Panoramica

Un client TLS standard verifica la validità del certificato del server TLS durante l'handshake TLS. Tuttavia, questa impostazione potrebbe essere vulnerabile a un attacco "man-in-the-middle", quando Jabber viene distribuito su Internet. Durante l'accesso, se un hacker presenta Jabber con il proprio server con un certificato TLS valido anziché l'expressway, Jabber in assenza di ulteriore controllo accetta tale certificato e l'utente può essere connesso a un sistema dannoso. Per evitare questo problema, Jabber esegue un'ulteriore fase di convalida che non fa parte del TLS standard; verifica che il dominio immesso durante il processo di accesso dall'utente corrisponda ai nomi alternativi del soggetto (SAN) inclusi nel certificato. Solo se corrisponde, Jabber tenta di connettersi a Expressway. Qualsiasi voce SAN inserita nel certificato richiede la firma da parte dell'autorità di certificazione (CA), il che significa che solo la società che possiede il dominio potrà ottenere un certificato firmato da CA.

Qualsiasi SAN inserito nel certificato è soggetto a convalida da parte dell'autorità di certificazione (CA), pertanto solo la società che possiede il dominio è in grado di ottenere un certificato firmato da CA. Rende molto più difficile rubare l'identità di Expressway.

In Istanza dedicata, Cisco gestisce i certificati per le applicazioni UC e quindi i certificati vengono firmati solo con il dominio fornito da Cisco, ad esempio customer.amer.wxc-di.webex.com. Tuttavia, per consentire a un utente finale di accedere al client Jabber con l'indirizzo e-mail del cliente, è possibile effettuare le seguenti opzioni:

Opzione 1 - Accesso iniziale dell'utente finale Jabber

L'accesso iniziale all'utente finale di Jabber è l'approccio più semplice e i passaggi vengono forniti in dettaglio:

  1. Immettere il dominio del servizio vocale fornito da Cisco, ad esempio, utente@cliente.amer.wxc-di.webex.com nella schermata di accesso iniziale di Jabber.


     

    Cisco condivide il dominio del servizio vocale cliente per ogni regione dopo l'attivazione del servizio Queste informazioni fanno parte del documento dei dettagli di accesso condiviso nello spazio dell'app Webex. Per ulteriori dettagli, vedi Attivazione servizio istanza dedicata.

  2. Immettere il nome utente o l'ID e-mail aziendale insieme alla password per l'autenticazione.


     

    Se SSO è abilitato, IdP esegue l'operazione simile.


     
    Gli accessi successivi non richiedono l'esecuzione della Fase 1, a meno che il client Jabber non venga reimpostato.

Opzione 2: Utilizzare il dominio del servizio vocale

Con questo approccio, il client Jabber può differenziare il dominio del cliente inserito dall'utente dal dominio di rilevamento del servizio. Nel programma di installazione, se il dominio del servizio vocale è impostato su customer.amer.wxc-di.webex.com, l'utente può accedere al client Jabber utilizzando l'indirizzo e-mail della propria società e Jabber può comunque eseguire il rilevamento del servizio in base al valore impostato nel dominio del servizio vocale. In questo modo viene rimossa la necessità di fornire il dominio del servizio vocale nell'accesso jabber iniziale in base all'opzione precedente.

Per Windows:

È possibile utilizzare strumenti come Microsoft Orca per creare installatori Jabber personalizzati, che possono includere il dominio del servizio vocale. Agli utenti può essere richiesto di utilizzare questi installatori per il client Jabber.

Per MAC, iOS, Android:

È possibile utilizzare strumenti come MDM per creare installatori Jabber personalizzati che possono includere il dominio del servizio vocale.

Opzione 3: Utilizzare l'URL di configurazione

L'URL di configurazione viene utilizzato per impostare i parametri di Jabber prima dell'accesso iniziale, ad esempio il dominio dei servizi vocali. Un esempio di URL di configurazione: ciscojabber://provisioning?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Facendo clic sul collegamento precedente, è possibile impostare il dominio del servizio vocale nel client Jabber in esecuzione su dispositivi MAC, Android o iOS.


 

Questa configurazione non è permanente; se il client Jabber viene reimpostato, l'utente deve fare nuovamente clic sul collegamento.

L'app Webex non dispone del requisito precedente; il client esegue il controllo del dominio ma è possibile eseguire il provisioning del dominio del servizio vocale in Control Hub. Quando l'app Webex si connette a Webex, riceve il dominio dei servizi vocali e registra lo stesso. Per ulteriori informazioni sull'impostazione di chiamata in app Webex, vedi Integrazione applicazione Webex con istanza dedicata per la chiamata in app.

Collegamento utile: Distribuzione locale per Cisco Jabber 14.0