Интеграция на директорийни услуги чрез Webex Common Identity за специализиран инстанс

Общ преглед

Синхронизирайте потребители от облачна директория, като например Azure AD, с приложения за специализирани инстанции, като например Unified CM и Cisco Unity Connection, с услугата Cloud Directory Service. По време на синхронизацията системата импортира списък с потребители и свързани потребителски данни в Azure Active Directory (или подобна услуга Cloud Directory), който се синхронизира с услугата Webex Identity. Изберете клъстера Unified CM от Control Hub за синхронизация, изберете подходящото съпоставяне на полето за потребителски идентификатор на Unified CM и след това изберете необходимото споразумение за синхронизация, за да завършите синхронизацията.

Предварителни изисквания

Ако използвате Azure Active Directory като ваша облачна директория, вижте Настройване на приложението Azure AD Wizard в Control Hub за повече информация.
Ако използвате Microsoft Active Directory като ваша директория, вижте Deploy Directory Connector за повече информация.
Бележки за версията на Directory Connector
Уверете се, че съществуващите системи на Active Directory, интегрирани с Unified CM, са интегрирани и с Webex Common Identity.

Преглед на подробности за клъстера

На страницата „Управление“ в Control Hub изберете клъстер, с който искате да синхронизирате потребителските данни.

Така избраното предоставя също подробности за клъстера, като име на клъстера, състояние на синхронизацията на клъстера, последен статус на синхронизиране и свързания продукт.

Подробности за клъстера	Описание
Име на клъстер	Името на клъстера
Статус	Статус на синхронизирането
Последно синхронизиране	Дата на последното синхронизиране
Продукт	Подробности за продукта

Синхронизиране на указатели

В зависимост от вашите изисквания, можете да синхронизирате потребители от локалната Active Directory към Control Hub, използвайки Directory Connector, или директно от Azure Directory към Control Hub и след това да ги синхронизирате с Unified CM.

Извършете едно от следните неща:

За да синхронизирате директно потребители от Azure Directory към Control Hub, следвайте процедурата Синхронизиране на потребители от Azure Directory.
За да синхронизирате потребители от локалната Active Directory към Control Hub, използвайки Directory Connector, следвайте процедурата Синхронизиране на потребители от локалната Active Directory.

Извършвайте синхронизация извън работно време, за да намалите влиянието ѝ върху услугите за обаждания.

Синхронизиране на потребители от Azure Directory

Синхронизирането на услугата за директории на специални екземпляри ви позволява да импортирате данни за крайни потребители от директорията на Azure в базата данни на Unified CM, така че те да се показват в прозореца за конфигурация на крайния потребител.

За да синхронизирате потребители от Azure Directory:

Трябва да синхронизирате потребителите на Azure Active Directory в Control Hub.
Следвайте процедурата Конфигуриране на синхронизация на директории, за да синхронизирате потребителите в Control Hub с Cisco Unified CM.

Синхронизиране на потребители от локална Active Directory

Потребителите от локален Active Directory могат да бъдат синхронизирани с Common Identity (CI) с помощта на Directory Connector.

Само внедряване на SSO се поддържа за услугата на директорията. Вижте Интеграция на единично влизане в Control Hub и Решение за единично влизане, базирано на SAML за повече информация.

За да синхронизирате потребители от локален Active Directory:

Синхронизирайте потребителите на Active Directory с Common Identity (CI), използвайки Directory Connector. Можете да изтеглите софтуера за конектори от Control Hub и да го инсталирате на локалната си машина. Вижте Ръководство за внедряване на Directory Connector за повече информация.
Следвайте процедурата в Конфигуриране на синхронизация на директории синхронизирайте потребителите в Control Hub към Unified CM.

Конфигуриране на синхронизирането на указатели

Понякога може да изпитате допълнителни забавяния при осигуряване на клъстер. При такива сценарии осигуряването все пак ще се случи, но това действие изисква значително време.

