Introduction
Ce document décrit comment Cisco Unified Contact Center Express (UCCX) utilise la sécurité de la couche transport (TLS) pour différents types d'intégration avec les applications tierces. Ces intégrations peuvent être effectuées lorsque l'UCCX fonctionne en tant que client ou lorsqu'il fonctionne en tant que serveur.
Contribution d'Abhiram Kramadhati, ingénieur Cisco.
UCCX fonctionne comme un serveur
Lorsque UCCX fonctionne comme un serveur et que la partie distante communique à l'aide de TLS 1.0, 1.1 ou 1.2, UCCX est capable de communiquer sur la base des versions TLS compatibles avec la version Unified CCX :
- Unified CCX 10.6 - TLS 1.0, 1.1 et 1.2
- Unified CCX 11.x - TLS 1.0, 1.1 et 1.2
Il s'agit d'intégrations dans lesquelles les services API du système Unified CCX sont utilisés par une application tierce.
UCCX fonctionne comme un client
Lorsque l'UCCX fonctionne en tant que client, il demande à un serveur tiers d'appeler un service ou d'obtenir des informations. Un exemple courant, dans ce cas, est l'intégration à un système Salesforce pour l'intégration CRM. Les requêtes peuvent être issues de :
- Script Unified CCX
- Workflows Finesse
- Gadgets Finesse
Dans les versions 10.x, 11.0(1) et 11.5(1) d'UCCX, lorsqu'Unified CCX appelle cette demande, il utilise TLS 1.0 par défaut.Le serveur tiers doit pouvoir communiquer à l'aide de TLS 1.0, sinon la communication échouera.
La prise en charge de TLS 1.0 est déconseillée
La prise en charge de TLS 1.0 est déconseillée par de nombreux fournisseurs d’applications.La communication sur TLS 1.0 (et même la disponibilité de TLS 1.0) est considérée comme une vulnérabilité par de nombreuses entreprises.
L'annonce la plus récente à cet égard a été faite par Salesforce : https://help.salesforce.com/articleView?id=000221207&type=1. Elle concerne les clients UCCX qui ont intégré UCCX à Salesforce. Le 17 février 2017, Salesforce a annoncé la suppression de la prise en charge de TLS 1.0 :
Nouveaux déploiements : TLS 1.0 désactivé par défaut
Environnements sandbox/systèmes de développement : TLS 1.0 désactivé après le 25 juin 2016, à 9h30 HAP (16h30 UTC)
Systèmes de production : TLS 1.0 désactivé post 22 juillet 2017
Cela signifie que les solutions UCCX qui appellent des requêtes Web aux systèmes Salesforce utilisant TLS 1.0 ne parviennent pas à publier ces dates.
Remarque : La même logique s'applique à une telle intégration. Salesforce est l'un de ces fournisseurs qui a fait une annonce à cet égard.
Étapes suivantes
S'il existe des intégrations qui utilisent TLS, le tableau ci-dessous représente les versions de Unified CCX qui fournissent la prise en charge de TLS 1.1 et 1.2 pour les intégrations Unified CCX lorsque Unified CCX est le client (intégration Salesforce) ainsi que la suppression complète de TLS 1.0 de Unified CCX.
Les clients doivent prévoir une mise à niveau vers les versions mentionnées ci-dessous qui fournissent la prise en charge TLS nécessaire à leur environnement. Il n'existe aucune offre spéciale d'ingénierie pour le même.
Version actuelle du client |
Version cible pour la prise en charge de TLS 1.1 et 1.2 lorsque UCCX est client |
Version cible pour la suppression de TLS 1.0 d'UCCX |
10.0 |
10.6(1)SU3 |
11.5(1)SU1 |
10.5 |
10.6(1)SU3 |
11.5(1)SU1 |
10.6 |
10.6(1)SU3 |
11.5(1)SU1 |
11.0 |
11.5(1)SU1 |
11.5(1)SU1 |
11.5 |
11.5(1)SU1 |
11.5(1)SU1 |
L'ETA pour les versions ci-dessus n'est pas encore confirmé, mais il est avant la date limite de Salesforce. Ils sont publiés sur la page de téléchargement de logiciels cisco.com.
