在 Webex for Cisco BroadWorks XSP 上設定服務|ADP

我們要求 NPS 應用程式在不同的 XSP 上執行|ADP。該 XSP 的需求|ADP 描述於設定來自網路的呼叫通知

您的 XSP 上需要以下應用程式/服務|ADP。

服務/應用程式

需要驗證

服務/應用程式用途

Xsi-Events

TLS(伺服器自行向用戶端驗證身份)

通話控制、服務通知

Xsi-Actions

TLS(伺服器自行向用戶端驗證身份)

通話控制、動作

裝置管理

TLS(伺服器自行向用戶端驗證身份)

下載通話設定

驗證服務

TLS(伺服器自行向用戶端驗證身份)

使用者驗證

電腦電話語音整合

mTLS(用戶端和伺服器端相互驗證)

電話線上狀態

Call Settings Webview 應用程式

TLS(伺服器自行向用戶端驗證身份)

在 Webex 應用程式中的自助服務入口網站中顯示使用者通話設定

本節說明如何在這些介面上套用 TLS 和 mTLS 所需的設定,但您應該參考現有文件以在 XSP 上安裝應用程式|ADP。

需共同駐留

  • 身份驗證服務必須與 Xsi 應用程式共同駐留,因為這些介面必須接受長期使用權杖才能進行服務授權。需有這項身份驗證服務才能驗證這些權杖。

  • 如有必要,驗證服務和 Xsi 可以在同一連接埠上執行。

  • 您可以根據您的規模(專用裝置管理 XSP| ADP 集群)。

  • 您可以共置 Xsi、CTI、驗證服務及 DMS 應用程式。

  • 請勿在 XSP 上安裝其他應用程式或服務|用於將 BroadWorks 與 Webex 整合的 ADP。

  • 請勿將 NPS 應用程式與任何其他應用程式共置。

Xsi 介面

按照 Cisco BroadWorks Xtended Services 介面設定指南中的說明來安裝和設定 Xsi-Actions 和 Xsi-Events 應用程式。

僅應在 XSP 上部署一個 Xsi-Events 應用程式實例|用於 CTI 介面的 ADP。

用於將 Broadworks 與 Webex 整合的所有 Xsi-Events 必須在 Applications/Xsi-Events/GeneralSettings 下定義相同的 callControlApplicationName。例如:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> 取得

callControlApplicationName = com.broadsoft.xsi-events

當使用者加入 Webex 時,Webex 會在 AS 上為使用者建立訂閱,以便接收狀態和通話歷史記錄的電話事件。訂閱與 callControlApplicationName 相關聯,並且 AS 使用它來了解要將電話事件傳送給哪些 Xsi-Events。

變更 callControlApplicationName,或在所有 Xsi-Events Web 應用程式上使用不同的名稱將影響訂閱和電話事件功能。

設定驗證服務(使用 CI 權杖驗證)

使用此程序來設定驗證服務以將 CI 權杖驗證與 TLS 一同使用。如果執行 R22 或更高版本且系統支援此驗證方法,建議使用此方法。

支援使用雙向 TLS (mTLS) 作為驗證服務的替代方法。如果您有多個 Webex 組織使用相同的 XSP| ADP 伺服器,您必須使用 mTLS 驗證,因為 CI 權杖驗證不支援多個連線至同一個 XSP| ADP 驗證服務。

若要為驗證服務設定 mTLS 驗證而非 CI 權杖驗證,請參閱設定服務(驗證服務使用 mTLS)附錄

如果您目前的驗證服務使用 mTLS,那麼您不見得一定要重設為將 CI 權杖驗證搭配 TLS 一起使用。

  1. 獲取 Webex for Cisco BroadWorks 的 OAuth 認證

  2. 在每個 XSP 上安裝下列修補程式|ADP 伺服器。安裝適用於您的發行版本的修補程式:

    對 XSP 的任何引用都包括 XSP 或 ADP。

  3. 安裝驗證服務 每個 XSP 上的應用程式|ADP 服務。

    1. 執行下列指令以在 XSP 上啟動 AuthenticationService 應用程式|ADP 至 /authService 內容路徑。

      XSP|ADP_CLI/Maintenance/ManagedObjects> 啟動應用程式 AuthenticationService 22.0_ 1.1123/authService

    2. 執行此指令以在 XSP 上部署 AuthenticationService| ADP:

      XSP| ADP_ CLI/Maintenance/ManagedObjects> 部署應用程式 /authServiceBroadWorks SW Manager 正在部署 /authService...