Влезте в Control Hub на https://admin.webex.com/login.
Отидете в Услуги > Повиквания > Специализиран екземпляр > Управление.
Изберете приложението UC и щракнете върху Настройка под Активиране на синхронизиране с указател в панела отдясно.
В прозореца за конфигуриране на съпоставяне на полета се уверете, че избраното съпоставяне за полето за ИД на потребител в Unified CM идентифицира уникално потребителя в клъстера, след като започнете осигуряването.

Изберете подходящото съпоставяне за полето за ИД на потребител в Unified CM за синхронизиране на потребителя от Webex:

Полето за потребителски идентификатор в Unified CM съпоставя се с имейл идентификатора на потребителя в Webex.
Полето за имейл идентификатор в Unified CM съответства на имейл идентификатора на потребителя в Webex.
Полето за потребителски идентификатор в Unified CM съответства на частта с имейл идентификатора без домейн на потребителя в Webex.

Създава се нов потребителски акаунт, ако съпоставянето не може да се извърши успешно за съществуващ потребителски акаунт в Unified CM. Имейл адресът на потребителя се използва като уникален идентификатор за новосъздадения потребителски акаунт. Тази бележка е приложима за опции 1 и 2.

Опции

Unified CM

Control Hub

Опция 1

Полето за потребителски идентификатор в Unified CM се съпоставя с имейл идентификатора на потребителя в Webex

Вариант 2

Полето за имейл идентификатор в Unified CM се съпоставя с имейл идентификатора на потребителя в Webex

Вариант 3

Полето за потребителски идентификатор в Unified CM се съпоставя с имейл идентификатор без домейн като част от потребителя в Webex

Щракнете върху Напред.
Изберете споразумение от падащия списък за създаване на ново споразумение за синхронизация. След като бъде създадено новото споразумение за синхронизация, всички съществуващи споразумения за синхронизация, сочещи към локалната директория, се изтриват. Можете да промените новото споразумение за синхронизация, след като бъде създадено.
В раздела за предварителен преглед на споразумението прегледайте списъка с потребители и данните за контакт (подробностите от съществуващ външен LDAP указател, налични в Unified Communications Manager), преди да започнете синхронизирането. Можете да видите следните подробни данни:
- Информация за групата
  
  По подразбиране всички потребители са синхронизирани с потребителски ранг 5. Това може да се провери в прозореца с информация за групата.
- Приложен шаблон за група функции с универсални шаблони за линии и устройства
- Подробности за линия и маска за синхронизирани телефонни номера за въведени потребители
- Новоосигурени потребители и техните вътрешни номера
- Раздел „Стандартни потребителски полета за синхронизиране“.
- Име на хост или IP адрес на справочния сървър
Щракнете върху Напред, за да изберете груповия филтър.

Разделът „Информация за групата“ не е приложим за Cisco Unity Connection и следователно не се вижда в раздела „Преглед на споразумението“.
В падащия списък Избор на групи изберете една или повече конкретни групи, които искате да синхронизирате. Щракнете върху квадратчето Избор на всички групи, ако искате да изберете всички групи потребители.

По подразбиране се синхронизират всички потребители. Ако не изберете нито една група, всички потребители и съответните потребителски данни ще бъдат синхронизирани автоматично.

За йерархични групи в указател потребителите трябва да изберат подмножеството на групата потребители специално по време на осигуряването, тъй като те не са включени по подразбиране в родителската група. Трябва да проверите за повтарящи се вложения (ако има такива), за да се уверите, че по време на осигуряването са включени само необходимите потребители.

Евентуални модификации на споразумението за синхронизиране, например премахване на целеви потребител или група, няма да се разпространят при периодично синхронизиране. Необходимо е да се нулира услугата на директорията за този клъстер и след това да се предостави повторно на клъстера ново или променено споразумение за синхронизация. Свържете се с поддръжката на Cisco TAC, за да нулирате справочната услуга за необходимия клъстер.
Щракнете върху Напред, за да подготвите процеса на синхронизиране.
В прозореца Активиране на синхронизацията активирайте синхронизацията, след като системата успешно копира потребителските данни във временно пространство за съхранение в Unified CM и бъде създадено ново споразумение за синхронизация (след стъпки 1 и 2, както е показано на следващата екранна снимка).
Опцията Изтегляне на отчет ви позволява да видите частично резултатите. За да извлечете пълните отчети за клъстера на Unified CM, изпълнете следната CLI команда: file get activelog /cm/trace/CIService/log4j/DryRunResults.csv

В случай че нямате достъп, свържете се с поддръжката на Cisco TAC, за да изтеглите отчета.

