- Startseite
- /
- Artikel
Verzeichnisdienstintegration über Webex Common Identity für dedizierte Instanz
Synchronisieren Sie Benutzer aus einem Cloud-Verzeichnis (Microsoft Azure AD) oder einem lokalen Verzeichnis (MS AD) über den Webex Common Identity Service über die Control Hub-Schnittstelle mit Clustern der dedizierten Instanz (Unified CM und Cisco Unity Connection).
Übersicht
Synchronisieren Sie Benutzer aus cloudbasierten Verzeichnissen wie Azure AD mit Anwendungen der dedizierten Instanz wie Unified CM und Cisco Unity Connection mit dem Cloud-Verzeichnisdienst. Während der Synchronisierung importiert das System eine Liste der Benutzer und zugehörige Benutzerdaten in das Azure Active Directory (oder einen ähnlichen Cloud-Verzeichnisdienst), das mit dem Webex-Identitätsdienst synchronisiert wird. Wählen Sie zur Synchronisierung den Unified CM-Cluster im Control Hub aus, wählen Sie die entsprechende Unified CM-Benutzer-ID-Feldzuordnung aus und wählen Sie dann die erforderliche Synchronisierungsvereinbarung aus, um die Synchronisierung abzuschließen.
Voraussetzungen
-
Wenn Sie Azure Active Directory als Cloud-Verzeichnis verwenden, finden Sie weitere Informationen unter Einrichten der Azure AD Wizard-App in Control Hub .
-
Wenn Sie Microsoft Active Directory als Verzeichnis verwenden, finden Sie unter Directory Connector bereitstellen weitere Informationen.
-
Stellen Sie sicher, dass die in Unified CM integrierten vorhandenen Active Directory-Systeme auch in Webex Common Identity integriert sind.
Cluster-Details anzeigen
Wählen Sie auf der Seite „Verwalten“ in Control Hub einen Cluster aus, mit dem Sie die Benutzerdaten synchronisieren möchten.
Diese Auswahl enthält auch die Cluster-Details, wie den Namen des Clusters, den Status der Cluster-Synchronisierung, den Status der letzten Synchronisierung und das zugehörige Produkt.
Cluster-Details |
Beschreibung |
---|---|
Name des Clusters |
Der Name des Clusters |
Status |
Status der Synchronisierung |
Zuletzt synchronisiert |
Datum der letzten Synchronisierung |
Produkt |
Produktdetails |
Verzeichnissynchronisation
Je nach Ihren Anforderungen können Sie Benutzer entweder mit Directory Connector aus dem lokalen Active Directory mit Control Hub synchronisieren oder direkt aus dem Azure Directory mit Control Hub und anschließend mit Unified CM synchronisieren.
Führen Sie eine der folgenden Aktionen aus:
-
Um Benutzer aus Azure Directory direkt mit Control Hub zu synchronisieren, führen Sie das Verfahren Benutzer aus Azure Directory synchronisieren aus.
-
Um Benutzer aus dem lokalen Active Directory mit Control Hub mit Directory Connector zu synchronisieren, führen Sie das Verfahren Benutzer aus dem lokalen Active Directory synchronisieren aus.
Führen Sie die Synchronisierung außerhalb der Geschäftszeiten durch, um deren Auswirkungen auf die Calling-Dienste zu minimieren.
Benutzer aus Azure Directory synchronisieren
Mit der Synchronisierung des Verzeichnisdiensts der dedizierten Instanz können Sie Endbenutzerdaten aus dem Azure-Verzeichnis in die Unified CM-Datenbank importieren, sodass sie im Fenster „Endbenutzerkonfiguration“ angezeigt werden.
So synchronisieren Sie Benutzer mit Azure Directory:
-
Sie müssen die Benutzer von Azure Active Directory mit Control Hub synchronisieren.
-
Befolgen Sie das Verfahren Verzeichnissynchronisierung konfigurieren , um Benutzer aus Control Hub mit Cisco Unified CM zu synchronisieren.
Benutzer aus lokalem Active Directory synchronisieren
Lokale Active Directory-Benutzer können mit Directory Connector mit Common Identity (CI) synchronisiert werden.
