Habilitar Entra AD en Control Hub


 

Actualmente, no puede usar la aplicación Asistente de Azure AD con Webex for Government. Agregaremos soporte para Webex for Government en el futuro.

Algunas de las características descritas en este artículo todavía no están disponibles para todos los clientes.

Image showing the Azure AD sync setup.

Antes de comenzar

Asegúrese de tener acceso a una cuenta de Entra ID que tenga la autoridad de otorgar el consentimiento de administrador de inquilinos a una aplicación.
1

Inicie sesión en Control Hub con una cuenta de administrador completa.

2

Ir a Configuración de la organización y luego desplácese hacia abajo hasta Sincronización de directorios sección.

3

Haga clic en Configurar para iniciar la configuración.

4

Autentique su cuenta de administrador de Entra ID.


 

Si no es administrador de funciones global o privilaged en Entra ID, puede solicitar acceso para otorgar permiso al asistente de Azure AD.

Si tiene privilegios de administrador totales en Entra ID, puede revisar y conceder acceso a las solicitudes en Identidad > Aplicaciones > Aplicaciones empresariales. En Actividad, seleccione Solicitudes de consentimiento del administrador, haga clic en Integración de identidad de Cisco Webex y seleccione Revisar permisos y aceptar. Este proceso otorga autenticación general a la aplicación de Webex.

Por último, haga clic en la ficha Todos (vista previa), seleccione Integración de identidad de Cisco Webex y haga clic en Revisar aplicación. Menos de Seguridad > Permisos, haga clic en Conceder consentimiento de administrador para Cisco a fin de otorgar todos los permisos necesarios para habilitar Entra ID en Control Hub.

Consulte Soporte de Microsoft para obtener más información sobre este proceso.

5

Revise los permisos y haga clic en Aceptar para conceder la autorización de la cuenta para acceder a su inquilino de Entra ID.

Cisco Webex Identity es una aplicación empresarial de Entra ID en Entra ID. La aplicación Wizard se conecta a esta aplicación para acceder a las API de gráficos de ID de Entra. Los permisos necesarios para acceder a él son los permisos mínimos necesarios para admitirlo y utilizarlo.

Image showing the available permissions.
Permiso Uso de
Administrar aplicaciones que esta aplicación crea o posee

Se requiere para administrar la aplicación Cisco Webex Identity en Entra ID Enterprise, lo que incluye lo siguiente:

  • Crear/eliminar esta aplicación en Entra ID

  • Configuración de mapeo de atributos

  • Cambio de nombre de la aplicación en Entra ID

  • Habilitar / deshabilitar el aprovisionamiento automático

Leer todos los datos del registro de auditoríaSe utiliza para acceder al registro de auditoría de aprovisionamiento de Cisco Webex Identity para leer el historial de aprovisionamiento. Esta información se utiliza para el resumen de sincronización y la función de informe de sincronización en la aplicación Asistente.
Leer todos los grupos / Leer todas las membresías de gruposLee la lista de grupos de Entra ID para permitir la configuración correcta del alcance de sincronización de grupos.

 
Las actualizaciones de los miembros del grupo pueden tardar hasta 12 horas en sincronizarse. Si un usuario nuevo no se ha sincronizado automáticamente cuando se produce la sincronización de grupos, tendrá que esperar otras 12 horas para que el usuario nuevo se sincronice con su grupo.
Leer los perfiles completos de todos los usuariosSe utiliza al agregar usuarios en el ámbito de sincronización. Por ejemplo, este permiso permite la lectura de información del usuario mediante la búsqueda de un usuario y la visualización de los usuarios en la tabla de la página del usuario.
6

Para los clientes SMB, acepte la configuración predeterminada marcando el Sincronizar valores predeterminados casilla de verificación y haciendo clic en Continuar . Para los clientes empresariales, vaya al siguiente paso y continúe con la configuración.

