP

AP.xsp.23.0.1075.ap368067

AP.xsp.23.0.1075.ap370952

AP.xsp.23.0.1075.ap369607

AP.xsp.23.0.1075.ap373008

AP.xsp.23.0.1075.ap374677

AP.xsp.23.0.1075.ap375206

24 版

服务器

所需补丁

应用程序服务器

AP.as.24.0.944.ap377868

Webex 需要的 BroadWorks 标记

系统标记

系统标记

描述

%BWNETWORK-CONFERENCESIPURI-1%

这是用于启用 N 路会议的服务器 URI。

%BWVOICE-PORTAL-NUMBER-1%

此号码用于语音邮件。 检索语音邮件时,客户端会拨打此号码。

%BWLINEPORT-1%

SIP 信令中使用的 SIP 用户名,例如注册。

%BWAUTHPASSWORD-1%

SIP 信令中使用的 SIP 密码。

%BWHOST-1%

通常用作 SIP 域。

%BWAUTHUSER-1%

SIP 用户名通常用于 401 和 407 信令。 不能与缺省 SIP 用户名不同。

%BWE164-1%

此标记以国际格式提供用户的电话号码。

自定义标记

标记 桌面版 移动设备 默认值
%ENABLE_CALL_RECORDING_WXT% Y Y FALSE
%ENABLE_CALL_STATISTICS_WXT% Y Y FALSE
%ENABLE_CALL_PULL_WXT% Y Y FALSE
%PN_FOR_CALLS_CONNECT_SIP_ON_ACCEPT_WXT% N Y FALSE
%PN_FOR_CALLS_USE_REGISTRATION_V1_WXT% N Y FALSE
%ENABLE_MWI_WXT% Y Y FALSE
%MWI_MODE_WXT% Y Y
%ENABLE_VOICE_MAIL_WXT% Y Y FALSE
%ENABLE_VISUAL_VOICE_MAIL_WXT% Y Y FALSE
%ENABLE_FORCED_LOGOUT_WXT% Y N FALSE
%FORCED_LOGOUT_APPID_WXT% Y N
%ENABLE_CALL_FORWARDING_ALWAYS_WXT% Y Y FALSE
%ENABLE_BROADWORKS_ANYWHERE_WXT% Y Y FALSE
%ENABLE_BROADWORKS_ANYWHERE_DESCRIPTION_WXT% Y Y TRUE
%ENABLE_BROADWORKS_ANYWHERE_ALERT_ALL_LOCATIONS_WXT% Y Y FALSE
%BROADWORKS_ANYWHERE_ALERT_ALL_LOCATIONS_DEFAULT_WXT% Y Y FALSE
%ENABLE_BROADWORKS_ANYWHERE_CALL_CONTROL_WXT% Y Y FALSE
%BROADWORKS_ANYWHERE_CALL_CONTROL_DEFAULT_WXT% Y Y FALSE
%ENABLE_BROADWORKS_ANYWHERE_DIVERSION_INHIBITOR_WXT% Y Y FALSE
%BROADWORKS_ANYWHERE_DIVERSION_INHIBITOR_DEFAULT_WXT% Y Y FALSE
%ENABLE_BROADWORKS_ANYWHERE_ANSWER_CONFIRMATION_WXT% Y Y FALSE
%BROADWORKS_ANYWHERE_ANSWER_CONFIRMATION_DEFAULT_WXT% Y Y FALSE
%SETTINGS_PORTAL_URL_WXT% Y Y
%ENABLE_EMERGENCY_DIALING_WXT% N Y FALSE
%EMERGENCY_DIALING_NUMBERS_WXT% N Y 911,112
%ENABLE_USE_RPORT_WXT% Y Y FALSE
%RPORT_USE_LOCAL_PORT_WXT% Y Y FALSE
%USE_TLS_WXT% Y Y FALSE
%SBC_ADDRESS_WXT% Y Y
%SBC_PORT_WXT% Y Y 5060
%USE_PROXY_DISCOVERY_WXT% Y Y FALSE
%USE_TCP_FROM_DNS_WXT% Y Y TRUE
%USE_UDP_FROM_DNS_WXT% Y Y TRUE
%USE_TLS_FROM_DNS_WXT% Y Y TRUE
%DOMAIN_OVERRIDE_WXT% Y Y
%SOURCE_PORT_WXT% Y Y 5060
%USE_ALTERNATIVE_IDENTITIES_WXT% Y Y FALSE
%TCP_SIZE_THRESHOLD_WXT% Y Y 18000
%SIP_REFRESH_ON_TTL_WXT% Y Y FALSE
%ENABLE_SIP_UPDATE_SUPPORT_WXT% Y Y FALSE
%ENABLE_PEM_SUPPORT_WXT% Y Y FALSE
%ENABLE_SIP_SESSION_ID_WXT% Y Y FALSE
%ENABLE_FORCE_SIP_INFO_FIR_WXT% Y Y FALSE
%SRTP_ENABLED_WXT% Y Y FALSE
%SRTP_MODE_WXT% Y Y FALSE
%ENABLE_REKEYING_WXT% Y Y TRUE
%RTP_AUDIO_PORT_RANGE_START_WXT% Y Y 8000
%RTP_AUDIO_PORT_RANGE_END_WXT% Y Y 8099
%RTP_VIDEO_PORT_RANGE_START_WXT% Y Y 8100
%RTP_VIDEO_PORT_RANGE_END_WXT% Y Y 8199
%ENABLE_RTCP_MUX_WXT% Y Y TRUE
%ENABLE_XSI_EVENT_CHANNEL_WXT% Y Y TRUE
%CHANNEL_HEARTBEAT_WXT% Y Y 10000

