- Startseite
- /
- Artikel
Verzeichnisdienstintegration über Webex Common Identity für dedizierte Instanz
Synchronisieren Sie Benutzer aus einem Cloud-Verzeichnis (Microsoft Azure AD) oder einem lokalen Verzeichnis (MS AD) mit Clustern der dedizierten Instanz (Unified CM und Cisco Unity Connection) über den Webex Common Identity-Dienst über die Control Hub-Oberfläche.
Übersicht
Synchronisieren Sie Benutzer aus Cloud-basierten Verzeichnissen wie Azure AD mit Anwendungen der dedizierten Instanz wie Unified CM und Cisco Unity Connection mit dem Cloud-Verzeichnisdienst. Während der Synchronisierung importiert das System eine Liste der Benutzer und die zugehörigen Benutzerdaten aus dem Azure Active Directory (oder einem ähnlichen Cloud-Verzeichnisdienst), das mit dem Webex-Identitätsdienst synchronisiert wird. Sie müssen in Control Hub den Unified CM-Cluster auswählen, der synchronisiert werden soll, dann die entsprechende Unified CM-Benutzer-ID-Feldzuordnung auswählen und schließlich die erforderliche Synchronisierungsvereinbarung auswählen, um die Synchronisierung durchzuführen.
Voraussetzungen
-
Wenn Sie Azure Active Directory als Cloud-Verzeichnis verwenden, finden Sie unter Azure AD Wizard-App in Control Hub einrichten weitere Informationen.
-
Wenn Sie Microsoft Active Directory als Verzeichnis verwenden, finden Sie unter Bereitstellen des Verzeichniskonnektor s weitere Informationen.
-
Wenn Unified CM bereits in vorhandene Active Directory-Systeme integriert ist, stellen Sie sicher, dass diese Active Directories in Webex Common Identity integriert sind.
Benutzerdetails einsehen
Wählen Sie auf der Seite „Verwalten“ in Control Hub einen Cluster aus, mit dem Sie die Benutzerdaten synchronisieren möchten.
Diese Auswahl liefert auch die Cluster-Details wie den Namen des Clusters, den Status der Cluster-Synchronisierung, das Datum der letzten Synchronisierung und das zugehörige Produkt.
Cluster-Details |
Beschreibung |
---|---|
Cluster-Name |
Name des Clusters |
Status |
Status der Synchronisierung |
Zuletzt synchronisiert |
Datum der letzten Synchronisierung |
Produkt |
Details zum Produkt |
Verzeichnissynchronisierung
Je nach Anforderung können Sie Benutzer entweder über Directory Connector aus dem lokalen Active Directory mit Control Hub synchronisieren oder direkt aus dem Azure-Verzeichnis mit Control Hub und anschließend mit Unified CM synchronisieren.
Führen Sie eine der folgenden Aktionen aus.
-
Um Benutzer aus Azure Directory direkt mit Control Hub zu synchronisieren, führen Sie die Schritte „Benutzer aus Azure Directory synchronisiere n “ aus.
-
Um Benutzer aus lokalem Active Directory mit Control Hub über Directory Connector zu synchronisieren, führen Sie die Schritte Benutzer aus lokalem Active Directory synchronisieren aus.
Benutzer aus Azure Active Directory synchronisieren
Mit der Synchronisierung des Verzeichnisdiensts der dedizierten Instanz können Sie Endbenutzerdaten aus dem Azure-Verzeichnis in die Unified CM-Datenbank importieren, sodass sie im Fenster „Endbenutzerkonfiguration“ angezeigt werden.
So synchronisieren Sie Benutzer aus Azure Active Directory:
-
Sie müssen die Benutzer aus Azure Active Directory mit Control Hub synchronisieren.
-
Befolgen Sie das Verfahren Verzeichnissynchronisierung konfigurieren , um Benutzer in Control Hub mit Cisco Unified CM zu synchronisieren.
Benutzer aus lokalem Active Directory synchronisieren
Benutzer aus einem lokalen Active Directory können über Directory Connector mit Common Identity (CI) synchronisiert werden.
