準備您的環境
決定點
| 注意事項 | 答疑 | 資源 |
架構與基礎架構 |
有多少個 XSP? 他們如何使用 mTLS? |
Cisco BroadWorks 系統容量計劃程式 Cisco BroadWorks 系統工程指南 XSP CLI 參考 本文件 |
| 客戶和使用者佈建 | 能否宣告您信任 BroadWorks 中的電子郵件? 您是否希望使用者提供電子郵件地址以啟動其自己的帳戶? 能否建立工具以使用我們的 API? |
公用 API 文件,位於 https://developer.webex.com 本文件 |
| 自訂 | 您想要使用什麼色彩和標誌? | Webex 應用程式品牌文章 |
| 範本 | 您有哪些不同的客戶使用案例? | 本文件 |
| 每個客戶/企業/群組的訂閱者功能 | 選擇套件以定義每個範本的服務層級。 基本、標準、高級或軟體電話。 | 本文件 功能/套件矩陣 |
| 使用者驗證 | BroadWorks 或 Webex | 本文件 |
| 佈建配接器(適用於流程設定選項) | 您是否已經在針對 UC-One SaaS 等使用整合的 IM&P? 您是否打算使用多個範本? 預期是否會有更常見的使用案例? |
本文件 應用程式伺服器 CLI 參考 |
架構與基礎架構
您打算從哪種規模開始? 可以在將來擴展,但您目前的用量估算應推動基礎架構規劃。
與 Cisco 客戶經理/銷售代表協作,根據 Cisco BroadWorks 系統容量計劃程式和 Cisco BroadWorks 系統工程指南,調整 XSP 基礎結構的大小。
Webex 如何與您的 XSP 建立雙向 TLS 連線? 是否要直接連線至 DMZ 中的 XSP,還是透過 TLS Proxy? 這會影響您的憑證管理,以及您用於介面的 URL。 (我們不支援與您的網路邊緣建立未加密的 TCP 連線)。
客戶和使用者佈建
哪些使用者佈建方式最適合您?
使用受信任電子郵件的佈建流程: 在 BroadWorks 上指派「整合的 IM&P」服務,訂閱者會自動在 Webex 中佈建。
如果您另聲明 BroadWorks 中的使用者電子郵件地址是有效的,且對 Webex 是唯一的,則可以使用流程佈建的「受信任電子郵件」變數。 無需訂閱者介入即可建立和啟動訂閱者 Webex 帳戶;他們只需下載用戶端並登入。
電子郵件地址是 Webex 上的主要使用者屬性。 因此,服務提供者必須為使用者提供有效的電子郵件地址,才能針對 Webex 服務進行佈建。 這必須存在於 BroadWorks 的使用者電子郵件 ID 屬性中。 我們建議您也將其複製到備用 ID 屬性。
不使用受信任電子郵件的佈建流程: 如果您不信任訂閱者電子郵件地址,仍然可以在 BroadWorks 中指派整合的 IM&P 服務,以在 Webex 中佈建使用者。
使用此選項,當您指派服務時會建立帳戶,但訂閱者需要提供並驗證其電子郵件地址才能啟用 Webex 帳戶。
使用者自行佈建: 此選項不需要在 BroadWorks 中指派 IM&P 服務。 您(或您的客戶)會改為透過您的品牌和指示,分發供應鏈結以及下載不同用戶端的鏈結。
訂閱者循著該鏈結,然後提供並驗證其電子郵件地址,以建立和啟動其 Webex 帳戶。 然後,他們會下載用戶端並登入,Webex 則會從 BroadWorks 擷取有關他們的其他設定(包括其主要號碼)。
透過 API 進行 SP 受控佈建: Webex 公開一組公用 API,允許服務提供者建立使用者/訂閱者佈建,以添加到其現有工作流程。
佈建需求
下表總結了每種佈建方法的需求。 除了這些需求之外,您的部署還必須符合本指南中描述的一般系統需求。
佈建方式 |
需求 |
|---|---|
佈建流程 (受信任或不受信任的電子郵件) |
一旦使用者符合要求並且您在Webex中切換,Webex 佈建API會自動將現有 BroadWorks 使用者新增至Webex 。整合的 IM+P服務開啟。 您可以在Webex上透過客戶範本指派兩個流程(信任的電子郵件或不信任的電子郵件)。 BroadWorks 需求:
Webex需求: 客戶範本包括以下設定:
|
使用者自行佈建 |
管理員會向現有 BroadWorks 使用者提供使用者啟動入口網站的鏈結。 使用者必須使用 BroadWorks 憑證登入入口網站並提供有效的電子郵件地址。 驗證電子郵件後, Webex會擷取其他使用者資訊以完成佈建。 BroadWorks 需求:
Webex需求: 客戶範本包括以下設定:
|
SP 透過API控制的佈建 (受信任或不受信任的電子郵件) |
Webex公開了一組公用 API,可讓您將使用者佈建內建到現有的工作流程和工具中。 有兩個流程:
BroadWorks 需求:
Webex需求:
若要使用 API,請轉至BroadWorks 訂閱者。 |
佈建流程的所需修補程式
使用佈建流程時,您必須安裝系統修補程式並套用 CLI 屬性。 請參考下列清單,以尋找適用於 BroadWorks 版本的指示:
若版本為 R22:
安裝後,設定屬性
bw.msg.includeIsEnterpriseInOSSschema至true(透過 維護/容器選項中的 CLI)。如需相關資訊,請參閱修補程式附註 https://www.cisco.com/web/software/286326332/154309/AP.as.22.0.1123.ap376508.txt。
若版本為 R23:
