Post on 19-Jun-2020
Your TimeIs Now
Создание частного облака Совместной работы на базе централизованной инфраструктуры мгновенного обмена сообщениями и Cisco Jabber.
Константин ГрибахКонсультант по технологиям
2© 2018 Cisco and/or its affiliates. All rights reserved.
План доклада
• Новые возможности авторизации приложений с использованием oAuth
• Централизованная архитектура предоставления сервисов IM&P• История вопроса• Архитектура и поддерживаемые сценарии
• Дополнительные возможности IM&P 12.0
© 2018 Cisco and/or its affiliates. All rights reserved. 3
Что такое oAuth и как он используется в Cisco UC
В чем, собственно, проблема?
§ Логины и пароли - не проблема для современных хакеров
§ Требуется решение, простое во внедрении и использовании… гарантирующее успех у пользователей
§ Authenticate just once and have a single point of Authorization for all the applications in the organization
§ Secure way of allowing today’s applications to use the services API’s
Гость
Аутентификация и авторизация
После аутентификации ресепшн выдает гостю ключ от номера
Ваш ключ - это токенавторизации для доступа в номер и другим гостиничным сервисам
Вамненуженпаспортдлятого,чтобывойтивномер.КлючпозволяетвамвойтитольковВашномер.Ключнеидентифицируетвладельцаключа.
Аутентификация позволяетубедитьсячтовы- этовы
Авторизация даетответнавопросимеетеливыправонавыполнениеопределенногодействия
Аутентификация
Ресепшн гостиницыаутентифицируетгостя по предъявлении паспорта
Авторизация
6
Аутентификация и авторизация
(SAML и OAuth)
Авторизация
КлиентыСервисы
IdPАутентификация
Зачем нужен OAuth вместо паролей?
ДовериеСнижает риск фишингаОграничение доступа к другим даннымСинхронизация пароляПроблемы отзыва правМогут использоваться продвинутые методы аутентификации
Структура авторизации OAuthСтандарт OAuth 2.0 (RFC 6749) определяет структуру взаимодействия, позволяющую приложению получить ограниченный доступ к какому-либо сервису или API от имени пользователя.
Пользователи авторизуют клиентские приложения на взаимодействие с защищенным ресурсом без передачи приложению своих учетных данных (делегирование доступа).Определяет токен авторизации: принцип valet keyКлиент: web-приложение, обычное приложение на компьютере/мобильном, javascript в браузере…
НЕ имеет отношения к процессу аутентификации.
Широко применяется в современных решениях(облачных, микросервисах, интеграции…)
9
Source:https://www.programmableweb.com/apis/directory/1?auth=OAuth
Роли в структуре OAuth в применении к Cisco UC
Серверресурсов
Серверавторизации
Владелецресурса
Клиент
Авторизационныйгрант
Запроснаавторизацию
CUCM,IM&P,Expressway,UnityConnection
CUCM(SSOSP)
Jabber
1
2
4
5
3
Косвенный грант или грант с кодом авторизации
Косвенный грантТокен выдается непосредственно владельцу ресурса или web-приложению (браузеру)
Хорошо работает в случае клиентов, встроенных в web-баузер (в том числе для javascript)
Когда срок жизни токеназаканчивается, выполняется повторная аутентификация
Грант с кодом авторизацииТокен никогда не выдается владельцу ресурсаИдеально для работы с обычными приложениямиКогда время жизни токеназаканчивается, новый токен может быть получен без повторной аутентификации с помощью refresh tokenКогда заканчивается срок действияrefresh token, выполняется повторная аутентификация
Требуемые версии ПО для поддержки OAuthПоддержка oAuth и гранта с кодом авторизации (в CUCM известен как Refresh login flow) - одна из фич, заявленных для CSR 12.0. Однако, она была так же добавлена в сервисные апдейты CSR 11.6Включите режим OAuth flow with Refresh Login (выключено по умолчанию)Рекомендуемая последовательность включения:
1. CUCM / IM&P2. Unity Connection (если есть)3. Expressway4. Jabber (automatic)
CUCM+IM&P
Expressway
UnityConnection
Jabber
Включение нового режима OAuthCUCM (в том числе IM&P)
• AccessTokenвремяжизни:60минут(настраивается:1минутаà 24часа)
• RefreshTokenвремяжизни:60дней(настраивается:1деньà 5лет)
Включениеновогорежима
CUCMAdmin>System>EnterpriseParameters:
Новая структура аутентификации/авторизации для работы с клиентами JabberУнификациясценариеваутентификации JabberсновойструктуройработынаосновеoAuth• SuperiorJabberonMobileUXandavoidfrequentUserLoginleveraginglonglivedauthenticationwithRefreshTokens
• ConsistentinterfaceauthenticationandStrongerEdgeSecurityavoidinginformationcachingwithselfcontained,encryptedtokens
• EfficientandsimplerloginsequencewithreducednetworktripsandAPIcall
Деталиработы• Noactionrequiredattimeofupgrade.ConfigurationKnobtoturnthefeatureOn
• AuthenticatedloginfollowedbyauthorizationresultsinRefresh(RT)andAccessToken(AT)
• Defaultexpirationtimer:RT=60Days,AT=1Hour• NoexplicitauthenticationrequiredwhileRTisvalid,whenRTexpiresuserloginenforced
• RefreshTokencanberevokedwithUserdeletionorusingtherevocationAPI
*Future,Subjecttochange
Решаемыезадачи
Поддержкановыхфункций:
• MRAaccesspolicy• Pushnotifications
formobileclients
• Mobileuserexperience
• Identityproviderperformanceimpact(SSO)
Упрощениеразвертывания
• Logincomplexity• Enhancededge
security• Alignmentwith
cloudsolution
Улучшениеархитектуры:
HTTP(CUCM) SIP XMPP HTTP(UnityCxn)
Jabber on-prem (noSSO) OAuth token OAuth token OAuth token OAuth token
JabberviaMRA OAuth token OAuth token OAuth token OAuth token
Jabberon-prem(SAMLSSO) OAuth token Certificate-
based* OAuth token OAuth token
JabberviaMRA(SAMLSSO) OAuth token OAuth token OAuth token OAuth token
Централизованная архитектура предоставления сервисов IM&P
15© 2018 Cisco and/or its affiliates. All rights reserved.
