- Inicio
- /
- Artículo
Gracias por sus comentarios.
Guía de implementación para el Conector de directorios
En este artículo
¿Comentarios?Descripción general del Conector de directorios
El Conector de directorios es una aplicación local para la sincronización de identidades en la nube. Descargue el software de conectores desde Control Hub e instálelo en su máquina local.
Con el Conector de directorios, puede mantener sus cuentas de usuario y datos en Active Directory, por lo que Active Directory se convierte en la única fuente de verdad. Cuando realiza un cambio en las instalaciones, se replica en la nube.
Vea todas las características, descripciones y beneficios en la tabla:
| Característica | Descripción y beneficio |
|---|---|
| Panel de control fácil de usar | El panel proporciona una planificación de sincronización, un resumen y el estado de la sincronización, así como el estado del Conector de directorios. Puede ver el tablero de mandos cada vez que inicie sesión. |
| Simulación antes de sincronizar con la nube | Realice una simulación de los cambios en el directorio antes de implementarlos en la nube. Luego ejecute un informe para ver que los cambios que desea hacer son los que espera. |
| Sincronización completa e incremental | Sincronice todo el directorio. O simplemente sincronice los cambios incrementales para ahorrar energía de procesamiento y acortar el tiempo de sincronización. |
Sincronizar múltiples dominios (bosque único o bosques múltiples) |
El Conector de directorios admite varios dominios en un solo bosque o en varios bosques (sin necesidad de AD LDS). En el caso de empresas con varios dominios de Active Directory, puede instalar un conector de directorios para cada dominio, vincular cada dominio a su organización y, luego, sincronizar cada base de usuarios en Webex. Control Hub refleja el estado al mostrar el estado de sincronización para varios conectores de directorios, le permite desactivar la sincronización para un dominio específico y desactivar un conector de directorios en una implementación de alta disponibilidad. |
| Sincronización planificada | Establezca una planificación de sincronización por día, hora y minuto. |
| Filtros del Protocolo ligero de acceso a directorios (LDAP) | Definir los criterios de búsqueda de LDAP y proporcionar importaciones eficientes. |
| Asignación de atributos de Active Directory | Asigne los atributos de Microsoft Active Directory a los atributos de la nube de Webex correspondientes. Puede asignar atributos que sean relevantes para su configuración de Active Directory y también definir atributos personalizados para asignarlos a la nube. Los atributos de las instalaciones forman varios datos en la nube, como información de cuentas de usuario, números de teléfono de conexión en Webex Teams, direcciones SIP de recursos de sala y otros datos de tarjetas de contacto de usuario (cargo, departamento, gerente, etc.). |
Directorio corporativo para recursos de salas locales y usuarios de Cisco Webex Calling (PSTN en la nube) y contactos empresariales sin licencias de Webex |
Si parte de su organización utiliza la PSTN en la nube de Cisco Webex Calling para el servicio de llamadas o si tiene dispositivos de sala locales, esta característica permite a los usuarios buscar en el directorio contactos empresariales desde sus teléfonos de Cisco Webex Calling (PSTN en la nube) o recursos de sala.
|
| Visor de eventos | Utilice el visor de eventos para determinar si hubo problemas con la sincronización. |
| Herramienta de diagnóstico y solución de problemas | Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas de implementación de Cisco Directory Connector. Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión a Active Directory para que pueda diagnosticar los errores usted mismo antes de comunicarse con el soporte. Una vez que habilite la solución de problemas en el Conector de directorios, se escribirán registros que se pueden enviar al soporte técnico. |
| Mejora automática | Después de instalar el Conector de directorios, se le enviará una notificación cada vez que haya una nueva versión del software disponible. Puede configurar actualizaciones automáticas para que siempre esté en la última versión del software cuando se lance una nueva versión. |
| Alta disponibilidad | Configure varios conectores para que haya una copia de seguridad, en caso de que el conector principal o la máquina que lo aloja se caigan. |
El Conector de directorios está dividido en tres áreas:
Control Hub es la interfaz única que le permite administrar todos los aspectos de su organización de Webex: ver usuarios, asignar licencias, descargar el Conector de directorios y configurar el inicio de sesión único (SSO) si desea que sus usuarios se autentiquen a través de su proveedor de servicios de identidad empresarial y no desea enviar invitaciones por correo electrónico para la aplicación Webex.
La interfaz de administración del Conector de directorios es el software que descarga desde Control Hub e instala en un servidor Windows de confianza. Para varios dominios de Active Directory, puede instalar un instante del software para cada dominio que desee sincronizar. Con el software, puede ejecutar una sincronización para incorporar sus cuentas de usuario de Active Directory a Webex, ver y supervisar el estado de la sincronización y configurar los servicios del Conector de directorios.
El servicio de sincronización de directorios le solicita a su Active Directory que recupere usuarios y grupos para sincronizarlos con el servicio de conectores y con el Conector de directorios.
Consulte este diagrama para comprender la arquitectura del Conector de directorios:
Requisitos del Conector de directorios
Requisitos de Windows y Active Directory
Puede instalar el Conector de directorios en estos servidores Windows compatibles:
Windows Server 2012
Windows Server 2019
Windows Server 2016
 | Para solucionar un problema de cookie, le recomendamos que actualice su controlador de dominio a una versión que contenga la corrección: Windows Server 2012 R2 o 2016. |
El Conector de directorios es compatible con los siguientes servicios de Active Directory:
Active Directory 2016
(El Conector de directorios es compatible cuando se utiliza la versión más reciente de Active Directory en Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Tenga en cuenta los siguientes requisitos adicionales:
El Conector de directorios requiere TLS1.2. Debe instalar lo siguiente:
.NET Framework v3.5 (necesario para la aplicación del Conector de directorios. Si tiene algún problema, utilice las instrucciones de Activar .NET Framework 3.5 mediante el asistente Agregar funciones y características).
.NET Framework v.4.5 (requerido para TLS1.2)
Se requiere el nivel funcional de bosque de Active Directory 2 (Windows Server 2003) o superior. (Consulte ¿Qué son los niveles funcionales de Active Directory? para obtener más información).
Requisitos de hardware
Debe instalar el Conector de directorios en una computadora con estos requisitos mínimos de hardware:
8 GB de RAM
50 GB de almacenamiento
No hay ningún mínimo para la CPU
Requisitos de red
Si su red está detrás de un firewall, asegúrese de que su sistema tenga acceso HTTPS (puerto 443) a Internet.
Requisitos de la organización de Webex
Para acceder al software del Conector de directorios desde Control Hub, necesita una organización de Webex con una prueba o cualquier suscripción paga.
(Opcional) Si desea que las nuevas cuentas de usuario de la aplicación de Webex estén Activas antes de que inicien sesión por primera vez, le recomendamos que haga lo siguiente:
Agregue, verifique y, opcionalmente, reclame dominios que contengan las direcciones de correo electrónico de los usuarios que desea sincronizar en la nube.
Realice una integración de inicio de sesión único (SSO) de su proveedor de servicios de identidad (IdP) con su organización de Webex.
Suprimir las invitaciones automáticas por correo electrónico, para que los usuarios nuevos no reciban la invitación automática por correo electrónico y usted pueda realizar su propia campaña de correo electrónico. (Esta característica requiere la integración de SSO).
| Para obtener más información, consulte Estados y acciones de los usuarios en Control Hub. |
Requisitos de instalación
En el caso de un entorno de varios dominios (un solo bosque o varios bosques), debe instalar un conector de directorios para cada dominio de Active Directory. Si desea sincronizar un nuevo dominio (B) mientras mantiene los datos de usuario sincronizados en otro dominio existente (A), asegúrese de tener un servidor de Windows compatible independiente para instalar el Conector de directorios para la sincronización del dominio (B).
Para iniciar sesión en el conector, no necesitamos una cuenta administrativa en Active Directory. Necesitamos una cuenta de usuario local que sea el mismo usuario que una cuenta de administrador completa en Control Hub.
Este usuario local debe tener privilegios en esa máquina de Windows para conectarse al Controlador de dominio y leer objetos de usuario de Active Directory. La cuenta de inicio de sesión del equipo debe ser un administrador del equipo con privilegios para instalar software en el equipo local. (Esta información también se aplica al inicio de sesión de la máquina virtual).
Al iniciar sesión en el conector, la cuenta de inicio de sesión debe ser la misma que la cuenta de administrador completa para Control Hub. De manera predeterminada, el conector utiliza la cuenta del sistema local para acceder a Active Directory. Sin embargo, puede utilizar los servicios de Windows para configurar otra cuenta para acceder a Active Directory. (Esta información también se aplica al inicio de sesión de la máquina virtual).
Asegúrese de que el modo de búsqueda de la biblioteca de enlaces dinámicos (DLL) de Windows Safe esté activado mediante este procedimiento: Compruebe SafeDllSearchMode en el Registro de Windows.
Si utiliza AD LDS para varios dominios en un solo bosque, le recomendamos que instale el Conector de directorios y Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) en máquinas separadas.
Requisitos de varios dominios
Antes de seguir las tareas del Flujo de tareas de implementación del conector de directorios de Cisco, tenga en cuenta los siguientes requisitos y recomendaciones si va a sincronizar la información de Active Directory de varios dominios a la nube:
Se requiere una instancia independiente del Conector de directorios para cada dominio.
El software del Conector de directorios debe ejecutarse en un host que esté en el mismo dominio que sincronizará.
Le recomendamos que verifique o reclame sus dominios en Control Hub. (Consulte Agregar, verificar y reclamar dominios).
Si desea sincronizar más de 50 dominios, debe abrir un ticket para que su organización se mueva a una gran lista de organizaciones.
Si lo desea, puede sincronizar la información de los recursos de la sala junto con las cuentas de usuario. (Consulte Sincronizar la información de la sala local con la nube de Webex).
Recomendaciones de grupos de Active Directory para la asignación automática de licencias
Los grupos de Active Directory se utilizan para recopilar cuentas de usuario, cuentas de equipo y otros grupos en unidades administrables. Trabajar con grupos en lugar de con usuarios individuales ayuda a simplificar el mantenimiento y la administración de la red.
Hay dos tipos de grupos en Active Directory:
Grupos de distribución: se utilizan para crear listas de distribución de correo electrónico.
Grupos de seguridad: se utilizan para asignar permisos a recursos compartidos.
Tenga en cuenta las siguientes pautas al crear grupos en Active Directory:
Cree un grupo global para cada función, departamento o servicio (como ventas, marketing, gerentes, contables, licencias de Webex, etc.).
Utilice convenciones de nomenclatura estándar en toda su organización para facilitar la identificación de información importante sobre un grupo. Los nombres de grupos pueden incluir detalles sobre el grupo, como el nivel de acceso, el tipo de recurso, el nivel de seguridad, el alcance del grupo, la capacidad del correo, etc. Por ejemplo, el nombre de grupo “GSG_Webex_Licensing_EMEAR” se refiere a un grupo de seguridad global para usuarios de licencias de Webex EMEAR.
Organice grupos de una manera fácil de entender, por ejemplo, por geografía o jerarquía directiva. Utilice descripciones de grupos para describir completamente el propósito del grupo.
Antes de agregar usuarios a grupos aprovisionados recientemente, defina la plantilla de grupo de licencia automática en Control Hub para esos grupos. Consulte Configurar la plantilla de asignación automática de licencias para obtener más información.
Información de dimensionamiento
El Conector de directorios funciona como puente entre el Active Directory local y la nube de Webex. Por lo tanto, el conector no tiene un límite superior para cuántos objetos de Active Directory se pueden sincronizar en la nube. Todos los límites de los objetos de directorio locales están vinculados a la versión y las especificaciones específicas del entorno de Active Directory que se está sincronizando con la nube, no al conector en sí.
Algunos factores pueden afectar la velocidad de la sincronización:
El número total de objetos de Active Directory. (Un trabajo de sincronización de 5.000 usuarios no demorará hasta 50.000).
Velocidad y ancho de banda de red.
Carga y especificaciones del sistema.
 | Si está sincronizando más de 50000 usuarios, le recomendamos encarecidamente que utilice un segundo conector para la conmutación por error y la redundancia. |
| Debido a que varios factores están involucrados en la sincronización y debido a que cada implementación varía en función de los factores anteriores, no podemos proporcionar valores de tiempo específicos para cuánto tiempo tomará una sincronización de objetos. |
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de biblioteca de enlaces dinámicos seguros (DLL) se establece de forma predeterminada en el registro de Windows y coloca el directorio actual del usuario más tarde en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar una DLL maliciosa (denominada igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para verificar dos veces la configuración del registro.
Antes de comenzar
 | Los cambios en el registro de Windows se deben realizar con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de utilizar estos pasos. |
| 1 | En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 | Vaya a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 | Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de vínculos dinámica.
Integración de proxy web
Integración de proxy web
Si la autenticación con proxy web está habilitada en su entorno, puede seguir usando el Conector de directorios.
Si su organización utiliza un proxy web transparente, no es compatible con la autenticación. El conector conecta y sincroniza usuarios correctamente.
Puede adoptar uno de estos enfoques:
Proxy web explícito a través de Internet Explorer (el conector hereda la configuración del proxy web)
Proxy web explícito a través de un archivo .pac (el conector hereda la configuración de proxy específica de la empresa)
Proxy transparente que funciona con el conector sin ningún cambio
Utilizar un proxy web por medio del navegador
Puede configurar el Conector de directorios para que utilice un proxy web a través de Internet Explorer.
Si el servicio de sincronización de directorios de Cisco se ejecuta desde una cuenta diferente a la que está conectado el usuario en ese momento, también tiene que iniciar sesión con esta cuenta y configurar el proxy web.
| 1 | Desde Internet Explorer, diríjase a Opciones de Internet, haga clic en Conexiones y luego elija Configuración de LAN. | ||
| 2 | Apunte la instancia de Windows donde está instalado el conector en su proxy web. El conector hereda esta configuración del proxy web. | ||
| 3 | Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede realizar esto en todo el sitio (para todos los hosts) o solo para el host que tiene el conector.
| ||
| 4 | Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de certificación, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo acerca de dominios y URL a los que se debe acceder para los servicios de Webex. |
Configurar el proxy web por medio de un archivo PAC
Puede configurar un navegador cliente para utilizar un archivo .pac. Este archivo proporciona información sobre la dirección y el puerto del proxy web. El Conector de directorios hereda directamente la configuración del proxy web específica de la empresa.
| 1 | Para que el conector conecte y sincronice correctamente la información del usuario a la nube de Webex, asegúrese de que la autenticación de proxy esté deshabilitada para | ||
| 2 | Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede realizar esto en todo el sitio (para todos los hosts) o solo para el host que tiene el conector.
| ||
| 3 | Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de certificación, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo acerca de dominios y URL a los que se debe acceder para los servicios de Webex. |
Proxy NTLM
El Conector de directorios es compatible con NT LAN Manager (NTLM). NTLM es un enfoque para admitir la autenticación de Windows entre los dispositivos del dominio y garantizar su seguridad.
