在您的 Webex 上為 Cisco BroadWorks XSP|ADP 設定服務

我們要求 NPS 應用程式在不同的 XSP|ADP 上運行。此 XSP|ADP 的要求在 從您的網路設定呼叫通知中進行了描述。

您需要以下應用程式 / 您的 XSP|ADP 上的服務。

服務/應用程式

需要驗證

服務/應用程式用途

Xsi-Events

TLS(伺服器自行向用戶端驗證身份)

通話控制、服務通知

Xsi-Actions

TLS(伺服器自行向用戶端驗證身份)

通話控制、動作

裝置管理

TLS(伺服器自行向用戶端驗證身份)

下載通話設定

驗證服務

TLS(伺服器自行向用戶端驗證身份)

使用者驗證

電腦電話語音整合

mTLS(用戶端和伺服器端相互驗證)

電話線上狀態

Call Settings Webview 應用程式

TLS(伺服器自行向用戶端驗證身份)

在 Webex 應用程式中的自助服務入口網站中顯示使用者通話設定

本節介紹如何在這些介面上應用 TLS 和 mTLS 所需的配置,但您應該參考現有文件以在 XSP|ADP 上安裝應用程式。

需共同駐留

  • 身份驗證服務必須與 Xsi 應用程式共同駐留,因為這些介面必須接受長期使用權杖才能進行服務授權。需有這項身份驗證服務才能驗證這些權杖。

  • 如有必要,驗證服務和 Xsi 可以在同一連接埠上執行。

  • 你可以分開另一個 services/applications 根據您的規模需求(例如專用設備管理 XSP|ADP 場)。

  • 您可以共置 Xsi、CTI、驗證服務及 DMS 應用程式。

  • 請勿在用於將 BroadWorks 與 Webex 整合的 XSP|ADP 上安裝其他應用程式或服務。

  • 請勿將 NPS 應用程式與任何其他應用程式共置。

Xsi 介面

按照 Cisco BroadWorks Xtended Services 介面設定指南中的說明來安裝和設定 Xsi-Actions 和 Xsi-Events 應用程式。

在用於 CTI 介面的 XSP|ADP 上僅應部署一個 Xsi-Events 應用程式實例。

用於將 Broadworks 與 Webex 整合的所有 Xsi-Events 必須具有相同的 callControlApplicationName,定義如下 Applications/Xsi-Events/GeneralSettings. 譬如:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> get

callControlApplicationName = com.broadsoft.xsi-events

當使用者加入 Webex 時,Webex 會在 AS 上為該使用者建立訂閱,以便接收線上狀態和通話記錄的電話事件。訂閱與 callControlApplicationName 相關聯,並且 AS 使用它來知道將電話事件傳送到哪個 Xsi-Events。

更改 callControlApplicationName,或在所有 Xsi-Events webapps 上不使用相同的名稱將影響訂閱和電話事件功能。

設定驗證服務(使用 CI 權杖驗證)

使用此程序來設定驗證服務以將 CI 權杖驗證與 TLS 一同使用。如果執行 R22 或更高版本且系統支援此驗證方法,建議使用此方法。

支援使用雙向 TLS (mTLS) 作為驗證服務的替代方法。如果您有多個 Webex 組織在同一個 XSP|ADP 伺服器上執行,則必須使用 mTLS 驗證,因為 CI 令牌驗證不支援與同一個 XSP|ADP 驗證服務的多個連線。

若要為驗證服務設定 mTLS 驗證而非 CI 權杖驗證,請參閱設定服務(驗證服務使用 mTLS)附錄

如果您目前的驗證服務使用 mTLS,那麼您不見得一定要重設為將 CI 權杖驗證搭配 TLS 一起使用。

  1. 為 Cisco BroadWorks 取得 Webex 的 OAuth 憑證

  2. 在每個 XSP|ADP 伺服器上安裝以下補丁。安裝適用於您的發行版本的修補程式:

    任何對 XSP 的引用均包括 XSP 或 ADP。

  3. 在每個 XSP|ADP 服務上安裝 AuthenticationService 應用程式。

    1. 執行以下命令啟動 XSP 上的 AuthenticationService 應用程式|ADP 到 /authService 上下文路徑。

      XSP|ADP_CLI/Maintenance/ManagedObjects> activate application AuthenticationService 22.0_1.1123/authService

    2. 執行此命令在 XSP|ADP 上部署 AuthenticationService:

      XSP|ADP_CLI/Maintenance/ManagedObjects> deploy application /authServiceBroadWorks SW Manager deploying /authService...