Тук резултатът от пробното изпълнение показва следното:
- Нови потребители— Потребителите не са налични в Unified CM, но са налични в Webex Identity Service. Потребителите се създават в Unified CM след активиране на синхронизирането.
- Съвпадащи потребители— Потребителите са налични в Unified CM и Webex Identity Service. Тези потребители ще продължат да са активни в Unified CM след завършване на синхронизирането.
- Несъответстващи потребители— Потребителите са налични в Unified CM и Webex Identity Service. Несъответстващите потребители се маркират като неактивни в Unified CM след завършване на синхронизацията и ще бъдат изтрити в кошчето след 24 часа неактивност.
Можете да проверите отчета и да решите дали искате да запазите същия списък с потребители и да добавите или изтриете потребители. Въз основа на решението щракнете върху Изоставяне, за да спрете процеса и да върнете обратно промените в осигуряването.
След проверката на споразумението за синхронизация, щракнете върху Преглед в Unified CM, за да влезете в инфраструктурата си и да промените новосъздаденото споразумение за синхронизация.

Можете да редактирате само информацията за групата. Не можете да преименувате споразумението или да промените подробности.
Щракнете върху Разрешаване на синхронизацията, за да продължите със синхронизирането.

По време на синхронизирането няма да можете да извършвате никакви действия, докато не е приключило. След като синхронизирането приключи за конкретен клъстер, страницата на справочната услуга изброява този клъстер със състояние „Осигурен“. На този етап успешно сте упълномощили Azure AD да осигурява и синхронизира потребителите на Webex в UC инфраструктурата и сте изпълнили стъпките за настройка на синхронизирането.

Трябва да активирате синхронизацията в рамките на 18 часа от момента на създаване на новото споразумение. Синхронизираните потребители в LDAP стават неактивни и се премахват след 24 часа неактивност. Потребителите няма да могат да влизат и да използват услугите на Unified CM.

След като осигуряването с Azure AD е завършено за определен клъстер, не можете да създавате нови споразумения за синхронизиране, нито да променяте каквито и да било настройки за конфигурацията на същия клъстер, освен настройките за групата. Свържете се с поддръжката на Cisco TAC, за да нулирате справочната услуга. След това можете да създадете ново споразумение за осигуряване.

Ако използвате Azure IdP по време на SSO удостоверяване след успешно осигуряване, уверете се, че сте конфигурирали правилните заявки в Azure IdP. Например, по време на осигуряване, ако е избрана опция 1 за съпоставяне на потребителския идентификатор, уверете се, че user.userprincipalname е зададено като UID в секцията Допълнителни заявки.

Периодична синхронизация

След като клъстерът е успешно осигурен, ежедневно се изпълнява периодична синхронизация, която се грижи за синхронизирането на всякакви промени в потребителските данни от Webex Common Identity към Unified CM и Cisco Unity Connection. Вашата намеса не е необходима за периодична синхронизация. Можете обаче да проверите дали е имало периодична синхронизация за деня, като наблюдавате колоната Последна синхронизация в на страницата с подробности за клъстера в контролния център. Времевият печат се актуализира, за да отразява времето, в което се е случило периодичното синхронизиране за клъстера.

Unified CM

Връзка към единица на Cisco

LDAP директория в Unified CM или Cisco Unity Connection

Процесът на синхронизация създава LDAP директория по подразбиране.

Въпреки че настройките показват еднократна синхронизация, Control Hub синхронизира на 24-часов цикъл, променяйки Common Identity към Unified CM или Cisco Unity Connection.