Diseño NTLM
En la mayoría de los casos, un usuario quiere acceder a los recursos de otra estación de trabajo a través de un equipo cliente, lo que puede ser difícil de hacer de forma segura.
Generalmente, el diseño técnico de NTLM se basa en un mecanismo de Desafío
y Respuesta
:
Un usuario inicia sesión en un PC cliente a través de una cuenta y contraseña de Windows. La contraseña nunca se guarda localmente. En lugar de una contraseña de texto sin formato, se almacena localmente un valor hash de la contraseña. Cuando un usuario inicia sesión a través de la contraseña para el cliente, el sistema operativo Windows compara el valor hash almacenado y el valor hash de la contraseña de entrada. Si ambos son iguales, la autenticación pasa.
Cuando el usuario desea acceder a cualquier recurso de otro servidor, el cliente envía una solicitud al servidor con el nombre de cuenta en texto sin formato.
Cuando el servidor recibe la solicitud, genera una clave aleatoria de 16 bits. La clave se llama Desafío (o Nonce). Antes de que el servidor vuelva a enviar al cliente, el desafío se almacena en el servidor. Y luego el servidor envía el desafío al cliente en texto sin formato.
Tan pronto como el cliente recibe el desafío enviado desde el servidor, el cliente cifra el desafío por el valor hash mencionado en el paso 1. Después del cifrado, el valor se devuelve al servidor.
Cuando el servidor recibe el valor cifrado del cliente, el servidor lo envía al controlador de dominio para su verificación. La solicitud incluye: el nombre de la cuenta, el desafío cifrado que envió el cliente y el desafío simple original.
El controlador de dominio puede recuperar los valores hash de la contraseña según el nombre de la cuenta. Y luego el controlador de dominio puede cifrar en el desafío original. A continuación, el controlador doman puede compararlo con el valor hash recibido y el valor hash cifrado. Si son iguales, la verificación es exitosa.
| Windows tiene incorporada la autenticación de seguridad en el sistema operativo, lo que facilita que las aplicaciones admitan la autenticación de seguridad. Como resultado, no necesita completar la configuración adicional. |
Configurar un proxy transparente
En esta situación, el navegador no sabe que un proxy web transparente está interceptando solicitudes http [puerto 80/puerto 443] y no se requiere ninguna configuración en el lado del cliente.
| 1 | Implemente un proxy transparente para que el conector pueda conectar y sincronizar usuarios. |
| 2 | Confirme que el proxy sea correcto: verá una ventana emergente de autenticación del navegador esperada al iniciar el conector. |
Establecer autenticación de proxy
Agregar la URL cloudconnector.webex.com a su lista de permitidos mediante la creación de una Lista de control de acceso.
En su servidor de firewall empresarial:
| 1 | Habilite la búsqueda de DNS si todavía no está habilitada. |
| 2 | Determine un ancho de banda estimado para esta conexión (aproximadamente 2 mb/s o menos para el conector). Es posible que esto no sea obligatorio. |
| 3 | Cree una lista de control de acceso para aplicarla al host de conectores y especifique Por ejemplo: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Aplique esta ACL a la interfaz de firewall adecuada, que solo se aplica a este host de conectores único. |
| 5 | Asegúrese de que el resto de los hosts de su empresa todavía tengan que utilizar su proxy web; para ello, configure la declaración de denegación implícita que corresponda. |
Flujo de tareas de implementación del conector de directorios de Cisco
Antes de comenzar
| 1 | Instalar el Conector de directorios Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, a continuación, realizar correctamente una sincronización completa. Para una nueva instalación del Conector de directorios, siempre vaya a Control Hub ( https://admin.webex.com) para obtener la versión más reciente del software, de modo que esté utilizando las funciones y correcciones de errores más recientes. Después de instalar el software, las actualizaciones se informan a través del software y se instalan automáticamente cuando estén disponibles. |
| 2 | Iniciar sesión en el Conector de directorios Inicie sesión con sus credenciales de administrador de Webex y realice la configuración inicial. |
| 3 | Configurar mejoras automáticas Siempre es importante mantener el software del Conector de directorios actualizado a la última versión. Le recomendamos que utilice este procedimiento para permitir que las actualizaciones automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 4 | Elegir objetos de Active Directory para sincronizar De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre qué objetos se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios. |
| 5 |
Puede mapear atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid. |
| 6 | Sincronice avatares de directorios mediante uno de los siguientes procedimientos:
Puede sincronizar los avatares de sus usuarios a la nube para que aparezca el avatar de cada usuario cuando este inicie sesión en la aplicación. Puede sincronizar avatares desde un atributo de Active Directory o un servidor de recursos. |
| 7 | Sincronizar la información de la sala local con la nube de Webex Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de sala locales con una dirección SIP configurada y asignada aparecen como entradas para búsquedas en los dispositivos de sala registrados en la nube, como un dispositivo de sala de Webex o Cisco Webex Board |
| 8 | Para Aprovisionar Usuarios De Active Directory A Control Hub, realice estos pasos:
Siga esta secuencia para aprovisionar usuarios de Active Directory para las cuentas de la aplicación de Webex. Puede aprovisionar usuarios desde una implementación de Active Directory de varios dominios o bosques para el Conector de directorios 3.0 y versiones posteriores. Durante el proceso para incorporar usuarios de diferentes dominios, debe decidir si desea retener o eliminar los objetos de usuario que podrían existir ya en la nube de Webex, por ejemplo, cuentas de prueba de una prueba. El objetivo es tener una coincidencia exacta entre sus directorios activos y la nube de Webex. |
Instalar el Conector de directorios
Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, a continuación, realizar correctamente una sincronización completa.
Debe instalar un conector para cada dominio de Active Directory que desee sincronizar. Una sola instancia del Conector de directorios solo puede servir a un solo dominio. Consulte el siguiente diagrama para comprender el flujo de la sincronización de varios dominios:
Antes de comenzar
Si se autentica a través de un servidor proxy, asegúrese de tener sus credenciales de proxy:
Para la autenticación básica de proxy, introducirá el nombre de usuario y la contraseña después de instalar una instancia del conector. La configuración del proxy de Internet Explorer también es necesaria para la autenticación básica; consulte Usar un proxy web a través del navegador
En el caso de NTLM proxy, es posible que vea un error cuando abra el conector por primera vez. Consulte Usar un proxy web a través del navegador.
| 1 | En Control Hub, vaya a , y elige Siguiente. | ||
| 2 | Haga clic en el vínculo Descargar e instalar para guardar la versión más reciente del archivo .zip de instalación del conector en su servidor VMware o Windows. Puede obtener el archivo .zip directamente desde este enlace, pero debe tener acceso administrativo completo a una organización de Control Hub para que este software funcione.
| ||
| 3 | En el servidor de VMware o Windows, descomprima y ejecute el archivo .msi en la carpeta de configuración para iniciar el asistente de configuración. | ||
| 4 | Haga clic en Siguiente, marque la casilla para aceptar el acuerdo de licencia y, a continuación, haga clic en Siguiente hasta que vea la pantalla del tipo de cuenta. | ||
| 5 | Seleccione el tipo de cuenta de servicio que quiera utilizar y realice la instalación con una cuenta de administrador:
Para evitar errores, asegúrese de que los siguientes privilegios estén vigentes:
| ||
| 6 | Haga clic en Instalar. Una vez ejecutada la prueba de red y, si se le solicita, introduzca sus credenciales básicas de proxy, haga clic en Aceptar y, a continuación, en Finalizar. |
Qué hacer a continuación
Se recomienda reiniciar el servidor después de la instalación. El informe de simulación no puede mostrar el resultado correcto cuando no se publicaron los datos. Al reiniciar la máquina, todos los datos se actualizan para mostrar un resultado exacto en el informe.
Iniciar sesión en el Conector de directorios
Antes de comenzar
Asegúrese de tener sus credenciales de proxy.
Para la autenticación básica de proxy, introducirá el nombre de usuario y la contraseña después de abrir el conector por primera vez.
Para NTLM proxy, abra Internet Explorer, haga clic en el icono de engranaje, vaya a Opciones de Internet > Conexiones > Configuración de LAN, asegúrese de que se agrega la información del servidor proxy y, a continuación, haga clic en Aceptar. Consulte Usar un proxy web a través del navegador.
| 1 | Abra el conector y luego agregue | ||||
| 2 | Si se le solicita, inicie sesión con sus credenciales de autenticación de proxy y, luego, inicie sesión en Webex con su cuenta de administrador y haga clic en Siguiente. | ||||
| 3 | Confirme su organización y dominio.
| ||||
| 4 | Después de que aparezca la pantalla para Confirmare organización, haga clic en Confirmar. Si ya ha vinculó AD DS/AD LDS, aparecerá la pantalla para Confirmar organización. | ||||
| 5 | Haga clic en Confirmar. | ||||
| 6 | Elija una opción, dependiendo de la cantidad de dominios de Active Directory que quiera vincular al Conector de directorios:
|
Qué hacer a continuación
Después de iniciar sesión, se le pedirá que realice una simulación de sincronización.
Tablero de mandos del Conector de directorios
La primera vez que inicie sesión en el Conector de directorios, aparecerá el tablero de mandos. Aquí puede ver un resumen de todas las actividades de sincronización, ver estadísticas de la nube, realizar una simulación de sincronización, iniciar una sincronización completa o incremental y abrir la vista de eventos para ver información de errores.
| Si caduca su sesión, vuelva a iniciarla. |
Puede ejecutar estas tareas fácilmente desde la barra de herramientas de Acciones o desde el menú de Acciones.
Componente | Descripción |
|---|---|
Sincronización actual |
Muestra información de estado sobre la sincronización en curso. Cuando no se está ejecutando ninguna sincronización, la pantalla de estado está inactiva. |
Próxima sincronización |
Muestra las próximas sincronizaciones completas e incrementales planificadas. Si no se define ninguna planificación, aparece No planificada. |
Última sincronización |
Muestra el estado de las dos últimas sincronizaciones realizadas. |
Estado de la sincronización actual |
Muestra el estado general de la sincronización. |
Conectores |
Muestra los conectores locales actuales que están disponibles en la nube. |
Estadísticas de la nube |
Muestra el estado general de la sincronización. |
Planificación de sincronizaciones |
Muestra la planificación de sincronizaciones para sincronizaciones incrementales y completas. |
Resumen de configuración |
Enumera los ajustes que cambió en la configuración. Por ejemplo: el resumen podría incluir lo siguiente:
|
| Acción | Descripción | ||
|---|---|---|---|
| Iniciar la sincronización incremental | Iniciar manualmente una sincronización incremental
|
||
Simulación de sincronización |
Realizar una simulación de sincronización. |
||
Iniciar visor de eventos |
Inicia el visor de eventos de Microsoft. |
||
Actualizar |
Actualizar el tablero de mandos del conector de directorios de Cisco |
Acción | Descripción |
|---|---|
| Sincronizar ahora | Inicia una sincronización completa instantáneamente. |
Modo de sincronización |
Selecciona el modo de sincronización incremental o completa. |
Restablecer secreto del conector |
Establezca una conversación entre el conector de directorios de Cisco y el servicio de conectores. Si selecciona esta opción se restablecerá el secreto en la nube y, luego, se guardará el secreto a nivel local. |
Simulación |
Realiza una prueba del proceso de sincronización. Debe realizar una simulación antes de realizar una sincronización completa. |
Solución de problemas |
Activa/Desactiva la solución de problemas. |
Actualizar |
Actualice la pantalla principal del conector de directorios de Cisco. |
Salir |
Salga del conector de directorios de Cisco. |
Combinación de teclas | Acción |
|---|---|
Alt + A |
Muestra el menú de Acciones |
|
Sincronización ahora |
|
Restablecer secreto del conector |
|
Simulación |
|
Sincronización incremental |
|
Sincronización completa |
|
Muestra el menú de Ayuda |
|
Ayuda |
|
Acerca de |
|
Preguntas frecuentes |
Configurar mejoras automáticas
| 1 | Desde el Conector de directorios, vaya a y, a continuación, marque Actualizar automáticamente a la nueva versión del Conector de directorios de Cisco. |
| 2 | Haga clic en Aplicar para guardar los cambios. |
Las nuevas versiones del conector se instalan automáticamente cuando están disponibles.
| Puede administrar las actualizaciones manualmente, si lo prefiere. Consulte Actualizar a la versión de software más reciente para obtener más información. |
Elegir objetos de Active Directory para sincronizar
De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre qué objetos se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios.
Grupos para la asignación automática de licencias
Control Hub le permite administrar las asignaciones de licencias por grupo. Puede crear plantillas de licencias y asignarlas a grupos de Active Directory que sincronice con la nube. En el punto de creación de usuarios, Webex verifica la membresía del usuario y la asignación automática de plantillas de licencia para ese usuario nuevo.
Le recomendamos que utilice un filtro LDAP para sincronizar solo los grupos relevantes a la nube. Por ejemplo, puede configurar el filtro como:
(&(cn=Example)(objectclass=Group))*
Este filtro sincroniza todos los grupos dentro del DN base donde el nombre comienza con Ejemplo. A los usuarios que no están asignados a grupos se les asignan licencias desde la plantilla de licencias automática predeterminada que configuró en Control Hub.
Grupos para implementaciones de seguridad de datos híbridos
En el Conector de directorios, debe marcar Grupos si está utilizando Seguridad de datos híbridos para configurar un grupo de prueba para los usuarios piloto. Consulte la Guía de implementación para la seguridad de datos híbridos para obtener orientación. Esta configuración del Conector de directorios no afecta la sincronización de otros usuarios en la nube.