Matrice de support TLS
Assistance actuelle
Version de la solution UCCX |
Versions TLS lorsque UCCX fonctionne comme serveur |
Versions TLS lorsque UCCX fonctionne comme client |
10.6(1)SU2 |
1.0, 1.1, 1.2 |
1.0 |
11.0(1) |
1.0, 1.1, 1.2 |
1.0 |
11.0(1)SU1 |
1.0, 1.1, 1.2 |
1.0 |
11.5(1) |
1.0, 1.1, 1.2 |
1.0 |
Versions à venir
Version de la solution UCCX |
Versions TLS lorsque UCCX fonctionne comme serveur |
Versions TLS lorsque UCCX fonctionne comme client |
10.6(1)SU3 |
1.0, 1.1, 1.2 |
1,1, 1,2* |
11.5(1)SU1 |
1.1, 1.2# |
1,1, 1,2* |
11.6(1) |
1.2 |
1.2 |
* par défaut
# voir la note sur SocialMiner ici
Prise en charge de SocialMiner et TLS
SocialMiner a ces changements mis à part la matrice de support mentionnée ci-dessus :
11.5(1)SU1
11.5(1)SU1 prend toujours en charge Exchange 2010. Étant donné qu'Exchange 2010 prend en charge UNIQUEMENT TLS 1.0, SocialMiner ne supprimera pas TLS 1.0. Cependant, pour garantir que la sécurité n'est pas compromise, toutes les connexions entrantes ne prendront pas en charge TLS 1.0 et seule la connexion sortante disposera de TLS 1.0, si le serveur tiers peut communiquer sur TLS 1.0 uniquement. Sinon, les connexions fonctionneront sur TLS 1.1 et 1.2
11.6
TLS 1.0 a été supprimé de SocialMiner 11.6. Si le client utilise Exchange 2013, Exchange 2013 utilise par défaut TLS 1.0 et toutes les campagnes par courrier électronique échouent car SocialMiner ne prend pas en charge TLS 1.0. Par conséquent, le client doit activer TLS 1.1/1,2 sur Exchange 2013 afin de pouvoir continuer à travailler avec 11.6. Ceci est documenté dans les notes de version et dans la communication préalable à la version 11.6.
Forum aux questions
Comment obtenir la prise en charge TLS nécessaire pour la solution ?
Vous devez effectuer la mise à niveau vers les versions répertoriées dans le tableau ci-dessus. Il n'y a pas d'offre spéciale d'ingénierie ou de fichier de copie.
Si Salesforce supprime la prise en charge de TLS 1.0 et que je suis sur une version qui ne prend en charge que TLS 1.0 pour les requêtes client, la requête au système Salesforce échoue-t-elle ?
Oui. En fait, tout serveur qui ne prend pas en charge TLS 1.0 ne fonctionnera pas avec UCCX si UCCX envoie des requêtes sur TLS 1.0 uniquement et c'est vrai pour les versions 10.6(1)SU2, 11.0(1), 11.0(1)SU1, 11.5(1).
La prise en charge de TLS 1.0 présente un risque pour la sécurité. Puis-je supprimer complètement TLS 1.0 de ma solution UCCX ?
Oui, UCCX 11.5(1)SU1 et les versions ultérieures ont supprimé complètement TLS 1.0 pour les connexions HTTPS externes.
Toutes les connexions vers/depuis UCCX sont-elles applicables aux modifications TLS mentionnées ci-dessus ?
Ces mises à jour concernent uniquement les connexions HTTPS. Les connexions JDBC peuvent toujours fonctionner sur TLS 1.0.
Obtention de documentation et envoi d'une demande de service
Pour plus d'informations sur l'obtention de documentation, l'utilisation de l'outil de recherche de bogues Cisco (BST), l'envoi d'une demande de service et la collecte d'informations supplémentaires, consultez Nouveautés de la documentation des produits Cisco à l'adresse : http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.html.
Abonnez-vous à la section Nouveautés de la documentation produit Cisco, qui répertorie toute la documentation technique Cisco nouvelle et révisée, sous forme de flux RSS, et diffusez le contenu directement sur votre bureau à l'aide d'une application de lecture. Les flux RSS sont un service gratuit.