安裝後,設定屬性
bw.msg.includeIsEnterpriseInOSSschema至true(透過 維護/容器選項中的 CLI)。如需相關資訊,請參閱修補程式附註 https://www.cisco.com/web/software/286326332/154325/AP.as.23.0.1075.ap376509.txt。
若版本為 R24:
安裝後,設定屬性
bw.msg.includeIsEnterpriseInOSSschema至true(透過 維護/容器選項中的 CLI)。如需相關資訊,請參閱修補程式附註 https://www.cisco.com/web/software/286326332/154326/AP.as.24.0.944.ap375100.txt。
 |
完成這些步驟後,您將無法使用 UC-One Collaborate 服務來佈建新使用者。 新佈建的使用者必須是 Webex for Cisco BroadWorks 使用者。
|
支援的語言地區設定
在佈建期間,在 BroadWorks 中指派給第一個佈建管理使用者的語言會自動指定為該客戶組織的預設地區設定。 此設定決定該客戶組織下用於啟動電子郵件、會議和會議邀請的預設語言。
(ISO-639-1) 中的五個字元語言地區設定_支援 (ISO-3166) 格式。 譬如,en_ US 對應 English_美國。 若隻請求兩個字母的語言(使用ISO-639-1 格式),服務將透過將請求的語言與範本中的國家代碼(即「requestedL」)結合,產生五個字元的語言地區設定。anguage_ CountryCode”,如果無法取得有效的地區設定,則會根據所需的語言代碼使用預設的合理地區設定。
下表列出了支援的地區設定,以及在五個字元的地區設定不可用的情況下將兩個字母的語言代碼轉換為五個字元的地區設定的對映。
支援的語言地區設定 (ISO-639-1)_ (ISO-3166) |
如果只有兩個字母的語言代碼可用... |
|
|---|---|---|
語言代碼 (ISO-639-1) ** |
改用預設合理地區設定 (ISO-639-1)_ (ISO-3166) |
|
en_美國 en_AU en_GB en_CA |
英語 |
en_美國 |
fr_FR fr_CA |
fr |
fr_FR |
cs_CZ |
cs |
cs_CZ |
da_DK |
大 |
da_DK |
de_DE |
de |
de_DE |
hu_胡 |
hu |
hu_胡 |
id_ID |
id |
id_ID |
it_IT |
it |
it_IT |
ja_JP |
嚗 |
ja_JP |
ko_韓文 |
ko |
ko_韓文 |
es_ES es_一氧化碳 es_MX |
es |
es_ES |
nl_NL |
nl |
nl_NL |
nb_否 |
nb |
nb_否 |
pl_PL |
請 |
pl_PL |
pt_PT pt_BR |
點 |
pt_PT |
ru_RU |
ru |
ru_RU |
ro_RO |
ro |
ro_RO |
zh_CN zh_TW |
zh |
zh_CN |
sv_東南部 |
sv |
sv_東南部 |
ar_南非 |
ar |
ar_南非 |
tr_TR |
tr |
tr_TR |
|
地區設定es_一氧化碳,id_ ID,nb_ NO 和pt_Webex Meeting 網站不支援 PT。 對於這些地區設定, Webex Meetings網站將僅為英語。 如果網站需要沒有/無效/不受支援的地區設定,英文是網站的預設地區設定。 當建立 Organization 和Webex Meetings網站時,適用此語言欄位。 如果文章中或訂閱者的API中未提及語言,則範本中的語言將被用作預設語言。 |
自訂
合作夥伴管理員可以使用「進階品牌自訂」來自訂Webex應用程式尋找合作夥伴管理的客戶組織的方式。 合作夥伴管理員可以自訂下列設定,以確保Webex應用程式反映其公司品牌和識別:
公司標誌
淺色模式或深色模式的獨特配色方案
自訂支援 URL
有關如何自訂自訂的詳細資訊,請參閱配置進階品牌自訂。
|
|
客戶範本
客戶範本允許您定義在 Webex for Cisco BroadWorks 上自動佈建客戶及關聯訂閱者時使用的參數。 您可以視需設定多個客戶範本,但在您加入客戶時,只會與一個範本關聯(您無法將多個範本套用至一個客戶)。
下面列出了部分主要範本參數。
套件
在您建立範本時,必須選取預設套件(如需詳細資訊,請參閱「概觀」一節中的套件)。 使用該範本佈建的所有使用者(無論是透過流程還是自我佈建),都會收到預設套件。
您可以建立多個範本,並在每個範本中選取不同的預設套件,從而控制不同客戶的套件選擇。 然後,您可以根據針對這些範本選擇的使用者佈建方式,來分發不同的佈建鏈結或供每個企業使用的不同佈建配接器。
您可以使用佈建 API(請參閱 Webex for Cisco BroadWorks API 文件)或透過 Partner Hub(請參閱在 Partner Hub 中變更使用者套件),變更特定訂閱者的套件,而不使用此預設值。
您無法從 BroadWorks 變更訂閱者的套件。 已開啟或關閉整合的 IM&P 服務指派;若在 BroadWorks 中為訂閱者指派此服務,與該訂閱者企業佈建 URL 關聯的 Partner Hub 範本會定義套件。
轉售商和企業或服務提供者和群組?