Antes de comenzar
Recomendaciones de grupos de Active Directory para la asignación automática de licencias
| 1 | Desde el Conector de directorios, diríjase a Configuración y luego haga clic en Selección de objetos. | ||
| 2 | En la sección Tipo de objeto, marque Usuarios y considere la posibilidad de limitar el número de contenedores para buscar usuarios. Si desea sincronizar solo usuarios de un determinado grupo, por ejemplo, debe introducir un filtro LDAP en el campo de filtros LDAP Usuarios. Si desea sincronizar usuarios que están en el grupo Administrador de ejemplos, utilice un filtro como este:
| ||
| 3 | Marque Identificar sala para separar los datos de la sala de los datos del usuario. Haga clic en Personalizar si desea configurar atributos adicionales para identificar los datos del usuario como datos de la sala. Utilice esta configuración si desea sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de sala locales con una dirección SIP configurada y asignada aparecen como entradas para búsquedas en los dispositivos de sala registrados en la nube. Para obtener más información, consulte Sincronizar la información de la sala local con la nube de Webex. | ||
| 4 | Marque Grupos si desea sincronizar los grupos de usuarios de Active Directory con la nube. No agregue un filtro LDAP de sincronización de usuarios al campo Grupos. Solo debe utilizar el campo Grupos para sincronizar los propios datos del grupo a la nube.
| ||
| 5 | Marque Contactos si desea sincronizar la información de contacto de los usuarios con la nube.
| ||
| 6 | Configure los filtros de LDAP. Puede agregar filtros extendidos si proporciona un filtro de LDAP válido. Consulte este artículo para obtener más información sobre la configuración de los filtros LDAP. | ||
| 7 | Especifique los DN base local que se sincronizarán haciendo clic en Seleccionar para ver la estructura de árbol de su Active Directory. Desde aquí puede seleccionar o desmarcar los contenedores en los que se realizarán las búsquedas. | ||
| 8 | Marque los objetos que quiera agregar para esta configuración y haga clic en Seleccionar. Puede seleccionar contenedores individuales o principales para la sincronización. Seleccione un contenedor principal para habilitar todos los secundarios. Si selecciona un contenedor secundario, el contenedor principal correspondiente tendrá una marca de verificación de color gris que indica que se ha marcado un contenedor secundario. Luego puede hacer clic en Seleccionar para aceptar los contenedores de Active Directory que marcó. Si su organización ubica a todos los usuarios y grupos en el contenedor de Usuarios, no tiene que buscar en otros contenedores. Si su organización está dividida en unidades, asegúrese de seleccionar Unidades organizativas. | ||
| 9 | Haga clic en Aplicar. Elija una opción:
Para obtener información sobre las simulaciones, consulte Realizar una sincronización de simulaciones en sus usuarios de Active Directory. Para la sincronización de grupos, debe realizar una sincronización completa: Realice una sincronización completa de los usuarios de Active Directory en la nube. |
Mapear atributos de usuarios
Puede mapear atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid, un identificador único para cada cuenta de usuario en el servicio de identidad en la nube.
Puede elegir el atributo de Active Directory para asignarlo a la nube; por ejemplo, puede asignarlo firstName lastName en Active Directory o una expresión de atributo personalizado para displayName en la nube.
| Las cuentas presentes en Active Directory deben tener una dirección de correo electrónico; de manera predeterminada, uid se mapea al campo |
Si elige que el idioma preferido provenga de su Active Directory, entonces Active Directory es la única fuente de verdad: los usuarios no podrán cambiar la configuración de idioma en la configuración de Webex y los administradores no podrán cambiar la configuración en Control Hub.
| 1 | Desde el Conector de directorios, haga clic en Configuración y luego elija Mapeo de atributos del usuario. Esta página muestra los nombres de atributos para Active Directory (a la izquierda) y la nube de Webex (a la derecha). Todos los atributos obligatorios están marcados con un asterisco de color rojo. | ||||
| 2 | Desplácese hacia abajo hasta la parte inferior de los nombres de atributos de Active Directory y, a continuación, elija uno de estos atributos de Active Directory para asignarlos al atributo de la nube uid:
Puede asignar cualquiera de los otros atributos de Active Directory a uid, pero le recomendamos que utilice mail o userPrincipalName, como se describe en las pautas anteriores. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración del calendario se asigna al campo de la dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como una dirección de correo electrónico alternativa. Para ver a qué atributos de Active Directory corresponden en la nube, consulte Asignación de atributos de Active Directory en el Conector de directorios.
| ||||
| 3 | Si los atributos predefinidos de Active Directory no funcionan para su implementación, haga clic en el menú desplegable de atributos, desplácese hasta la parte inferior y, a continuación, elija Personalizar atributo para abrir una ventana que le permita definir una expresión de atributo.
En este ejemplo, asignemos los atributos de Active Directory
| ||||
| 4 | (Opcional) Elija asignaciones para móvil y telephoneNumber si desea que los números móviles y del trabajo aparezcan, por ejemplo, en la tarjeta de contacto del usuario en la aplicación de Webex. Los datos del número de teléfono aparecen en la aplicación Webex cuando un usuario pasa el cursor por la imagen de perfil de otro usuario. Para obtener más información sobre las llamadas desde la tarjeta de contacto de un usuario, consulte la Guía de implementación de llamadas en Webex (Unified CM) (administradores). | ||||
| 5 | Elija asignaciones adicionales para que aparezcan más datos en la tarjeta de contacto:
Después de asignar los atributos, la información aparece cuando un usuario coloca el cursor sobre la imagen de perfil de otro usuario:
Para obtener más información acerca de la tarjeta de contacto, consulte Verificar con quién se está comunicando. Después de sincronizar estos atributos con cada cuenta de usuario, también puede activar People Insights en Control Hub. Esta característica permite a los usuarios de la Aplicación de Webex compartir más información en sus perfiles y aprender más unos de otros. Para obtener más información sobre la característica y cómo habilitarla, consulte Perfiles de información personal para Webex, Jabber, Webex Meetings y Webex Events (Nuevo) en Control Hub. | ||||
| 6 | Una vez que haya elegido sus opciones, haga clic en Aplicar. |
Todos los datos de usuarios contenidos en Active Directory sobrescribirán a los presentes en la nube que correspondan a ese usuario. Por ejemplo, si creó un usuario manualmente en Control Hub, la dirección de correo electrónico del usuario debe ser idéntica al correo electrónico de Active Directory. Se elimina cualquier usuario que no tenga una dirección de correo electrónico correspondiente en Active Directory.
| Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de eliminarlos de forma permanente. |
Atributos de Active Directory y de la nube
Puede mapear atributos de su Active Directory local a los atributos correspondientes en la nube desde la ficha Mapeo de atributos de usuarios.
En esta tabla se compara la asignación entre los nombres de atributos de Active Directory y los nombres de atributos de la nube de Cisco. Estos valores y asignaciones son la configuración predeterminada en el Conector de directorios. Puede elegir diferentes atributos en las listas desplegables de Active Directory y determinar qué atributo local se sincroniza con qué atributo de la nube.
Piense en los atributos desplegables como preajustes. Como alternativa a los valores de la fila de Active Directory, también puede especificar un atributo personalizado, su propio valor preestablecido, en Active Directory (una expresión con varios atributos) para asignarlo a un único atributo de la nube en la fila correspondiente. De esta manera, tiene la flexibilidad de determinar los nombres para mostrar de sus usuarios; por ejemplo, puede agregar una expresión que cree un atributo personalizado basado en el título del empleado, el nombre de pila y el apellido en Active Directory.
También puede especificar cualquiera de los atributos de Active Directory para asignar a uid en la nube. Sin embargo, debe asegurarse de que el atributo local siga un formato de correo electrónico válido.
| También puede utilizar direcciones de correo electrónico alternativas si, por ejemplo, desea utilizar userPrincipalName para iniciar sesión, pero la dirección de correo electrónico de un usuario se utiliza para administrar su calendario. En este caso, asigne otra dirección de correo electrónico al atributo emails;type-work. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne desde AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no asignada a otro usuario. |
Nombres de atributos de Active Directory | Nombres de atributos de la nube de Webex | Notas |
|---|---|---|
— |
buildingName |
— |
c |
c |
Este atributo especifica la abreviatura del país del usuario. |
departmentNumber |
departmentNumber |
Este atributo se utiliza para el número de departamento del usuario que aparece en la tarjeta de contacto y en la información personal. |
displayName |
displayName |
Este atributo se utiliza para el nombre para mostrar de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y la información personal. |
userAccountControl |
ds-pwp-account-disabled |
Este atributo se utiliza para la sincronización de usuarios. Asegúrese de que el atributo userAccountControl esté asignado a ds-pwp-account-disabled o de que los usuarios no se sincronicen correctamente. |
employeeNumber |
employeeNumber |
— |
facsimileTelephoneNumber |
facsimileTelephoneNumber |
— |
— |
jabberID |
Este atributo de nube se refiere a las direcciones de MI (tipo XMPP) que utiliza Jabber. Este valor no es el mismo que sipAddresses. |
l |
l |
Este atributo especifica la ciudad del usuario. |
— |
locale |
— |
administrador |
administrador |
Este atributo se utiliza para el nombre del administrador del usuario que aparece en la tarjeta de contacto y en la información personal. |
mobile |
mobile |
Este atributo se utiliza como el número de teléfono móvil que aparece para llamar al usuario desde la tarjeta de contacto. |
o |
o |
Este atributo especifica el nombre de la empresa u organización y aparece en la tarjeta de contacto. |
ou |
ou |
Este atributo especifica el nombre de la unidad organizativa. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Este atributo especifica la ubicación de la oficina del usuario. |
postalCode |
postalCode |
Este atributo especifica el código postal o postal del usuario para la entrega física de correo. |
preferredLanguage |
preferredLanguage |
Este atributo establece el idioma preferido del usuario y se admiten los siguientes formatos: xx_YY o xx-YY A continuación se indican algunos ejemplos: en_EE. UU., en_GB, fr-CA. Si utiliza un idioma no compatible o un formato no válido, el idioma preferido de los usuario pasará a ser el idioma definido para la organización. |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=enterprise |
Este atributo se utiliza para sincronizar la información de la sala local desde Active Directory a la nube de Cisco Webex. |
sn |
sn |
Este atributo se utiliza para el apellido de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y la información personal. |
st |
st |
Este atributo especifica el estado o la provincia del usuario. |
streetAddress |
street |
Este atributo especifica la dirección postal del usuario para la entrega física de correo. |
telephoneNumber |
telephoneNumber |
Este atributo especifica el número de teléfono principal (de trabajo) del usuario que se utiliza para llamar al usuario desde la tarjeta de contacto. |
— |
timezone |
Este atributo de nube especifica la zona horaria del usuario. |
title |
title |
Este atributo especifica el título del usuario que aparece en la tarjeta de contacto y la información personal. |
type |
enterprise |
— |
*userPrincipalName |
UID |
Una asignación de atributos obligatoria. Para cada cuenta de usuario, el valor de Active Directory se asigna a un uid único en la nube. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración del calendario se asigna al campo de la dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como una dirección de correo electrónico alternativa. El usuario puede utilizar cualquiera de estas direcciones de correo electrónico para iniciar sesión, siempre que la asignación de atributos SAML correcta esté implementada. Consulte la asignación de atributos de muestra a continuación para ver cómo puede asignar una dirección de correo electrónico alternativa. |
*userPrincipalName <custom attribute=""> |
correos electrónicos;type-work |
Esta asignación es opcional; utilícela si desea utilizar direcciones de correo electrónico alternativas. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne desde AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no asignada a otro usuario. |
<New attribute="" for="" Azure="" user="" objectId=""> |
ID externo |
Cree un nuevo atributo de Active Directory para retener el objectId de usuario de Azure, de modo que no se corresponda con uno existente. Este atributo se asigna luego al atributo externalId, lo que garantiza que cuando los usuarios de Webex creen grupos en Microsoft 365, creen equipos automáticamente en Webex. |
Asignación alternativa de direcciones de correo electrónico
Expresiones para atributos personalizados
Operador | Descripción y ejemplo |
|---|---|
% | Elimina todos los caracteres del principio de la cadena a la posición del carácter o argumento de la cadena, si coinciden.
|
- | Tira la parte posterior de la cadena de entrada del extremo de la cadena especificada.
|
+ | Concatena cadenas o expresiones de entrada.
|
| | Evalúa las expresiones separadas frente a la cadena vacía y selecciona el primer resultado no vacío.
|
Sincronizar avatares de directorios desde un atributo de Active Directory a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inicie sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar los datos de avatar sin procesar desde un atributo de Active Directory.
| 1 | Desde el Conector de directorios, vaya a Configuración, haga clic en Avatar y, a continuación, marque Activar. |
| 2 | En Obtener avatar de, elija el atributo de AD y, a continuación, elija el atributo de avatar que contenga los datos de avatar sin procesar que desea sincronizar con la nube. |
| 3 | Para verificar que el acceso al avatar es correcto, introduzca la dirección de correo electrónico de un usuario y, a continuación, haga clic en Obtener avatar del usuario. El avatar aparece a la derecha. |
| 4 | Después de comprobar que el avatar aparecía correctamente, haga clic en Aplicar para guardar los cambios. |
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación Webex. Los usuarios no pueden configurar su propio avatar después de habilitar esta característica desde el Conector de directorios.
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta que coincida en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay problemas, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar avatares de directorios de un servidor de recursos a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inicie sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar avatares desde un servidor de recursos.
Antes de comenzar
El patrón de URl y el valor de la variable en este procedimiento son ejemplos. Debe utilizar las direcciones URL reales donde se encuentren sus avatares de directorios.
El patrón de URI de avatar y el servidor donde residen los avatares deben ser accesibles desde la aplicación del Conector de directorios. El conector necesita acceso http o https a las imágenes, pero las imágenes no necesitan ser accesibles públicamente en Internet.
La sincronización de datos de avatar se separa de los perfiles de usuario de Active Directory. Si ejecuta un proxy, debe asegurarse de que se pueda acceder a los datos del avatar mediante autenticación NTLM o autenticación básica.
| 1 | Desde el Conector de directorios, vaya a Configuración, haga clic en Avatar y, a continuación, marque Activar. |
| 2 | En Obtener avatar de, elija Servidor de recursos y, a continuación, introduzca el Patrón de URI de avatar: por ejemplo: Veamos cada parte del patrón de URI de avatar y lo que significan:
|
| 3 | (Opcional) Si el servidor de recursos requiere credenciales, marque Establecer credenciales de usuario para avatar y, a continuación, elija Usar usuario de inicio de sesión del servicio actual o Usar este usuario e introduzca la contraseña. |
| 4 | Introduzca el Valor de la variable; por ejemplo: |
| 5 | Haga clic en Probar para asegurarse de que el patrón de URI de avatar funciona correctamente. En este ejemplo, el valor de mail para una entrada de AD es |
| 6 | Una vez que la información del URI se haya verificado y se vea correcta, haga clic en Aplicar. Para obtener información detallada sobre el uso de expresiones regulares, consulte la Guía de referencia rápida para los lenguajes de expresiones regulares de Microsoft. |
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación Webex. Los usuarios no pueden configurar su propio avatar después de habilitar esta característica desde el Conector de directorios.
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta que coincida en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay problemas, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar la información de la sala local con la nube de Webex
Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de sala locales con una dirección SIP configurada y asignada aparecen como entradas para búsquedas en los dispositivos de Webex registrados en la nube (Room, Desk y Board).
| 1 | Desde el Conector de directorios, vaya a Sincronizar y haga clic en más | ||
| 2 | Marque Sincronizar la información de la sala con la nube para separar los datos de la sala de los datos del usuario durante la sincronización. Cuando esta configuración está deshabilitada, los datos de la sala se tratan de la misma manera que los datos sincronizados del usuario. | ||
| 3 | Vaya a Asignación de atributos y, a continuación, cambie la asignación de atributos para el atributo de la nube sipAddresses;type=enterprise.
| ||
| 4 | Cree un buzón de recursos de sala en Exchange. Esto agrega el atributo msExchResourceMetaData;ResourceType:Room que luego utiliza el conector para identificar las salas.
| ||
| 5 | En los usuarios y las computadoras de Active Directory, navegue hasta las propiedades de la sala y edite. Agregue la URI de SIP completamente calificada con un prefijo de sip:
| ||
| 6 | Realice una sincronización de simulación y, luego, una sincronización de ejecución completa en el conector. Los nuevos objetos de sala aparecen en la lista Objetos agregados y los objetos de sala coincidentes aparecen en Objetos coincidentes en el informe de simulación. Los objetos de sala marcados para su eliminación se encuentran en Salas eliminadas.