Für den Verzeichnisdienst wird nur die SSO-Bereitstellung unterstützt. Weitere Informationen finden Sie unter Single Sign-On-Integration in Control Hub und SAML-basierte SSO-Lösung .
So synchronisieren Sie Benutzer aus dem lokalen Active Directory:
-
Synchronisieren Sie Active Directory-Benutzer mit Directory Connector mit Common Identity (CI). Sie können die Connector-Software von Control Hub herunterladen und auf Ihrem lokalen Computer installieren. Weitere Informationen finden Sie im Bereitstellungsleitfaden für Directory Connector .
-
Führen Sie das Verfahren unter Verzeichnissynchronisierung konfigurieren aus und synchronisieren Sie Benutzer aus Control Hub mit Unified CM.
Verzeichnissynchronisation konfigurieren
Manchmal kann es bei der Bereitstellung eines Clusters zu zusätzlichen Verzögerungen kommen. In solchen Szenarien wird die Bereitstellung trotzdem durchgeführt, obwohl diese Aktivität viel Zeit in Anspruch nimmt.
-
Melden Sie sich unter https://admin.webex.com/login beim Control Hub an.
-
Gehen Sie zu Dienste > Anrufe > Dedizierte Instanz > Verwalten.
-
Wählen Sie die UC-Anwendung aus und klicken Sie im rechten Bereich unter Verzeichnissynchronisierung aktivieren auf Einrichten .
-
Stellen Sie im Fenster „Feldzuordnung“ sicher, dass die für das Feld „Unified CM-Benutzer-ID“ ausgewählte Zuordnung den Benutzer eindeutig im Cluster identifiziert, nachdem Sie mit der Bereitstellung beginnen.
-
Wählen Sie die entsprechende Zuordnung des Unified CM-Benutzer-ID-Felds für die Synchronisierung des Benutzers über Webex aus:
-
Das Feld „Benutzer-ID“ in Unified CM wird der E-Mail-ID des Benutzers in Webex zugeordnet.
-
Das Feld „Mail-ID“ in Unified CM wird der E-Mail-ID des Benutzers in Webex zugeordnet.
-
Das Feld „Benutzer-ID“ in Unified CM wird der E-Mail-ID ohne Domänenteil des Benutzers in Webex zugeordnet.
Wenn die Zuordnung für ein vorhandenes Benutzerkonto in Unified CM nicht erfolgreich erfolgen kann, wird ein neues Benutzerkonto erstellt. Die E-Mail-ID des Benutzers wird als eindeutiger Bezeichner für das neu erstellte Benutzerkonto verwendet. Dieser Hinweis gilt für Optionen 1 und 2.
Optionen
Einheitliche CM
Control Hub
Option 1
Benutzer-ID-Feld in Unified CM wird der E-Mail-ID des Benutzers in Webex zugeordnet
Option 2
E-Mail-ID-Feld in Unified CM wird der E-Mail-ID des Benutzers in Webex zugeordnet
Option 3
Feld „Benutzer-ID“ in Unified CM wird der E-Mail-ID ohne Domänenteil des Benutzers in Webex zugeordnet
-
-
Klicken Sie auf Weiter.
-
Wählen Sie in der Dropdown-Liste eine Vereinbarung aus, um eine neue Synchronisierungsvereinbarung zu erstellen. Sobald die neue Synchronisierungsvereinbarung erstellt wurde, werden alle bestehenden Synchronisierungsvereinbarungen, die auf das lokale Verzeichnis verweisen, gelöscht. Sie können die neue Synchronisierungsvereinbarung nach ihrer Erstellung ändern.
-
Überprüfen Sie im Abschnitt „Vereinbarungsvorschau“ die Liste der Benutzer und die Kontaktdetails (vorhandene Details des externen LDAP-Verzeichnisses in Unified Communications Manager), bevor Sie die Synchronisierung starten. Sie können die folgenden Details anzeigen:
-
Gruppeninformationen
Standardmäßig werden alle Benutzer mit der Benutzereinstufung 5 synchronisiert. Dies kann im Fenster „Gruppeninformationen“ überprüft werden.