Für den Verzeichnisdienst wird nur die SSO-Bereitstellung unterstützt. Weitere Informationen finden Sie unter Single Sign-On-Integration in Control Hub und SAML-basierte SSO-Lösung .
So synchronisieren Sie Benutzer aus einem lokalen Active Directory:
-
Synchronisieren Sie Active Directory-Benutzer mithilfe von Directory Connector mit Common Identity (CI). Sie können die Connector-Software von Control Hub herunterladen und auf Ihrem lokalen Computer installieren. Weitere Informationen finden Sie im Bereitstellungsleitfaden für Directory Connector.
-
Gehen Sie wie folgt vor: Verzeichnissynchronisierung konfigurieren Benutzer in Control Hub mit Unified CM synchronisieren.
Verzeichnissynchronisierung konfigurieren
Manchmal kann es bei der Bereitstellung eines Clusters zu zusätzlichen Verzögerungen kommen. In diesen Szenarien wird die Bereitstellung trotzdem durchgeführt, allerdings dauert sie sehr lang.
-
Melden Sie sich unter https://admin.webex.com/login bei Control Hub an.
-
Gehen Sie zu Dienste > Calling > Dedicated Instance > Verwalten.
Wählen Sie die UC-Anwendung aus, und klicken Sie im rechten Bereich unter Verzeichnissynchronisierung aktivieren auf Einrichten.
-
Stellen Sie im Fenster „Feldzuordnung“ sicher, dass die für das Feld „Unified CM-Benutzer-ID“ ausgewählte Zuordnung den Benutzer innerhalb des Clusters eindeutig identifiziert, nachdem Sie mit der Bereitstellung beginnen.
Wählen Sie für das Feld „Unified CM-Benutzer-ID“ die passende Zuordnung, um den Benutzer aus Webex zu synchronisieren:
-
Benutzer-ID-Feld in Unified CM wird der E-Mail-ID des Benutzers in Webex zugeordnet.
-
E-Mail-ID-Feld in Unified CM wird der E-Mail-ID des Benutzers in Webex zugeordnet.
-
Benutzer-ID-Feld in Unified CM wird der E-Mail-ID ohne Domänenteil des Benutzers in Webex zugeordnet.
Ein neues Benutzerkonto wird erstellt, wenn die Zuordnung für ein bestehendes Benutzerkonto in Unified CM nicht erfolgreich durchgeführt werden kann. Die E-Mail-ID des Benutzers wird als eindeutige Kennung für das neu erstellte Benutzerkonto verwendet. Dieser Hinweis gilt für die Optionen 1 und 2.
Optionen
Unified CM
Control Hub
Option 1
Benutzer-ID-Feld in Unified CM wird der E-Mail-ID des Benutzers in Webex zugeordnet
Option 2
E-Mail-ID-Feld in Unified CM wird der E-Mail-ID des Benutzers in Webex zugeordnet
Option 3
Benutzer-ID-Feld in Unified CM wird der E-Mail-ID ohne Domänenteil des Benutzers in Webex zugeordnet
-
-
Klicken Sie auf Weiter.
Wählen Sie eine Vereinbarung aus der Drop-down-Liste aus, um eine neue Synchronisierungsvereinbarung zu erstellen. Sobald die neue Synchronisierungsvereinbarung erstellt wurde, werden alle bestehenden Synchronisierungsvereinbarungen, die auf das lokale Verzeichnis verweisen, gelöscht. Sie können die neue Synchronisierungsvereinbarung nach ihrer Erstellung ändern.
Überprüfen Sie im Abschnitt „Vereinbarungsvorschau“ die Liste der Benutzer und die Kontaktdaten (vorhandene Details aus dem externen LDAP-Verzeichnis in Unified Communications Manager), bevor Sie mit der Synchronisierung beginnen. Sie können die folgenden Details einsehen:
-
Gruppeninformationen
Standardmäßig werden alle Benutzer mit der Benutzereinstufung 5 synchronisiert. Dies kann im Fenster „Gruppeninformationen“ überprüft werden.