Los resultados del simulacro muestran los recursos de sala que se correspondieron.
Esta configuración separa los datos de la sala de Active Directory (incluido el atributo de la sala) de los datos del usuario. Una vez finalizada la sincronización, las estadísticas de la nube en el tablero de mandos del conector muestran los datos de la sala que se sincronizaron con la nube.
|
Qué hacer a continuación
Ahora que ha realizado estos pasos, cuando realice una búsqueda en un dispositivo registrado en la nube de Webex, verá las entradas de salas sincronizadas que están configuradas con direcciones SIP. Cuando realiza una llamada desde el dispositivo de Webex en esa entrada, se realiza una llamada a la dirección SIP que se configuró para la sala.
Desde Control Hub, puede importar salas automáticamente desde su directorio y crear espacios de trabajo.
| El extremo no puede devolver una llamada a la aplicación de Webex. Para los dispositivos de marcado de prueba, estos dispositivos deben registrarse como una URI de SIP en las instalaciones o en otro lugar que no sea la aplicación de Webex. Si el sistema de salas de Active Directory que está buscando está registrado en Webex y la misma dirección de correo electrónico está en el dispositivo de Webex Room, el dispositivo de Desk o el servicio de Webex Board para el calendario, los resultados de la búsqueda no mostrarán la entrada duplicada. El dispositivo Room, Desk o Board se marca directamente en la aplicación de Webex, y no se realiza una llamada SIP. |
Enviar informes de correo electrónico sobre los resultados de sincronización de directorios
De forma predeterminada, los contactos o administradores de la organización siempre reciben notificaciones por correo electrónico. Con esta configuración, puede personalizar quién debe recibir notificaciones por correo electrónico que resumen los informes de sincronización de directorios.
| 1 | En el Conector de directorios, haga clic en Configuración y, a continuación, elija Notificación. |
| 2 | En el Conector de directorios, haga clic en Configuración y, junto a Receptor de correo electrónico, active Activar sincronización del informe. |
| 3 | Marque Activar notificación si desea anular el comportamiento de notificación predeterminado y agregar uno o más destinatarios de correo electrónico. |
| 4 | Haga clic en Agregar y, a continuación, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 5 | Haga clic en Agregar correo electrónico y, a continuación, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 6 | Si necesita editar las direcciones de correo electrónico que haya introducido, haga doble clic en la entrada de correo electrónico de la columna izquierda y, a continuación, realice los cambios que necesite. |
| 7 | Después de agregar todas las direcciones de correo electrónico válidas, haga clic en Aplicar. |
| 8 | Después de agregar todas las direcciones de correo electrónico válidas, haga clic en Guardar. |
Qué hacer a continuación
Si ha decidido que desea eliminar las direcciones de correo electrónico, puede hacer clic en un correo electrónico para resaltar esa entrada y, a continuación, hacer clic en Eliminar.
Si decidió que desea eliminar las direcciones de correo electrónico, puede hacer clic en Eliminar junto a las entradas de direcciones de correo electrónico específicas.
Aprovisionar usuarios de Active Directory a Control Hub
Siga estos pasos para aprovisionar usuarios de Active Directory y crear las cuentas de usuario correspondientes en Control Hub. Puede aprovisionar usuarios desde una implementación de Active Directory de varios dominios (con un solo bosque o varios bosques) después de instalar un Conector de directorios por dominio. Durante el proceso para incorporar usuarios de diferentes dominios, debe decidir si desea retener o eliminar los objetos de usuario que podrían existir ya en la nube de Webex, por ejemplo, cuentas de prueba de una prueba. El objetivo es tener una coincidencia exacta entre sus directorios activos y la nube de Webex.
| 1 | Realizar una simulación de sincronización en sus usuarios de Active Directory Realice una simulación para comparar objetos en el Active Directory local y objetos en la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y asignar los cambios a la nube. |
| 2 | Realizar una sincronización completa de usuarios de Active Directory en la nube Cuando realiza una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados. |
| 3 | Asignar servicios de Webex a usuarios sincronizados de directorios en Control Hub Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede asignar licencias de servicio de Webex mediante diversos métodos. Le recomendamos que configure una plantilla de licencia de asignación automática antes de utilizarla en nuevos usuarios de la aplicación Webex que sincronizó desde Active Directory. También puede realizar cambios individuales después de este paso inicial. |
Realizar una simulación de sincronización en sus usuarios de Active Directory
Realice una simulación para comparar objetos en el Active Directory local y objetos en la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y asignar los cambios a la nube.
Durante el proceso para incorporar usuarios de diferentes dominios, debe decidir si desea retener o eliminar los objetos de usuario que podrían existir ya en la nube de Webex, por ejemplo, cuentas de prueba de una prueba. Con el Conector de directorios, el objetivo es tener una coincidencia exacta entre sus directorios activos y la nube de Webex.
Si tiene varios dominios en un solo bosque o varios bosques, debe realizar este paso en cada una de las instancias del conector de directorios de Cisco que haya instalado para cada dominio de Active Directory.
Antes de comenzar
Es posible que ya tenga algunos usuarios de la aplicación Webex en Control Hub antes de utilizar el Conector de directorios. Entre los usuarios de la nube, algunos pueden coincidir con el objeto local de Active Directory y tener asignadas licencias para servicios. Sin embargo, algunos pueden ser usuarios de prueba que desea eliminar mientras realiza una sincronización. Debe crear una coincidencia exacta entre su Active Directory y Control Hub.
| 1 | Elija una opción:
Cuando finalice la simulación, verá uno de los siguientes resultados:
El Resumen contiene información sobre la coincidencia de objetos:
La simulación identifica a los usuarios comparándolos con los usuarios de dominio. La aplicación puede identificar a los usuarios si pertenecen al dominio actual. En el siguiente paso, debe decidir si desea eliminar los objetos o retenerlos. Los objetos no coincidentes se identifican como ya existentes en la nube de Webex, pero no en el Active Directory local. | ||
| 2 | Revise los resultados de la simulación y, a continuación, elija una opción dependiendo de si utiliza un solo dominio o varios dominios:
| ||
| 3 | En el mensaje Confirmar simulación, haga clic en Sí para volver a realizar la sincronización de simulación y ver el panel para ver los resultados. Todas las cuentas que se sincronizaron correctamente en la simulación aparecen bajo Objetos coincidentes. Si un usuario de la nube no tiene un usuario correspondiente con el mismo correo electrónico en Active Directory, la entrada se muestra en Usuarios eliminados. Para evitar este indicador para eliminar, puede agregar un usuario en Active Directory con la misma dirección de correo electrónico. Para ver los detalles de los elementos que se sincronizaron, haga clic en la ficha que corresponda a elementos específicos o en Objetos coincidentes. Para guardar la información del resumen, haga clic en Guardar resultados en archivo. | ||
| 4 | Si los resultados son esperados, vaya a y, luego, haga clic en Habilitar ahora para realizar una sincronización manual y ponerlo en modo manual en este punto.
|
Qué hacer a continuación
Para cualquier objeto de usuario no coincidente que haya retenido, debe agregarlo a Active Directory para que haya una coincidencia exacta entre lo local y la nube.
Elija un tipo de sincronización:
Realice una sincronización completa de usuarios de Active Directory en la nube para la primera vez que sincronice nuevos usuarios a la nube. Lo hace desde , y luego se sincronizan los usuarios del dominio actual.
Configure la planificación de conectores y Ejecutar una sincronización incremental después de ejecutar una sincronización completa y si desea obtener cambios después de la sincronización inicial. Este tipo de sincronización se recomienda para recoger pequeños cambios realizados en el origen de usuario de Active Directory.
De manera predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no se produce hasta que usted realiza inicialmente una sincronización completa.
Si tiene varios dominios, repita estos pasos en cualquier otro Conector de directorios que haya instalado.
Aspectos a tener en cuenta
Realice una simulación antes de habilitar la sincronización completa o cuando cambie los parámetros de sincronización. Si la simulación se inició a raíz de un cambio de configuración, puede guardar los ajustes una vez finalizada la simulación. Si ya agregó usuarios manualmente, es posible que al realizar una sincronización de Active Directory se eliminen los usuarios agregados anteriormente. Puede comprobar los informes de simulación del Conector de directorios para verificar que todos los usuarios esperados estén presentes antes de sincronizarse completamente con la nube.
Si los usuarios coincidentes están marcados para eliminarlos y no está seguro de cómo continuar, consulte la información de solución de problemas y cómo comunicarse con el soporte técnico en Solución de problemas y correcciones para el Conector de directorios.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de eliminarlos de forma permanente.
Realizar una sincronización completa de usuarios de Active Directory en la nube
Cuando realiza una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados.
Si tiene varios dominios, debe realizar este paso en cada una de las instancias del Conector de directorios que haya instalado para cada dominio de Active Directory.
El Conector de directorios sincroniza el estado de la cuenta de usuario: en Active Directory, todos los usuarios marcados como deshabilitados también aparecen como inactivos en la nube.
Antes de comenzar
Si desea que las cuentas de usuario de la aplicación de Webex estén en estado Activas después de la sincronización completa y antes de que los usuarios inicien sesión por primera vez, debe realizar estos pasos para omitir la validación del correo electrónico:
Integre el inicio de sesión único con su organización de Webex. Consulte
Inicio de sesión único con los servicios de Cisco Webex y el proveedor de servicios de identidad de su organización
para obtener más información.Utilice Control Hub para verificar y reclamar, de manera opcional, los dominios contenidos en las direcciones de correo electrónico. Consulte
Agregar, verificar y reclamar dominios
.Suprima las invitaciones automáticas por correo electrónico, para que los usuarios nuevos no reciban la invitación automática por correo electrónico a la aplicación de Webex. (Puede realizar su propia campaña por correo electrónico).
Los usuarios activados que no hayan iniciado sesión aparecerán con el estado Verificado en Control Hub. Después de que inician sesión, aparecen como Activos. Para obtener más información acerca de los estados del usuario, consulte Estados y acciones del usuario en Cisco Webex Control Hub.
Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. Le recomendamos que realice una simulación antes de una sincronización completa para detectar posibles errores.
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en usuarios nuevos de la aplicación Webex que sincronizó desde Active Directory.
Si no utiliza plantillas de licencia de asignación automática, los usuarios recién sincronizados obtienen automáticamente licencias gratuitas. Podrán utilizar las mismas características gratuitas que las que tienen cuentas gratuitas.
| 1 | Elija una opción:
| ||
| 2 | Desde el Conector de directorios, vaya a Sincronizar y haga clic en más | ||
| 3 | Confirme el inicio de la sincronización. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios hasta 72 horas después de realizar la sincronización.
| ||
| 4 | Haga clic en Actualizar si desea actualizar el estado de la sincronización. (Los elementos sincronizados aparecen en Estadísticas de la nube.) | ||
| 5 | Para obtener información sobre los errores, seleccione el Iniciar visor de eventos en la barra de herramientas de Acciones para ver los registros de errores. | ||
| 6 | Para establecer una planificación de sincronización para las sincronizaciones incrementales en curso con la nube, consulte Establecer la planificación de conectores y Ejecutar una sincronización incremental. |
Una vez finalizada la sincronización completa, el estado de las actualizaciones de sincronización de directorios de Deshabilitado a Operativo en la página Configuración en Control Hub.
Cuando todos los datos coinciden entre las instalaciones locales y la nube, el Conector de directorios cambia del modo manual al modo de sincronización automática.
A menos que integre el inicio de sesión único, verifique dominios y, opcionalmente, reclame dominios para las cuentas de correo electrónico que sincronizó, y suprima los correos electrónicos automatizados, las cuentas de usuario de la aplicación de Webex permanecen en estado No verificado hasta que los usuarios inicien sesión en la aplicación de Webex por primera vez para confirmar sus cuentas. Consulte la sección Antes de comenzar para obtener orientación sobre cómo sincronizar las cuentas como usuarios Activos.
Si tiene varios dominios, realice este paso en cualquier otro Conector de directorios que haya instalado. Después de la sincronización, los usuarios de todos los dominios que agregó se enumeran en Control Hub.
Si integró el inicio de sesión único con Webex y las notificaciones por correo electrónico suprimidas, las invitaciones por correo electrónico no se enviarán a los usuarios recién sincronizados.
No puede agregar usuarios manualmente en Control Hub después de que el Conector de directorios esté habilitado. Una vez habilitada, la administración de usuarios se realiza desde el conector de directorios de Cisco y Active Directory es la única fuente de verdad.
Todos los grupos que sincronice aparecerán en Control Hub y usted puede asignar una plantilla de licencia para que los usuarios de ese grupo tengan asignadas licencias.
Qué hacer a continuación
Cuando elimina un usuario de Active Directory, el usuario se elimina automáticamente después de la siguiente sincronización. El usuario se convierte en
Inactivepero el perfil de identidad en la nube se mantiene durante siete días (para permitir la recuperación de una eliminación accidental).Cuando selecciona Account is disabled (Cuenta desactivada) en Active Directory, el usuario se convierte en
Inactivedespués de la siguiente sincronización. El perfil de identidad de la nube no se elimina después de siete días, en caso de que desee volver a habilitar el usuario.Tenga en cuenta estas excepciones a una sincronización incremental (siga los pasos de sincronización completos anteriores en su lugar):
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
Los cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración de avatar requieren una sincronización completa.
Asignar servicios de Webex a usuarios sincronizados de directorios en Control Hub
Después de completar una sincronización completa de usuarios desde el conector de directorios de Cisco en Control Hub, puede utilizar Control Hub para asignar las mismas licencias de servicio de Webex a todos sus usuarios a la vez o agregar licencias adicionales a usuarios nuevos si ya configuró una plantilla de licencia asignada automáticamente. Puede realizar cambios individuales en la cuenta de usuario después de este paso inicial.
Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede utilizar métodos en Control Hub para asignar globalmente licencias de servicios de Webex a todos sus usuarios, usuarios individuales, a través de la plantilla CSV masiva, o automáticamente a usuarios nuevos si ya configuró una plantilla de licencias de asignación automática. Puede realizar cambios individuales en la cuenta de usuario después de este paso inicial.
Cuando asigna una licencia a un usuario de la aplicación de Webex, ese usuario recibe un correo electrónico confirmando la asignación, de manera predeterminada. El correo electrónico es enviado por un servicio de notificaciones en Control Hub. Si integró el inicio de sesión único (SSO) con su organización de Webex, también puede suprimir estas notificaciones automáticas por correo electrónico si prefiere comunicarse directamente con sus usuarios.
Antes de comenzar
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en usuarios nuevos de la aplicación Webex que sincronizó desde Active Directory.
Realice una simulación de sincronización en sus usuarios de Active Directory.