标记

桌面版

移动设备

默认值

%ENABLE_CALL_STATISTICS_WXT%

Y

Y

FALSE

%ENABLE_CALL_PULL_WXT%

Y

Y

FALSE

%PN_FOR_CALLS_CONNECT_SIP_ON_ACCEPT_WXT%

N

Y

FALSE

%PN_FOR_CALLS_USE_REGISTRATION_V1_WXT%

N

Y

FALSE

%ENABLE_MWI_WXT%

Y

Y

FALSE

%MWI_MODE_WXT%

Y

Y

%ENABLE_VOICE_MAIL_WXT%

Y

Y

FALSE

%ENABLE_VISUAL_VOICE_MAIL_WXT%

Y

Y

FALSE

%ENABLE_FORCED_LOGOUT_WXT%

Y

N

FALSE

%FORCED_LOGOUT_APPID_WXT%

Y

N

%ENABLE_CALL_FORWARDING_ALWAYS_WXT%

Y

Y

FALSE

%ENABLE_BROADWORKS_ANYWHERE_WXT%

Y

Y

FALSE

%ENABLE_BROADWORKS_ANYWHERE_ALERT_ALL_LOCATIONS_WXT%

Y

Y

FALSE

%BROADWORKS_ANYWHERE_ALERT_ALL_LOCATIONS_DEFAULT_WXT%

Y

Y

FALSE

%ENABLE_BROADWORKS_ANYWHERE_DESCRIPTION_WXT%

Y

Y

TRUE

%ENABLE_BROADWORKS_ANYWHERE_CALL_CONTROL_WXT%

Y

Y

FALSE

%BROADWORKS_ANYWHERE_CALL_CONTROL_DEFAULT_WXT%

Y

Y

FALSE

%ENABLE_BROADWORKS_ANYWHERE_DIVERSION_INHIBITOR_WXT%

Y

Y

FALSE

%BROADWORKS_ANYWHERE_DIVERSION_INHIBITOR_DEFAULT_WXT%

Y

Y

FALSE

%ENABLE_BROADWORKS_ANYWHERE_ANSWER_CONFIRMATION_WXT%

Y

Y

FALSE

%BROADWORKS_ANYWHERE_ANSWER_CONFIRMATION_DEFAULT_WXT%

Y

Y

FALSE

%SETTINGS_PORTAL_URL_WXT%

Y

Y

%ENABLE_EMERGENCY_DIALING_WXT%

N

Y

FALSE

%EMERGENCY_DIALING_NUMBERS_WXT%

N

Y

911,112

%ENABLE_USE_RPORT_WXT%

Y

Y

FALSE

%RPORT_USE_LOCAL_PORT_WXT%

Y

Y

FALSE

%USE_TLS_WXT%

Y

Y

FALSE

%SBC_ADDRESS_WXT%

Y

Y

%SBC_PORT_WXT%

Y

Y

5060

%USE_PROXY_DISCOVERY_WXT%

Y

Y

FALSE

%USE_TCP_FROM_DNS_WXT%

Y

Y

TRUE

%USE_UDP_FROM_DNS_WXT%

Y

Y

TRUE

%USE_TLS_FROM_DNS_WXT%

Y

Y

TRUE

%DOMAIN_OVERRIDE_WXT%

Y

Y

%SOURCE_PORT_WXT%

Y

Y

5060

%USE_ALTERNATIVE_IDENTITIES_WXT%

Y

Y

