概要

TLS ハンドシェイク中に、標準 TLS クライアントは TLS サーバ証明書の有効性を確認します。 ただし、この方法では、インターネットを介した Jabber の導入時に「中間者攻撃」が発生する可能性があります。 ログイン中に、ハッカーが Expressway ではなく有効な TLS 証明書を使用して Jabber にハッカー自身のサーバを提示した場合、Jabber はそれ以降の制御を失い、その証明書を受け入れるため、ユーザは悪意のあるシステムに接続してしまう可能性があります。 この問題を回避するために、Jabber は標準 TLS の一部ではない追加の検証手順を実行し、ユーザがログインプロセス中に入力したドメインが、証明書に含まれているサブジェクト代替名 (SAN) と一致することを確認します。 一致する場合にのみ、Jabber は Expressway への接続を試みます。 証明書の SAN エントリには、認証局 (CA) による署名が必要です。つまり、ドメインを所有する企業のみが、CA によって署名された証明書を取得できます。

証明書に入力された SAN は認証局 (CA) によって検証されるため、ドメインを所有する企業のみが CA で署名された証明書を取得できます。 これにより、Expressway の ID を盗むことは非常に困難になります。

Cisco は専用インスタンス内で UC アプリケーションの証明書を管理するため、証明書は Cisco が提供するドメイン (customer.amer.wxc-di.webex.com など) によってのみ署名されます。 ただし、エンドユーザが顧客の電子メールアドレスを使用して Jabber クライアントにログインする場合は、次のオプションを使用します。

オプション 1: Jabber へのエンドユーザの初回のログイン

Jabber クライアントへの初回のログイン時に、最初の画面で Cisco の音声サービスドメイン user@customer.amer.wxc-di.webex.com を使用し、次の画面でユーザ名または会社の電子メールアドレスとパスワードを入力する必要があることをユーザに通知できます。 この最も簡単な方法の手順は、次のとおりです。

  1. ユーザは、次の図に示すように、Jabber の最初のログイン画面で Cisco が提供する音声サービスドメイン (user@customer.amer.wxc-di.webex.com など) を入力する必要があります。


    サービスのアクティベーションが完了すると、Cisco はすべての地域で顧客の音声サービスドメインを共有します。 この情報は、Webex アプリのスペースで共有されるアクセスの詳細ドキュメントの一部を構成します。 詳細については、「専用インスタンスをアクティベートする方法」を参照してください。

  2. ユーザは、次の図に示すように、認証用にユーザ名または会社の電子メール ID とパスワードを入力するよう求められます。


    SSO が有効になっている場合、IdP によって同様の操作が実行されます。

    これ以降のログインでは、Jabber クライアントがリセットされない限り、ユーザは手順 1 を実行する必要はありません。

オプション 2: 音声サービスドメインを使用する

この方法により、Jabber クライアントは、ユーザが入力した顧客のドメインとサービスディスカバリ ドメインを区別することができます。 インストーラで、音声サービスドメインが customer.amer.wxc-di.webex.com に設定されている場合、ユーザは会社の電子メールアドレスを使用して Jabber クライアントにログインすることができ、Jabber は音声サービスドメインに設定されている値に基づいてサービスディスカバリを実行できます。 これにより、上記のオプションのように、Jabber への初回のログイン時に音声サービスドメインを提供する必要がなくなります。

Windows の場合:

Microsoft Orca などのツールを使用してカスタム Jabber インストーラを作成し、そのインストーラに音声サービスドメインを組み込むことができます。 このようなインストーラを Jabber クライアントとして使用するようユーザに指示することができます。

MAC、iOS、Android の場合:

MDM などのツールを使用してカスタム Jabber インストーラを作成し、そのインストーラに音声サービスドメインを組み込むことができます。

オプション 3: 構成 URL を使用する

構成 URL を使用して、初回のログインの前に Jabber のパラメータ (音声サービスドメインなど) を設定できます。 構成 URL の例: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

上記のリンクをクリックすると、MAC、Android、iOS デバイス上で実行されている Jabber クライアントに音声サービスドメインを設定できます。


これは永続的な構成ではないため、Jabber クライアントがリセットされた場合、ユーザはもう一度リンクをクリックする必要があります。

Webex アプリには上記の要件がありません。クライアントはドメインチェックを実行しますが、制御ハブで音声サービスドメインを提供することもできます。 Webex アプリは、Webex に接続すると、音声サービスドメインを取得して同じように登録されます。 Webex アプリのアプリ内通話のセットアップの詳細については、「アプリ内通話の専用インスタンスと Webex アプリケーションのインテグレーション」を参照してください。

役立つリンク: Cisco Jabber 14.0 オンプレミス展開ガイド