Si acepta la configuración predeterminada, significa que desea:
  • Sincronice a todos los usuarios con Webex.
  • Acepte las asignaciones de atributos predeterminadas.
  • Habilite el interruptor para sincronizar las imágenes de perfil de todos los usuarios para que se muestren en los servicios de Webex .
  • Habilite la sincronización automática después de que se complete la configuración.
Image showing the Azure AD sync default setting option
7

Para los clientes empresariales (más de 1000 usuarios) o los clientes que desean configurar los ajustes manualmente, haga clic en el Atributos pestaña y mapear los atributos. Haga clic en Guardar.

Puede asignar otros atributos de usuario del ID de Entra a Webex, o cambiar las asignaciones de atributos de usuario existentes mediante la página Atributos. Puede personalizar la asignación asegurándose de configurarla correctamente. El valor que asigne como nombre de usuario es importante. Webex usa la dirección de correo electrónico del usuario como su nombre de usuario. De manera predeterminada, el userPrincipalName (UPN) en el ID de Entra se asigna a la dirección de correo electrónico (nombre de usuario) en Control Hub.


 
No puede editar la asignación durante la primera configuración. En ese momento, la instancia correspondiente no se compila por completo y no hay ninguna instancia del atributo de mapeo personalizado. Sin embargo, puede hacer clic en Editar para cambiarlo cuando se complete la configuración.
8

Agregue usuarios al alcance de la sincronización haciendo clic en el Usuarios pestaña.

Puede ingresar el nombre de usuario para buscar y agregar el usuario en el alcance de la sincronización. También puede eliminar un usuario del ámbito de sincronización haciendo clic en el icono de la Papelera de reciclaje del lado derecho. Haga clic en Guardar.

Si desea seleccionar todos los usuarios de Entra ID, seleccione Seleccionar todos los usuarios. Si la selecciona, no es necesario que seleccione grupos en el ámbito, ya que esta opción sincroniza los grupos al mismo tiempo.

Image showing all users synchronized

 

No recomendamos usar Seleccionar todos los usuarios para clientes empresariales importantes con cientos de miles de usuarios, ya que el proceso de inicialización requiere mucho tiempo. Si sincroniza accidentalmente muchos usuarios en Control Hub, también llevará más tiempo eliminarlos.

Haga clic en Guardar.

9

En la ficha Grupos, puede buscar grupos individuales y agregarlos a Webex.

  • Haga clic en la ficha Sincronizar miembros del grupo para seleccionar todos los usuarios que estén en los grupos seleccionados.
  • Haga clic en la ficha Sincronizar grupos infantiles para seleccionar usuarios de grupos infantiles específicos.
Image showing the screen to add or remove groups

Haga clic en Guardar.


 
De forma predeterminada, solo se sincronizarán los usuarios de los grupos seleccionados. Vaya a la ficha Más y seleccione Sincronizar objetos de grupo si también desea sincronizar los propios grupos.
10

En el Más pestaña, puede configurar algunas opciones avanzadas de sincronización:

  • Sincronizar avatares de usuarios: active esta opción para permitir que la aplicación de Webex sincronice todos los avatares de usuarios dentro del alcance con Webex. Cuando se actualiza el avatar de un usuario, el avatar del usuario se actualiza automáticamente en Webex. Es posible que no se actualice inmediatamente porque depende de la notificación de actualización para activar la actualización.

  • Sincronizar objetos grupales: actívelo para que los objetos grupales seleccionados en la ficha Grupos se sincronicen con Webex.

  • Activar inicio de sesión único: actívelo para configurar el SSO de OpenID Connect (OIDC) para su organización.


     
    Si su organización ya tiene SSO habilitado mediante una de las opciones de SAML , primero debe deshabilitar la opción SAML antes de poder activar OIDC SSO en la aplicación Asistente de Azure AD.

  • Identificar y sincronizar objetos de sala: active esta opción para sincronizar objetos de sala con Webex.

11

Puede decidir si desea permitir que la sincronización se lleve a cabo de inmediato o en una etapa posterior. Si selecciona el Permitir ahora opción, aplica todas las configuraciones a la próxima sincronización. Si selecciona el Guardar y permitir más tarde opción, la sincronización no se inicia hasta que permita la sincronización automática.