-
Gruppenvorlage „Angewendete Funktion“ mit Universal-Leitungsvorlage und Universal-Gerätevorlage
-
Leitungs- und Maskendetails zu synchronisierten Telefonnummern für eingefügte Benutzer
-
Neu bereitgestellte Benutzer und ihre Durchwahlen
-
Standardmäßig zu synchronisierende Benutzerfelder
-
Hostname oder IP-Adresse des Verzeichnisservers
Klicken Sie auf Weiter , um den Gruppenfilter auszuwählen.
Der Abschnitt „Gruppeninformationen“ gilt nicht für Cisco Unity Connection und wird daher im Abschnitt „Vereinbarungsvorschau“ nicht angezeigt.
-
Wählen Sie in der Drop-down-Liste Gruppen auswählen die Gruppen aus, die Sie synchronisieren möchten. Aktivieren Sie das Kontrollkästchen Alle Gruppen auswählen, wenn Sie alle Benutzergruppen auswählen möchten.
Standardmäßig werden alle Benutzer synchronisiert. Wenn Sie keine Gruppe auswählen, werden automatisch alle Benutzer und die zugehörigen Benutzerdaten synchronisiert.
Bei verschachtelten Gruppen in einem Verzeichnis müssen die Benutzer bei der Bereitstellung die Teilbenutzergruppe extra auswählen, da sie nicht standardmäßig in der übergeordneten Gruppe enthalten sind. Sie müssen überprüfen, ob es sich wiederholende Verschachtelungen gibt, um sicherzustellen, dass während der Bereitstellung nur die erforderlichen Benutzer eingeschlossen werden.
Jegliche Änderungen an der Synchronisierungsvereinbarung, wie zum Beispiel das Entfernen eines Zielbenutzers oder einer Gruppe, werden während der regelmäßigen Synchronisierung nicht weitergegeben. Sie müssen den Verzeichnisdienst für den jeweiligen Cluster zurücksetzen und den Cluster anschließend mit einer neuen oder geänderten Synchronisierungsvereinbarung neu bereitstellen. Wenden Sie sich an den Cisco TAC-Support, um den Verzeichnisdienst für den erforderlichen Cluster zurückzusetzen.
-
Klicken Sie auf Weiter, um den Synchronisierungsprozess vorzubereiten.
Aktivieren Sie im Fenster Synchronisierung aktivieren die Synchronisierung, sobald das System die Benutzerdaten erfolgreich in einen temporären Speicherbereich in Unified CM kopiert hat und eine neue Synchronisierungsvereinbarung erstellt wurde (nach den Schritten 1 und 2 im folgenden Screenshot).
-
Mit der Option Bericht herunterladen können Sie einen Teil der Ergebnisse einsehen. Führen Sie den folgenden CLI-Befehl aus, um die vollständigen Berichte für den Unified CM-Cluster abzurufen: file get activelog /cm/trace/CIService/log4j/DryRunResults.csv
Wenn Sie keinen Zugriff haben, wenden Sie sich an den Cisco TAC-Support, um den Bericht herunterzuladen.
Hier die Ergebnisse des Probelaufs:
-
Neue Benutzer: Die Benutzer sind nicht in Unified CM vorhanden, aber im Webex-Identitätsdienst. Die Benutzer werden in Unified CM erstellt, nachdem die Synchronisierung aktiviert wird.
-
Übereinstimmende Benutzer: Die Benutzer sind in Unified CM und im Webex-Identitätsdienst vorhanden. Diese Benutzer bleiben in Unified CM weiterhin aktiv, nachdem die Synchronisierung abgeschlossen ist.
-
Nicht übereinstimmende Benutzer: Die Benutzer sind in Unified CM und im Webex-Identitätsdienst vorhanden. Die nicht übereinstimmenden Benutzer werden in Unified CM nach Abschluss der Synchronisierung als inaktiv markiert und nach 24 Stunden Inaktivität gelöscht.
Sie können den Bericht durchgehen und entscheiden, ob Sie dieselbe Benutzerliste beibehalten und Benutzer hinzufügen oder löschen möchten. Klicken Sie je nach Entscheidung auf Abbrechen, um den Vorgang zu stoppen und die Bereitstellungsänderungen rückgängig zu machen.
