Você pode usar seu próprio domínio no cliente Jabber para fazer login. É necessário entender como a autenticação do cliente Jabber funciona e por que os certificados são verificados em busca de entradas de SAN específicas.
Visão geral
Durante o handshake de TLS, um cliente TLS padrão verifica a validade do certificado do servidor TLS. No entanto, essa implementação pode trazer o ataque "man-in-the-middle", quando o Jabber é implantado pela Internet. Durante o login, se um hacker apresentar ao Jabber seu próprio servidor com um certificado TLS válido, em vez do expressway, na ausência de controle adicional, o Jabber aceitará esse certificado e o usuário poderá ser conectado a um sistema mal-intencionado. Para evitar esse problema, o Jabber executa uma etapa de validação adicional que não faz parte do TLS padrão. Ele verifica se o domínio inserido durante o processo de login pelo usuário corresponde aos nomes alternativos do assunto (SAN) incluídos no certificado. Somente se ele corresponder, o Jabber tentará se conectar ao Expressway. Qualquer entrada de SAN feita no certificado precisa ser assinada pela autoridade de certificação (CA), o que significa que apenas a empresa que possui o domínio poderá obter um certificado assinado por CA.
Qualquer SAN inserido no certificado está sujeito à validação da autoridade de certificação (CA), de modo que apenas a empresa que possui o domínio pode obter um certificado assinado por CA. Isso torna muito mais difícil roubar a identidade do Expressway.
Na instância dedicada, a Cisco gerencia os certificados para os aplicativos UC e, portanto, os certificados são assinados apenas com o domínio fornecido pela Cisco, por exemplo, customer.amer.wxc-di.webex.com. No entanto, para que um usuário final faça login no cliente Jabber com o endereço de e-mail do cliente, ele tem as seguintes opções:
Opção 1-logon inicial do usuário final do Jabber
Os usuários podem ser informados que, para o login inicial no cliente Jabber, eles precisam usar o domínio de serviço de voz da Cisco user@customer.amer.wxc-di.webex.com na tela inicial seguido por seu nome de usuário ou endereço de e-mail e senha da empresa na próxima tela. Como essa é a abordagem mais simples, as etapas são ilustradas mais detalhadamente:
-
O usuário precisa inserir o domínio de serviço de voz fornecido pela Cisco, por exemplo, user@customer.amer.wxc-di.webex.com na tela inicial de login do Jabber, conforme mostrado na figura abaixo.
O domínio do serviço de voz do cliente é compartilhado pela Cisco para cada região quando a ativação do serviço é concluída. Essas informações fazem parte do documento de detalhes do acesso compartilhado no espaço do aplicativo Webex. Para obter mais detalhes, consulte Ativação de serviço de instância dedicada.
-
O usuário precisa inserir o nome de usuário ou o ID de e-mail da empresa junto com a senha para autenticação, conforme mostrado na figura abaixo.
Se SSO estiver ativado, a operação semelhante será executada pelo IdP.
Logins subsequentes não exigem que o usuário execute a Etapa 1, a menos que o cliente Jabber seja redefinido.
Opção 2: usar o domínio do serviço de voz
Com essa abordagem, o cliente Jabber pode diferenciar entre o domínio do cliente inserido pelo usuário e o domínio de descoberta de serviços. No instalador, se o domínio do serviço de voz estiver configurado para customer.amer.wxc-di.webex.com, o usuário poderá fazer login no cliente Jabber usando o endereço de e-mail da empresa e o Jabber ainda poderá fazer a descoberta de serviço com base no valor definido no domínio do serviço de voz. Isso eliminará a necessidade de fornecer um domínio de serviço de voz no login do Jabber inicial, conforme a opção acima.
Para Windows:
Ferramentas como o Microsoft Orca podem ser usadas para criar instaladores do Jabber personalizados, que podem incluir o domínio do serviço de voz. Os usuários podem ser instruídos a usar esses instaladores para o cliente Jabber.
Para MAC, iOS e Android:
Ferramentas como o MDM podem ser usadas para criar instaladores do Jabber personalizados, que podem incluir o domínio do serviço de voz.
Opção 3: usar a URL de configuração
Um URL de configuração pode ser usado para definir parâmetros do Jabber antes do login inicial, como o domínio de serviços de voz. Um exemplo de um URL de configuração: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com
Ao clicar no link acima, o domínio do serviço de voz pode ser definido no cliente Jabber executado em dispositivos MAC, Android ou iOS.
Essa configuração não é persistente, o usuário precisaria clicar no link novamente se o cliente Jabber fosse redefinido. Vale a pena observar que o aplicativo Webex não tem o requisito acima; o cliente executa a verificação de domínio, mas é possível provisionar o domínio do serviço de voz no Control Hub. Quando o aplicativo Webex se conecta ao Webex, ele obtém o domínio de serviços de voz e registra o mesmo. Para obter mais informações sobre a configuração de chamada do aplicativo Webex no aplicativo, consulte Integração do aplicativo Webex com uma instância dedicada para chamada no aplicativo. |
Link útil: Implantação local para Cisco Jabber 14.0