BroadWorks 系統的設定方式對流程佈建具有影響。 如果您是企業轉銷商,則在您建立範本時需要啟用企業模式。
如果在服務提供者模式中設定 BroadWorks 系統,您可以在範本中保持企業模式關閉。
如果您計劃使用兩種 BroadWorks 模式來佈建客戶組織,必須針對群組和企業使用不同的範本。
|
確保您已套用流經佈建所需的 BroadWorks 修補程式。 如需詳細資訊,請參閱流經佈建所需的修補程式。
|
驗證模式
決定您希望訂閱者在登入Webex時如何進行驗證。 您可以使用 指定模式驗證模式客戶範本中的設定。 下表概述了部分選項。
|
此設定對登入使用者啟動入口網站沒有影響。 登入入口網站的使用者必須輸入其 BroadWorks使用者 ID和密碼(如 BroadWorks 上的設定),而與您如何設定驗證模式在客戶範本上。
|
| 驗證模式 | BroadWorks | Webex |
| 主要使用者身分識別 | BroadWorks 使用者 ID | 電子郵件地址 |
| 身分識別提供者 | BroadWorks。
|
Cisco 通用身分識別 |
| 多重要素驗證? | 否 | 需要支援多重要素驗證的客戶 IdP。 |
認證驗證路徑 |
|
|
|
有關透過 BroadWorks 直接驗證的 SSO 登入流程等更多詳細資訊,請參閱 SSO 登入流程。
|
使用 BroadWorks 驗證進行 UTF-8 編碼
對於 BroadWorks 驗證,我們建議您為驗證標頭設定 UTF-8 編碼。 UTF-8 解決了使用特殊字元的密碼可能發生的問題,從而導致 Web 瀏覽器無法正確編碼字元。 使用 UTF-8 編碼的 base 64 編碼的標頭可解決此問題。
您可以透過在 XSP 或 ADP 上執行下列其中一個 CLI 指令來設定 UTF-8 編碼:
XSP_CLI/Applications/WebContainer/Tomcat/GeneralSettings> set authenticationEncoding UTF-8ADP_CLI/Applications/WebContainer/Tomcat/GeneralSettings> set authenticationEncoding UTF-8
國家或地區
建立範本時,您必須選取國家/地區。 此國家/地區將自動指定為在通用身份識別中使用範本佈建的所有客戶的組織國家/地區。 此外,組織國家/地區將決定Cisco PSTN 在Webex Meeting 網站中的預設全球撥入號碼。
網站的預設全球撥入號碼將設定為在電話網域中定義的第一個可用撥入號碼(根據組織所在的國家/地區)。 如果在電話網域中定義的撥入號碼中找不到組織的國家/地區,則將使用該位置的預設號碼。
S 號 |
地點 |
國家或地區代碼 |
國家或地區名稱 |
|---|---|---|---|
1 |
AMER |
+1 |
美國,加利福尼亞 |
2 |
APAC |
+65 |
新加坡 |
3 |
ANZ |
+61 |
澳大利亞 |
4 |
EMEA |
+44 |
英國 |
5 |
歐元 |
+49 |
德國 |
多個合作夥伴的部署
您是否要將 Webex for Cisco BroadWorks 分授權給其他服務提供者? 在這種情況下,每個服務提供者需要在 Webex Control Hub 中具有獨有的合作夥伴組織,這樣他們才能為其客戶群佈建解決方案。
佈建配接器和範本
在您使用流程佈建時,您在 BroadWorks 中輸入的佈建 URL 衍生自 Control Hub 中的範本。 您可以有多個範本,因此有多個佈建 URL。 這可讓您在授權整合的 IM&P 服務時,根據每個企業選取要套用至訂閱者的套件。
您需要考慮是否要將系統層級佈建 URL 設定為預設佈建路徑,以及您想要用於該佈建的範本。 這樣一來,您只需為需要不同範本的企業明確設定佈建 URL。
此外,請記住,您可能已在使用系統層級佈建 URL,例如使用 UC-One SaaS。 如果是這種情況,您可以選擇保留系統層級 URL,以在 UC-One SaaS 上佈建使用者,並針對這些移至 Webex for Cisco BroadWorks 的企業進行覆寫。 或者,您可能想要採用其他方式,並為 Webex for BroadWorks 設定系統層級 URL,然後重新設定想要在 UC-One SaaS 上保留的企業。
與此決策相關的組態選項在 中詳述:使用 Provisioning Service URL設定應用程式伺服器。
佈建適配器 Proxy
為了增加安全性,佈建適配器 Proxy 可讓您在應用程式提供平台上使用 HTTP(S) Proxy 來進行 AS 和Webex之間的佈建流程。 Proxy 連線會建立端對端TCP通道,在 AS 和Webex之間中繼流量,從而使 AS 無需直接連線至公共網際網路。 對於安全連線,可以使用TLS 。
此功能要求您在 BroadWorks 上"安裝;設定"Proxy。 有關詳細資訊,請參閱Cisco BroadWorks 佈建適配器 Proxy 功能說明。
最低需求
帳戶
您為 Webex 佈建的所有訂閱者,必須都存在於與 Webex 整合的 BroadWorks 系統中。 如有必要,您可以整合多個 BroadWorks 系統。