Преглед на състоянието на синхронизацията

Вижте статуса на синхронизиране в колоната за статус на синхронизиране на указателя. Щракнете върху приложението UC, за да отворите десния панел, който показва статуса на осигуряване, последното състояние на синхронизиране и причината за евентуалния неуспех, ако е така. Можете също да изберете локалната часова зона. Избрана е часовата зона на браузъра по подразбиране.

Статус на осигуряване

Статус на осигуряване	Описание
Обработване	Осигуряването е в ход
Изисква се действие	Предприемете необходимите стъпки, ако е необходима ръчна намеса за определен клъстер. Ако искате да продължите или да изоставите синхронизирането след пробна работа. След като бъде създадено новото споразумение, проверете за известия и предприемете необходимите действия, според изискванията.
Грешка	Ако се изискват някакви действия в съветника за Разрешаване на синхронизацията, проверете ги и, ако е необходимо, предприемете необходимите действия.
Активен	Осигуряването на клъстера е завършено.
Не е осигурено	Осигуряването на клъстера още не е започнало.

Импортиране на потребители за връзка за единство

Можете да импортирате потребители на Azure AD ръчно от „Импортиране на потребители“ в Cisco Unity Connection, след като осигуряването на клъстера е направено от Control Hub.

Двата начина за импортиране на потребители са както следва:

Създаване на потребители на Unity Connection от данни от LDAP директорията с помощта на инструмента за импортиране на потребители

В администрирането на Cisco Unity Connection разгънете Потребители и изберете Импортиране на потребители.

На страницата „Импортиране на потребители“ импортирайте потребителските акаунти от LDAP указателя, за да създадете потребители в Unity Connection.

Изберете LDAP директория в полето Намиране на крайни потребители в.
Изберете шаблона, на който е базиран новият потребител.
Укажете псевдоним, собствено име или фамилия на потребителските акаунти в LDAP указателя, които искате да импортирате.
Поставете отметка в квадратчетата срещу потребителските акаунти, които искате да импортирате, и изберете Импортиране на избраното.

Създаване на потребители на Unity Connection от данни от LDAP директорията с помощта на инструмента за групово администриране

В администрирането на Cisco Unity Connection разгънете Инструменти и изберете Инструмент за групово администриране.

За да добавите потребители на Unity Connection, изпълнете следните стъпки на страницата на инструмента за групово администриране:

От „Изберете операция“ изберете Експортиране.
От „Изберете тип на обекта“ изберете Потребители от LDAP указател.
Въведете стойностите във всички задължителни полета.
Изберете Изпрати.

Това създава CSV файл с данни за потребителите в LDAP указателя. Отворете CSV файла в приложение за електронни таблици или в текстов редактор и редактирайте данните според необходимостта. Сега импортирайте данните от CSV файла.
От „Изберете операция“ изберете Създаване.
От „Изберете тип на обекта“ изберете Потребители с пощенска кутия.
Въведете стойностите във всички задължителни полета.
Изберете Изпрати.

Когато импортирането завърши, прегледайте файла, който сте посочили в полето Име на файла с неуспешни обекти, за да проверите дали всички потребители са създадени успешно.

Отстраняване на проблеми със синхронизацията

Този раздел дава необходимата информация и решения за решаване на някои от често срещаните проблеми, с които може да се сблъскате по време на различните етапи на синхронизирането на потребители от Control Hub в базата данни на Unified Communications Manager.

Несъответстващи потребители

Активирайте синхронизацията в рамките на 18 часа след създаването на новото споразумение. Съществуващите потребители се маркират като неактивни и се изтриват от Unified CM след 24 часа неактивност.

Грешка – неуспешно копиране на данни. Моля, опитайте отново

Комуникацията между специализирания екземпляр и облака на Webex е нарушена или не могат да се извлекат данни за потребители от облака на Webex.
Комуникацията между специализирания екземпляр и Unified CM е нарушена или не могат да се прехвърлят данни за потребители в базата данни на Unified CM.
Данните за потребителите не се копират в мястото за временно съхранение.