-
Gruppenvorlage für angewendete Funktionen mit Universal-Leitungs- und Gerätevorlagen
-
Leitungs- und Maskendetails zu synchronisierten Telefonnummern für eingefügte Benutzer
-
Neu bereitgestellte Benutzer und ihre Durchwahlen
-
Abschnitt mit zu synchronisierenden Standard-Benutzerfeldern.
-
Host-Name oder IP-Adresse des Verzeichnisservers
Klicken Sie auf Weiter , um den Gruppenfilter auszuwählen.
Der Abschnitt "Gruppeninformationen" gilt nicht für Cisco Unity Connection und ist daher nicht in der Vereinbarungsvorschau sichtbar.
-
-
Wählen Sie in der Dropdown-Liste Gruppen auswählen eine oder mehrere spezifische Gruppen aus, die Sie synchronisieren möchten. Klicken Sie auf das Kontrollkästchen Alle Gruppen auswählen , wenn Sie alle Benutzergruppen auswählen möchten.
Standardmäßig sind alle Benutzer synchronisiert. Wenn Sie keine Gruppe auswählen, werden automatisch alle Benutzer und zugehörigen Benutzerdaten synchronisiert.
Bei verschachtelten Gruppen in einem Verzeichnis müssen die Benutzer während der Bereitstellung die untergeordnete Benutzergruppe spezifisch auswählen, da sie standardmäßig nicht in der übergeordneten Gruppe enthalten sind. Sie müssen überprüfen, ob sich wiederholende Verschachtelungen (falls vorhanden) ergeben, um sicherzustellen, dass bei der Bereitstellung nur die erforderlichen Benutzer eingeschlossen werden.
Änderungen an der Synchronisierungsvereinbarung, z. B. das Entfernen eines Zielbenutzers oder einer Gruppe, werden während der regelmäßigen Synchronisierung nicht weitergegeben. Sie müssen den Verzeichnisdienst für diesen Cluster zurücksetzen und den Cluster dann mit einer neuen oder geänderten Synchronisierungsvereinbarung erneut bereitstellen. Wenden Sie sich an den Cisco TAC-Support, um den Verzeichnisdienst für das erforderliche Cluster zurückzusetzen.
-
Klicken Sie auf Weiter , um den Synchronisierungsprozess vorzubereiten.
-
Aktivieren Sie im Fenster Synchronisierung aktivieren die Synchronisierung, sobald das System die Benutzerdaten erfolgreich in einen temporären Speicherbereich in Unified CM kopiert hat und eine neue Synchronisierungsvereinbarung erstellt wurde (nach den Schritten 1 und 2, wie im folgenden Screenshot dargestellt).
-
Mit der Option Bericht herunterladen können Sie die Ergebnisse teilweise anzeigen. Um die vollständigen Berichte für den Unified CM-Cluster abzurufen, führen Sie den folgenden CLI-Befehl aus: Datei abrufen activelog /cm/trace/CIService/log4j/DryRunResults.csv
Wenn Sie keinen Zugriff haben, wenden Sie sich an den Cisco TAC-Support, um den Bericht herunterzuladen.
Das Ergebnis des Probelaufs zeigt hier Folgendes:
-
Neue Benutzer: Die Benutzer sind nicht in Unified CM vorhanden, aber im Webex-Identitätsdienst. Die Benutzer werden in Unified CM erstellt, nachdem die Synchronisierung aktiviert wurde.
-
Übereinstimmende Benutzer: Die Benutzer sind in Unified CM und im Webex-Identitätsdienst vorhanden. Diese Benutzer bleiben in Unified CM weiterhin aktiv, nachdem die Synchronisierung abgeschlossen ist.
-
Nicht übereinstimmende Benutzer: Die Benutzer sind in Unified CM und im Webex-Identitätsdienst vorhanden. Die nicht übereinstimmenden Benutzer werden in Unified CM als inaktiv markiert, nachdem die Synchronisierung abgeschlossen ist und werden nach 24 Stunden Inaktivität gelöscht.