Después de confirmar los resultados de la simulación, realice una sincronización completa en sus usuarios de Active Directory.
| En el momento de la sincronización completa, el usuario se crea en la nube, no se agregan asignaciones de servicios y no se envía ningún correo electrónico de activación. Si los correos electrónicos no se eliminan, los usuarios nuevos reciben un correo electrónico de activación cuando asigna servicios a los usuarios mediante un método estándar de administración de usuarios en Control Hub, como la importación de CSV, la actualización manual del usuario o la finalización exitosa de la asignación automática. |
| 1 | Desde la vista del cliente en https://admin.webex.com, vaya a , haga clic en Administrar usuarios, elija Modificar todos los usuarios sincronizados y, a continuación, haga clic en Siguiente. |
| 2 | Elija una opción:
|
Qué hacer a continuación
Si no se eliminan los correos electrónicos, se envía un correo electrónico a cada usuario con una invitación para entrar y descargar Webex.
Si seleccionó los mismos servicios de Webex para todos sus usuarios, luego podrá cambiar la licencia asignada individualmente o en forma masiva.
Problemas conocidos con el conector de directorios
Las versiones de Windows Server anteriores a 2012 R2 tienen un problema de cookie que afecta al Conector de directorios. Este problema se corrigió en las versiones 2012 R2 y 2016.
Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios a las 72 horas desde que realiza la sincronización.
Puede intentar borrar la caché local para la aplicación Webex siguiendo estas instrucciones: Windows o Mac.
Cuando un usuario utiliza la aplicación de Webex en el escritorio o el dispositivo móvil para buscar y llamar a una sala que solo tiene una URI de SIP sincronizada, la llamada suena indefinidamente en este momento.
Ejecutar una sincronización incremental
Una sincronización incremental consulta su Active Directory y busca cambios que se hayan producido desde la última sincronización. En este paso se agrupan esos cambios y se los envía al servicio de conectores Los cambios incluyen la modificación de la atribución de usuarios y cuando se agrega o elimina un usuario.
Esta sincronización no carga tanto en los servidores y no toma tanto tiempo como una sincronización completa. Después de realizar la sincronización completa inicial, le recomendamos la opción incremental para las sincronizaciones posteriores.
Antes de comenzar
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en usuarios nuevos de la aplicación Webex que sincronizó desde Active Directory.
Tenga en cuenta estas excepciones que no admiten la sincronización incremental (en su lugar, siga Realizar una sincronización completa de usuarios de Active Directory en la nube):
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
Para los cambios de configuración nuevos en la asignación de atributos, el DN base, el filtro y la configuración del avatar, la sincronización incremental no funcionará y estos requieren una sincronización completa.
| 1 | En el Conector de directorios, haga clic en Tablero de mandos.
| ||
| 2 | En Acciones, haga clic en Modo de sincronización > Activar sincronización si aún no está activado. De manera predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no se produce hasta que usted realiza inicialmente una sincronización completa. Cuando se agota un nuevo intervalo de tiempo incremental, el programa comprueba los cambios en función de la última marca de tiempo. | ||
| 3 | Desde Acciones, haga clic en Sincronizar ahora > Incremental. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios a las 72 horas desde que realiza la sincronización.
| ||
| 4 | Para obtener información acerca de los errores, haga clic en Iniciar visor de eventos en la barra de herramientas de Acciones para ver los registros de errores. |
Qué hacer a continuación
Si tiene varios dominios, realice este paso en otras instancias del Conector de directorios que haya instalado.
Recuperar usuarios eliminados accidentalmente
El Conector de directorios tiene comprobaciones y contrapesos para evitar la eliminación involuntaria de usuarios. Desafortunadamente, ocurren accidentes; Es posible que haya configurado incorrectamente un filtro LDAP en Active Directory, que eliminó algunos usuarios cuando se sincronizó con la nube. La característica de eliminación de software puede ayudarlo a recuperarse de estos accidentes y restablecer las cuentas de usuario en Control Hub.
De manera predeterminada, esta función está habilitada para todas las organizaciones. Cuando se eliminan usuarios en la nube, por ejemplo, debido a un problema de objeto que no coincide después de una sincronización desde el Conector de directorios, se pueden recuperar los usuarios. Si vio un aviso de objetos no coincidentes o notó que los usuarios fueron eliminados, es posible que pueda recuperarlos si actúa rápidamente.
| Los usuarios se marcan como Inactivos en Control Hub cuando se eliminan las cuentas correspondientes en Active Directory. El servicio en la nube de fondo retiene a los usuarios durante un máximo de 7 días. Durante este período, aún puede utilizar el Conector de directorios de Cisco para recuperar usuarios. Le recomendamos que recupere estos usuarios lo antes posible. Los usuarios que están deshabilitados en Active Directory también se marcan como Inactivos en Control Hub, pero la cuenta de usuario no se elimina después de 7 días. |
| 1 | |
| 2 | Vaya a Usuarios y confirme si una cuenta de usuario específica está en estado Inactivo o no está listada. Para obtener más información, consulte Estados y acciones de los usuarios en Control Hub. |
| 3 | Si los usuarios se eliminaron en Control Hub o nota que los usuarios están en estado Inactivo, vaya a Active Directory, agregue las cuentas de usuario que faltan y, a continuación, realice una simulación de sincronización en el Conector de directorios. El objetivo con el Conector de directorios es crear una coincidencia exacta entre la información del usuario en Active Directory y en la nube. |
| 4 | Realice una sincronización completa para volver a sincronizar las cuentas de usuario eliminadas temporalmente en Control Hub. Los usuarios se recuperan y pasan al estado original, incluido el estado de su cuenta y las asignaciones de servicios. |
Qué hacer a continuación
Volver a Control Hub, ir a , y confirme que las cuentas de usuario previamente eliminadas aparecen en la lista de usuarios.
Eliminar usuarios de forma permanente después de la eliminación de software
Después de realizar una simulación, puede optar por eliminar de forma permanente los usuarios que fueron eliminados por software en la siguiente sincronización.
| 1 | Una vez finalizada la simulación, seleccione Objetos eliminados por software. |
| 2 | Marque la casilla de verificación junto a los usuarios que desea eliminar. |
| 3 | Seleccione Listo. |
Qué hacer a continuación
En la próxima sincronización, los usuarios que marcó se eliminarán de forma permanente.
Cambiar una dirección de correo electrónico de la aplicación de Webex
Si desea cambiar las direcciones de correo electrónico de los usuarios y su organización utiliza el Conector de directorios, deberá cambiar esas direcciones de correo electrónico en Active Directory. Este procedimiento cubre cómo cambiar una dirección de correo electrónico de la aplicación de Webex para un solo dominio y un proceso para cambiar el dominio.
| Si solo desea cambiar el correo electrónico o algún valor para un usuario, no lo elimine de Active Directory y, a continuación, vuelva a crear uno nuevo con el mismo correo electrónico. La nube interpreta esta acción como una nueva cuenta de usuario y se perderán los espacios del usuario y otros datos en la nube. |
Para cambiar las direcciones de correo electrónico del usuario sin cambiar el dominio:
Reanudar la sincronización en el Conector de directorios.
Después de la próxima sincronización, los cambios aparecerán en su lista de usuarios en Control Hub y para los usuarios en la aplicación Webex después de que se actualice la caché.
No se pierde ningún dato ni espacio al utilizar este método. El identificador único del usuario se establece en la nube después de la primera sincronización. Todas las sincronizaciones posteriores se basan en este identificador.
En una implementación de varios dominios con el Conector de directorios, para cambiar las direcciones de correo electrónico del usuario mientras se cambia el dominio (considere ejemplo1.com el dominio antiguo y ejemplo2.com el dominio nuevo):
En el Conector de directorios, reanudar la sincronización por ejemplo2.com
Antes de continuar, verifique que la cuenta usuario1@ejemplo2.com se sincronice en Control Hub. Le recomendamos que indique al usuario que verifique el cambio de correo electrónico en la aplicación Webex y que se conserven todos los datos (espacios, mensajes, reuniones, archivos, etc.).
No hay pérdida de datos o espacios utilizando este método, pero en la nueva cuenta de usuario, debe asegurarse de que el atributo de Active Directory que se asigna al atributo uid de la nube se conserve de la cuenta de usuario antigua. Si cambia el valor de Active Directory, la cuenta nueva no conserva los datos de la cuenta antigua.
Después de verificar el cambio de la dirección de correo electrónico y que los datos estén intactos, elimine la cuenta de usuario antigua en example1.com y, a continuación, utilice el Conector de directorios para reanudar la sincronización en example1.com.
En este punto, puede actualizar de forma segura la dirección de correo electrónico en el nuevo dominio de Active Directory para usuario1@ejemplo2.com.
El Conector de directorios no limita el cambio de dominio de correo electrónico. Sin embargo, cuando el usuario se resincroniza en la nube, el estado del usuario depende de si el nuevo dominio se verifica en su organización. Si el dominio no se verifica en su organización, el estado del usuario cambia a Pendiente después de la sincronización completa. Para obtener más información, consulte Administrar sus dominios.
Si su organización no utiliza el Conector de directorios, puede cambiar las direcciones de correo electrónico de la aplicación Webex a través de la página de configuración de la cuenta. Consulte Cambiar la dirección de correo electrónico de su cuenta para conocer los pasos que los usuarios pueden seguir para cambiar sus mensajes de correo electrónico.
Cambiar el dominio de Active Directory
Puede utilizar este procedimiento para crear nuevos dominios y direcciones de correo electrónico. Se sincronizan con el servicio de identidad en la nube.
| 1 | Configure un nuevo dominio de Active Directory (AD). | ||
| 2 | Deshabilite las sincronizaciones en todos sus conectores. | ||
| 3 | Desinstale todos los conectores. | ||
| 4 | Abra un caso para cambiar el dominio. En el envío de casos, asegúrese de solicitar la eliminación de la configuración del dominio y todos los atributos de sincronización en su organización.
| ||
| 5 | Una vez resuelto el caso: Realice una prueba con el Conector de directorios antes de realizar la sincronización real. |
Reclamo de dominios
Se produce un reclamo de dominio si usted reclama un dominio de correo electrónico para una organización, de manera que cualquier cuenta sideboard se cree en la organización de clientes pagos y no en la organización de consumidores gratuitos. Solo puede realizar un reclamo de dominio a través de un caso de soporte (consulte el siguiente enlace para obtener más información).
Si el Conector de directorios está activo y se reclama el dominio, no se crean cuentas sideboard ni en la organización del cliente ni en la organización del consumidor gratuito. Solo el Conector de directorios puede aprovisionar cuentas para la organización desde Active Directory. La información almacenada en Active Directory es la fuente original. Si trató de hacer Sideboard con una cuenta, el usuario invitado recibe un error. La única manera de agregar un usuario invitado a un espacio de la aplicación de Webex es primero usando el Conector de directorios para aprovisionar la cuenta en Control Hub.
Convertir usuarios de la aplicación de Webex gratis en una organización con sincronización de directorios
Solo puede utilizar direcciones de correo electrónico únicas en el directorio de la aplicación de Webex. Si sus usuarios se inscribieron en la versión gratuita de la aplicación de Webex, su cuenta existe en la organización de consumidores gratuita. Para administrar a los usuarios de esta organización con el Conector de directorios, mígrelos (conviértalos) a la organización de Clientes antes de activar el Conector de directorios. A continuación, agrega los usuarios a Active Directory con la dirección de correo electrónico exacta y, a continuación, se sincroniza con la nube.
Si no convierte las cuentas antes de la activación, desactive el Conector de directorios para convertirlas.
Si intenta convertir un usuario mientras la sincronización de directorios está habilitada, aparecerá el mensaje de error <email address=""> no se pudo convertir
. Para evitar el problema, puede utilizar estos pasos como solución alternativa.
| Algunos usuarios reclamados pueden aparecer con el Si no agrega esos usuarios, todos se eliminarán junto a usted para sincronizar con la nube. |
| 1 | Deshabilite la sincronización de directorios desde el Conector de directorios. | ||
| 2 | Siga el procedimiento Convertir usuarios sin licencia en Control Hub para convertir al usuario de la organización de consumidores gratuita a la organización empresarial. Este paso agrega el usuario a su organización y la cuenta aparece en Control Hub. El Conector de directorios convierte a Active Directory en la única fuente de verdad para las cuentas de usuario y el objetivo es tener una coincidencia exacta entre Active Directory y Control Hub. Asegúrese de que haya usuarios coinciden en la Active Directory para todos los usuarios convertidos recientemente antes de volver a realizar la sincronización. Se puede utilizar una sincronización de la prueba para asegurarse de que no haya usuarios iguales. | ||
| 3 | En el Conector de directorios, realice una simulación de sincronización. Una vez que finalice la prueba, revise la ficha Agregar objetos. Verifique que no se hayan eliminado los usuarios que convirtió.
| ||
| 4 | Cuando tenga la certeza de que la próxima sincronización no eliminará ninguna cuenta, vuelva a habilitar la sincronización de directorios desde el Conector de directorios. |
Las cuentas de usuario convertida no se activan automáticamente si usted no verificó un dominio. Por ejemplo, si activó la plantilla de licencia de asignación automática y luego activó el Conector de directorios sin verificación de dominios, los usuarios convertidos estarán inactivos en el backend de la nube hasta que confirmen sus direcciones de correo electrónico.
Cuentas de usuario de la aplicación Webex Sideboard
Cuando invita a otro usuario a un espacio en la aplicación de Webex, si el usuario invitado no tiene una cuenta de la aplicación de Webex, se crea una cuenta para él ("sideboard"). De manera predeterminada, las cuentas que se crean de este modo se agregan a la organización de consumidores sin cargo.
Si desea administrar la cuenta sideboard mediante el Conector de directorios, debe convertir la cuenta.
Cambiar el formato de nombre de usuario de la aplicación de Webex después de la sincronización de directorios
De forma predeterminada, el Conector de directorios asigna el atributo displayName de Active Directory al atributo displayName de la nube.
Después de realizar una sincronización de directorios, es posible que vea los nombres de usuario con el siguiente formato: <lastName, firstName="">.
Este nombre de usuario puede aparecer si el displayName en Active Directory se configura de esa manera. Cuando el atributo se asigna a displayName en la nube, los nombres aparecen con el formato <lastName, firstName=""> en Control Hub.
Para cambiar el formato, haga lo siguiente en la pantalla para mapear atributos del Conector de directorios: asignar el atributo de Active Directory givenName sn(o sn givenName) a displayName en los nombres de atributos de la nube de Cisco.
Alternativamente, asigne el atributo sn givenName para displayName:
También puede utilizar la opción Personalizar atributo si desea asignar su propia expresión de atributo personalizado a displayName.
Por ejemplo, ingrese givenName + "" + sn(nombre, espacio, apellido) como la expresión. Esto asigna los dos atributos de Active Directory a displayName en la nube.