FALSE

%TCP_SIZE_THRESHOLD_WXT%

Y

Y

18000

%SIP_REFRESH_ON_TTL_WXT%

Y

Y

FALSE

%ENABLE_SIP_UPDATE_SUPPORT_WXT%

Y

Y

FALSE

%ENABLE_PEM_SUPPORT_WXT%

Y

Y

FALSE

%ENABLE_SIP_SESSION_ID_WXT%

Y

Y

FALSE

%ENABLE_FORCE_SIP_INFO_FIR_WXT%

Y

Y

FALSE

%SRTP_ENABLED_WXT%

Y

Y

FALSE

%SRTP_MODE_WXT%

Y

Y

FALSE

%ENABLE_REKEYING_WXT%

Y

Y

TRUE

%RTP_AUDIO_PORT_RANGE_START_WXT%

Y

Y

8000

%RTP_AUDIO_PORT_RANGE_END_WXT%

Y

Y

8099

%RTP_VIDEO_PORT_RANGE_START_WXT%

Y

Y

8100

%RTP_VIDEO_PORT_RANGE_END_WXT%

Y

Y

8199

%ENABLE_RTCP_MUX_WXT%

Y

Y

TRUE

%ENABLE_XSI_EVENT_CHANNEL_WXT%

Y

Y

TRUE

%CHANNEL_HEARTBEAT_WXT%

Y

Y

10000

用户预配置和激活流程


预配置描述将用户添加到 Webex。 激活包括 Webex 中的电子邮件验证和服务分配。

用户电子邮件地址必须唯一,因为 Webex 使用电子邮件地址来标识用户。 如果您有这些用户的受信任电子邮件地址,您可以选择在自动配置用户时自动激活它们。 此过程为“自动预配置和自动激活”。

自动用户预配置和自动激活(受信任电子邮件流程)

必要条件

  • 您的预配置适配器指向 Webex for BroadWorks(需要从 AS 到 Webex 预配置桥接的出站连接)。

  • 您必须在 BroadWorks 中拥有有效的最终用户电子邮件地址作为备用 ID。

  • 控制中心在您的合作伙伴组织配置中有一个预配置帐户。

步骤

描述

1

您可以向客户进行服务报价和接单。

2

您可以在系统中处理客户订单并为客户进行预配置。

3

服务预配置系统会触发 BroadWorks 的预配置。 概括地说,此步骤会创建企业和用户。 然后它会为每个用户分配必要的服务和号码。 其中一项服务是外部 IM&P。

4

此预配置步骤会触发客户组织和用户在 Cisco Webex 中的自动预配置。 (IM&P 服务分配导致配置适配器调用 Webex 预配置 API)。

5

如果您以后需要为用户调整软件包(改变默认软件包),您的系统需要使用 Webex 预配置 API。

用户交互

登录

  1. Webex应用程序会启动浏览器访问 Cisco Common Identity (CI),以允许用户输入电子邮件地址。

  2. CI 发现关联的客户组织将 BroadWorks IDP 代理 (IDP) 配置为其 SAML IDP。 CI 重定向到 IDP,向用户显示登录页面。(服务商可将此登录页面品牌化。)

  3. 用户输入 BroadWorks 凭据。

  4. Broadworks 通过 IDP 对用户进行身份验证。 成功后,IDP 使用 SAML Success 将浏览器重定向回 CI 以完成身份验证流程(未显示在图中)。

  5. 身份验证后成功,Webex 从 CI 获取访问令牌(未显示在图中)。 客户使用这些信息请求 BroadWorks 长效 Jason Web 令牌 (JWT)。