Sie können den Bericht überprüfen und entscheiden, ob Sie dieselbe Benutzerliste beibehalten und Benutzer hinzufügen oder löschen möchten. Klicken Sie je nach Entscheidung auf Abbrechen , um den Prozess zu beenden und die Bereitstellungsänderungen rückgängig zu machen.
-
-
Klicken Sie nach der Verifizierung der Synchronisierungsvereinbarung auf Vorschau in Unified CM , um sich bei Ihrer Infrastruktur anzumelden und die neu erstellte Synchronisierungsvereinbarung zu ändern.
Sie können nur die Gruppeninformationen bearbeiten. Sie können die Vereinbarung weder umbenennen noch die Details ändern.
-
Klicken Sie auf Synchronisierung aktivieren , um mit der Synchronisierung fortzufahren.
Während der Synchronisierung können Sie keine Aktion ausführen, bis Sie abgeschlossen ist. Sobald die Synchronisierung für einen bestimmten Cluster abgeschlossen ist, wird auf der Seite „Verzeichnisdienst“ für diesen Cluster der Status „Bereitgestellt“ angezeigt. Zu diesem Zeitpunkt haben Sie Azure AD erfolgreich autorisiert, Webex-Benutzer in der UC-Infrastruktur bereitzustellen und zu synchronisieren, und haben die Schritte zum Einrichten der Synchronisierung abgeschlossen.
Sie müssen die Synchronisierung innerhalb von 18 Stunden ab Erstellung der neuen Vereinbarung aktivieren. Über LDAP synchronisierte Benutzer werden inaktiv und nach 24 Stunden Inaktivität entfernt. Benutzer können sich nicht mehr anmelden und die Unified CM-Dienste nutzen.
Nachdem die Azure AD-Bereitstellung für einen bestimmten Cluster abgeschlossen wurde, können Sie für denselben Cluster keine neuen Synchronisierungsvereinbarungen erstellen und auch keine Konfigurationseinstellungen ändern, mit Ausnahme der Gruppeneinstellungen. Wenden Sie sich an den Cisco TAC-Support, um den Verzeichnisdienst zurückzusetzen. Sie können dann eine neue Vereinbarung für die Bereitstellung erstellen.
Wenn Sie nach einer erfolgreichen Bereitstellung während der SSO-Authentifizierung Azure IdP verwenden, stellen Sie sicher, dass Sie die richtigen Ansprüche in Azure IdP konfigurieren. Wenn beispielsweise während der Bereitstellung Option 1 für die Benutzer-ID-Zuordnung ausgewählt wird, stellen Sie sicher, dass user.userprincipalname als UID im Abschnitt Zusätzliche Ansprüche festgelegt ist.
Regelmäßige Synchronisierung
Sobald ein Cluster erfolgreich bereitgestellt wurde, wird täglich eine regelmäßige Synchronisierung durchgeführt, bei der alle Änderungen an den Benutzerdaten von Webex Common Identity mit Unified CM und Cisco Unity Connection synchronisiert werden. Ihre Intervention ist für die regelmäßige Synchronisierung nicht erforderlich. Sie können jedoch überprüfen, ob die periodische Synchronisierung für den Tag stattgefunden hat, indem Sie die Spalte Letzte Synchronisierung um auf der Seite „Cluster-Details“ in Control Hub beobachten. Der Zeitstempel wird aktualisiert, um den Zeitpunkt wiederzugeben, zu dem die periodische Synchronisierung für das Cluster durchgeführt wurde.
Einheitliche CM
Cisco Unity Connection
LDAP-Verzeichnis in Unified CM oder Cisco Unity Connection
Ein Standard-LDAP-Verzeichnis wird durch den Synchronisierungsprozess erstellt.
Obwohl die Synchronisierung in den Einstellungen einmal angezeigt wird, synchronisiert Control Hub im 24-Stunden-Zyklus Änderungen von Common Identity zu Unified CM oder Cisco Unity Connection.
Status der Synchronisierung anzeigen
Zeigen Sie den Status der Synchronisierung in der Spalte „Status der Verzeichnissynchronisierung“ an. Klicken Sie auf die UC-Anwendung, um den rechten Bereich anzuzeigen, in dem der Status der Bereitstellung, der letzten Synchronisierungsstatus und ggf. der Grund für den Fehler angezeigt werden. Sie können auch die lokale Zeitzone auswählen. Die Standardzeitzone des Browsers ist ausgewählt.