Permitir que los usuarios cambien los nombres para mostrar en Webex Meetings
Puede cancelar la asignación de displayName atributo de sincronización con la nube en el Conector de directorios si desea permitir que los usuarios editen sus nombres para mostrar preferidos. Los usuarios pueden introducir un nombre para mostrar durante las reuniones de Webex en lugar de su nombre y apellido. Los administradores también pueden cambiar el nombre para mostrar de un usuario manualmente en Control Hub.
| 1 | Desde el Conector de directorios, haga clic en Configuración y luego elija Mapeo de atributos del usuario. |
| 2 | Seleccione displayName en Cisco Cloud Attribute Name. |
| 3 | Seleccione No sincronizar este atributo. |
Qué hacer a continuación
Los usuarios ahora pueden editar sus nombres en pantalla desde su sitio de Webex.
Actualizar a la versión de software más reciente
Para mantener su implementación en cumplimiento y obtener las características, funcionalidades, correcciones de errores y mejoras de seguridad más recientes, siempre debe mejorar a la versión más reciente del Conector de directorios. Si no realiza una mejora a la versión más reciente disponible, es posible que experimente problemas, como que el Conector de directorios ya no se sincronice correctamente o que esté en una versión que no admita el requisito de TLS 1.2 obligatorio.
El Conector de directorios le notifica automáticamente cuando hay una nueva versión disponible. Siempre mejore a la versión más reciente para evitar problemas. También verá una notificación en la barra de tareas de Windows.
| Aunque puede instalar manualmente actualizaciones de software de conectores, le recomendamos que siga los pasos de Configurar actualizaciones automáticas para permitir que la aplicación administre las actualizaciones automáticamente. |
| 1 | Haga clic en la notificación en la barra de tareas de Windows o haga clic con el botón derecho en el icono del Conector de directorios en la barra de tareas de Windows para iniciar el proceso de mejora. |
| 2 | Siga las instrucciones para completar la mejora. |
| 3 | Vuelva a iniciar el conector e inicie sesión con sus credenciales de administrador. |
| 4 | Compruebe el número de versión del software en . |
Qué hacer a continuación
Para una nueva instalación del Conector de directorios, puede descargar el archivo zip y seguir los pasos de instalación de esta guía.
Configurar ajustes generales para el Conector de directorios
Utilice este procedimiento para configurar los ajustes generales, como el nombre del servidor que ejecuta el Conector de directorios, los niveles de registro, las actualizaciones automáticas y los ajustes preferidos para los controladores de dominio. El nombre del conector aparece en el tablero de mandos de la sección de conectores, junto con cualquier otro conector que se esté ejecutando.
| 1 | Desde el Conector de directorios, diríjase a Configuración y luego haga clic en General. | ||
| 2 | En el campo Nombre del conector, introduzca el nombre del conector. Este campo solo muestra el nombre de la computadora que está ejecutando el conector en este momento. | ||
| 3 | Elija el nivel de registro desde el menú desplegable. De manera predeterminada, el nivel de registro está definido en Información. Los niveles de registro disponibles son los siguientes:
| ||
| 4 | Seleccione los Controladores de dominio preferidos para definir el orden de los controladores de dominio para sincronizar identidades. A los controladores de dominio se accede desde arriba hacia abajo. Si el primer controlador desde arriba no está disponible, elija el segundo controlador de la lista. Si no hay ningún controlador en la lista, puede acceder al controlador primario. | ||
| 5 | Marque Actualizar automáticamente a la nueva versión del Conector de directorios de Cisco si desea que se realicen actualizaciones automáticas. Siempre es importante mantener el software del Conector de directorios de Cisco actualizado a la última versión. Le recomendamos que compruebe esta configuración para permitir que las actualizaciones automáticas del software se instalen silenciosamente cuando estén disponibles. | ||
| 6 | Compruebe LDAP sobre SSL para utilizar el LDAP seguro (LDAPS) como protocolo de conexión.
LDAP (Lightweight Directory Application Protocol) y LDAP seguro (LDAPS) son los protocolos de conexión que se utilizan entre una aplicación y el controlador de dominio dentro de la infraestructura. La comunicación LDAPS está cifrada y segura. |
Configurar la política del conector
Puede definir la cantidad máxima de operaciones de eliminación que pueden tener lugar durante la sincronización. La sincronización en ejecución no elimina objetos de su Active Directory local. Todos los objetos se eliminan solo de la nube.
Por ejemplo, configuró 1 como el valor de activación del umbral de eliminación. Cuando ejecuta una sincronización completa o incremental, si la cantidad de usuarios que quiere eliminar es superior al ajuste configurado, el conector de directorios exhibirá una advertencia. Si hace clic en Anular umbral, puede iniciar una sincronización completa o incremental sin inconveniente, pero seguirá viendo este aviso de anulación la próxima vez que ejecute la política.
| 1 | Desde el Conector de directorios, haga clic en Configuración y luego elija Política. | ||
| 2 | Marque la casilla Habilitar activador de umbral de eliminación si quiere agregar un activador de umbral. Si elige esta opción, se activa una alerta si la cantidad de operaciones de eliminación excede el umbral. Cuando la cantidad de operaciones de eliminación excede la cifra que definió, la sincronización falla.
| ||
| 3 | Introduzca la cantidad máxima de operaciones de eliminación que quiera. El valor predeterminado es 20.
| ||
| 4 | Haga clic en Aplicar. |
Definir la programación del conector
Establezca la sincronización en Active Directory. La conmutación por falla se utiliza para proporcionar alta disponibilidad (HA). Si un conector está fuera de servicio, pasamos a otro conector de reserva después del intervalo predefinido.
| 1 | En el Conector de directorios, haga clic en Configuración y, a continuación, elija Planificación. |
| 2 | Especifique el Intervalo de sincronización incremental en minutos. De manera predeterminada, se establece una sincronización incremental cada 30 minutos. No habrá ninguna sincronización incremental completa hasta que usted no realice inicialmente una sincronización completa. |
| 3 | Cambie el valor de Enviar informes por… tiempo si quiere cambiar la frecuencia con la que se envían los informes. |
| 4 | Marque Habilitar planificación de sincronización completa para especificar los días y horarios en los que quiera ejecutar una sincronización completa. |
| 5 | Especifique el Intervalo de conmutación por falla en minutos. |
| 6 | Haga clic en Aplicar. |
Escenarios de varios dominios
Varios dominios se basan en la prioridad del dominio. En el caso de objetos que tengan el mismo valor de clave en diferentes dominios, después de la sincronización, los datos del dominio de mayor prioridad sobrescriben a los del dominio de menor prioridad.
Los objetos que tengan el mismo valor de clave se enlazan a un registro en la base de datos.
El valor de clave correspondiente a "Usuario" es Dirección de correo electrónico; y el correspondiente a "Grupo" es Nombre del grupo.
Caso práctico modelo para varios dominios
En este ejemplo se asume que una organización tiene dos dominios: ejemplo1.com y ejemplo2.com, en orden de prioridad.
Agregue usuario1(correo electrónico: Usuario@ejemplo1.com) al Active Directory de ejemplo1.com.
Agregue grupo1(Nombre del grupo: Prueba) al Active Directory de ejemplo1.com.
Agregue usuario2(correo electrónico: Usuario@ejemplo2.com) al Active Directory de ejemplo2.com.
Agregue grupo2(Nombre del grupo: Prueba) al Active Directory de ejemplo2.com.
- Sincronización en ejemplo1.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en , mientras que eso no sucede con usuario1 ni con grupo1.https://admin.webex.com
Si ejecuta una sincronización completa o incremental para ejemplo1.com. se sincronizan usuario1 y grupo1. Además, los valores de usuario2 y grupo2 se sobrescribirán con la información de usuario1 y grupo1.
usuario1 se enlaza a usuario2 como el mismo registro en la base de datos; grupo1 se enlaza a grupo2 como el mismo registro en la base de datos.
- Sincronización en ejemplo1.com y ejemplo2.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en , mientras que eso no sucede con usuario1 ni con grupo1.https://admin.webex.com
Tenga presentes estos pasos:
- Elimine usuario1 y grupo1 en el Active Directory correspondiente a ejemplo1.com.
- Ejecute una sincronización completa o incremental para ejemplo1.com.
Resultado: no se modifica la información del usuario en .https://admin.webex.com usuario2 no se enlaza a usuario1; y grupo2 tampoco se enlaza a grupo1.
- Ejecute una sincronización incremental para ejemplo2.com.
Resultado: no se modifica la información del usuario en .https://admin.webex.com
- Ejecute una sincronización completa para ejemplo2.com.
Resultado: la información de usuario2 y grupo2 se indica en .https://admin.webex.com
Sincronizar un dominio nuevo y preservar un dominio existente
Si desea sincronizar un nuevo dominio (B) mientras mantiene los datos de usuario sincronizados en otro dominio existente (A), asegúrese de instalar el Conector de directorios para la sincronización del dominio (B) en un servidor de Windows compatible. El conector se une al nuevo dominio después de la configuración inicial, y la información del usuario en el dominio (A) no se verá afectada.
Cada dominio debe tener su propio conector activo. Considere dos dominios con la siguiente configuración: dominio A con conectores (ca1) y (ca2) para alta disponibilidad local (HA); dominio B con conector (cb1). (ca1) y (ca2) sirven al dominio A. En este escenario, un conector está activo y el otro es en espera (HA). Este diseño mantiene el dominio sincronizado, ya que un conector siempre está activo. Por lo tanto, cb1 es el conector activo para el dominio B, porque el dominio A ya tiene un conector activo (ca1 o ca2).
Establecer la prioridad de los dominios
Utilice este procedimiento para cambiar la prioridad de los dominios de Active Directory. La prioridad de los dominios le permite determinar el dominio primario, el secundario, y así sucesivamente. Esto resulta útil cuando dos usuarios de dos dominios diferentes tienen el mismo valor de correo electrónico sincronizado a una organización.
No utilice este procedimiento si tiene un solo dominio en el Conector de directorios. Si lo intenta, el conector le exhibirá un mensaje en el que se indica que no es necesario establecer ninguna prioridad de directorios.
Antes de comenzar
Para evitar errores, instale o mejore a la versión más reciente del conector de directorios de Cisco. Debe descargarlo desde .https://admin.webex.com
| 1 | En el conector de directorios de Cisco, haga clic en Panel. | ||
| 2 | Diríjase a Acciones y luego haga clic en Definir prioridad de dominios. | ||
| 3 | Resalte un dominio de la lista, haga clic en Subir o Bajar para cambiar la prioridad de este dominio; luego, haga clic en Guardar para guardar este cambio.
|
Cambiar dominios
Utilice este procedimiento para volver a vincular el conector de directorios de Cisco a un dominio diferente.
Antes de comenzar
Asegúrese de que no se esté ejecutando ninguna tarea de sincronización antes de cambiar dominios.
Para evitar errores, instale o mejore a la versión más reciente del conector de directorios de Cisco. Debe descargarla de Control Hub.
| 1 | En el conector de directorios de Cisco, haga clic en Panel. |
| 2 | Diríjase a Acciones y luego haga clic en Cambiar dominio. |
| 3 | Después de leer el mensaje de precaución, si comprende el efecto de este cambio en su implementación y todavía está seguro, haga clic en Sí. Si cambia un dominio, se cerrará la sesión del conector de directorios de Cisco actual, se dejarán de registrar otros dominios del conector y se eliminará la información del conector en esa computadora. |
| 4 | Vuelva a iniciar sesión en el conector de directorios de Cisco y vuelva a vincular el dominio. |
Desactivar la sincronización de directorios
Si necesita detener la sincronización desde el Conector de directorios, puede desactivarla temporalmente desde Control Hub.
| 1 | Desde la vista del cliente en https://admin.webex.com, vaya a , desplácese hasta Sincronización de directorios y, a continuación, elija una opción:
|
| 2 | Después de leer el mensaje, haga clic en Desactivar. La sincronización se detiene hasta que vuelva a activarla desde el Conector de directorios. |
Eliminar asignación de atributos de usuario
Utilice el Conector de directorios para eliminar la asignación de atributos de Active Directory previamente asignados a la nube y sincronizados con Webex. Después de eliminar la asignación de atributos, los valores de atributos se eliminan de la nube y ya no se sincronizan con Webex. Esos valores se pueden editar manualmente.
| 1 | En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 | Vaya a Acciones y haga clic en . |
| 3 | Seleccione la asignación que desea eliminar de la lista Nombre de atributo. |
| 4 | En Ámbito de aplicación del usuario afectado, seleccione una de las siguientes opciones:
|
| 5 | Haga clic en Aplicar. |
Administrar imágenes de perfil
Utilice el Conector de directorios para actualizar imágenes de perfil de usuario o para eliminar imágenes de perfil de usuario en blanco.
| 1 | En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 | Vaya a Acciones y haga clic en . |
| 3 | En Acciones, seleccione una de las siguientes opciones:
|
| 4 | Haga clic en Aplicar. |
Desinstalar y desactivar el Conector de directorios
Después de desinstalar una instancia del Conector de directorios, deberá desinscribirlo. Elimine completamente un Conector de directorios en cualquiera de estas situaciones:
Ya no quiere utilizar la sincronización de directorios.
No quiere utilizar uno de los varios conectores de directorio (alta disponibilidad).
Quiere cambiar el dominio e instalar otro conector.
Antes de comenzar
Es posible que tenga varias instancias del Conector de directorios configuradas para alta disponibilidad (HA) o varias sincronizaciones de dominios. Deshabilite la sincronización si está desinstalando la única o última instancia del Conector de directorios.
Guarde y cierre cualquier trabajo importante antes de desinstalar el Conector de directorios.
| 1 | En su máquina con Windows, diríjase al Panel de control y luego haga clic en Programas y características. |
| 2 | En la lista de programas, haga clic en Conector de directorios, elija Desinstalar y, a continuación, siga las instrucciones. Es posible que tenga que reiniciar su sistema para completar la desinstalación. |
| 3 | Desde la vista del cliente en https://admin.webex.com, vaya a , desplácese hasta Sincronización de directorios, haga clic en más |
| 4 | Después de leer el mensaje, haga clic en Desactivar. Si no hay ningún otro Conector de directorios en una implementación de alta disponibilidad (HA), ya no se sincronizan las cuentas de usuario. |
Ejecutar la herramienta de diagnóstico
Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas de la implementación del Conector de directorios. Esta herramienta se instala como parte del Conector de directorios 3.4 en adelante.
Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión a LDAP para que usted mismo pueda diagnosticar errores antes de comunicarse con el soporte. Si la herramienta devuelve algún error, puede enviar los resultados detallados del registro al soporte.
Para ejecutar pruebas para los servicios de dominio de Active Directory:
Para ejecutar pruebas para los servicios de directorio ligero de Active Directory:
Para ejecutar pruebas para el protocolo ligero de acceso a directorios (LDAP):
Resolución de problemas y correcciones para el Conector de directorios
Es posible que encuentre un mensaje de error u otro problema en el Conector de directorios. Además, después de que el Conector de directorios sincronice la información del usuario, el conector puede enviarle un informe por correo electrónico que enumere cualquier problema con la sincronización. Consulte las siguientes secciones para conocer los problemas que puedan surgir, las posibles causas y las soluciones propuestas que puede probar antes de ponerse en contacto con el servicio de soporte.