  4. 從 Broadworks 建置版本 2022.10 開始,在切換至新版本的 Java 時,Java 隨附的憑證授權單位不再自動包含在 BroadWorks 信任儲存庫中。AuthenticationService 會開啟與 Webex 的 TLS 連線以擷取存取權杖,並且需要在其信任存放區中具有以下內容以驗證 IDBroker 和 Webex URL:

    • IdenTrust Commercial Root CA 1

    • Go Daddy Root Certificate Authority - G2

    驗證以下 CLI 下是否存在這些憑證

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> 取得

    如果不存在,請執行以下命令以匯入預設 Java 信任:

    ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> 匯入 JavaCAtrust

    或者,您可以使用以下命令手動將這些憑證新增為信任錨:

    ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

    如果 ADP 是從舊版升級的,則舊版中的憑證授權單位會自動匯入至新版,並將繼續匯入,直到手動移除它們為止。

    AuthenticationService 應用程式免於 ADP 下的 validatePeerIdentity 設定_CLI/System/SSLCommonSettings/GeneralSettings,並始終驗證對等身分。請參閱Cisco Broadworks X509 憑證驗證 FD 有關此設定的更多資訊。

  5. 透過在每個 XSP 上執行下列指令來設定身分識別提供者|ADP 伺服器:

    XSP| ADP_ CLI/Applications/AuthenticationService/IdentityProviders/Cisco> get

    • 設定 clientId用戶端 ID-來自-步驟 1

    • set enabled true

    • 設定 clientSecret用戶端密碼來自步驟 1

    • set ciResponseBodyMaxSizeInBytes 65536

    • 設定 issuerName — 對於URL ,輸入適用於 CI 叢集的 IssuerName URL。請參閱下表。

    • 設定 issuerUrl — 對於URL ,輸入適用於 CI 叢集的 IssuerUrl。請參閱下表。

    • 設定 tokenInfoUrl — 輸入適用於您的 Teams 叢集的 IdP Proxy URL。請參閱後面的第二個表格。

    表 1. 設定 issuerName 和 issuerURL
    如果 CI 叢集為...將 issuerName 和 issuerURL 設定為...

    US-A

    https://idbroker.webex.com/idb

    歐盟

    https://idbroker-eu.webex.com/idb

    US-B

    https://idbroker-b-us.webex.com/idb

    如果您不知道您的CI 叢集,您可以從 Control Hub 的「技術支援」視圖中的「客戶詳細資料」獲取資訊。

    表 2. 設定 tokenInfoURL
    如果 Teams 叢集為...將 tokenInfoURL 設定為...(IdP Proxy URL)

    ACHM

    https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AFRA

    https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    AORE

    https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

    • 如果您不知道您的Teams 叢集,您可以從 Control Hub 的「技術支援」視圖中的「客戶詳細資料」獲取資訊。

    • 對於測試,您可以驗證 tokenInfoURL 是否有效,方法是將「 idp/驗證" 部分的 URL 包含 " ping 」。

  6. 執行下列指令以指定需顯示在 Webex 使用者設定檔中的 Webex:

    XSP| ADP_ CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> 設定範圍 BroadWorks-Connector:user

  7. 在每個 XSP 上使用下列指令為 Cisco 同盟設定身分識別提供者|ADP 伺服器:

    XSP| ADP_ CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> get

    • set flsUrl https://cifls.webex.com/federation

    • set refreshPeriodInMinutes 60

    • 設定refreshToken重新整理-權杖-來自-步驟 1

  8. 執行下列指令以驗證您的 FLS 設定是否正常運作。此指令會傳回身份識別提供者清單:

    XSP| ADP_ CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

  9. 在每個 XSP 上使用下列指令設定權杖管理|ADP 伺服器:

    • XSP| ADP_ CLI/Applications/AuthenticationService/TokenManagement>

    • set tokenIssuer BroadWorks

    • set tokenDurationInHours 720

  10. 產生及共用 RSA 金鑰。您必須在一個 XSP 上產生金鑰|然後 ADP 將它們複製到所有其他 XSP| ADP。原因如下:

    • 您必須在驗證服務的所有實例之間使用相同的公開/私密金鑰組進行權杖加密/解密。

    • 首次要求發出權杖時,驗證服務會產生金鑰組。

    如果您循環使用金鑰或變更金鑰長度,則需要重複以下設定並重新啟動所有 XSP| ADP。

    1. 選取一個 XSP|用於產生金鑰組的 ADP。

    2. 使用用戶端從該 XSP 請求加密權杖|ADP,透過從用戶端的瀏覽器請求以下 URL:

      https:// <XSP|

      (這會在 XSP 上產生私密/公開金鑰組|ADP,如果還沒有的話)

    3. 無法設定金鑰存放區的位置。金鑰匯出的位置如下:

      XSP| ADP_ CLI/Applications/authenticationService/KeyManagement> 匯出金鑰

    4. 複製匯出的檔案/var/broadworks/tmp/authService.keys 移至另一個 XSP 上的相同位置|ADP,覆寫較舊的.keys 檔案(如有必要)。