LES SPÉCIFICATIONS ET INFORMATIONS RELATIVES AUX PRODUITS DE CE MANUEL PEUVENT ÊTRE MODIFIÉES SANS PRÉAVIS. TOUTES LES DÉCLARATIONS, INFORMATIONS ET RECOMMANDATIONS CONTENUES DANS CE MANUEL SONT CONSIDÉRÉES COMME EXACTES, MAIS SONT PRÉSENTÉES SANS GARANTIE D'AUCUNE SORTE, EXPRESSE OU IMPLICITE. LES UTILISATEURS DOIVENT ASSUMER L'ENTIÈRE RESPONSABILITÉ DE L'APPLICATION DE TOUT PRODUIT.
LA LICENCE LOGICIELLE ET LA GARANTIE LIMITÉE DU PRODUIT QUI L'ACCOMPAGNE SONT INDIQUÉES DANS LE DOSSIER D'INFORMATION FOURNI AVEC LE PRODUIT ET SONT INCORPORÉES AUX PRÉSENTES PAR LA PRÉSENTE RÉFÉRENCE. SI VOUS NE TROUVEZ PAS LA LICENCE LOGICIELLE OU LA GARANTIE LIMITÉE, CONTACTEZ VOTRE REPRÉSENTANT CISCO POUR EN OBTENIR UNE COPIE.
La mise en oeuvre par Cisco de la compression d'en-tête TCP est une adaptation d'un programme développé par l'Université de Californie à Berkeley (UCB) dans le cadre de la version du système d'exploitation UNIX du domaine public de l'UCB. Tous droits réservés. Copyright © 1981, Regents of the University of California.
NONOBSTANT TOUTE AUTRE GARANTIE PRÉSENTÉE DANS LE PRÉSENT DOCUMENT, TOUS LES FICHIERS DOCUMENTAIRES ET LOGICIELS DE CES FOURNISSEURS SONT FOURNIS « EN L'ÉTAT » AVEC TOUS LES DÉFAUTS. CISCO ET LES FOURNISSEURS SUSMENTIONNÉS EXCLUENT TOUTE GARANTIE, EXPRESSE OU IMPLICITE, Y COMPRIS, MAIS SANS S'Y LIMITER, CELLES DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET DE NON-CONTREFAÇON OU DÉCOULANT D'UN COURS DE TRANSACTION, D'UTILISATION OU DE PRATIQUE COMMERCIALE.
EN AUCUN CAS, CISCO OU SES FOURNISSEURS NE POURRONT ÊTRE TENUS RESPONSABLES DE DOMMAGES INDIRECTS, SPÉCIAUX, CONSÉCUTIFS OU ACCESSOIRES, Y COMPRIS, MAIS SANS S'Y LIMITER, DE PERTES DE PROFITS OU DE PERTES OU DE DOMMAGES AUX DONNÉES RÉSULTANT DE L'UTILISATION OU DE L'INCAPACITÉ D'UTILISER CE MANUEL, MÊME SI CISCO OU SES FOURNISSEURS ONT ÉTÉ INFORMÉS DE LA POSSIBILITÉ DE TELS DOMMAGES.
Les adresses IP (Internet Protocol) et les numéros de téléphone utilisés dans ce document ne sont pas des adresses et des numéros de téléphone réels. Tous les exemples, résultats d'affichage des commandes, diagrammes de topologie de réseau et autres figures inclus dans le document sont présentés à titre d'illustration uniquement. Toute utilisation d'adresses IP ou de numéros de téléphone réels dans un contenu d'illustration est involontaire et fortuite.
Toutes les copies imprimées et les copies électroniques sont considérées comme des copies non contrôlées et la version originale en ligne doit être consultée pour la dernière version.
Cisco compte plus de 200 bureaux dans le monde. Les adresses, numéros de téléphone et numéros de fax sont répertoriés sur le site Web de Cisco à l'adresse www.cisco.com/go/offices.
Cisco et le logo Cisco sont des marques commerciales ou déposées de Cisco et/ou de ses filiales aux États-Unis et dans d'autres pays. Pour consulter la liste des marques commerciales de Cisco, rendez-vous à l'adresse suivante : www.cisco.com/go/trademarks. Les marques commerciales tierces mentionnées sont la propriété de leurs détenteurs respectifs. L'utilisation du terme « partenaire » n'implique pas de relation de partenariat entre Cisco et toute autre entreprise. (1110R)
© 2016 Cisco Systems. Tous droits réservés.