所有訂閱者都必須具有 BroadWorks 授權以及主要號碼或分機號。
Webex 使用電子郵件地址作為所有使用者的主要識別碼。 如果您使用受信任電子郵件的佈建流程,則使用者必須在 BroadWorks 的電子郵件屬性中具有有效的位址。
如果您的範本使用 BroadWorks 驗證,您可以將訂閱者電子郵件地址複製到 BroadWorks 中的替代 ID 屬性。 這讓使用者能夠使用其電子郵件地址和 BroadWorks 密碼來登入 Webex。
您的管理員必須使用其 Webex 帳戶來登入 Partner Hub。
|
不支援將 BroadWorks 管理員加入Webex for Cisco BroadWorks。 您只能加入具有主要號碼和/或分機號的 BroadWorks 主叫使用者。 如果您正在使用佈建流程,則還必須為使用者指定整合的 IM&P 服務。
|
網路中的伺服器和軟體需求
BroadWorks 實例(最低版本為 R22)。 請參閱 BroadWorks 軟體需求(本文件),以瞭解受支援的版本和修補程式。 如需相關資訊,請參閱BroadSoft 產品生命週期原則中的區段BroadSoft 生命週期原則和 BroadWorks 軟體相容性矩陣。
BroadWorks 實例應至少包含下列伺服器:
包含上述 BroadWorks 版本的應用程式伺服器 (AS)
網路伺服器 (NS)
設定檔伺服器 (PS)
公開存取的 XSP 伺服器或應用程式提供平台 (ADP) 符合下列需求:
驗證服務 (BWAuth)
XSI Actions 和 XSI Events 介面
DMS(裝置管理 Web 應用程式)
CTI 介面(電腦電話整合)
具有有效憑證(非自我簽署)的 TLS 1.2,以及所需的任何中繼。 需要系統層級管理員以協助企業查找。
驗證服務的雙向 TLS (mTLS) 驗證(需要將公用 Webex 用戶端憑證鏈安裝為信任起點)
CTI 介面的雙向 TLS (mTLS) 驗證(需要將公用 Webex 用戶端憑證鏈安裝為信任起點)
單獨的 XSP/ADP 伺服器充當「通話通知推送伺服器」(您環境中用於將通話通知推送至 Apple/Google 的 NPS)。 我們在這裡將其稱為「CNPS」,以將其與 Webex 中提供傳訊與線上狀態推送通知的服務區分開來。
此伺服器必須位於 R22 或更高版本。
我們強烈要求針對 CNPS 使用單獨的 XSP/ADP 伺服器,因為來自 Webex for BWKS 雲端連線的載入不可預測,可能會由於增加通知延遲而對 NPS 伺服器的表現產生負面影響。 如需 XSP 擴展的詳細資訊,請參閱 Cisco BroadWorks 系統工程指南。
Webex 應用程式平台
若要下載英文版Webex應用程式,請轉至https://www.webex.com/webexfromserviceproviders-downloads.html。 Webex應用程式適用於:
Windows PC/膝上型電腦
使用 MacOS 的 Apple PC/膝上型電腦
iOS (Apple Store)
Android (Play Store)
網路瀏覽器(請轉至https://teams.webex.com/)
本地化版本
若要下載Webex應用程式的本地化版本,請使用下列其中一個鏈結:
https://origin-webex-uat.cisco.com/ko/webexfromserviceproviders-downloads.html (韓文)
https://origin-webex-uat.cisco.com/fr/webexfromserviceproviders-downloads.html (法文)
https://origin-webex-uat.cisco.com/pt/webexfromserviceproviders-downloads.html (葡萄牙文)
https://origin-webex-uat.cisco.com/zh-tw/webexfromserviceproviders-downloads.html (繁體中文)
https://origin-webex-uat.cisco.com/zh-cn/webexfromserviceproviders-downloads.html (簡體中文)
https://origin-webex-uat.cisco.com/ja/webexfromserviceproviders-downloads.html (日本)
https://origin-webex-uat.cisco.com/es/webexfromserviceproviders-downloads.html (西班牙)
https://origin-webex-uat.cisco.com/de/webexfromserviceproviders-downloads.html (德語)
https://origin-webex-uat.cisco.com/it/webexfromserviceproviders-downloads.html (義大利文)
實體電話和配件
Cisco IP 電話:
Cisco IP Phone 6800 系列(含多平台韌體)