  6. Webex 应用程序从 BroadWorks 和其他 Webex 服务发现其呼叫配置。

  7. Webex 应用程序注册到 BroadWorks。

用户角度登录

此图是最终用户或订阅者所看到的典型登录流程:

图 1.
  1. 您可以下载并安装 Webex 应用程序。

  2. 您可能已收到服务商发送的链接,或在 Cisco Webex 下载页面上找到下载。

  3. 在 Webex 登录屏幕上输入您的电子邮件地址。 单击下一步

  4. 通常,会将您重定向至一个服务商品牌化的页面。

  5. 该页面可能通过您的电子邮件地址欢迎您。

    如果没有电子邮件地址,或者电子邮件地址错误,请输入 BroadWorks 用户名。

  6. 输入您的 BroadWorks 密码。

  7. 如果您成功登录,Webex 将打开。

呼叫流程—企业目录

呼叫流程—PSTN 号码

演示和共享

图 2.

开始空间会议

图 3.

客户端交互

从 DMS 检索配置文件以及 SIP 注册到 AS

  1. 客户端呼叫 XSI,获取设备管理令牌以及到 DMS 的 URL。

  2. 客户端通过第 1 步中的令牌向 DMS 请求其设备配置文件。

  3. 客户端读取设备配置文件并检索 SIP 凭据、地址和端口。

  4. 客户端使用步骤 3 中的信息向 SBC 发送 SIP 注册簿。

  5. SBC 将 SIP 注册簿发送到 AS(如果 SBC 不知道 SIP 用户,可能会在 NS 中执行查找以便找到一个 AS。)

测试和实验指南

以下指南适用于测试和实验组织:

