Vue d'ensemble

Au cours de la liaison TLS, un client TLS standard vérifie la validité du certificat du serveur TLS. Toutefois, cette mise en œuvre pourrait potentiellement entraîner une attaque de type "man-in-the-middle", lorsque Jabber est déployé sur Internet. Lors de la connexion, si un pirate présente à Jabber son propre serveur avec un certificat TLS valide au lieu d'Expressway, alors Jabber en l'absence de contrôle supplémentaire, il accepte ce certificat, et l'utilisateur peut être connecté à un système malveillant. Pour éviter ce problème, Jabber effectue une étape de validation supplémentaire qui ne fait pas partie de la norme TLS. Il vérifie que le domaine saisi par l'utilisateur lors du processus de connexion correspond aux noms alternatifs de sujets (SAN) inclus dans le certificat. Uniquement s'il correspond, Jabber tente de se connecter à Expressway. Toute entrée SAN effectuée dans le certificat doit être signée par l'autorité de certification (CA), ce qui signifie que seule la société propriétaire du domaine pourra obtenir un certificat signé par une autorité de certification.

Tout SAN figurant dans le certificat est soumis à la validation de l'autorité de certification (CA), de sorte que seule l'entreprise propriétaire du domaine est en mesure d'obtenir un certificat signé par une autorité de certification. Cela rend beaucoup plus difficile le vol de l'identité Expressway.

Dans une instance dédiée, Cisco gère les certificats des applications UC et les certificats sont donc signés avec le domaine fourni par Cisco uniquement, par exemple, customer.amer.wxc-di.webex.com. Toutefois, pour qu'un utilisateur final puisse se connecter au client Jabber à l'adresse électronique du client, les options suivantes peuvent être obtenues :

Option 1 - Connexion initiale de l'utilisateur final à Jabber

Les utilisateurs peuvent être notifiés que pour leur connexion initiale au client Jabber, ils doivent utiliser le domaine du service vocal de Cisco user@customer.amer.wxc-di.webex.com dans l'écran initial suivi de leur nom d'utilisateur ou de l'adresse électronique et du mot de passe de la société dans l'écran suivant. Comme il s'agit de l'approche la plus simple, les étapes sont illustrées plus en détail :

  1. L'utilisateur doit saisir le domaine de service vocal fourni par Cisco, par exemple user@customer.amer.wxc-di.webex.com dans l'écran de connexion initial de l’Jabber, comme indiqué dans la figure ci-dessous.


    Le domaine du service vocal du client est partagé par Cisco pour chaque région lorsque l'activation du service est terminée. Ces informations font partie du document des informations d'accès partagé dans l'espace de l'application Webex. Pour plus d'informations, reportez-vous à service d'instance dédiée activation.

  2. L'utilisateur est invité à saisir le nom d'utilisateur ou l'ID de courrier électronique de la société ainsi que le mot de passe pour l'authentification, comme illustré dans la figure ci-dessous.


    Si la fonction SSO est activée, une opération similaire sera effectuée par l'IdP.

    La publication des connexions suivantes ne nécessite pas que l'utilisateur effectue l'étape 1, sauf si le client Jabber est réinitialisé.

Option 2 : utiliser le domaine du service vocal

Avec cette approche, le client Jabber peut différencier le domaine du client saisi par l'utilisateur et le domaine de découverte de service. Dans le programme d'installation, si le domaine du service vocal est défini comme customer.amer.wxc-di.webex.com, l'utilisateur peut se connecter au client Jabber à l'aide de l'adresse électronique de son entreprise et Jabber peut toujours effectuer la découverte de service en fonction de la valeur définie dans le domaine du service vocal. Cela élimine la nécessité de fournir un domaine de service vocal dans la connexion Jabber initiale, conformément à l'option ci-dessus.

Pour Windows :

Des outils tels que Microsoft Orca peuvent être utilisés pour créer des programmes d'installation Jabber personnalisés, qui peuvent inclure le domaine du service vocal. Les utilisateurs peuvent être invités à utiliser ces programmes d'installation pour le client Jabber.

Pour MAC, iOS, Android :

Des outils tels que MDM peuvent être utilisés pour créer des programmes d'installation Jabber personnalisés, qui peuvent inclure le domaine du service vocal.

Option 3 : utiliser l'URL de configuration

Une URL de configuration peut être utilisée pour définir des paramètres Jabber avant la connexion initiale, par exemple le domaine des services vocaux. Exemple d'URL de configuration : ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

En cliquant sur le lien ci-dessus, le domaine du service vocal peut être défini dans le client Jabber sur les périphériques tournant sous MAC, Android ou iOS.


Cette configuration n'est pas persistante, l'utilisateur devra cliquer à nouveau sur le lien si le client Jabber est réinitialisé.

Il convient de noter que l'application Webex n'est pas soumise à l'exigence ci-dessus ; le client effectue la vérification du domaine, mais il est possible de mettre à disposition le domaine du service vocal dans le Control Hub. Lorsque l'application Webex se connecte à Webex, elle récupère le domaine des services vocaux et enregistre celui-ci. Pour plus d'informations concernant la configuration des appels à l'intérieur de l'application Webex, voir Intégration de l'application Webex avec une instance dédiée pour les appels à l'intérieur de l'application.

Lien utile : Déploiement sur site de Cisco Jabber 14.0