Cisco IP Phone 7800 系列(含多平台韌體)
Cisco IP Phone 8800 系列(含多平台韌體)
有關型號及更多資訊,請參閱https://www.cisco.com/c/en/us/products/collaboration-endpoints/ip-phones/multiplatform-firmware.html。
就像其他 BroadWorks 整合一樣,我們支援協力廠商電話。 然而,它們尚無與 Webex for Cisco BroadWorks 的聯絡人和線上狀態整合。
適配器:
Cisco ATA 191 Multiplatform 類比電話配接器
Cisco ATA 192 Multiplatform 類比電話配接器
有關型號及更多資訊,請參閱https://www.cisco.com/c/en/us/products/unified-communications/ata-190-series-analog-telephone-adapters/index.html。
耳機:
Cisco Headset 500 系列
有關型號及更多資訊,請參閱 https://www.cisco.com/c/en/us/products/collaboration-endpoints/headset-500-series/index.html 。
- Room OS 裝置:
Webex Room 和 Room Kit 系列
Webex Desk 系列
Webex Board 系列
裝置整合
如需如何為Cisco BroadWorks 的Webex加入及服務 Room OS 和 MPP 裝置的詳細資訊,請參閱適用於Cisco BroadWorks 的Webex裝置整合指南。
裝置設定檔
以下是您需要載入到應用程式伺服器上以支援Webex應用程式作為通話用戶端的 DTAF 檔案。 這些 DTAF 檔案和 UC-One SaaS 所使用的相同,但有新的 config-wxt.xml.template 用於Webex應用程式的檔案。
若要下載最新的裝置設定檔,請轉至 應用程式提供平台軟體下載網站,獲取最新的 DTAF 檔案。 這些下載適用於 ADP 和 XSP。
用戶端名稱 |
裝置設定檔類型和套件名稱 |
|---|---|
Webex 行動裝置範本 |
身分識別/裝置設定檔類型: 連線 - 行動裝置 DTAF: 設定檔案: |
Webex 平板電腦範本 |
身分識別/裝置設定檔類型: 連線 - 平板電腦 DTAF: 設定檔案: |
Webex 桌面裝置範本 |
身分識別/裝置設定檔類型: Business Communicator - PC DTAF: 設定檔案: |
識別/裝置設定檔
所有Webex for Cisco BroadWorks 使用者必須具有身分識別/裝置設定檔使用上述其中一個裝置設定檔以便使用Webex應用程式撥打電話的 BroadWorks 中指定的用戶。 設定檔提供允許使用者撥打電話的組態。
獲取Webex for Cisco BroadWorks 的 OAuth 憑證
向您的上線代理或Cisco TAC提出服務請求,為您的Cisco身份提供者聯盟帳戶佈建Cisco OAuth。
針對各自的功能使用以下請求標題:
XSP AuthService 設定” 以在 XSP 上設定服務。
「驗證 Proxy 設定的 NPS 設定」以將 NPS 設定為使用驗證 Proxy。
「CI 使用者 UUID 同步」」,用於 CI 使用者 UUID 同步。 有關此功能的更多詳細資訊,請參閱: Cisco BroadWorks 對 CI UUID 的支援。
設定 BroadWorks 以針對Webex訂閱啟用Cisco帳單。
Cisco 為您提供了有效期限為 60 天的 OAuth 用戶端 ID、用戶端密碼及重新整理權杖。 如果權杖在您使用之前就到期,您可以提出另一個請求。
|
如果您已取得Cisco OAuth 身份提供者憑證,請完成新的服務請求以更新您的憑證。 |
訂單憑證
TLS 驗證的憑證需求
針對所有必要的應用程式,您需要由知名憑證授權單位簽署並部署在公開 XSP 上的安全性憑證。 這些將用於支援對 XSP 伺服器的所有輸入連線進行 TLS 憑證驗證。
這些憑證應包括 XSP 公用完整網域名稱,作為主體一般名稱或主體交替名稱。
部署這些伺服器憑證的確切需求取決於您的公開 XSP 部署方式:
透過 TLS 橋接 Proxy
透過 TLS 傳遞 Proxy
直接連線至 XSP
下圖總結了在下列三種情況下需要載入 CA 簽署的公用伺服器憑證:
Webex 應用程式支援用於驗證的公開支援 CA 列在 Webex 混合服務的支援憑證授權單位中。
TLS 橋接 Proxy 的 TLS 憑證需求
公開簽署的伺服器憑證會載入 Proxy。
Proxy 向 Webex 顯示此公開簽署的伺服器憑證。
Webex 信任簽署 Proxy 伺服器憑證的公用 CA。
內部 CA 簽署的憑證可載入 XSP。
XSP 向 Proxy 顯示此內部簽署的伺服器憑證。
Proxy 信任簽署 XSP 伺服器憑證的內部 CA。
DMZ 中 TLS 傳遞 Proxy 或 XSP 的 TLS 憑證需求
公開簽署的伺服器憑證會載入 XSP。
XSP 向 Webex 顯示公開簽署的伺服器憑證。