Instalar
El Conector de directorios dejó de funcionar
Recibió correos electrónicos de alerta que le notificaban que su Conector de directorios no funciona.
Es posible que el Conector de directorios no se instale correctamente.
Es posible que el Conector de directorios no se esté ejecutando.
Es posible que la red no esté disponible.
Intente lo siguiente:
Abrir . Localice el Conector de directorios. Si no está allí, descargue la versión más reciente de Control Hub e instálela.
Abra Servicio y localice el servicio Cisco DirSync. Asegúrese de su estado sea Iniciado. Si el servicio está detenido, hágale clic derecho y seleccione Iniciar para reiniciarlo.
Asegúrese de que el servidor en el que instaló el Conector de directorios tenga acceso a Internet.
Error de reinstalación
Problema: si instala inmediatamente un conector nuevo después de desinstalar uno antiguo, es posible que vea un mensaje de error.
Posible causa: en Windows Server 2012, el cliente de desinstalación necesita tiempo para eliminar la cuenta de servicio de la lista de servicios.
Solución: después de pasar un tiempo, vuelva a intentar la instalación.
Iniciar sesión
El Conector de directorios se bloquea durante el inicio de sesión SSO
Problema
Es posible que el Conector de directorios se bloquee después de introducir una dirección de correo electrónico desde una página de inicio de sesión de SSO.
Solución
Intente lo siguiente:
Siga estos pasos para configurar una nueva directiva de grupo:
Vaya al controlador de dominio y abra Administración de políticas de grupo (gpedit.msc).
Haga clic con el botón derecho en una unidad organizativa o dominio específicos, seleccione Crear un GPO en este dominio y Vincularlo aquí…
Asigne un nombre a la directiva, haga clic con el botón derecho del ratón y elija Editar.
Siga estos pasos para cambiar la directiva a nivel de equipo:
Vaya a , haga clic con el botón derecho en Registro, seleccione Nuevo y, luego, Elemento de registro.
En Ruta de acceso de clave, ingrese o navegue a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Introduzca
Disable Script Debuggerpara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Siga estos pasos para cambiar la directiva a nivel de usuario:
Vaya a , haga clic con el botón derecho en Registro, seleccione Nuevo y, luego, Elemento de registro.
En Ruta de acceso de clave, ingrese o navegue a HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Introduzca
Disable Script Debuggerpara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
| Los cambios surten efecto después de que se ejecute |
No se pudo registrar el conector de servicios DirSync de Cisco
Problema
El inicio de sesión falla y aparece este mensaje: "No se pudo registrar el conector de servicios DirSync de Cisco".
Solución
El sistema de Windows en el que está instalado el Conector de directorios debe ser un miembro de Active Directory.
No aparece la página de inicio de sesión
Problema
Abrió el Conector de directorios y la página de inicio de sesión no aparecía.
Solución
Siga estos pasos:
En Internet Explorer, vaya a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Pruebe el enlace en otros navegadores como Chrome y Firefox.
Si Internet Explorer no puede visitar el enlace, pero otros navegadores sí, marque la configuración de Internet Explorer y marque las casillas de verificación TLS 1.1 y 1.2. (Utilice el procedimiento Activar TLS en Internet Explorer).
Aparece el mensaje de inicio de sesión
Problema
Aparece un mensaje que le solicita que ingrese el nombre de usuario y la contraseña para pasar la autenticación.
Causa posible
El Conector de directorios completa la autenticación de seguridad de NTLM silenciosamente con la cuenta de inicio de sesión. Si la autenticación falla, aparece un cuadro de diálogo para pedir el nombre de usuario y la contraseña de autenticación.
Solución
Cuando vea la ventana emergente de inicio de sesión, deberá proporcionar una cuenta válida con autenticación correcta para pasar la seguridad.
No se puede conectar al servidor remoto
Problema
Durante el funcionamiento normal, aparece el mensaje de error: "No se puede conectar al servidor remoto".
Causa posible
Es posible que tenga problemas de proxy que deban resolverse.
Solución
Consulte Solución de problemas de inicio de sesión de cuenta de servicio para obtener más información sobre la solución de problemas.
No se puede registrar el conector
Problema
Verá el mensaje de error "No se puede registrar el conector. Se produjo una excepción general".
Causa posible
En la mayoría de los casos, el problema es porque el Conector de directorios no tiene privilegios para conectarse al contexto raíz de LDAP.
Solución
Intente lo siguiente:
Ejecute un símbolo del sistema (cmd) y, a continuación, introduzca ldp.exe.
Haga clic en , elija Vincular como usuario conectado actualmente y, a continuación, haga clic en Aceptar.
Haga clic en , ingrese DC=arbonneintl,DC=ad como BaseDN y, a continuación, haga clic en Aceptar.
Si el problema continúa, abra un caso con soporte.
Sincronización
Avatares no sincronizados
Problema
El conector de directorios de Cisco sincronizó los datos de AD del usuario con la nube de Webex. Pero no se sincronizaron correctamente los datos de avatar.
Causa posible
Si reutilizó un servidor de avatar existente y los avatares del usuario ya estaban sincronizados, la caché local los captura y evita volver a reenviar para ahorrar ancho de banda.
Solución
Elimine la caché local siguiendo estos pasos:
Vaya a C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Elimine DirSyncPluginAvatar.dll-cache.bin.
Vuelva a ejecutar la sincronización de avatar desde el conector de directorios de Cisco.
Cuentas de correo electrónico de usuarios en conflicto
Problema
Los resultados de la sincronización pueden mostrar cuentas de correo electrónico de usuarios en conflicto.
Si los usuarios probaron la versión gratuita de la aplicación de Webex, sus direcciones de correo electrónico residen en la organización de consumidores gratuita.
Si los correos electrónicos de los usuarios alguna vez se sincronizaron en otra organización.
Si los correos electrónicos de los usuarios existen en varios dominios que pertenecen a la organización.
Solución
Intente lo siguiente:
Siga estos pasos si intenta reclamar usuarios:
Asegúrese de haber verificado el dominio en Control Hub.
Deshabilite temporalmente el Conector de directorios de Cisco.
Utilice la opción Reclamar usuario en Control Hub para reclamar las cuentas que puedan existir en la organización de consumidores gratuita. Consulte Reclamar usuarios a su organización (Convertir usuarios) para obtener más información.
Realice una simulación en el Conector de directorios de Cisco y, luego, vuelva a habilitar la sincronización de directorios
Para el último caso, verifique los datos del usuario en sus fuentes de Active Directory.
Usuario convertido marcado como inactivo
Problema
En su entorno sincronizado con directorios, convirtió un usuario gratuito (organización de consumidores) en su organización empresarial, pero el usuario convertido no puede iniciar sesión en la aplicación de Webex.
Causa posible
Cuando el usuario gratuito se convierte en la organización empresarial, el usuario se marca como estado inactivo durante 30 días como medida de cumplimiento de la seguridad. Durante este período, el usuario no puede iniciar sesión en la aplicación de Webex y está marcado para su eliminación al final del período de 30 días. Esta situación surge porque la información gratuita del usuario no reside en Active Directory.
Solución
Debe tomar medidas si no desea que se elimine la cuenta de usuario. Para resolver este problema, cree una cuenta de usuario en su Active Directory local que corresponda a la cuenta de usuario gratuita convertida. A continuación, realice una sincronización desde el Conector de directorios de Cisco. A continuación, el usuario puede volver a iniciar sesión en la aplicación de Webex y la cuenta no se eliminará.
Falla la sincronización incremental
Problema
Falla una sincronización incremental.
Este problema puede producirse en Windows Server 2008 R2 en las siguientes condiciones:
Usted admite actualizaciones de valor incrementales.
El filtro que utiliza hace referencia a un atributo de valor vinculado.
Los valores de resultado de ese atributo se actualizaron desde la última vez que se realizó una sincronización completa.
Solución
Windows Server 2008 R2 tiene un error relacionado con este problema. El error se corrigió en 2012 R2 y versiones posteriores. Le recomendamos que actualice su Windows Server a al menos 2012 R2.
Valor no válido para el atributo
Problema
Para [ND del usuario (nombre distinguido)], el atributo [nombre del atributo] tiene el siguiente valor no válido: [valor del atributo].
Causa posible
Para CN=b,OU=Employees,OU=C Users,DC=c,DC=com, el atributo [número de teléfono] tiene el siguiente valor no válido: +. Este atributo debe contener al menos un número.
Solución
Un atributo para este usuario no tiene un valor válido. Corrija su valor según la descripción que se indica en el mensaje de advertencia. Luego realice otra operación de sincronización.
Usuarios coincidentes que deben eliminarse
Problema
Los usuarios coincidentes están marcados para ser eliminados.
Al realizar una simulación de sincronización para comprobar los datos entre Active Directory y la nube, es posible que vea la misma dirección de correo electrónico en ambos. Sin embargo, el usuario se marca como un objeto que desea eliminar.
Solución
Elija una solución adecuada:
Si está bien eliminar el usuario y volver a realizar las licencias después, puede utilizar el Conector de directorios para la corrección. Realice una sincronización para eliminar al usuario y, a continuación, realice otra sincronización para sincronizar al usuario de AD local a la nube.
Si no puede eliminar y volver a crear la cuenta de usuario, abra un caso con soporte.
Atributo que falta
Problema
El atributo obligatorio [attribute_name] al agregar una entrada local [DN de usuario (nombre distinguido)]. La entrada no se crea en Control Hub hasta que todos los atributos obligatorios tienen un valor.
Causa posible
Falta el atributo obligatorio de dirección de correo electrónico. Cuando se agrega una entrada local [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], la entrada no se crea en Control Hub hasta que todos los atributos obligatorios tienen un valor.
Solución
Falta uno de los atributos obligatorios para el usuario [user_email_address]. Proporcione los valores obligatorios para ese usuario.
El grupo anidado no se sincronizará
Problema
Los usuarios de un grupo de Active Directory anidado no se sincronizan correctamente con la nube.
Causa posible
Se utiliza un filtro que incluye tanto el grupo secundario como el grupo ascendiente, que no es compatible. Por ejemplo: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Solución
Debe volver a configurar el filtro que sincroniza los grupos. Por ejemplo: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Conflicto de nombres de usuarios
Problema
Hay un conflicto de nomenclatura para [ND del usuario] para un objeto de entrada en la nube existente con el siguiente nombre: [dirección de correo electrónico del usuario] y del tipo de usuario [user_type].
Causa posible
Un usuario con esa dirección de correo electrónico ya existe en Control Hub.
Solución
Cree un usuario en su Active Directory con la misma dirección de correo electrónico que la cuenta que registró a través de Control Hub.
Control Hub
Falta la lista de usuarios en Control Hub
Problema
Si tiene una organización de Webex con más de 1000 usuarios sincronizados, es posible que no vea la lista de usuarios en Control Hub.
Solución
Puede utilizar la funcionalidad de búsqueda para encontrar una cuenta de usuario. En Control Hub, vaya a Usuarios, haga clic en Buscar 
y, a continuación, introduzca los criterios de búsqueda para localizar un usuario específico.
Los grupos no se sincronizarán con Control Hub
Problema
Los usuarios de un grupo de directorio no se sincronizarán correctamente con Control Hub.
Causa posible
El grupo no está etiquetado como isCriticalSystemObject en Active Directory.
Solución
Asegúrese de que el atributo isCriticalSystemObject está configurado como TRUE en Active Directory.
Habilitar la solución de problemas para el Conector de directorios
Puede habilitar la solución de problemas para diagnosticar más fácilmente cualquier error que encuentre en el Conector de directorios. La solución de problemas le permite capturar información del tráfico de red y guardarla en un archivo.
Los archivos de registro que son: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Ejecute el archivo | ||
| 2 | Reinicie el servicio. Consulte Cómo iniciar servicios para obtener ayuda. | ||
| 3 | En el Conector de directorios, haga clic en Panel. | ||
| 4 | Vaya a Acciones y haga clic en . | ||
| 5 | Con la solución de problemas habilitada, repita las acciones que estaban causando un error; de esta manera, se capturan los datos del tráfico para poder examinarlos. | ||
| 6 | Examine los archivos de registro: si el archivo está en blanco, asegúrese de que la cuenta tenga privilegios para acceder a su AD DS o AD LDS.
| ||
| 7 | Si es necesario, envíe el archivo de registro al servicio de Soporte para obtener ayuda. | ||
| 8 | Deshabilite la característica de solución de problemas cuando termine. |
Iniciar el visor de eventos
Para ver los eventos que se produjeron durante una sincronización completa o incremental, inicie el Visor de eventos. Muestra un resumen de los eventos administrativos y los registros de errores.
| 1 | Desde el Conector de directorios, vaya a Panel y, a continuación, haga clic en . En el cuadro de diálogo de Propiedades de eventos se indican detalles de los eventos y errores durante la sincronización. |
| 2 | Desde el visor de eventos, vaya a .
|
| 3 | En Acciones, haga clic en Guardar todos los eventos como para exportar todos los registros como un solo archivo de eventos (*.evtx) u otro formato, como xml o csv. |
Qué hacer a continuación
Si necesita abrir un caso, comuníquese con el soporte técnico, describa el problema con el conector y, a continuación, adjunte el archivo Events a su caso.
| Los registros de eventos capturan las acciones de los usuarios. Para obtener ayuda con la administración del tráfico de red, habilite la resolución de problemas en el conector. |
Habilitar TLS en Internet Explorer
Si cambió de proveedor de inicio de sesión único (SSO), es posible que vea los siguientes mensajes de error del conector de directorios de Cisco:
Se produjo un error al iniciar sesión en servicio
Se produjo un error en la secuencia de comandos de esta página
Si ve estos errores, debe habilitar una configuración de TLS en su navegador.
| 1 | Abra Internet Explorer y, a continuación, elija Herramientas. Ahora marque las casillas de la versión de TLS/SSL que desea habilitar Haga clic en Aceptar Cerrar el navegador y vuelva a abrirlo |
| 2 | Haga clic en Opciones de Internet , vaya a Avanzadas y desplácese hasta Seguridad. |
| 3 | Marque las casillas de verificación Usar TLS 1.1 y Usar TLS 1.2 y, a continuación, haga clic en Aceptar.
|
| 4 | Reinicie el sistema para que los cambios tengan efecto. |
Solucionar problemas en el inicio de sesión a una cuenta de servicios
Si no puede iniciar sesión en el conector de directorios de Cisco o no puede ejecutar una sincronización, siga estos pasos para intentar resolver el problema antes de comunicarse con el soporte.
| 1 | Trate de ingresar a en su navegador web.https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL | ||
| 2 | Dependiendo de los resultados, elija una opción:
| ||
| 3 | Como mínimo, asegúrese de que la cuenta configurada para el servicio Cisco DirSync (que se puede encontrar en los servicios de Windows) tenga un nivel de privilegios que le permita acceder a datos de avatar y datos de AD. De manera predeterminada, el servicio utiliza las credenciales y la autenticación de la cuenta de inicio de sesión de Windows. |
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de biblioteca de enlaces dinámicos seguros (DLL) se establece de forma predeterminada en el registro de Windows y coloca el directorio actual del usuario más tarde en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar una DLL maliciosa (denominada igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para verificar dos veces la configuración del registro.