    5. 在其他每個 XSP 上匯入金鑰|ADP:

      XSP| ADP_ CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

  11. 向 Web 容器提供 authService URL。XSP| ADP 的 Web 容器需要 authService URL,以便它可以驗證權杖。在每個 XSP| ADP:

    1. 新增驗證服務 URL 作為 BroadWorks Communications 公用程式的外部驗證服務:

      XSP| ADP_ CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> 設定 URLhttp://127.0.0.1:80/authService

    2. 新增驗證服務 URL 至容器:

      XSP| ADP_ CLI/維護/容器選項> 新增 tomcat bw.authservice.authServiceUrlhttp://127.0.0.1:80/authService

      這可讓 Webex 使用驗證服務來驗證呈現為認證的權杖。

    3. 使用 get 檢查參數。

    4. 重新啟動 XSP| ADP。

移除驗證服務的用戶端驗證要求(僅限 R24)

如果已將 R24 設為使用 CI 權杖驗證作為驗證服務,則還必須移除驗證服務的用戶端驗證要求。請執行下列 CLI 指令:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> 設定AuthenticationService clientAuthReq false

在 HTTP 介面上設定 TLS 和密碼(用於 XSI 和驗證服務)

驗證服務、Xsi-Actions 和 Xsi-Events 應用程式都會使用 HTTP 伺服器介面。這些應用程式的 TLS 可設定程度如下:

最一般 = 系統 > 傳輸 > HTTP > HTTP 伺服器介面 = 最明確

用於檢視或修改不同 SSL 設定的 CLI 內容包括:

明確性 CLI 內容
系統(全域)

XSP| ADP_ CLI/系統/SSLCommonSettings/JSSE/密碼>

XSP| ADP_ CLI/System/SSLCommonSettings/JSSE/Protocols>
此系統的傳輸通訊協定

XSP| ADP_ CLI/系統/SSLCommonSettings/OpenSSL/密碼>

XSP| ADP_ CLI/系統/SSLCommonSettings/OpenSSL/Protocols>
此系統上的 HTTP

XSP| ADP_ CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP| ADP_ CLI/Interface/Http/SSLCommonSettings/Protocols>
此系統上的特定 HTTP 伺服器介面

XSP| ADP_ CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP| ADP_ CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

讀取 XSP 上的 HTTP 伺服器 TLS 介面組態|ADP

  1. 登入 XSP| ADP 並導覽至XSP| ADP_ CLI/介面/Http/HttpServer>

  2. 輸入 get 指令並讀取結果。您會看到介面(IP 位址),也會看到每個介面是否安全以及是否需要用戶端驗證。

Apache tomcat 會強制每個安全介面使用一個憑證;系統會在必要時產生自我簽署憑證。

XSP| ADP_ CLI/介面/Http/HttpServer> 取得

新增 TLS 1.2 通訊協定至 HTTP 伺服器介面

必須將與 Webex Cloud 互動的 HTTP 介面設為 TLSv1.2。雲端不會接受舊版的 TLS 通訊協定。

在 HTTP 伺服器介面上設定 TLSv1.2 通訊協定的步驟如下:

  1. 登入 XSP| ADP 並導覽至XSP| ADP_ CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. 輸入指令取得443 以查看哪些通訊協定已在此介面上使用。

  3. 輸入指令新增443 TLSv1.2 以確保介面在與雲端通訊時可以使用 TLS 1.2。

在 HTTP 伺服器介面上編輯 TLS 加密設定

設定所需密碼的步驟如下:

  1. 登入 XSP| ADP 並導覽至XSP| ADP_ CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. 輸入指令取得443 以查看哪些密碼已在此介面上使用。必須至少有一個來自 Cisco 推薦的套件(請參閱XSP| ADP 身分識別和安全性需求 (在「概觀」部分)。

  3. 輸入指令新增443 以將密碼新增至 HTTP 伺服器介面。

    XSP| ADP CLI 需要 IANA 標準密碼套件名稱,而不是 openSSL 密碼套件名稱。例如,若要將 openSSL 密碼 ECDHE-ECDSA-CHACHA20-POLY1305 新增至 HTTP 伺服器介面,可使用:XSP| ADP_ CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>新增 192.0.2.7 443 TLS_ ECDHE_ ECDSA_有_CHACHA20_ POLY1305

    請參閱https://ciphersuite.info/以按任一名稱尋找套件。

在 XSP 上設定裝置管理|ADP、應用程式伺服器和設定檔伺服器

設定檔伺服器和 XSP| ADP 對於裝置管理是必要的。必須根據 BroadWorks 裝置管理設定指南中的指示對其進行設定。