Webex 信任簽署 XSP 伺服器憑證的公用 CA。
CTI 介面雙向 TLS 驗證的其他憑證需求
當連線至 CTI 介面時,作為雙向 TLS 驗證的一部分,Webex 會顯示用戶端憑證。 Webex 用戶端憑證 CA/鏈憑證可透過 Control Hub 下載。
若要下載憑證:
請登入 Partner Hub,前往 然後按一下下載憑證連結。
部署此 Webex CA 憑證鏈的確切需求取決於您的公開 XSP 部署方式:
透過 TLS 橋接 Proxy
透過 TLS 傳遞 Proxy
直接連線至 XSP
下圖總結了在下列三種情況下的憑證需求:
(選項)TLS 橋接 Proxy 的憑證需求
Webex 向 Proxy 顯示公開簽署的用戶端憑證。
Proxy 信任簽署用戶端憑證的 Cisco 內部 CA。 可以從 Control Hub 下載此 CA/鏈,並將其新增至 Proxy 的信任存放區。 公開簽署的 XSP 伺服器憑證也要載入 Proxy。
Proxy 向 Webex 顯示公開簽署的伺服器憑證。
Webex 信任簽署 Proxy 伺服器憑證的公用 CA。
Proxy 向 XSP 顯示內部簽署的用戶端憑證。
此憑證必須在 x509.v3 擴充功能欄位的擴充金鑰使用方法填入 BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 和 TLS clientAuth 用途。 例如:
X509v3 extensions: X509v3 Extended Key Usage: 1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client Authentication內部憑證的 CN 必須為 bwcticlient.webex.com。
針對 Proxy 產生內部用戶端憑證時,請注意 SAN 憑證不受支援。 XSP 的內部伺服器憑證可以是 SAN。
公用憑證授權單位可能不願使用必要的專屬 BroadWorks OID 簽署憑證。 在橋接 Proxy 的情況下,您可能會被迫使用內部 CA 來簽署 Proxy 顯示給 XSP 的用戶端憑證。
XSP 信任內部 CA。
XSP 顯示內部簽署的伺服器憑證。
Proxy 信任內部 CA。
應用程式伺服器的 ClientIdentity 包含 Proxy 向 XSP 顯示的內部簽署用戶端憑證的 CN。
(選項)DMZ 中 TLS 傳遞 Proxy 或 XSP 的憑證需求
Webex 向 XSP 顯示 Cisco 內部 CA 簽署的用戶端憑證。
XSP 信任簽署用戶端憑證的 Cisco 內部 CA。 可以從 Control Hub 下載此 CA/鏈,並將其新增至 Proxy 的信任存放區。 公開簽署的 XSP 伺服器憑證也要載入 XSP。
XSP 向 Webex 顯示公開簽署的伺服器憑證。
Webex 信任簽署 XSP 伺服器憑證的公用 CA。
應用程式伺服器的 ClientIdentity 包含 Webex 向 XSP 顯示的 Cisco 簽署用戶端憑證的 CN。
準備網路
如需Webex for Cisco BroadWorks 所用連線的相關資訊,請參閱: Webex for Cisco BroadWorks 的網路需求。 此文章具有設定防火牆輸入和輸出規則所需的IP位址、通訊埠和通訊協定的清單。
Webex 服務的網路需求
上述「輸入和輸出規則」防火牆表格僅記載特定於 Webex for Cisco BroadWorks 的連線。 如需 Webex 應用程式與 Webex 雲端之間連線的一般資訊,請參閱 Webex 服務的網路需求。 此文章對於 Webex 是通用的,但下表列出了此文章的不同章節,以及每個章節與 Webex for Cisco BroadWorks 的相關性。
網路需求文章的章節 |
資訊的相關性 |
|---|---|
資訊 |
|
資訊 |
|
必須讀取 |
|
必須讀取 |
|
必須讀取 |
|
可選 |
|
可選 |
|
可選 |
|
可選 |
|
可選 |
|
可選 |
|
適用於 FedRAMP 客戶的 Webex 服務 |
不適用 |
其他資訊
如需其他資訊,請參閱 Webex 應用程式防火牆白皮書 (PDF)。
BroadWorks 備援支援
需要存取合作夥伴網路的 Webex 雲端服務和 Webex 用戶端應用程式完全支援合作夥伴提供的 Broadworks XSP 備援。 如果 XSP 或網站由於計劃維護或計劃外的原因無法使用,則 Webex 服務與應用程式能夠前進至合作夥伴提供的另一個 XSP 或網站以完成請求。
網路拓撲
Broadworks XSP 可以直接部署在網際網路上,也可位於前端為負載平衡元素(例如 F5 BIG-IP)的 DMZ 中。 為了提供地理備援,可以在兩個(或多個)資料中心部署 XSP,每個資料中心的前端都可以是負載平衡器,每個資料中心具有公用 IP 位址。 如果 XSP 位於負載平衡器後面,則 Webex 微服務和應用程式只會看到負載平衡器的 IP 位址,而 Broadworks 似乎只有一個 XSP,即使後面有多個 XSP。
