Přehled

Během předávání protokolu TLS kontroluje standardní klient TLS platnost certifikátu serveru TLS. Tato implementace však může potenciálně způsobit útok typu „man-in-the-middle”, když se klient Jabber nasadí přes internet. Pokud hacker při přihlašování předloží klientovi Jabber svůj vlastní server s platným certifikátem TLS namísto certifikátu Expressway, pak Jabber bez další kontroly tento certifikát přijme a uživatel může být připojen ke škodlivému systému. Aby se Jabber tomuto problému vyhnul, provádí další ověřovací krok, který není součástí standardního protokolu TLS: kontroluje, zda doména zadaná uživatelem během přihlašovacího procesu odpovídá alternativním názvům předmětu (SAN) obsaženým v certifikátu. Pouze v případě shody se Jabber pokusí připojit k certifikátu Expressway. Každá položka SAN v certifikátu musí být podepsána certifikační autoritou (CA). To znamená, že certifikát podepsaný certifikační autoritou může získat pouze společnost, která vlastní doménu.

Každý název SAN zadaný v certifikátu podléhá ověření certifikační autoritou (CA). Certifikát podepsaný certifikační autoritou tedy může získat pouze společnost, která vlastní doménu. Díky tomu je mnohem obtížnější ukrást identitu Expressway.

Ve vyhrazené instanci spravuje certifikáty pro aplikace UC společnost Cisco. Proto jsou certifikáty podepsány pouze doménou poskytnutou společností Cisco, např.customer.amer.wxc-di.webex.com. Koncový uživatel se však může do klienta Jabber přihlásit pomocí e-mailové adresy zákazníka pomocí následujících možností:

Možnost 1: Počáteční přihlášení koncového uživatele klienta Jabber

Uživatelé mohou být na úvodní obrazovce informováni, že pro první přihlášení ke klientovi Jabber musí použít doménu hlasové služby Cisco user@customer.amer.wxc-di.webex.com. Na další obrazovce následuje uživatelské jméno nebo e-mailová adresa společnosti a heslo. Protože se jedná o nejjednodušší přístup, můžeme si jednotlivé kroky znázornit podrobněji:

  1. Uživatel musí na úvodní přihlašovací obrazovce klienta Jabber zadat doménu hlasové služby poskytované společností Cisco, např. user@customer.amer.wxc-di.webex.com, jak ukazuje obrázek níže.


    Po dokončení aktivace služby je doména hlasové služby zákazníka sdílena společností Cisco pro každý region. Tyto informace jsou součástí dokumentu s přístupovými údaji sdíleného v prostoru aplikace Webex. Další podrobnosti naleznete na stránce Aktivace služby vyhrazených instancí.

  2. Uživatel je vyzván k zadání uživatelského jména nebo e-mailového ID společnosti spolu s heslem pro ověření, jak je znázorněno na obrázku níže.


    Pokud je povoleno SSO, podobnou operaci provede IdP.

    Při dalších přihlášeních po tomto kroku již uživatel nemusí provést krok 1, pokud není klient Jabber obnoven.

Možnost 2: Použití domény hlasových služeb

Díky tomuto přístupu může klient Jabber rozlišovat mezi doménou zákazníka zadanou uživatelem a doménou zjišťování služeb. Pokud je v instalačním programu doména hlasové služby nastavena na customer.amer.wxc-di.webex.com, může se uživatel přihlásit ke klientovi Jabber pomocí e-mailové adresy své společnosti. Jabber může i nadále zjišťovat služby na základě hodnoty nastavené v doméně hlasové služby. Tím se odstraní nutnost zadávat doménu hlasové služby při prvním přihlášení ke klientovi Jabber podle výše uvedené možnosti.

Pro Windows:

K vytvoření vlastních instalačních programů klienta Jabber, které mohou obsahovat doménu hlasové služby, lze použít nástroje, jako je Microsoft Orca. Uživatelé mohou být instruováni, aby používali tyto instalační programy pro klienta Jabber.

Pro Mac, iOS, Android:

K vytvoření vlastních instalačních programů klienta Jabber, které mohou obsahovat doménu hlasové služby, lze použít nástroje, jako je MDM.

Možnost 3: Použití konfigurační adresy URL

K nastavení parametrů klienta Jabber před prvním přihlášením (např. domény hlasových služeb) lze použít konfigurační adresu URL. Příklad konfigurační adresy URL: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Kliknutím na výše uvedený odkaz lze doménu hlasové služby nastavit v klientovi Jabber spuštěném na zařízeních Mac, Android nebo iOS.


Tato konfigurace není trvalá – uživatel by musel na odkaz kliknout znovu, pokud by byl klient Jabber obnoven.

Je třeba upozornit, že aplikace Webex nemá výše uvedený požadavek. Kontrolu domény provádí klient, ale doménu hlasové služby je možné zajistit v ovládacím centru. Když se aplikace Webex připojí ke službě Webex, získá doménu hlasových služeb a zaregistruje ji. Další informace o nastavení aplikace Webex pro volání v aplikaci naleznete v tématu Integrace aplikace Webex s vyhrazenou instancí pro volání v aplikaci.

Užitečný odkaz: Místní nasazení pro Cisco Jabber 14.0