Image showing the option to save the configuration
12

La aplicación se comunica con Entra ID para configurar y planificar la sincronización.

Image showing that the setup is successful
Una vez completada la sincronización, aparece uno de los siguientes resultados en la Estado del trabajo campo:
  • Activo(s): la sincronización fue exitosa.
  • Cuarentena : el trabajo de sincronización se puso en cuarentena en Entra ID después de varios fallos. Consulte la documentación de Entra ID para obtener más información.
  • NotRun : este estado aparece solo después de la primera configuración. El servicio aún no se ha ejecutado después de la primera configuración.

También puede hacer clic en Ver resumen para ver información adicional, como la hora y la fecha de la última sincronización, y la cantidad de usuarios sincronizados, omitidos o con errores:

Usuarios

  • Sincronizado: muestra el número de usuarios sincronizados correctamente con Webex.
  • Omitido: muestra el número de usuarios que se omitieron en la última sincronización. Por ejemplo, nuevos usuarios en Entra ID que no se agregaron al alcance de sincronización de la aplicación Azure AD Wizard. Estos usuarios no se sincronizaron con Webex; agréguelos en el ámbito de sincronización para sincronizarlos con Webex.
  • Fallido: muestra el número de usuarios que no se pudieron sincronizar. Compruebe el registro de auditoría de aprovisionamiento de la aplicación Entra ID para obtener más información sobre por qué estos usuarios no se sincronizaron. Si necesita sincronizar estos usuarios inmediatamente, puede aprovicionamiento de usuarios a pedido .

Grupos

  • Sincronizado: muestra la cantidad de grupos sincronizados correctamente con Webex y creados en Control Hub.
  • Para sincronizar: este estado indica que aún no se han agregado todos los usuarios de un grupo. Los usuarios primero deben sincronizarse correctamente con Webex.

Migrar las configuraciones existentes de la aplicación Cisco Webex Enterprise a la aplicación del asistente de Azure AD

Si ya ha configurado una aplicación empresarial de Cisco Webex en Entra ID, puede migrar todas sus configuraciones a la aplicación del asistente de Azure AD automáticamente. Puede administrar Entra ID todo en Control Hub sin perder ninguna de sus configuraciones anteriores.

1

Inicie sesión en Control Hub con una cuenta de administrador completa.

2

Ir a Configuración de la organización y luego desplácese hacia abajo hasta Sincronización de directorios sección.

3

Haga clic en Configurar para iniciar la configuración.

4

Autentique la cuenta de administración de Entra ID con la configuración de Entra ID. Asegúrese de utilizar una cuenta que tenga los permisos descritos en el siguiente paso.

5

Revise los permisos y haga clic en Aceptar para conceder la autorización de la cuenta para acceder a su inquilino de Entra ID.

Cisco Webex Identity Synchronization es una aplicación empresarial de Entra ID en Entra ID. La aplicación Wizard se conecta a esta aplicación para acceder a las API de gráficos de ID de Entra. Los permisos necesarios para acceder a él son los permisos mínimos necesarios para admitirlo y utilizarlo.

Image showing the available permissions.
Permiso Uso de
Administrar aplicaciones que esta aplicación crea o posee

Se requiere para administrar la aplicación Cisco Webex Identity en Entra ID Enterprise, lo que incluye lo siguiente:

  • Crear/eliminar esta aplicación en Entra ID

  • Configuración de mapeo de atributos

  • Cambio de nombre de la aplicación en Entra ID

  • Habilitar / deshabilitar el aprovisionamiento automático

Leer todos los datos del registro de auditoríaSe utiliza para acceder al registro de auditoría de aprovisionamiento de Cisco Webex Identity para leer el historial de aprovisionamiento. Esta información se utiliza para el resumen de sincronización y la función de informe de sincronización en la aplicación Asistente.
Leer todos los grupos / Leer todas las membresías de gruposLee la lista de grupos de Entra ID para permitir la configuración correcta del alcance de sincronización de grupos.
Leer los perfiles completos de todos los usuariosSe utiliza al agregar usuarios en el ámbito de sincronización. Por ejemplo, este permiso permite la lectura de información del usuario mediante la búsqueda de un usuario y la visualización de los usuarios en la tabla de la página del usuario.
6

Seleccionar Migrar aplicación existente .