  • 服务商合作伙伴最多只能在多个组织之间预配置 50 个测试用户。

  • 最初的 50 个测试用户以外的所有用户都将被收费。

  • 要确保准确处理您的发票,所有测试组织都必须在“BroadWorks 组织”名称中包含“test”字样。

术语

ACL
访问控制列表
ALG
应用程序层网关
API
应用程序编程接口
APNS
Apple 推送通知服务
应用程序服务器
ATA
模拟电话适配器,用于将模拟电话转换为 VoIP
BAM
BroadSoft 应用程序管理器
基本验证
通过共享保密信息(密码)验证帐户(用户名)的身份验证方法
BMS
BroadSoft 消息传递服务器
波什
同步 HTTP 上的双向传输流
BRI
基本速率接口 BRI 是一种 ISDN 接入方式
捆绑包
向最终用户或订阅者提供的一系列服务(参阅 “软件包”)
CA
认证中心
运营商
处理电话流量的组织(参阅 “合作伙伴、服务商、增值转售商”)
验证码
完全自动化的公共图灵测试,可以分辨计算机和人类
CCXML
呼叫控制可扩展标记语言
CIF
通用中间格式
CLI
命令行界面
快递 之 家
公用名
CNPS
呼叫通知推送服务器。 在您的环境中 XSP 上运行的通知推送,可以向 FCM 和 APNS 推送呼叫通知。 请参阅“NPS 代理”。
CPE
客户驻地设备
CPR
自定义在线状态规则
CSS
级联样式表
CSV
逗号分隔值
CTI
计算机电话集成
CUBE
Cisco Unified Border Element
DMZ
隔离区
DN
电话号码
请勿打扰
请勿打扰
DNS
域名系统
DPG
拨号对等体群组
DSCP
差异化服务代码点
DTAF
设备类型存档文件
DTG
目标中继组
DTMF
双音多频
最终用户
使用服务(即进行呼叫、加入会议或发送消息)的人(参阅 “订阅者”)
大型企业
最终用户的集合(参阅 “组织”)
FCM
Firebase 云消息传递
FMC
固定移动融合
流式预配置
通过在 BroadWorks 分配“集成 IM&P”服务在 Webex 标识存储中创建用户。
FQDN
完全限定的域名
完全流式预配置
在 Webex 身份存储中创建并验证用户,方法是在 BroadWorks 中分配“集成 IM&P”服务并断言每个 BroadWorks 用户都有一个唯一有效的电子邮件地址。
FXO
外部交换局是接收模拟线路的端口。 它是电话或传真机的插件或模拟电话系统的插件。 它提供挂机/摘机指示(循环关闭)。 由于 FXO 端口与传真机或电话机等设备连接,因此该设备通常称为“FXO 设备”。
FXS
外部交换订阅者是实际向订阅者提供模拟线路的端口。 也就是说,它是一种“墙插”,可提供拨号音、电池电量和响铃声音。
GCM
Google 云消息
GCM
Galois/Counter Mode(加密技术)
HID
人机接口设备
HTTPS
超文本传输协议安全套接字
IAD
集成访问设备
IM&P
即时消息传递和在线状态
IP PSTN
提供 VoIP 到 PSTN 服务的服务商,可与 ITSP 交换,或者是互联网连接的“公共”电话的总称,由主要电信提供商共同提供(而不是像 PSTN 那样由国家提供)
ITSP
互联网电话服务商
IVR
交互式语音应答/应答器
JID
XMPP 实体的本机地址称为 Jabber 标识符或 JID localpart@domain.part.example.com/resourcepart(@ . / 是分隔符)
JSON
Java 脚本对象表示法
JSSE
Java 安全套接字扩展;底层技术为 BroadWorks 服务器提供安全连接功能
KEM
密钥扩展模块(硬件 Cisco 电话)
LLT
长效(或长生命周期)令牌;一种自描述的安全不记名令牌,使用户的身份验证保持更长时间,且不与特定应用程序关联。
MA
消息归档
MIB
管理信息库
MS
媒体服务器
mTLS
建立 TLS 连接时,双方通过证书交换进行相互验证
MUC
多用户聊天
NAT
网络地址转换
NPS
通知推送服务器;请参阅“CNPS
NPS 代理”

Cisco Webex 中的服务,用于向 CNPS 提供短效授权令牌,允许它将呼叫通知推送到 FCM 和 APN,最终推送到运行 Webex 的 Android 和 iOS 设备。

OCI
打开客户端界面
组织
代表最终用户集合的公司或组织(参阅 “企业”)
OTG
出站中继组
收费标准
向最终用户或订阅者提供的一系列服务(参阅 捆绑包)
合作伙伴
与 Cisco 合作向其他组织分发产品和服务的代理组织(参阅 “增值转售商、服务商、运营商”)
PBX
私人交换分机
PEM
隐私增强邮件
PLMN
公共陆地移动网络
PRI
主要速率接口 (PRI) 是集成服务数字网络 (ISDN) 中使用的电信接口标准
PS
档案服务器
PSTN
公用电话交换网络
服务质量
服务质量
转售商门户
一个网站,使转售商的管理员能够配置其 UC-One SaaS 解决方案。 有时将其称为 BAM 门户、管理员门户或管理门户。
RTCP
实时控制协议
RTP
实时传输协议
SBC
会话边界控制器
SCA
共享呼叫外观
SD
标准定义
SDP
会话描述协议
SP
服务商;向其他组织提供电话服务或相关服务的组织(参阅 “运营商、合作伙伴、增值转售商”)
SIP
会话发起协议
SLT
短效(或短生命周期)令牌(也称为 BroadWorks SSO 令牌);一个经过身份验证的一次性令牌,用于获得对 Web 应用程序的安全访问。
中小型企业
中小型企业
SNMP
简单网络管理协议
sRTCP
安全实时传输控制协议(VoIP 呼叫媒体)
sRTP
安全实时传输协议(VoIP 呼叫媒体)
SSL
安全套接字层
订阅者
使用服务(即进行呼叫、加入会议或发送消息)的人(参阅 “最终用户”)
TCP
传输控制协议
TDM
时区多路复用
TLS
传输层安全性
ToS
服务类型
UAP
用户激活门户
UC
统一通信
界面
用户界面
UID
唯一标识符
UMS
消息传递服务器
URI
统一资源标识符
URL
统一资源定位符
USS
共享服务器
UTC
协调世界时
乌布苏
视频服务器
增值转售商 (VAR)
与 Cisco 合作向其他组织分发产品和服务的代理组织(参阅 “运营商、合作伙伴、服务商”)
VGA
视频图形阵列
网络语音
互联网语音协议 (IP)
VXML
语音可扩展标记语言
WebDAV
网络分布式编写和版本控制
WebRTC
网络实时通信
警告
WebRTC 服务器
XMPP
可扩展的消息传递和在线状态协议
水印
2021年4月9日| 次查看 | 人认为有帮助