在下面的範例中,XSP 部署在兩個網站(網站 A 和網站 B)。每個網站各有兩個前端為負載平衡器的 XSP。 網站 A 具有 XSP1 和 XSP2(前端為 LB1),而網站 B 具有 XSP3 和 XSP4(前端為 LB2)。 公用網路上只會顯示負載平衡器,而 XSP 位於 DMZ 私密網路中。
Webex 雲端服務
DNS 設定
Webex 雲端微服務必須能夠找到 Broadworks XSP 伺服器,才能連線至 Xsi 介面、驗證服務和 CTI。
Webex 雲端微服務將對設定的 XSP 主機名稱執行 DNS A/AAAA 查詢,並連線至傳回的 IP 位址。 這可以是負載平衡邊緣元素,也可以是 XSP 伺服器本身。 如果傳回多個 IP 位址,將會選取清單中的第一個 IP。 目前不支援 SRV 查找。
範例: 合作夥伴的DNS A 記錄,用於發現輪循平衡的面向網際網路的 XSP 伺服器/負載平衡器。
記錄類型 |
姓名 |
目標 |
用途 |
|---|---|---|---|
A |
|
|
指向 LB1(網站 A) |
A |
|
|
指向 LB2(網站 B) |
Failover
當 Webex 微服務向 XSP/負載平衡器傳送請求且請求失敗時,可能會發生數種狀況:
如果失敗是因為網路錯誤(例如: TCP、SSL),則 Webex 微服務會將該 IP 標記為已封鎖,並立即執行路由前進至下一個 IP。
如果錯誤碼(HTTP5xx ) 時, Webex微型服務會將IP標示為已封鎖,並立即執行到下一個IP的路由提前。
如果在 2 秒鐘內未收到 HTTP 回應,則請求會逾時,且 Webex 微服務會將該 IP 標記為已封鎖,並執行路由前進至下一個 IP。
每個請求會先嘗試 3 次,然後才會向微服務報告失敗。
當 IP 在封鎖清單中時,它將不會包括在向 XSP 傳送請求時嘗試的位址清單中。 在預先確定的一段時間之後,被封鎖的 IP 會過期,而且會在發出另一個請求時回到清單中進行嘗試。
如果所有 IP 位址都已封鎖,則微服務仍會嘗試從封鎖清單中隨機選取 IP 位址來傳送請求。 如果成功,則會從封鎖清單中移除該 IP 位址。
狀態
您可以在 Control Hub 中查看 Webex 雲端服務與 XSP 或負載平衡器的連接狀態。 在 BroadWorks Calling 叢集下,會針對以下每一個介面顯示連線狀態:
XSI 動作
XSI 活動
驗證服務
載入頁面時或在輸入更新期間,會更新連線狀態。 連線狀態可以是:
綠色: 當可以在 A 記錄查找中的其中一個 IP 上連接介面時。
紅色: 當 A 記錄查找中的所有 IP 無法連接且介面無法使用時。
下列服務使用微服務來連線至 XSP,並且受 XSP 介面可用性影響:
Webex 應用程式登入
Webex 應用程式權杖重新整理
不受信任的電子郵件/自行啟用
Broadworks 服務運行狀況檢查
Webex 應用程式
DNS 設定
Webex 應用程式會存取 XSP 上的擴充服務介面(XSI-Actions 和 XSI-Events)和裝置管理服務 (DMS) 服務。
若要尋找 XSI 服務, Webex應用程式會執行DNS SRV查找: _xsi-client._tcp.<webex app xsi domain> 。 SRV 會指向為 XSP 主機或 XSI 服務的負載平衡器設定的URL 。 如果 SRV 查找不可用, Webex應用程式會回退到 A/AAAA 查找。
SRV 可以解析為多個 A/AAAA 目標。 然而,每個 A/AAAA 記錄必須僅對映單一IP 位址。 如果負載平衡器/邊緣裝置後面的 DMZ 中有多個 XSP,則要求將負載平衡器設定為維護階段作業持續性,以將相同階段作業的所有請求路由至同一個 XSP。 我們要求此設定,因為用戶端的 XSI 事件活動訊號必須前往用於建立活動通道的相同 XSP。
|
在示例 1 中,webex-app-xsp.example.com 的 A/AAAA 記錄不存在,也不需要存在。 如果您的DNS要求必須定義一個 A/AAAA 記錄,則只應傳回 1 個IP 位址。 無論如何,仍必須為Webex應用程式定義 SRV。 如果Webex應用程式使用可解析為多個IP 位址的 A/AAAA 名稱,或者負載平衡器/ Edge 元素不維護階段作業持續性,則用戶端最終會向未建立事件通道的 XSP 傳送活動訊號。 這會導致通道被關閉,而且內部流量也會顯著增加,從而影響 XSP 的叢集效能。 因為Webex 雲端和Webex應用程式在 A/AAAA 記錄查找中具有不同的需求,所以您必須為Webex 雲端和Webex應用程式使用單獨的 FQDN 才能存取 XSP。 如範例所示, Webex 雲端使用 A 記錄 |
範例 1 — 多個 XSP,每個 XSP 都位於不同的負載平衡器之後
在此範例中,SRV 指向多個 A 記錄,每個 A 記錄指向不同地點的不同負載平衡器。 Webex應用程式將一律使用清單中的第一個IP 位址,且僅在第一個記錄關閉時才會移至下一個記錄。
記錄類型 |
錄製 |
目標 |
用途 |
|---|---|---|---|
SRV |
|
|
Xsi 介面的用戶端探索 |
SRV |
|
|
Xsi 介面的用戶端探索 |
A |
|
|
指向 LB1(網站 A) |
A |
|
|
指向 LB2(網站 B) |
範例 2 — 單個負載平衡器後有多個 XSP(使用TLS橋接器)