7

Después de aceptar solicitudes adicionales de permisos de solo lectura, seleccione la aplicación existente que desea migrar a la aplicación del asistente y, a continuación, seleccione Continuar .


 

Si la aplicación existente seleccionada no aprovicionamiento de usuarios al mismo Control Hub, la migración fallará.

8

Una vez completada la migración, le recomendamos que realizar un ensayo antes de habilitar la sincronización automática para asegurarse de que no haya errores.

Realizar un ensayo

Antes de habilitar la sincronización automática, le recomendamos que primero realice una ejecución en seco para asegurarse de que no haya errores. Una vez que se completa el ensayo, puede descargar un informe del ensayo para ver información detallada. Las columnas disponibles en el informe son:

Tabla 1. Descripciones de las columnas del informe de prueba
Nombre de la columnaDescripción
Tipo de objetoTipo de objeto en Entra ID, como usuario o grupo.
Tipo de acciónTipo de acción que se realizará al objeto durante una sincronización. Los posibles tipos de acción son:
  • Coincidencia: coincidencia de objetos en Entra ID y Control Hub.
  • Agregar —El objeto se agregará a Control Hub.
  • Desactivar: el objeto está en Control Hub, pero se ha eliminado en el ID de Entra o no se ha agregado al alcance de sincronización. Después de la sincronización, el objeto se desactivará.
Identificador de AzureID del objeto en Entra ID.
Nombre de AzureNombre del objeto en Entra ID.
Nombre de WebexNombre del objeto en Webex.
MotivoRazón por la que se producirá un tipo de acción durante una sincronización.
1

Inicie sesión en Control Hub con una cuenta de administrador completa.

2

Ir a Configuración de la organización y luego desplácese hacia abajo hasta Sincronización de directorios sección.

3

Haga clic en los tres puntos verticales junto a la instancia que desea sincronizar y luego seleccione Ejecución en seco .

4

Una vez que se complete el ensayo, haga clic en Descargar resumen para descargar el informe como archivo CSV.

Habilitar o deshabilitar la sincronización automática

El asistente de Azure AD y su correspondiente servicio de backend comprueban si la sincronización automática está habilitada para determinar cuándo sincronizar usuarios o grupos desde Entra ID a Webex. Habilite la opción Sincronización automáticapara permitir la sincronización automática de usuarios y grupos. Cuando deshabilita la sincronización automática, la aplicación del asistente no sincroniza nada con Webex, pero se conserva la configuración existente.


 

Normalmente, los usuarios se sincronizan cada 40 minutos según la directiva de Microsoft.

1

Inicie sesión en Control Hub como administrador completo de la organización.

2

Ir a Configuración de la organización y luego desplácese hacia abajo hasta Sincronización de directorios sección.

3

Mueva la palanca a la derecha para habilitar Sincronización automática .

Deshabilítelo cambiando el Sincronización automática alternar a la izquierda.

Editar la configuración de la aplicación del asistente de Azure AD

1

Conéctese a Control Hub como administrador completo de la organización.

2

Ir a Configuración de la organización y luego desplácese hacia abajo hasta Sincronización de directorios sección.

3

Haga clic en Editar configuración .

Image showing the option to delete an Azure AD instance
4

Personalice la asignación de atributos seleccionando un atributo de la columna izquierda que se origina en Entra ID. El atributo de destino en Nube de Webex está en la columna de la derecha. Ver Asignación de atributos de la aplicación del asistente de Azure AD para obtener más información sobre los atributos de asignación.

Image showing the custom attributes
5

En el Usuarios y Grupos pestañas, agregue o elimine usuarios y grupos del alcance de la sincronización.


 
Los grupos anidados no se sincronizan automáticamente con la nube. Asegúrese de seleccionar cualquier grupo que esté anidado dentro de los grupos que desea sincronizar.
6

En el Más pestaña cambie sus preferencias si es necesario.

7

Haga clic en Guardar para guardar la configuración modificada.