Bereitstellungsstatus
Bereitstellungsstatus |
Beschreibung |
---|---|
Wird verarbeitet |
Die Bereitstellung läuft. |
Aktion erforderlich |
Führen Sie die notwendigen Schritte durch, wenn für ein bestimmtes Cluster ein manuelles Eingreifen erforderlich ist.
|
Fehler |
Wenn im Assistenten Synchronisierung aktivieren eine Aktion erforderlich ist, überprüfen Sie diese, und führen Sie ggf. die erforderlichen Aktionen durch. |
Aktiv |
Die Cluster-Bereitstellung ist abgeschlossen. |
Nicht bereitgestellt |
Die Cluster-Bereitstellung hat noch nicht begonnen. |
Benutzer für Unity Connection importieren
Sie können Azure AD-Benutzer manuell über „Benutzer importieren“ in Cisco Unity Connection importieren, nachdem die Cluster-Bereitstellung über Control Hub abgeschlossen wurde.
Sie können Benutzer auf zwei Arten importieren:
1 |
Erweitern Sie in der Cisco Unity Connection-Administration den Eintrag Benutzer und wählen Sie Benutzer importieren aus. |
2 |
Importieren Sie auf der Seite „Benutzer importieren“ die Benutzerkonten des LDAP-Verzeichnisses, um Unity Connection-Benutzer zu erstellen. |
1 |
Erweitern Sie in Cisco Unity Connection Administration die Option Tools und wählen Sie Massenverwaltungstool aus. |
2 |
Um Unity Connection-Benutzer hinzuzufügen, führen Sie auf der Seite „Massenverwaltungstool“ die folgenden Schritte aus: |
3 |
Überprüfen Sie nach Abschluss des Imports die Datei, die Sie im Feld Datei für fehlgeschlagene Objekte angegeben haben, um sicherzustellen, dass alle Benutzer erfolgreich erstellt wurden. |
Fehlerbehebung bei Synchronisierungsproblemen
In diesem Abschnitt finden Sie die notwendigen Informationen und Lösungen zur Lösung einiger häufiger Probleme, die während der verschiedenen Phasen der Synchronisierung von Benutzern aus Control Hub in die Unified Communications Manager-Datenbank auftreten können.
Nicht übereinstimmende Benutzer
Aktivieren Sie die Synchronisierung innerhalb von 18 Stunden nach Erstellung der neuen Vereinbarung. Die vorhandenen Benutzer werden als inaktiv markiert und nach 24 Stunden Inaktivität aus Unified CM gelöscht.
Fehler – Kopieren der Daten fehlgeschlagen. Versuchen Sie es erneut
-
Die Kommunikation zwischen der dedizierten Instanz und der Webex-Cloud ist unterbrochen, oder es können keine Benutzerdaten aus der Webex-Cloud abgerufen werden.
-
Die Kommunikation zwischen Dedicated Instance und Unified CM ist unterbrochen, oder es können keine Benutzerdaten in die Unified CM-Datenbank gepusht werden.
-
Benutzerdaten werden nicht an den temporären Speicherort kopiert.
Fehler: Fehler beim Erstellen der Synchronisierungsvereinbarung. Versuchen Sie es erneut
-
Die Kommunikation zwischen Dedicated Instance und Unified CM ist unterbrochen, oder die Daten der Synchronisierungsvereinbarung können nicht in die Unified CM-Datenbank gepusht werden.
-
Eine Synchronisierungsvereinbarung wurde nicht erfolgreich erstellt.
Details der Synchronisierungsvereinbarung konnten nicht abgerufen werden. Versuchen Sie es später noch einmal.
Die Kommunikation zwischen Dedicated Instance und Unified CM ist unterbrochen.
Bekannte Probleme und Einschränkungen
Wenn ein Problem mit dieser Funktion auftritt, prüfen Sie, ob dieses Problem bekannt ist und eine empfohlene alternative Vorgehensweise vorhanden ist.