-
Klicken Sie nach der Bestätigung der Synchronisierungsvereinbarung auf Vorschau in Unified CM, um sich bei Ihrer Infrastruktur anzumelden und Änderungen an der neu erstellten Synchronisierungsvereinbarung vorzunehmen.
Sie können nur die Gruppeninformationen bearbeiten. Sie können die Vereinbarung nicht umbenennen und keine der Details ändern.
-
Klicken Sie auf Synchronisierung aktivieren, um mit der Synchronisierung fortzufahren.
Während der Synchronisierung können Sie keine Aktionen durchführen. Das geht erst wieder nach Abschluss der Synchronisierung. Sobald die Synchronisierung für einen Cluster abgeschlossen ist, wird auf der Seite des Verzeichnisdiensts für diesen Cluster der Status „Bereitgestellt“ angezeigt. Zu diesem Zeitpunkt haben Sie Azure AD erfolgreich autorisiert, Webex-Benutzer in der UC-Infrastruktur bereitzustellen und sie zu synchronisieren, und haben alle Schritte zum Einrichten der Synchronisierung durchgeführt.
Sie müssen die Synchronisierung innerhalb von 18 Stunden ab Erstellung der neuen Vereinbarung aktivieren. LDAP-synchronisierte Benutzer werden als inaktiv markiert und nach 24 Stunden Inaktivität entfernt. Diese Benutzer können sich nicht anmelden und die Unified CM-Dienste nicht verwenden.
Nachdem die Azure AD-Bereitstellung eines Clusters abgeschlossen wurde, können Sie für den Cluster keine neuen Synchronisierungsvereinbarungen erstellen und auch keine seiner Konfigurationseinstellungen ändern, mit Ausnahme der Gruppeneinstellungen. Wenden Sie sich an den Cisco TAC-Support, um den Verzeichnisdienst zurückzusetzen. Anschließend können Sie eine neue Vereinbarung für die Bereitstellung erstellen.
Wenn Sie nach einer erfolgreichen Bereitstellung während der SSO-Authentifizierung Azure IdP verwenden, vergewissern Sie sich, dass Sie die richtigen Ansprüche in Azure IdP konfigurieren. Wenn beispielsweise während der Bereitstellung Option 1 für die Benutzer-ID-Zuordnung ausgewählt wird, müssen Sie sich vergewissern, dass im Abschnitt Zusätzliche Ansprüche „user.userprincipalname“ als UID festgelegt ist.
Regelmäßige Synchronisierung
Nach der erfolgreichen Bereitstellung eines Clusters wird die periodische Synchronisierung täglich durchgeführt und alle Änderungen an den Benutzerdaten von Webex Common Identity zu Unified CM und Cisco Unity Connection werden synchronisiert. Ihr Eingreifen ist für eine regelmäßige Synchronisierung nicht erforderlich. Sie können jedoch überprüfen, ob eine periodische Synchronisierung für den Tag durchgeführt wurde, indem Sie die Spalte „Zuletzt synchronisiert unter“ auf der Seite „Cluster-Details“ im Control Hub beobachten. Der Zeitstempel wird aktualisiert, um die Zeit widerzuspiegeln, zu der die regelmäßige Synchronisierung für das Cluster durchgeführt wurde.
Unified CM
Cisco Unity Connection
LDAP-Verzeichnis in Unified CM oder Cisco Unity Connection
Ein Standard-LDAP-Verzeichnis wird durch den Prozess der Synchronisierung erstellt.
Obwohl die Einstellungen die Synchronisierung einmal anzeigen, wird Control Hub bei 24-Stunden-Zyklus synchronisiert und ändert sich in Common Identity in Unified CM oder Cisco Unity Connection.
Status der Synchronisierung einsehen
Sie können den Status der Synchronisierung in der Spalte „Status der Verzeichnissynchronisierung“ sehen. Klicken Sie auf die UC-Anwendung, um den rechten Bereich zu öffnen, in dem der Status der Bereitstellung, die letzte Synchronisierung und gegebenenfalls die Ursache für das Fehlschlagen angegeben sind. Sie können auch die lokale Zeitzone auswählen. Standardmäßig ist die Zeitzone des Browsers ausgewählt.