 

Sus actualizaciones se aplican en la próxima sincronización. El mecanismo de sincronización automática de Entra ID maneja la sincronización de usuarios y grupos de usuarios.

Editar el nombre de la instancia de Webex

Cambie cómo aparece el nombre de la instancia de identidad de Cisco Webex en la lista de aplicaciones empresariales de Entra ID.

1

Conéctese a Control Hub como administrador completo de la organización.

2

Ir a Configuración de la organización y luego desplácese hacia abajo hasta Sincronización de directorios sección.

3

Haga clic en Editar el nombre de la instancia .

Image showing the option to delete an Azure AD instance
4

Ingrese el nombre de la nueva instancia y luego haga clic en Guardar .

Eliminar la configuración de la aplicación del asistente de Azure AD

Cuando elimina la aplicación Azure AD Wizard, elimina la configuración para la sincronización de Entra ID. Webex o Entra ID no retienen la configuración. Si desea utilizar la sincronización de Entra ID en el futuro, tendrá que realizar una reconfiguración completa.

Antes de comenzar

1

Conéctese a Control Hub como administrador completo de la organización.

2

Ir a Configuración de la organización y luego desplácese hacia abajo hasta Sincronización de directorios sección.

3

Haga clic en Eliminar instancia .

Image showing the option to delete an Azure AD instance
4

En el ¿Eliminar instancia de Azure AD? página, seleccione Revocar el consentimiento del administrador de Azure AD si desea eliminar el acuerdo de consentimiento de Webex. Si selecciona esta opción, debe ingresar sus credenciales y otorgar los permisos nuevamente.

Image showing the Delete window to delete an Azure AD instance
5

Haga clic en Eliminar.

Aprovisionar un usuario a Webex a pedido

Puede aprovisionar a un usuario a Webex inmediatamente, independientemente de una sincronización de ID de Entra, y comprobar instantáneamente el resultado. Esto ayuda a la hora de solucionar problemas durante la instalación.

1

Conéctese a Control Hub como administrador completo de la organización.

2

Vaya a Configuración de la organización y desplácese hacia abajo hasta la sección Sincronización de directorios.

3

Haga clic en Aprovisionar un usuario a pedido .

Image showing the option to delete an Azure AD instance
4

Busque y seleccione el usuario que desea aprovisionar y haga clic en Provisión .

5

Uno de los siguientes resultados aparece cuando se completa:

  • Aprovisionamiento exitoso: El nuevo usuario se creó correctamente en Webex.
  • Aprovisionamiento omitido: El aprovisionamiento se omitió por algún motivo, generalmente porque el usuario ya existe. Los detalles aparecen en la Resumen de resultados página.
  • Error de aprovisionamiento: El aprovisionamiento falló. Los detalles aparecen en la Resumen de resultados página.
6

Haga clic en Volver a intentar para aprovisionar al mismo usuario nuevamente, si se saltó o falló.

7

Haga clic en Aprovisionar a otro usuario para volver a la página de aprovisionamiento.

8

Haga clic en Hecho cuando haya terminado.

Importar dominios verificados de ID de Entra a Control Hub

Los clientes pueden tener cientos de dominios verificados en Entra ID. Mientras se integran con Control Hub, si quieren importar los dominios verificados del ID de Entra a Control Hub. Esto puede ahorrar muchos esfuerzos en el proceso de mantenimiento o configuración.

1

Ir a la Dominio secion en el Configuración de la organización pestaña en Control Hub.

2

Haga clic en Agregar con Azure AD .

3

En el Agregar dominios verificados página, busque y seleccione los dominios que desee agregar.

4

Haga clic en Agregar.

Los dominios verficados aparecerán en la lista de dominios verificados.

Asignación de atributos de la aplicación del asistente de Azure AD

La aplicación Asistente de Azure AD puede admitir y sincronizar cualquier cambio que realice en sus expresiones de atributo. Por ejemplo, en Entra ID, puede asignar el displayName para que muestre tanto el surname y una givenName atributos. Estos cambios aparecen en la aplicación del asistente.