Бизнес-кейс: Hospital Corporation of America
168 госпиталей, 80 кластеров CUCM
85% пользователей с аппаратными терминалами аудио/видео
В качестве платформы совместной работы - MS LyncСценарии отказоустойчивости требуют наличия локальных серверов в каждом госпитале. Добавление в каждый кластер серверов IM&P не позволяет гибко масштабироваться
Облачные сервисы неприемлемы (персональные данные пациентов)
IM&PCluster
UCMTelephonyCluster1
UCMTelephonyClusters
UCMTelephonyCluster2
UCMTelephonyClustern
Пример:пользовательJabberподключаетсяксвоемукластеруCUCM,профильсервисаIM указываетна центральныйкластер
IM&Pдлячата/доступности
Централизованное развертывание сервисов IM&Pnt
• Новаямодельразвертывания UCMи IM&Pприбольшомколичествекластеров UCM
• Центральный кластерIM&Pвыступаеткакпровайдерсервисов IM&P.Терминалыипользователипродолжаютобслуживатьсялокальнымикластерами CUCM
• Центральныйкластер IM&Pобслуживаетмножествокластеров UCM
• Требуетсяединаяаутентификация
• Можетбытьиспользованадля• Новыхвнедрений CUCMи IM&P• Длядобавлениясервиса IM&Pвсуществующуюинсталляцию CUCM
Отношения 1:1 CUCM/IM&P иЦентрализованный IM&P
CUCMpubDBonly
IM&P
CentralizedIM&P
Location
CUCMVoice/video
Denver
CUCMVoice/video
Maine
CUCMVoice/video
SantaCruz
CUCMVoice/video
Denver
CUCMVoice/video
Maine
CUCMVoice/video
SantaCruz
IM&P
IM&P
IM&P
КластерIM&Pнакаждойлокации
Единственный кластерIM&P
Централизованное развертывание сервисов IM&PВерсии и поддержка:Начиная с 11.5SU4 /12.0Все ноды IM&P должны быть одинаковой версииПоддержка существующих кластеров CUCM (начиная с 9.1+)Масштабируемость: Режим High Availability для сервисов IM&P настоятельно
рекомендуетсяОдин кластер, развернутый на 25K OVA поддерживает до
75,000 клиентовБолее крупные внедрения (больше 75K) могут иметь
несколько кластеров IM&PПоддерживается несколько кластеров IM&P в режиме
централизованного развертыванияПоддерживается как обычный режим аутентификации, так и
SSO
Версия IM&P ВерсияCUCM ВерсияJabber
12.0 12.0 11.9
11.5SU4 11.5SU3 11.9
Преимущества:• Упрощаетсяобслуживаниерешения,что
ведетксокращениюTCO• Убираетсятребование 1:1CUCM/IM&P• Сокращаетсяколичествовиртуальных
машинвсценариях,гдеестьмножествогеографическиразнесенныхкластеровтолькодляголоса/видео,снебольшимколичествомпользователей
• Упрощаетсяфедерациясдругимисистемами
Cценарий развертывания сервиса IM&P в режиме частного облака
Требования - для версии 12.0
Централизованный сервис IM&P
Поддерживается начиная с версии 12.0
CUCM генерирует AT и RT как в сценариях с SSO так и без негоКластер IM&P должен быть способен валидировать AT, сгенерированные удаленными кластерами CUCM
Тестирование и документация для версии 12.0
Ничего не меняется с точки зрения масштабируемости сервисов IM&P и пользователей
Ноды централизованного кластера могут использовать 25k OVA
3 пары нод в режиме высокой доступности = 75,000 пользователей IM&P в централизованном кластере IM&PПоддерживаются интеркластерные отношения между ДВУМЯ централизованными кластерами IM&P [протестировано с нодами 25k и 15k]
Настройка trace level для сервиса XCP Router должна быть ограничена при использовании25k OVA [установлена в значение Error]
ТребованияDNS SRV должен указывать на паблишер телефонного кластера
При использовании ILS, DNS SRV должен указывать на сервер телефонного кластера, выполняющего роль ILS HUB.