  4. 從 Broadworks build 2022.10 開始,切換到新版本的 Java 時,Java 隨附的憑證授權單位不再自動包含在 BroadWorks 信任庫中。AuthenticationService 開啟與 Webex 的 TLS 連線以取得存取權杖,並且需要在其信任庫中具有下列內容來驗證 IDBroker 和 Webex URL:

    • IdenTrust Commercial Root CA 1

    • Go Daddy Root Certificate Authority - G2

    驗證以下 CLI 下是否存在這些證書

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> get

    如果不存在,請執行以下命令匯入預設的 Java 信任:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> importJavaCATrust

    或者,您可以使用以下命令手動將這些憑證新增為信任錨:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    如果 ADP 從先前的版本升級,則舊版的憑證授權單位將自動匯入到新版本,並將繼續匯入,直到手動刪除為止。

    AuthenticationService 應用程式不受 ADP_下的 validatePeerIdentity 設定的限制 CLI/System/SSLCommonSettings/GeneralSettings, 並始終驗證對方身份。有關此設定的更多信息,請參閱 Cisco Broadworks X509 憑證驗證 FD

  5. 透過在每個 XSP|ADP 伺服器上執行以下命令來設定身分提供者:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • set clientId client-Id-From-Step1

    • set enabled true

    • set clientSecret client-Secret-From-Step1

    • set ciResponseBodyMaxSizeInBytes 65536

    • set issuerName — 對於 URL,輸入適用於您的 CI 叢集的 IssuerName URL。請參閱下表。

    • set issuerUrl — 對於 URL,輸入適用於您的 CI 群集的 IssuerUrl。請參閱下表。

    • set tokenInfoUrl — 輸入適用於 Teams 叢集的 IdP Proxy URL。請參閱下面的第二張表。

    表 1. 設定 issuerName 和 issuerURL
    如果 CI 叢集為...將 issuerName 和 issuerURL 設定為...

    US-A

    https://idbroker.webex.com/idb

    歐盟

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    如果您不知道您的 CI 叢集,您可以從 Control Hub 的服務台視圖中的客戶詳細資料中取得資訊。

    表 2. 設定 tokenInfoURL
    如果 Teams 叢集為...將 tokenInfoURL 設定為...(IdP 代理 URL)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • 如果您不知道您的 Teams Cluster,您可以從 Control Hub 的幫助台視圖中的客戶詳細資訊中取得資訊。

    • 為了進行測試,您可以將 URL 的「idp/authenticate」部分替換為「ping」來驗證 tokenInfoURL 是否有效。

  6. 執行下列指令以指定需顯示在 Webex 使用者設定檔中的 Webex:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> set scope broadworks-connector:user

  7. 在每個 XSP|ADP 伺服器上使用下列命令為 Cisco Federation 設定身分提供者:

    XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • set refreshToken refresh-Token-From-Step1

  8. 執行下列指令以驗證您的 FLS 設定是否正常運作。此指令會傳回身份識別提供者清單:

    XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. 在每個 XSP|ADP 伺服器上使用以下命令設定令牌管理:

    • XSP|ADP_CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. 產生及共用 RSA 金鑰。您必須在一個 XSP|ADP 上產生金鑰,然後將其複製到所有其他 XSP|ADP。原因如下:

    • 您必須在驗證服務的所有實例之間使用相同的公開/私密金鑰組進行權杖加密/解密。

    • 首次要求發出權杖時,驗證服務會產生金鑰組。

    如果您循環金鑰或變更金鑰長度,則需要重複以下設定並重新啟動所有 XSP|ADP。

    1. 選擇一個 XSP|ADP 用於產生金鑰對。

    2. 使用客戶端從該 XSP|ADP 請求加密令牌,方法是從客戶端的瀏覽器請求以下 URL:

      https:///authService/token?key=BASE64URL(clientPublicKey)