Грешка – неуспешно създаване на споразумение за синхронизиране. Моля, опитайте отново

Комуникацията между специализирания екземпляр и Unified CM е нарушена или не могат да се прехвърлят данните от специализирания екземпляр в базата данни на Unified CM.
Споразумението за синхронизация не беше създадено успешно.

Неуспешно получаване на подробните данни за споразумението за синхронизиране. Опитайте след известно време.

Комуникацията между специализирания екземпляр и Unified CM е прекъсната.

Известни проблеми и ограничения

Ако имате проблем с тази функция, проверете дали това е нещо, за което вече знаем, и дали има препоръчително заобиколно решение.

Webex Calling - Осигуряването на услуга за директории на специализирани екземпляри не работи с LDAP удостоверяване, тъй като се синхронизират само потребителските данни, а не паролите за Unified CM сървъра и следователно LDAP удостоверяването не работи.

Заобиколно решение: За влизания трябва да се използва еднократно влизане (SSO). Този документ обхваща само интеграцията с еднократна идентификация (SSO).

Конфигурирайте еднократно влизане (SSO), ако искате потребителите ви да се удостоверяват чрез своя доставчик на корпоративна идентификация. Вижте Интеграция на единично влизане в Control Hub и Решение за единично влизане, базирано на SAML за повече информация.
Свържете се с поддръжката на Cisco TAC, за да деактивирате справочната услуга. Изчакайте минута и след това стартирайте отново настройката на услугата Directory.
След изтриването, в случай че искате отново да включите същия Unified CM клъстер в организацията, първо трябва да деактивирате услугата Directory и след това да предоставите отново същия клъстер.

Свържете се с поддръжката на Cisco TAC, за да деактивирате справочната услуга.
На страницата със споразумението за синхронизиране полетата Извършвай синхронизиране всеки и Следващо време за повторно синхронизиране се показват активни. Но тези полета са сиви в сървъра на Unified CM, когато е активирана опцията Синхронизирай само веднъж. В момента това е ограничение във функцията за осигуряване на Webex Calling - Dedicated Instance Directory Service, което ще бъде коригирано в предстоящото издание.
Потребителите, които са изтрити в портала на Azure, стават неактивни в услугата за самоличност Webex, но изглеждат активни в Unified CM.

Заобиколно решение: Отидете на Управление > Потребители и изтрийте потребителя от Control Hub. Потребителят е маркиран като Неактивен в Unified CM.
При осигуряване на нови клъстери за по-големи организации (с повече от 80 000 потребители), в момента ще се наблюдава изтичане на времето за изчакване. Този проблем скоро ще бъде решен.
По време на осигуряването, когато щракнете върху бутоните „Изоставяне“, „Продължаване“и „Разрешаване на синхронизация “ на страницата „Разрешаване на синхронизация“, състоянието на клъстера не се променя веднага в потребителския интерфейс. Това ограничение е подвеждащо, тъй като действията се извършват в сървъра.

Заобиколно решение: Избягвайте да кликвате върху бутоните два пъти и проверете състоянието на клъстера след няколко секунди. Ще видите, че състоянието на клъстера се променя от Необходимо действие на Обработва се. На този проблем скоро ще бъде обърнато внимание.
В момента функционалността „Разрешаване на синхронизация“ спира да реагира, когато мрежата на Unified Communications Manager не работи.

Заобиколно решение: Свържете се с поддръжката на Cisco TAC, за да деактивирате справочната услуга. Изчакайте минута и след това стартирайте отново настройката на услугата Directory. Този проблем ще бъде отстранен в предстоящата версия.
По време на осигуряването списъкът с подробности за групата не се попълва поради проблеми със синхронизирането с Webex Common Identity Service. Препоръчва се на потребителите да прекратят осигуряването и да опитат отново след известно време.
Ако конфигурирате синхронизирането на директории отново в осигурен клъстер, препоръчително е да включите в процеса бизнес звеното Webex Calling - Dedicated Instance.

Благодарим за обратната връзка.