-
Die Bereitstellung des Verzeichnisdiensts in der dedizierten Instanz funktioniert nicht mit LDAP-Authentifizierung, da nur die Benutzerdaten synchronisiert werden und nicht die Kennwörter für den Unified CM-Server. Daher funktioniert die LDAP-Authentifizierung nicht.
Problemumgehung: Zum Anmelden muss die Einzelanmeldung (Single Sign-On, SSO) verwendet werden. Dieses Dokument behandelt nur die Single Sign-On (SSO)-Integration.
Konfigurieren Sie Single Sign-On (SSO), wenn sich Ihre Benutzer über ihren Unternehmensidentitätsanbieter authentifizieren sollen. Weitere Informationen finden Sie unter Single Sign-On-Integration in Control Hub und SAML-basierte SSO-Lösung .
-
Wenden Sie sich an den Cisco TAC-Support, um den Verzeichnisdienst zu deaktivieren. Warten Sie eine Minute und starten Sie die Einrichtung des Verzeichnisdienstes erneut.
-
Wenn Sie nach dem Löschen denselben Unified CM-Cluster erneut in die Organisation integrieren möchten, müssen Sie zuerst den Verzeichnisdienst deaktivieren und dann denselben Cluster erneut bereitstellen.
Wenden Sie sich an den Cisco TAC-Support, um den Verzeichnisdienst zu deaktivieren.
-
Auf der Seite mit der Synchronisierungsvereinbarung werden die Felder Synchronisierung alle durchführen und Nächste erneute Synchronisierungszeit aktiv angezeigt. Diese Felder sind auf dem Unified CM-Server jedoch ausgegraut, wenn die Option Synchronisierung nur einmal durchführen aktiviert ist. Dies ist derzeit eine Einschränkung in der Bereitstellungsfunktion für den Verzeichnisdienst von Webex Calling – Dedicated Instance, die in der kommenden Version behoben wird.
-
Benutzer, die im Azure-Portal gelöscht werden, werden im Webex-Identitätsdienst inaktiv, scheinen jedoch in Unified CM aktiv zu sein.
Problemumgehung: Gehen Sie zu Verwaltung > Benutzer und löschen Sie den Benutzer aus Control Hub. Der Benutzer ist in Unified CM als Inaktiv markiert.
-
Bei der Bereitstellung neuer Cluster für größere Organisationen (mit mehr als 80.000 Benutzern) kommt es derzeit zu einer Zeitüberschreitung. Dieses Problem wird in Kürze behoben.
-
Wenn Sie während der Bereitstellung auf die Schaltflächen Abbrechen, Fortfahren und Synchronisierung aktivieren auf der Seite „Synchronisierung aktivieren“ klicken, ändert sich der Status des Clusters nicht sofort auf der Benutzeroberfläche. Diese Einschränkung ist irreführend, da die Aktionen im Backend ausgeführt werden.
Problemumgehung: Klicken Sie nicht zweimal auf die Schaltflächen, und überprüfen Sie den Clusterstatus nach einigen Sekunden. Sie sehen, dass sich der Clusterstatus von Aktion erforderlich in Verarbeitung ändert. Dieses Problem wird in Kürze behoben.
-
Derzeit reagiert die Funktion Synchronisierung aktivieren nicht mehr, wenn das Unified Communications Manager-Netzwerk ausgefallen ist.
Problemumgehung: Wenden Sie sich an den Cisco TAC-Support, um den Verzeichnisdienst zu deaktivieren. Warten Sie eine Minute und starten Sie die Einrichtung des Verzeichnisdienstes erneut. Dieses Problem wird in der kommenden Version behoben.
-
Während der Bereitstellung wird die Liste mit den Gruppendetails aufgrund von Synchronisierungsproblemen mit dem Webex Common Identity Service nicht ausgefüllt. Es wird empfohlen, die Bereitstellung abzubrechen und es später erneut zu versuchen.
-
Wenn Sie die Verzeichnissynchronisierung erneut auf einem bereitgestellten Cluster konfigurieren, ist es ratsam, die Geschäftseinheit Webex Calling – Dedicated Instance in den Prozess einzubeziehen.