      (這會產生一個私人 / XSP|ADP 上的公鑰對(如果還沒有)

    3. 無法設定金鑰存放區的位置。金鑰匯出的位置如下:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> exportKeys

    4. 將匯出的檔案 /var/broadworks/tmp/authService.keys 複製到其他 XSP|ADP 上的相同位置,如有必要,覆蓋較舊的 .keys 檔案。

    5. 在其他每個 XSP|ADP 上導入金鑰:

      XSP|ADP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. 向 Web 容器提供 authService URL。XSP|ADP 的 Web 容器需要 authService URL 才能驗證令牌。在每個 XSP|ADP 上:

    1. 新增驗證服務 URL 作為 BroadWorks Communications 公用程式的外部驗證服務:

      XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1:80/authService

    2. 新增驗證服務 URL 至容器:

      XSP|ADP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

      這可讓 Webex 使用驗證服務來驗證呈現為認證的權杖。

    3. 使用 get檢查參數。

    4. 重新啟動 XSP|ADP。

移除驗證服務的用戶端驗證要求(僅限 R24)

如果已將 R24 設為使用 CI 權杖驗證作為驗證服務,則還必須移除驗證服務的用戶端驗證要求。請執行下列 CLI 指令:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> set AuthenticationService clientAuthReq false

在 HTTP 介面上設定 TLS 和密碼(用於 XSI 和驗證服務)

驗證服務、Xsi-Actions 和 Xsi-Events 應用程式都會使用 HTTP 伺服器介面。這些應用程式的 TLS 可設定程度如下:

最一般 = 系統 > 傳輸 > HTTP > HTTP 伺服器介面 = 最明確

用於檢視或修改不同 SSL 設定的 CLI 內容包括:

明確性 CLI 內容
系統(全域)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>
此系統的傳輸通訊協定

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>
此系統上的 HTTP

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/SSLCommonSettings/Protocols>
此系統上的特定 HTTP 伺服器介面

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

讀取 XSP 上的 HTTP 伺服器 TLS 介面設定|ADP

  1. 登入 XSP|ADP 並導航至 XSP|ADP_CLI/Interface/Http/HttpServer>

  2. 輸入 get 命令並讀取結果。您會看到介面(IP 位址),也會看到每個介面是否安全以及是否需要用戶端驗證。

Apache tomcat 會強制每個安全介面使用一個憑證;系統會在必要時產生自我簽署憑證。

XSP|ADP_CLI/Interface/Http/HttpServer> get

輸入 get 命令後顯示的結果,顯示介面(IP 位址)以及每個介面是否安全以及是否需要客戶端身份驗證。

新增 TLS 1.2 通訊協定至 HTTP 伺服器介面

必須將與 Webex Cloud 互動的 HTTP 介面設為 TLSv1.2。雲端不會接受舊版的 TLS 通訊協定。

在 HTTP 伺服器介面上設定 TLSv1.2 通訊協定的步驟如下:

  1. 登入 XSP|ADP 並導航至 XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. 輸入命令 get 443 查看此介面上已使用哪些協定。

  3. 輸入指令 add 443 TLSv1.2 ,確保介面與雲端通訊時可以使用TLS 1.2。

在 HTTP 伺服器介面上編輯 TLS 加密設定

設定所需密碼的步驟如下:

  1. 登入 XSP|ADP 並導航至 XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. 輸入指令 get 443 查看此介面上已使用哪些密碼。必須至少有一個來自 Cisco 建議的套件(請參閱概述部分中的 XSP|ADP 身分和安全要求 )。

  3. 輸入命令 add 443 新增密碼至HTTP伺服器介面。

    XSP|ADP CLI 需要 IANA 標準密碼套件名稱,而不是 openSSL 密碼套件名稱。例如,要將 openSSL 密碼 ECDHE-ECDSA-CHACHA20-POLY1305 新增至 HTTP 伺服器接口,您可以使用: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    請參閱https://ciphersuite.info/以按任一名稱尋找套件。

在 XSP|ADP、應用程式伺服器和設定檔伺服器上設定設備管理

設定檔伺服器和 XSP|ADP 是設備管理所必需的。必須根據 BroadWorks 裝置管理設定指南中的指示對其進行設定。