Puede encontrar más información sobre la asignación de expresiones de atributos en Entra ID en el sitio de ayuda de Microsoft.

Utilice la siguiente tabla para obtener información sobre atributos específicos de Entra ID.


 

Azure AD no sincroniza valores nulos. Si establece un valor de atributo como nulo en Entra ID, no se elimina ni se aplica un parche con un valor nulo en Webex. Consulte las limitaciones del sitio de ayuda de Microsoft para obtener más información.

Tabla 2. Asignación de Azure a Webex

Atributo de Active Directory azure (origen)

Atributo de usuario de Webex (destino)

Descripción

Userprincipalname

userName

 Es el Identificador único del usuario en Webex. Es un correo electrónico formateado.

displayName

displayName

 Nombre de usuario que se muestra en la aplicación de Webex .

Apellido

nombre.nombre familiar

givenName

nombre.nombre dado

Idobjeto

ID externo

 Es el UID del usuario en Entra ID. Generalmente, es una cadena de 16 bytes. No recomendamos que cambie esta asignación.

cargoTitle (Título de trabajo)

title

reasignación de uso

direcciones[escriba eq "trabajo"].país

 Recomendamos utilizar la asignación de ubicación de uso a las direcciones [escriba eq "work"]. Country. Si elige otro atributo, debe asegurarse de que los valores de los atributos cumplan con los estándares. Por ejemplo, EE. UU. Debería ser EE. UU. China debería ser CN, etc.

ciudad

direcciones[type eq "work"].locality

streetAddress

direcciones[escriba eq "work"].streetAddress

Estado

direcciones[escriba eq "trabajo"].región

postalCode

direcciones[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

administrador

administrador

Sincroniza la información del administrador de los usuarios con Webex para que los usuarios siempre puedan ver la información correcta del administrador en la tarjeta de contacto de un usuario.

Cuando se crea un usuario, Entra ID comprueba si el objeto del administrador del usuario está en Webex Identity o no. En caso negativo, se ignora el atributo de administrador del usuario. Si hay un atributo de administrador, se deben cumplir dos condiciones para que el atributo se muestre en la tarjeta de contacto del usuario:

  • El objeto de administrador está sincronizado con Webex.
  • El usuario miembro está activo en la aplicación Webex . Técnicamente, puede activar el evento de backend para consultar el atributo de administrador del usuario periódicamente. Por lo tanto, cuando se agrega o cambia la información del administrador del usuario, el atributo de administrador del usuario podría actualizarse a través del servicio activado.

Estas condiciones comprueban la actualización del atributo de administrador del usuario cuando caduca el token de autenticación de un usuario.

Preguntas frecuentes

¿Cómo puedo migrar a la aplicación Azure AD Wizard desde la provisión de Cisco Directory Connector?

Durante la instalación, la aplicación del asistente detecta si su organización utiliza Directory Connector. Si está habilitado, un cuadro de diálogo donde puede optar por utilizar el ID de Entra y bloquear el Conector de directorios. Haga clic en Bloquear para confirmar que desea continuar con la configuración de la aplicación Asistente de Azure AD.

También puede optar por deshabilitar Directory Connector antes de configurar la aplicación del asistente. Después de la configuración, la aplicación del asistente administra los perfiles de usuario. Sin embargo, la aplicación del asistente solo administra los usuarios que se agregaron al alcance de la sincronización; no puede utilizar la aplicación del asistente para administrar los usuarios sincronizados por Directory Connector que no formaban parte del alcance de la sincronización.

¿Puedo configurar el inicio de sesión único con Microsoft Entra?

Puede configurar una integración de inicio de sesión único (SSO) entre una organización de cliente de Control Hub y una implementación en la que se utilice el ID de Microsoft Entra como proveedor de servicios de identidad.

¿Cuándo se actualiza el avatar del usuario en Webex?

Los avatares del usuario se sincronizan con Webex cuando se crea el usuario en Webex Identity. Esta actualización se basa en la actualización del avatar del usuario en Entra ID. A continuación, la aplicación Wizard recupera el nuevo avatar de Entra ID.