Panoramica

Durante l'handshake TLS, Un client TLS standard verifica la validità del certificato del server TLS. Quando Jabber viene distribuito su Internet, questa impostazione potrebbe essere vulnerabile a un attacco "man-in-the-middle".

Durante l'accesso, se un hacker presenta un proprio server con un certificato TLS valido anziché l'Expressway previsto, Jabber potrebbe accettare il certificato a causa dell'assenza di controlli aggiuntivi che potrebbero determinare la connessione dell'utente a un sistema dannoso. Per evitare questo problema, Jabber aggiunge una fase di convalida aggiuntiva e verifica che il dominio immesso durante l'accesso corrisponda ai nomi alternativi del soggetto (SAN) nel certificato. Se corrisponde, Jabber tenta di connettersi a Expressway.

"Ogni voce SAN nel certificato deve essere firmata dall'autorità di certificazione (CA). Ciò significa che solo la società proprietaria del dominio può ricevere un certificato firmato da CA e che la CA convalida le voci SAN. Pertanto, diventa molto più difficile falsificare l'identità di Expressway."

In Istanza dedicata, Cisco gestisce i certificati per le applicazioni UC e quindi i certificati vengono firmati con il dominio fornito da Cisco, Ad esempio, customer.amer.wxc-di.webex.com. Tuttavia, per consentire a un utente finale di accedere al client Jabber con l'indirizzo e-mail del cliente, è possibile effettuare le seguenti opzioni:

Opzione 1 - Accesso iniziale dell'utente finale Jabber

L'accesso iniziale dell'utente finale Jabber è l'approccio più semplice e i passaggi vengono forniti in dettaglio:

  1. Immettere il dominio del servizio vocale fornito da Cisco, ad esempio, utente@cliente.amer.wxc-di.webex.com nella schermata di accesso iniziale di Jabber.

    Cisco condivide il dominio del servizio vocale cliente per ogni regione dopo l'attivazione del servizio Queste informazioni fanno parte del documento dei dettagli di accesso condiviso nello spazio dell'app Webex. Per ulteriori dettagli, vedi Attivazione servizio istanza dedicata.

  2. Immettere il nome utente o l'ID e-mail aziendale insieme alla password per l'autenticazione.

    Se SSO è abilitato, IdP esegue l'operazione simile.

    Gli accessi successivi non richiedono l'esecuzione della Fase 1, a meno che il client Jabber non venga reimpostato.

Opzione 2: Utilizzare il dominio del servizio vocale

Con questo approccio, il client Jabber può differenziare il dominio del cliente inserito dall'utente dal dominio di rilevamento del servizio. Nel programma di installazione, se il dominio del servizio vocale è impostato su customer.amer.wxc-di.webex.com, l'utente può accedere al client Jabber utilizzando l'indirizzo e-mail della propria società e Jabber può comunque eseguire il rilevamento del servizio in base al valore impostato nel dominio del servizio vocale. In questo modo viene rimossa la necessità di fornire il dominio del servizio vocale nell'accesso jabber iniziale in base all'opzione precedente.

Per le finestre:

È possibile utilizzare strumenti come Microsoft Orca per creare installatori Jabber personalizzati, che possono includere il dominio del servizio vocale. Agli utenti può essere richiesto di utilizzare questi installatori per il client Jabber.

Per MAC, iOS, Android:

È possibile utilizzare strumenti come MDM per creare installatori Jabber personalizzati che possono includere il dominio del servizio vocale.

Opzioni: Utilizzare l'URL di configurazione

L'URL di configurazione viene utilizzato per impostare i parametri di Jabber prima dell'accesso iniziale, ad esempio il dominio dei servizi vocali. Un esempio di URL di configurazione: ciscojabber://provisioning?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Facendo clic sul collegamento precedente, è possibile impostare il dominio del servizio vocale nel client Jabber in esecuzione su dispositivi MAC, Android o iOS.

Questa configurazione non è permanente; se il client Jabber viene reimpostato, l'utente deve fare nuovamente clic sul collegamento.

L'app Webex non dispone del requisito precedente; il client esegue il controllo del dominio ma è possibile eseguire il provisioning del dominio del servizio vocale in Control Hub. Quando l'app Webex si connette a Webex, riceve il dominio dei servizi vocali e registra lo stesso. Per ulteriori informazioni sull'impostazione di chiamata in app Webex, vedi Integrazione applicazione Webex con istanza dedicata per la chiamata in app.

Collegamento utile: Distribuzione locale per Cisco Jabber 14.0