Процесс Cisco AXL Web Service должен работать на всех серверах [включен по умолчанию]В центральном кластере версия CUCM должна соответствовать версии IM&PПри использовании нескольких телефонных кластеров требуется настроенный и рабочий Intercluster Lookup Service (ILS)
Телефонные кластеры, работающие с кластером IM&P должны работать как ILS hub.
Настраивать Presence Gateway в центральном IM&P не требуетсяТранк SIP Publish не используется
Замечания по настройке
Пользователи должны быть импортированы в обе базы данных: телефонного кластера и центрального кластера IM&P и, следовательно, известны и там и там
В телефонном кластере для пользователя не нужно включать сервис IM&P. Этот сервис для пользователя должен быть включен в центральном кластере IM&P
На телефонном кластере профиль сервиса IM для пользователя должен указывать на центральный кластер, предоставляющий сервис IM&P. В кластере IM&P заводить сервисный профиль не нужно
Замечание по работе Jabber c централизованным сервисом IM&P
SOAP API (get-system-config) возвращает информацию используется ли централизованный сервис IM&P или нет. В зависимости от этого Jabber включает режим Rich PresenceНачиная с версии 11.9, Jabber использует схему авторизации OAuth c поддержкой Refresh Token, что позволяет избежать частых обновлений аутентификации.
Конфигурация центрального кластера IM&PИзменения в интерфейсе IM&P 12.0(1)
То же самое добавлено в IM&P 11.5(SU4)
§ Synchronize:синхронизацияключейсудаленнымтелефоннымкластером
§ PeerAddress:FQDNадрес CUCMПаблишер
Подключение Jabber к кластеру IM&P и телефонному кластеру
Использование SSO при работе с централизованным кластером IM&P1-2: DNS query for SRV record [узнать где живет сервис UDS телефонного кластера CUCM]
3-4: Query UDS for the Home CUCM cluster [найти домашний кластер пользователя]
5-8: Get Access Token and Refresh Token from CUCM with SAML SSO
9: UC Service Profile содержит профиль IM&P, указывающий нацентральный кластер IM&P
10: Jabber регистрируется наIM&P через SOAP и XMPPпредъявляя Access Token из #5
11: Токен валидируется ирезультат возвращается
Другие новые возможности IM&P
Другие улучшения в обслуживании сервисов IM&P в версии 12.0External DB cleanup utility• Упрощает управление внешними базами данных, позволяя проводить
периодическую чистку таблиц - снижение вероятности утери нужных данных
• Чистка возможна для Persistent chat(TC), Managed File Transfer (MFT) иMessage Archiver (MA)
• Чистку можно запускать вручную или в автоматическом режиме
Очистка списка контактов от неактуальных записей• Простое удаление ”зависших” контактов из базы данных IM&P для
улучшения производительности системы• Команды CLI для обнаружения и удаления устаревших записей
• Сокращениеадминистративныхрасходов,стоимостиподдержки ивременипростоясервисов
Улучшения в области совместимости для IM&Pи соответствия корпоративным политикам
Поддержка MS-SQL в качестве внешней БД• MS-SQL теперь поддерживается для Persistent chat High availability (HA)
Поддержка Enterprise Groups для Open LDAP • Если у вас есть Open LDAP то теперь вам так же доступны Enterprise Group
Assured message logging for Message Archiver• Возможность настроить Message Archiver в режим блокировки для гарантии
протоколирования мгновенных сообщений
• Защитаинвестицийвваширешения.Большевариантовиспользованияимеющихсяпродуктовилучшеесогласованиескорпоративнымиполитиками
Полезные ссылки
Release Note—Centralized IM&P Feature:https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/rel_notes/12_0_1/cucm_b_release-notes-for-cucm-imp-1201/cucm_b_release-notes-for-cucm-imp-1201_chapter_00.html#reference_DEEB9E65EBF96BE8A9C549551C3EAAF8
Admin Guide—Centralized IM&P Feature:https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/im_presence/configAdminGuide/12_0_1/cup0_b_config-admin-guide-imp-1201/cup0_b_config-admin-guide-imp-1201_chapter_011000.html
Cisco CUCM/IM&P Docs:https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.html
Новинка! OAuth Deployment White Paper:https://www.cisco.com/c/en/us/support/unified-communications/jabber-windows/products-installation-guides-list.html
Время для ваших вопросов
© 2018 Cisco and/or its affiliates. All rights reserved. 33
Спасибо за внимание!
© 2018 Cisco and/or its affiliates. All rights reserved.
Оцените данную сессию в мобильном приложении конференции
www.facebook.com/CiscoRu
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia
www.vk.com/cisco
Контакты:
Тел.: +7 495 9611410www.cisco.com