附录

附录

安装 XSP 身份验证服务 (R21SP1)

只有在您运行的版本是 R21SP1 时,方可使用以下程序在 BroadWorks 服务器上安装 AuthService。

安装身份验证服务

BroadWorks 21SP1 上的身份验证服务是非托管应用程序。 请完成以下步骤以便安装:

  1. 从 Xchange 下载 authenticationService_1.0.war(Web 应用程序资源)文件 (https://xchange.broadsoft.com/node/499012)。

    在 Webex 使用的每个 XSP 上执行以下操作:

  2. 将 .war 文件复制到 XSP 上的临时位置,例如/tmp/

  3. 使用以下 CLI 上下文和命令安装身份验证服务应用程序:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

配置身份验证服务

BroadWorks 长效令牌由托管在 XSP 上的身份验证服务生成并验证。

要求

  • 托管身份验证服务的 XSP 服务器必须配置 mTLS 接口。

  • 所有 XSP 用于加密/解密 BroadWorks 长效令牌的密钥必须相同。 将这些密钥复制到每个 XSP 是手动过程。

  • XSP 必须与 NTP 同步。

配置概述

XSP 上的基本配置包括:

  • 部署身份验证服务。

  • 将令牌持续时间配置为至少 60 天(颁发者保留为 BroadWorks)。

  • 生成 RSA 密钥并在所有 XSP 上共享。

  • 向 Web 容器提供 authService URL。

在 XSP 上部署身份验证服务

对于 Webex 使用的每个 XSP:

  1. 激活/authService路径上的身份验证服务应用程序(您必须使用此路径):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (其中 <version>1.0,适用于 21SP1 上的非托管应用程序)。

  2. 部署应用程序:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

配置令牌持续时间

  1. 检查现有令牌配置(小时):

    在 21SP1 上:XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. 将持续时间设为 60 天(最长为 180 天):

    在 21SP1 上:XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

生成并共享 RSA 密钥

  • 身份验证服务的所有实例必须使用相同的公钥/私钥对进行令牌加密/解密。

  • 首次收到颁发令牌要求时,身份验证服务会生成密钥对。

由于以上两个因素,您需要在一个 XSP 上生成密钥,然后将密钥复制到所有其他 XSP。


如果循环密钥或更改密钥长度,需要重复以下配置并重启所有 XSP。

  1. 选择一个 XSP 用于生成密钥对。

  2. 使用客户端向该 XSP 请求加密令牌,方式是从客户端浏览器请求以下 URL:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (如果 XSP 上没有私钥/公钥对,则会生成一个私钥/公钥对)

  3. (仅适用于 21SP1)使用以下命令检查可配置密钥的位置:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (仅适用于 21SP1)记录返回的fileLocation参数。

  5. (仅适用于 21SP1)将整个fileLocation目录,其中包含publicprivate子目录,复制到所有其他 XSP。

向 Web 容器提供 authService URL

XSP 的 Web 容器需要 authService URL 以便验证令牌。

在每个 XSP 上:

  1. 添加身份验证服务 URL 作为 BroadWorks Communications Utility 的外部身份验证服务:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. 将身份验证服务 URL 添加到容器:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    这样,Cisco Webex 即可使用身份验证服务来验证作为凭据提交的令牌。

  3. 用下列命令检查参数:get

  4. 重启 XSP。

为身份验证服务配置 mTLS

配置信任 (R21 SP1)
  1. 登录合作伙伴中心。

  2. 转至设置 > BroadWorks Calling,然后单击下载 Webex CA 证书以将CombinedCertChain.txt下载至您的本地计算机。


