Panoramica

Durante l'handshake TLS, un client TLS standard controlla la validità del certificato del server TLS. Tuttavia, questa implementazione potrebbe comportare un attacco "man-in-the-middle", quando Jabber viene distribuito su Internet. Durante l'accesso, se un hacker presenta a Jabber il proprio server con un certificato TLS valido in luogo di Expressway, in assenza di ulteriori controlli, Jabber accetta tale certificato e potrebbe stabilirsi una connessione a un sistema dannoso. Per evitare questo problema, Jabber esegue una fase di convalida aggiuntiva che non fa parte del TLS standard e controlla che il dominio immesso dall'utente durante il processo di accesso corrisponda ai nomi alternativi oggetto (SAN) inclusi nel certificato. Solo in caso di corrispondenza, Jabber tenta di connettersi a Expressway. Qualsiasi voce SAN nel certificato deve essere firmata dall'autorità di certificazione (CA), il che significa che solo la società proprietaria del dominio potrà ottenere un certificato firmato dall'autorità di certificazione.

Qualsiasi SAN immesso nel certificato è soggetto a convalida da parte dell'autorità di certificazione (CA), pertanto solo la società proprietaria del dominio è in grado di ottenere un certificato firmato dall'autorità di certificazione. Ciò rende molto più difficile il furto di identità Expressway.

In Istanza dedicata Cisco gestisce i certificati per le applicazioni UC e pertanto i certificati vengono firmati solo con il dominio fornito da Cisco, ad esempio customer.amer.wxc-di.webex.com. Tuttavia, affinché un utente finale possa accedere al client Jabber con l'indirizzo e-mail del cliente, sono disponibili le seguenti opzioni:

Opzione 1: accesso iniziale dell'utente finale di Jabber

È possibile che agli utenti venga comunicato che, per l'accesso iniziale al client Jabber, devono utilizzare il dominio del servizio vocale di Cisco user@customer.amer.wxc-di.webex.com nella schermata iniziale, seguito dal nome utente o dall'indirizzo e-mail e dalla password della società nella schermata successiva. Poiché questo approccio è il più semplice, i passaggi sono illustrati più dettagliatamente:

  1. L'utente deve immettere il dominio del servizio vocale fornito da Cisco, ad esempio user@customer.amer.wxc-di.webex.com, nella schermata di accesso iniziale di Jabber, come mostrato nella figura riportata di seguito.


    Il dominio del servizio vocale del cliente è condiviso da Cisco per ogni regione al termine dell'attivazione del servizio. Queste informazioni fanno parte del documento dei dettagli di accesso condiviso nello spazio dedicato all'app Webex. Per ulteriori informazioni, consultare Attivazione del servizio di istanze dedicate.

  2. All'utente viene richiesto di immettere il nome utente o l'ID e-mail della società, nonché la password per l'autenticazione, come mostrato nella figura riportata di seguito.


    Se la SSO è abilitato, un'operazione simile viene eseguita dall'IdP.

    Per gli accessi successivi l'utente non dovrà eseguire il passaggio 1, a meno che il client Jabber non venga reimpostato.

Opzione 2: uso del dominio del servizio vocale

Con questo approccio il client Jabber può distinguere tra il dominio del cliente immesso dall'utente e il dominio di rilevamento dei servizi. Nel programma di installazione, se il dominio del servizio vocale è impostato su customer.amer.wxc-di.webex.com, l'utente può accedere al client Jabber utilizzando l'indirizzo e-mail della società e Jabber può comunque effettuare il rilevamento dei servizi in base al valore impostato nel dominio del servizio vocale. In questo modo, non sarà necessario specificare il dominio del servizio vocale nell'accesso iniziale a Jabber, come indicato nell'opzione precedente.

Per Windows:

Strumenti come Microsoft Orca possono essere utilizzati per creare programmi di installazione di Jabber personalizzati, che possono includere il dominio del servizio vocale. È possibile richiedere agli utenti di utilizzare questi programmi di installazione per il client Jabber.

Per MAC, iOS, Android:

Strumenti come MDM possono essere utilizzati per creare programmi di installazione di Jabber personalizzati, che possono includere il dominio del servizio vocale.

Opzione 3: uso dell'URL di configurazione

È possibile utilizzare un URL di configurazione per impostare i parametri di Jabber prima dell'accesso iniziale, ad esempio il dominio del servizio vocale. Esempio di URL: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Se si fa clic sul collegamento precedente, il dominio del servizio vocale può essere impostato nel client Jabber in esecuzione su dispositivi MAC, Android o iOS.


Questa configurazione non è persistente: l'utente deve fare di nuovo clic sul collegamento se il client Jabber viene reimpostato.

Si noti che il requisito precedente non si applica all'app Webex; il client esegue il controllo del dominio, ma è possibile definire il dominio del servizio vocale in Control Hub. Quando l'app Webex si connette a Webex, ottiene e registra il dominio dei servizi vocali. Per ulteriori informazioni sulla configurazione delle chiamate in-app per l'app Webex, consultare Integrazione delle applicazioni Webex con istanza dedicata per le chiamate in-app.

Collegamento utile: Distribuzione in sede per Cisco Jabber 14.0