Bereitstellungsstatus
Bereitstellungsstatus |
Beschreibung |
---|---|
Wird durchgeführt |
Die Bereitstellung läuft. |
Aktion erforderlich |
Führen Sie die notwendigen Schritte durch, wenn für einen Cluster ein manuelles Eingreifen erforderlich ist.
|
Fehler |
Wenn im Assistenten Synchronisierung aktivieren notwendige Aktionen gemeldet werden: Lesen Sie sich die Meldungen durch, und führen Sie gegebenenfalls die Aktionen durch. |
Aktiv |
Die Cluster-Bereitstellung ist abgeschlossen. |
Nicht bereitgestellt |
Die Cluster-Bereitstellung hat noch nicht begonnen. |
Benutzer in Unity Connection importieren
Sie können Azure AD-Benutzer manuell über „Benutzer importieren“ in Cisco Unity Connection importieren, nachdem die Cluster-Bereitstellung über Control Hub abgeschlossen wurde.
Zum Importieren von Benutzern stehen zwei Möglichkeiten zur Verfügung:
1 |
Erweitern Sie in Cisco Unity Connection Administration die Option Benutzer, und wählen Sie Benutzer importieren aus. |
2 |
Importieren Sie auf der Seite „Benutzer importieren“ die Benutzerkonten aus dem LDAP-Verzeichnis, um Unity Connection-Benutzer zu erstellen. |
1 |
Erweitern Sie in Cisco Unity Connection Administration die Option Tools, und wählen Sie Massen-Verwaltung-Tool aus. |
2 |
Führen Sie auf der Seite „Massen-Verwaltung-Tool“ die folgenden Schritte durch, um Unity Connection-Benutzer hinzuzufügen: |
3 |
Überprüfen Sie nach Abschluss des Imports die Datei, die Sie im Feld Datei für fehlgeschlagene Objekte angegeben haben, um sicherzustellen, dass alle Benutzer erfolgreich erstellt wurden. |
Fehlerbehebung bei Synchronisierungsproblemen
In diesem Abschnitt finden Sie die notwendigen Informationen und Lösungen, um einige der gängigen Probleme zu beheben, mit denen Sie möglicherweise während der verschiedenen Phasen der Synchronisierung von Benutzern aus Control Hub in die Unified Communications Manager-Datenbank konfrontiert werden.
Nicht übereinstimmende Benutzer
Aktivieren Sie die Synchronisierung innerhalb von 18 Stunden nach Erstellung der neuen Vereinbarung. Die vorhandenen Benutzer werden als inaktiv markiert und nach 24 Stunden Inaktivität aus Unified CM gelöscht.
Fehler: Kopieren der Daten fehlgeschlagen. Bitte versuchen Sie es noch einmal.
-
Die Kommunikation zwischen Dedicated Instance und der Webex-Cloud wurde unterbrochen, oder es können keine Benutzerdaten aus der Webex-Cloud abgerufen werden.
-
Die Kommunikation zwischen Dedicated Instance und Unified CM ist unterbrochen, oder es können keine Benutzerdaten in die Unified CM-Datenbank gepusht werden.
-
Die Benutzerdaten werden nicht an den temporären Speicherort kopiert.
Fehler: Synchronisierungsvereinbarung konnte nicht erstellt werden. Bitte versuchen Sie es noch einmal.
-
Die Kommunikation zwischen Dedicated Instance und Unified CM ist unterbrochen, oder die Daten der Synchronisierungsvereinbarung können nicht in die Unified CM-Datenbank gepusht werden.
-
Die Synchronisierungsvereinbarung wurde nicht erfolgreich erstellt.
Die Details der Synchronisierungsvereinbarung konnten nicht abgerufen werden. Versuchen Sie es später noch einmal.
Die Kommunikation zwischen Dedicated Instance und Unified CM ist unterbrochen.