    此文件包含两个证书。 在将文件上传到 XSP 之前,您需要先拆分文件。
  3. 将证书链分割为两个证书:

    1. 打开combinedcertchain.txt(在文本编辑器中)。

    2. 选择并剪切第一个文本块,包括行-----BEGIN CERTIFICATE----------END CERTIFICATE-----,然后将文本块粘贴到新文件中。

    3. 将新文件另存为broadcloudroot.txt

    4. 将原始文件另存为broadcloudissuing.txt

      原始文件现在应只包含一个文本块,周围环绕着行-----BEGIN CERTIFICATE----------END CERTIFICATE-----

  4. 将两个文本文件复制到您保护的 XSP 上的临时位置,例如/tmp/broadcloudroot.txt/tmp/broadcloudissuing.txt

  5. 登录 XSP 并导航至 /XSP_CLI/Interface/Http/ClientAuthentication>

  6. 运行get命令并阅读chainDepth参数。

    (默认情况下 chainDepth 为 1,这对于拥有两个证书的 Webex 链太低)

  7. 如果 chainDepth 不大于 2,请运行set chainDepth 2

  8. (可选)运行help updateTrust以查看参数和命令格式。

  9. 将证书文件上传到新的信任锚:

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientrootwebexclientissuing是信任锚的示例别名;您可以使用自己的别名。
  10. 确认两个证书均已上传:

    /XSP_CLI/Interface/Http/ClientAuthentication/Trusts> get

配置信任(R22 及以上版本)

  1. 使用合作伙伴管理员帐户登录控制中心。

  2. 转至设置 > BroadWorks Calling,然后单击下载 Webex CA 证书以将CombinedCertChain.txt下载至您的本地计算机。


    此文件包含两个证书。 在将文件上传到 XSP 之前,您需要先拆分文件。
  3. 将证书链分割为两个证书:

    1. 打开combinedcertchain.txt(在文本编辑器中)。

    2. 选择并剪切第一个文本块,包括行-----BEGIN CERTIFICATE----------END CERTIFICATE-----,然后将文本块粘贴到新文件中。

    3. 将新文件另存为broadcloudroot.txt

    4. 将原始文件另存为broadcloudissuing.txt

      原始文件现在应只包含一个文本块,周围环绕着行-----BEGIN CERTIFICATE----------END CERTIFICATE-----

  4. 将两个文本文件复制到您保护的 XSP 上的临时位置,例如/tmp/broadcloudroot.txt/tmp/broadcloudissuing.txt

  5. (可选)运行help UpdateTrust以查看参数和命令格式。

  6. 将证书文件上传到新的信任锚:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientrootwebexclientissuing是信任锚的示例别名;您可以使用自己的别名。
  7. 确认已更新锚:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
    =============================================================================
    webexclientissuing    BroadCloud Commercial Issuing CA – DA3     BroadCloud Commercial Trusted Root CA
    webexclientroot       BroadCloud Commercial Trusted Root CA      BroadCloud Commercial Trusted Root CA[self-signed]

(选项)在 HTTP 接口/端口级别配置 mTLS

可在 HTTP 接口端口级别或基于每个 Web 应用程序配置 mTLS。

为应用程序启用 mTLS 的方式取决于您在 XSP 上托管的应用程序。 如果您托管的多个应用程序需要 mTLS,应在接口上启用 mTLS。 如果您只需要保护多个使用相同 HTTP 接口的应用程序之一,可在应用程序级别配置 mTLS。

在 HTTP 接口/端口级别配置 mTLS 时,通过该接口/端口访问的所有托管 Web 应用程序都需要 mTLS。

  1. 登录要配置接口的 XSP。

  2. 导航至XSP_CLI/Interface/Http/HttpServer>并运行get命令以查看接口。

  3. 要添加接口并要求客户端身份验证(即与 mTLS 相同):

    XSP_CLI/Interface/Http/HttpServer> add IPAddress Port Name true true

    有关详细信息,请参阅 XSP CLI 文档。 实际上,第一个true使用 TLS 保护接口(在需要时创建服务器证书),第二个true则强制接口要求进行客户端证书身份验证(它们都是 mTLS)。