對於初始請求,負載平衡器會選擇一個隨機 XSP。 該 XSP 會返回Webex應用程式包含在未來請求中的 Cookie。 對於未來的請求,負載平衡器使用 Cookie 將連線路由到正確的 XSP,確保事件通道不會中斷。
記錄類型 |
錄製 |
目標 |
用途 |
|---|---|---|---|
SRV |
|
|
負載平衡器 |
A |
LB.example.com |
|
負載平衡器的IP 位址(XSP 位於負載平衡器之後) |
DMS URL
在登入程序期間,Webex 應用程式還將擷取 DMS URL 以下載其設定檔案。 將剖析 URL 中的主機,並且 Webex 應用程式將對主機執行 DNS A/AAAA 查找以連線至託管 DMS 服務的 XSP。
範例: DNS A 記錄,用於透過 Webex 應用程式探索循環平衡的網際網路對向 XSP 伺服器/負載平衡器來透過 DMS 下載設定檔案:
記錄類型 |
姓名 |
目標 |
用途 |
|---|---|---|---|
A |
|
|
指向 LB1(網站 A) |
A |
|
|
指向 LB2(網站 B) |
Webex 應用程式如何尋找 XSP 位址
用戶端嘗試使用下列 DNS 流程來尋找 XSP 節點:
用戶端最初會從 Webex 雲端擷取 Xsi-Actions/Xsi-Events URL(當您建立關聯的 BroadWorks Calling 叢集時輸入這些 URL)。 Xsi 主機名稱/網域會從 URL 剖析,用戶端則會執行 SRV 查找,如下所示:
用戶端會對 _xsi-client._tcp 執行 SRV 查詢。<xsi domain="">
如果 SRV 查找返回一個或多個 A/AAAA 目標:
用戶端會對那些目標執行 A/AAAA 查詢,並快取返回的 IP 位址。
用戶端根據 SRV 優先順序,然後是權數(或隨機,如果全部相等),連線至其中一個目標(並因此透過單一 IP 位址連線至及其 A/AAAA 記錄)。
如果 SRV 查找未返回任何目標:
用戶端會對 Xsi 根參數執行 A/AAAA 查詢,然後嘗試連線至返回的 IP 位址。 這可以是負載平衡邊緣元素,也可以是 XSP 伺服器本身。
如上所述,出於相同的原因,A/AAAA 記錄必須解析為一個 IP 位址。
(可選)您隨後可以使用下列標籤在 Webex 應用程式的裝置設定中提供自訂 XSI-Actions/XSI-Events 詳細資訊:
<protocols> <xsi> <paths> <root>%XSI_ROOT_WXT%</root> <actions>%XSI_ACTIONS_PATH_WXT%</actions> <events>%XSI_EVENTS_PATH_WXT%</events> </paths> </xsi> </protocols>這些設定參數會優先於 Control Hub 中 BroadWorks 叢集的任何設定。
如果存在,用戶端會與透過 BroadWorks 叢集設定接收的原始 XSI 位址作比較。
如果偵測到任何差異,用戶端會重新初始化其 XSI Actions/ XSI Events 連線。 第一步是執行步驟 1 中所列的相同DNS查找程序 – 這一次請求在%XSI_ROOT_WXT%參數從其組態檔中。
如果您使用此標籤來變更 Xsi 介面,請務必建立對應的 SRV 記錄。
Failover
在登入期間,Webex 應用程式會針對 _xsi-client._tcp.<xsi domain=""> 執行 DNS SRV 查詢、建立主機清單,然後依次根據 SRV 優先順序和加權來與其中一個主機連線。 此連接的主機將成為所有未來請求的選定主機。 隨後會向選定主機開啟活動通道,並定期傳送活動訊號來驗證該通道。 在第一個請求之後傳送的所有請求都包括 HTTP 回應中傳回的 Cookie,因此,負載平衡器必須保持階段作業持續性(親和性)並一律將請求傳送至相同的後端 XSP 伺服器。
如果對主持人的請求或活動訊號請求失敗,則可能會發生數種狀況:
如果失敗是因為網路錯誤(例如: TCP、SSL),Webex 應用程式路由會立即移到清單上的下一個主機。
如果錯誤碼(HTTP5xx ) 時, Webex應用程式將該IP 位址標示為已封鎖,並路由前進到清單上的下一個主持人。
如果在一段時間內未收到回應,則請求會因逾時而被視為失敗,並會將下一個請求傳送給下一個主機。 但是,逾時請求會被視為失敗。 某些請求會在失敗後重試(這會增加重試時間)。 不會重試假設為非重要的請求。
當成功嘗試新主機時,如果該主機存在於清單中,則它會成為新的選定主機。 在嘗試清單中的最後一個主機之後,Webex 應用程式將回滾至第一個主機。
在活動訊號的情況下,如果連續發生兩個請求失敗,則 Webex 應用程式將重新初始化活動通道。
請注意,Webex 應用程式不會執行容錯回復,而且 DNS 服務探索僅在登入時執行一次。
在登入期間,Webex 應用程式會嘗試透過 XSP/Dms 介面下載設定檔案。 它會在所擷取的 DMS URL 中對主機執行 A/AAAA 記錄查詢,並連線至第一個 IP。 它將首先嘗試傳送使用 SSO 權杖下載設定檔案的請求。 如果出於任何原因失敗,將會重試,但會使用裝置使用者名稱和密碼。