Bekannte Probleme und Einschränkungen für die Synchronisierung des Verzeichnisdienstes von Webex Calling Dedicated Instance
Wenn ein Problem bei dieser Funktion auftritt, prüfen Sie, ob dieses Problem bereits bekannt und eine empfohlene alternative Vorgehensweise vorhanden ist.
-
Die Bereitstellung des Verzeichnisdiensts von Webex Calling Dedicated Instance funktioniert nicht mit LDAP-Authentifizierung, da nur die Benutzerdaten synchronisiert werden und nicht die Kennwörter für den Unified CM-Server. Daher funktioniert die LDAP-Authentifizierung nicht.
Problemumgehung: Zum Anmelden muss die Einzelanmeldung (Single Sign-On, SSO) verwendet werden. In diesem Dokument wird nur die SSO-Integration behandelt.
Konfigurieren Sie Single Sign-On (SSO), wenn sich Ihre Benutzer über ihren Unternehmensidentitätsanbieter authentifizieren sollen. Weitere Informationen finden Sie unter Single Sign-On-Integration in Control Hub und SAML-basierte SSO-Lösung .
-
Wenden Sie sich an den Cisco TAC-Support, um den Verzeichnisdienst zu deaktivieren. Warten Sie eine Minute und starten Sie die Einrichtung des Verzeichnisdienstes erneut.
-
Wenn Sie nach dem Löschen denselben Unified CM-Cluster erneut in die Organisation integrieren möchten, müssen Sie zuerst den Verzeichnisdienst deaktivieren und dann denselben Cluster erneut bereitstellen.
Wenden Sie sich an den Cisco TAC-Support, um den Verzeichnisdienst zu deaktivieren.
-
Auf der Seite „Synchronisierungsvereinbarung“ werden die Felder Synchronisierungsintervall und Nächste Neusynchronisierung als aktiv angezeigt. Diese Felder sind im Unified CM-Server jedoch ausgegraut, wenn die Option Synchronisierung einmalig durchführen aktiviert ist. Dies ist eine aktuelle Einschränkung der Funktion zur Bereitstellung über den Verzeichnisdienst von Webex Calling Dedicated Instance, die in der kommenden Version korrigiert wird.
-
Im Azure-Portal gelöschte Benutzer sind im Webex-Identitätsdienst inaktiv, erscheinen in Unified CM jedoch als aktiv.
Problemumgehung: Gehen Sie zu Verwaltung > Benutzer, und löschen Sie den Benutzer aus Control Hub. Der Benutzer wird in Unified CM als „Inaktiv“ markiert.
-
Bei der Bereitstellung neuer Cluster für größere Organisationen (mit mehr als 80.000 Benutzern) kommt es derzeit zu einer Zeitüberschreitung. Dieses Problem wird in Kürze behoben.
-
Wenn Sie während der Bereitstellung auf die Schaltflächen Abbrechen, Fortfahren und Synchronisierung aktivieren auf der Seite „Synchronisierung aktivieren“ klicken, ändert sich der Status des Clusters nicht sofort auf der Benutzeroberfläche. Das ist irreführend, da die Aktionen im Backend durchgeführt werden.
Problemumgehung: Klicken Sie nicht zweimal auf die Schaltflächen, und überprüfen Sie den Clusterstatus nach einigen Sekunden. Sie sehen, dass sich der Clusterstatus von Aktion erforderlich in Verarbeitung ändert. Dieses Problem wird bald behoben.
-
Derzeit reagiert die Funktion Synchronisierung aktivieren nicht mehr, wenn das Unified Communications Manager-Netzwerk ausgefallen ist.
Problemumgehung: Wenden Sie sich an den Cisco TAC-Support, um den Verzeichnisdienst zu deaktivieren. Warten Sie eine Minute und starten Sie die Einrichtung des Verzeichnisdienstes erneut. Dieses Problem wird in der kommenden Version behoben.
-
Während der Bereitstellung wird die Liste mit den Gruppendetails aufgrund von Synchronisierungsproblemen mit dem Webex Common Identity Service nicht mit Daten gefüllt. Es wird empfohlen, die Bereitstellung abzubrechen und es nach einiger Zeit erneut zu versuchen.