例如:

XSP_CLI/Interface/Http/HttpServer> get

Interface Port Name Secure Client Auth Req Cluster Fqdn
         =======================================================
         192.0.2.7 443 xsp01.collab.example.net true false 
         192.0.2.7 444 xsp01.collab.example.net true true

在此例中,mTLS (Client Auth Req = true) 已在下列位置启用:192.0.2.7端口444。 TLS 已在下列位置启用:192.0.2.7 端口 443

(选项)为特定 Web 应用程序配置 mTLS

可在 HTTP 接口端口级别或基于每个 Web 应用程序配置 mTLS。

为应用程序启用 mTLS 的方式取决于您在 XSP 上托管的应用程序。 如果您托管的多个应用程序需要 mTLS,应在接口上启用 mTLS。 如果您只需要保护多个使用相同 HTTP 接口的应用程序之一,可在应用程序级别配置 mTLS。

在应用程序级别配置 mTLS 时,无论 HTTP 服务器接口配置如何,该应用程序都需要 mTLS。

  1. 登录要配置接口的 XSP。

  2. 导航至XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps>并运行get命令以查看正在运行的应用程序。

  3. 要添加应用程序并要求客户端身份验证(即与 mTLS 相同):

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add IPAddress Port ApplicationName true

    有关详细信息,请参阅 XSP CLI 文档。 应用程序名称在此枚举。 该true(在该命令中)会启用 mTLS。

例如:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add 192.0.2.7 443 AuthenticationService true

此示例命令将 AuthenticationService 应用程序添加到 192.0.2.7:443 中,并要求该应用程序从客户端请求并验证证书。

使用以下命令检查:get

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> get

Interface Ip Port Application Name Client Auth Req
         ===================================================
         192.0.2.7 443 AuthenticationService      true          

针对 AuthService 进行相互 TLS 身份验证的其他证书要求

Cisco Webex 通过经过相互 TLS 身份验证的连接与验证服务进行交互。 这意味着 Webex 会出示客户端证书,而且 XSP 必须对其进行验证。 要信任此证书,请使用 Webex CA 证书链在 XSP(或代理)上创建一个信任锚。 可通过 Partner Hub 下载证书链:

  1. 转到设置 > BroadWorks Calling

  2. 单击“下载证书”链接。


部署此 Webex CA 证书链时,具体的要求取决于您面向公众的 XSP 的部署方式:

  • 通过 TLS 桥接代理

  • 通过 TLS 传递代理

  • 直接连接到 XSP

下图总结了在下面这三种情况下必须部署 Webex CA 证书的位置。

TLS 桥接代理的相互 TLS 证书要求

  • Webex 向代理出示 Webex CA 签发的客户端证书。

  • Webex CA 证书链部署在代理信任库上,因此代理会信任客户端证书。

  • 还要将公开签发的 XSP 服务器证书加载到代理中。

  • 代理向 Webex 出示公开签发的服务器证书。

  • Webex 信任签发代理服务器证书的公共 CA。

  • 代理向 XSP 出示内部签发的客户端证书。

    必须为此证书的 x509.v3 扩展字段 Extended Key Usage 填充 BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 和 TLS clientAuth 目的。 例如:

    X509v3 extensions:

    X509v3 Extended Key Usage:

    1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client
                  Authentication 

    请注意,当为代理生成内部客户端证书时,不支持 SAN 证书。 XSP 的内部服务器证书可以是 SAN。

  • XSP 信任内部 CA。

  • XSP 出示内部签发的服务器证书。

  • 代理信任内部 CA。

DMZ 中的 TLS 传递代理或 XSP 的相互 TLS 证书要求

  • Webex 向 XSP 出示 Webex CA 签发的客户端证书。

  • Webex CA 证书链部署在 XSP 的信任库上,因此 XSP 会信任客户端证书。

  • 还要将公开签发的 XSP 服务器证书加载到 XSP 中。

  • XSP 向 Webex 出示公开签发的服务器证书。

  • Webex 信任签发 XSP 服务器证书的公共 CA。

这篇文章对您有帮助吗?

相关文章

最近查看

×