Antes de comenzar
| Los cambios en el registro de Windows se deben realizar con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de utilizar estos pasos. |
| 1 | En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 | Vaya a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 | Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de vínculos dinámica.
Descripción general del Conector de directorios de Cisco
Descripción general del Conector de directorios
El Conector de directorios es una aplicación local para la sincronización de identidades en la nube. Descargue el software del conector desde Control Hub e instálelo en su máquina local.
Con el Conector de directorios, puede mantener sus cuentas de usuario y sus datos en Active Directory, de modo que Active Directory se convierte en la única fuente fiable. Cuando realiza un cambio en las instalaciones, se replica en la nube.
Consulte todas las características, las descripciones y los beneficios en la tabla:
| Característica | Descripción y ventaja |
|---|---|
| Tablero de mandos fácil de usar | El tablero de mandos proporciona una planificación de sincronizaciones, un resumen y el estado de la sincronización y del Conector de directorios. Puede ver el tablero de mandos cada vez que inicie sesión. |
| Simulacro antes de la sincronización con la nube | Realice una simulación de los cambios en el directorio antes de que se implementen en la nube. Luego, ejecute un informe para ver que los cambios cumplen con sus expectativas. |
| Sincronización completa y gradual | Sincronice el directorio completo. O bien, sincronice los cambios graduales para ahorrar potencia de procesamiento y acortar el tiempo de sincronización. |
|
Sincronizar varios dominios (bosque único o bosques múltiples) |
El Conector de directorios admite varios dominios en un solo bosque o en varios bosques (sin la necesidad de AD LDS). En el caso de empresas con varios dominios de Active Directory, puede instalar un Conector de directorios para cada dominio, vincular cada dominio a su organización y, luego, sincronizar cada base de usuarios en Webex. Control Hub refleja el estado mostrando el estado de sincronización para varios conectores de directorios, le permite desactivar la sincronización para un dominio específico y desactivar un conector de directorios en una implementación de alta disponibilidad. |
| Sincronización programada | Configure una planificación de sincronizaciones por día, hora y minuto. |
| Filtros del Protocolo ligero de acceso a directorios (LDAP) | Defina el criterio de búsqueda de LDAP y proporcione importaciones eficientes. |
| Asignación de atributos de Active Directory | Asigne atributos de Microsoft Active Directory a los atributos de la nube de Webex correspondientes. Puede asignar atributos relevantes para la configuración de su Active Directory y también definir atributos personalizados para asignar a la nube. Los atributos de las instalaciones forman diversos datos en la nube, como información de cuentas de usuario, números de teléfono empresarial en Webex Teams, direcciones SIP de recursos de sala y otros datos de tarjetas de contacto del usuario (cargo, departamento, gerente, etc.). |
|
Directorio corporativo para recursos de salas locales y usuarios de Cisco Webex Calling (PSTN en la nube) y contactos empresariales sin licencias de Webex |
Si parte de su organización utiliza la PSTN en la nube de Cisco Webex Calling para el servicio de llamadas o usted tiene dispositivos de sala locales, esta característica permite a los usuarios buscar contactos empresariales en el directorio desde sus teléfonos o recursos de sala de Cisco Webex Calling (PSTN en la nube).
|
| Visor de eventos | Use el visor de eventos para determinar si hubo problemas con la sincronización. |
| Herramienta de diagnóstico y solución de problemas | Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas de su implementación Conector de directorios Cisco. Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión con Active Directory para que pueda diagnosticar los errores usted mismo antes de comunicarse con el servicio de soporte. Una vez que habilite la solución de problemas en el Conector de directorios, se escriben registros que pueden enviarse al soporte técnico. |
| Mejora automática | Después de que instala Conector de directorios, recibe una notificación cada vez que haya una nueva versión del software disponible. Puede configurar actualizaciones automáticas para que siempre tenga la última versión del software cuando se lanza una nueva versión. |
| Alta disponibilidad | Configure varios conectores para que haya una copia de seguridad, por si el conector principal o la máquina que lo aloja dejan de funcionar. |
El Conector de directorios está dividido en tres áreas:
-
Control Hub es la interfaz única que le permite administrar todos los aspectos de su organización de Webex: ver usuarios, asignar licencias, descargar el Conector de directorios y configurar el inicio de sesión único (SSO) si desea que sus usuarios se autentiquen a través de su proveedor de servicios de identidad empresarial y no desea enviar invitaciones por correo electrónico para la aplicación de Webex.
-
La interfaz de administración del Conector de directorios es el software que se descarga desde Control Hub e instala en un servidor de Windows de confianza. Para varios dominios de Active Directory, puede instalar una porción del software para cada dominio que desea sincronizar. Si utiliza el software, puede ejecutar una sincronización para incorporar sus cuentas de usuario de Active Directory a Webex, ver y supervisar el estado de la sincronización y configurar servicios del Conector de directorios.
-
El servicio de sincronización de directorios solicita a su Active Directory que recupere usuarios y grupos para sincronizarlos con el servicio de conectores y con el Conector de directorios.
Consulte este diagrama para comprender la arquitectura del Conector de directorios:
Preparar su entorno para el Conector de directorios
Requisitos para el Conector de directorios
Requisitos de Windows y Active Directory
Puede instalar el Conector de directorios en estos servidores Windows compatibles:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver un problema con las cookies, le recomendamos que mejore su controlador de dominio a una versión que contenga la solución: Windows Server 2012 R2 o 2016.
El Conector de directorios es compatible con los siguientes servicios de Active Directory:
-
Active Directory 2016
(El Conector de directorios es compatible cuando se utiliza la última versión de Active Directory en Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Tenga en cuenta los siguientes requisitos adicionales:
-
El Conector de directorios requiere TLS1.2. Debe instalar lo siguiente:
-
.NET Framework v3.5 (necesario para la aplicación del Conector de directorios. Si tiene algún problema, utilice las instrucciones de Habilitar .NET Framework 3.5 mediante el asistente para agregar funciones y características).
-
.NET Framework v.4.5 (se requiere para TLS1.2)
-
-
Se requiere el nivel 2 de la funcionalidad de bosque de Active Directory (Windows Server 2003) o posterior (Consulte ¿Qué son los niveles funcionales de Active Directory? para obtener más información).
Requisitos de hardware
Debe instalar el Conector de directorios en una computadora con estos requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de almacenamiento
-
No hay ningún mínimo para la CPU
Requisitos de red
Si su red está detrás de un firewall, asegúrese de que su sistema tenga acceso HTTPS (puerto 443) a Internet.
Requisitos de la organización de Webex
-
Para acceder al software del Conector de directorios desde Control Hub, necesita una organización de Webex con una prueba o cualquier suscripción paga.
-
(Opcional) Si desea que las nuevas cuentas de usuario de la aplicación de Webex estén Activas antes de que inicien sesión por primera vez, le recomendamos que haga lo siguiente:
-
Agregue, verifique y, opcionalmente, reclame dominios que contengan las direcciones de correo electrónico de los usuarios que desea sincronizar en la nube.
-
Realice una integración de inicio de sesión único (SSO) de su proveedor de servicios de identidad (IdP) con su organización de Webex.
-
Suprimir las invitaciones automáticas por correo electrónico, de modo que los usuarios nuevos no reciban la invitación automática por correo electrónico y usted pueda realizar su propia campaña de correo electrónico. (Esta característica requiere la integración de SSO).
-
Para obtener más información, consulte Estados y acciones del usuario en Control Hub.
Requisitos de instalación
-
Para un entorno de varios dominios (ya sea bosque único o bosques múltiples), debe instalar un Conector de directorios por cada dominio de Active Directory. Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de tener un servidor Windows compatible separado para instalar el Conector de directorios para la sincronización del dominio (B).
-
Para iniciar sesión en el conector, no necesitamos una cuenta administrativa en Active Directory. Requerimos una cuenta de usuario local que sea el mismo usuario que una cuenta de administrador completa en Control Hub.
Este usuario local debe tener privilegios en esa máquina de Windows para conectarse al Controlador de dominios y leer los objetos de usuario de Active Directory. La cuenta de inicio de sesión de la máquina debe ser un administrador de la computadora con privilegios para instalar software en la máquina local. (Esta información también se aplica a la conexión de una máquina virtual).
-
Al iniciar sesión en el conector, la cuenta de inicio de sesión debe ser la misma que la cuenta de administrador completa para Control Hub. De forma predeterminada, el conector utiliza la cuenta del sistema local para acceder a Active Directory. Sin embargo, puede utilizar los servicios de Windows para configurar otra cuenta a fin de acceder a Active Directory. (Esta información también se aplica a la conexión de una máquina virtual).
-
Asegúrese de que el modo de búsqueda de biblioteca dinámica de enlaces (DLL) de Windows Safe esté habilitado mediante este procedimiento: Compruebe SafeDllSearchMode en el Registro de Windows.
-
Si utiliza AD LDS para varios dominios en un solo bosque, le recomendamos que instale el Conector de directorios y Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) en máquinas separadas.
Requisitos de varios dominios
Antes de seguir las tareas que se indican en el Flujo de tareas de implementación del conector de directorios de Cisco, tenga en cuenta los siguientes requisitos y recomendaciones si va a sincronizar la información de Active Directory de varios dominios a la nube:
-
Se requiere una instancia independiente del Conector de directorios para cada dominio.
-
El software del Conector de directorios debe ejecutarse en un host que esté en el mismo dominio que sincronizará.
-
Le recomendamos que verifique o reclame sus dominios en Control Hub. (Consulte Agregar, verificar y reclamar dominios).
-
Si desea sincronizar más de 50 dominios, debe abrir un ticket para que su organización se mueva a una lista de organizaciones grande.
-
Si lo desea, puede sincronizar la información de los recursos de la sala junto con las cuentas de usuario. (Consulte Sincronizar la información de la sala local con la nube de Webex).
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
Los grupos de Active Directory se utilizan para recopilar cuentas de usuarios, cuentas informáticas y otros grupos en unidades manejables. Trabajar con grupos en lugar de con usuarios individuales ayuda a simplificar el mantenimiento y la administración de la red.
Hay dos tipos de grupos en Active Directory:
-
Grupos de distribución: se utiliza para crear listas de distribución de correo electrónico.
-
Grupos de seguridad: se utiliza para asignar permisos a recursos compartidos.
Tenga en cuenta las siguientes pautas al crear grupos en Active Directory:
-
Cree un grupo global para cada función, departamento o servicio (como ventas, marketing, gerentes, contables, licencias de Webex, etc.).
-
Utilice convenciones de nomenclatura estándares en toda la organización para facilitar la identificación de información importante sobre un grupo. Los nombres de grupos pueden incluir detalles acerca del grupo, como el nivel de acceso, el tipo de recurso, el nivel de seguridad, el alcance del grupo, la capacidad de correo, etc. Por ejemplo, el nombre de grupo “GSG_Webex_Licensing_EMEAR” se refiere a un grupo de seguridad global para usuarios de licencias de Webex de EMEAR.
-
Organice grupos de una manera fácil de entender, por ejemplo, por geografía o jerarquía gerencial. Utilice las descripciones del grupo para describir completamente el propósito del grupo.
-
Antes de agregar usuarios a los grupos recientemente aprovisionados, defina la plantilla de grupo de licencias automáticas en Control Hub para esos grupos. Consulte Configurar su plantilla de asignación automática de licencias para obtener más información.
Información de dimensionamiento
El Conector de directorios funciona como un puente entre Active Directory en las instalaciones y la nube de Webex. Como tal, el conector no tiene un límite superior para la cantidad de objetos de Active Directory que se pueden sincronizar en la nube. Los límites de los objetos del directorio local están vinculados a la versión y las especificaciones específicas del entorno de Active Directory que se está sincronizando con la nube, no con el propio conector.
Algunos factores pueden afectar la velocidad de la sincronización:
-
El número total de objetos de Active Directory. (Un trabajo de sincronización de 5000 usuarios no demorará tanto como 50000).
-
Velocidad de red y ancho de banda.
-
Carga de trabajo y especificaciones del sistema.
Si está sincronizando más de 50 000 usuarios, le recomendamos con énfasis que utilice un segundo conector para la conmutación por error y la redundancia.
Debido a que hay varios factores involucrados en la sincronización y porque cada implementación varía según los factores anteriores, no podemos proporcionar valores de tiempo específicos para el tiempo que llevará una sincronización de objetos.
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
Integración de proxy web
Integración de proxy web
Si la autenticación con proxy web está habilitada en su entorno, puede seguir usando el Conector de directorios.
Si su organización utiliza un proxy web transparente, no es compatible con la autenticación. El conector conecta y sincroniza usuarios con éxito.
Puede adoptar uno de estos enfoques:
-
Proxy web explícito a través de Internet Explorer (el conector hereda la configuración del proxy web)
-
Proxy web explícito por medio de un archivo .pac (el conector hereda la configuración proxy específica de la empresa)
-
Proxy transparente que funciona con el conector sin ningún cambio
Utilizar un proxy web por medio del navegador
Puede configurar el Conector de directorios para que utilice un proxy web a través de Internet Explorer.
Si el servicio de sincronización de directorios de Cisco se ejecuta desde una cuenta diferente a la que está conectado el usuario en ese momento, también tiene que iniciar sesión con esta cuenta y configurar el proxy web.
| 1 |
Desde Internet Explorer, diríjase a Opciones de Internet, haga clic en Conexiones y luego elija Configuración de LAN. |
| 2 |
Señale la instancia de Windows donde esté instalado el conector en su proxy web. El conector hereda esta configuración de proxy web. |
| 3 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 4 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Configurar el proxy web por medio de un archivo PAC
Puede configurar un navegador cliente para utilizar un archivo .pac. Este archivo proporciona información sobre la dirección y el puerto del proxy web. El Conector de directorios hereda directamente la configuración del proxy web específica de la empresa.
| 1 |
Para que el conector conecte y sincronice con éxito la información de los usuarios con la nube de Webex, asegúrese de que la autenticación con proxy esté deshabilitada para |
| 2 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 3 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Proxy NTLM
El Conector de directorios admite NT LAN Manager (NTLM). NTLM es un enfoque para admitir la autenticación de Windows entre los dispositivos del dominio y garantizar su seguridad.
Diseño NTLM
En la mayoría de los casos, un usuario quiere acceder a los recursos de otra estación de trabajo a través de un PC cliente, lo que puede ser difícil de hacer de una manera segura.
En general, el diseño técnico de NTLM se basa en un mecanismo de Desafío
y Respuesta
:
-
Un usuario inicia sesión en la PC de un cliente a través de una cuenta y contraseña de Windows. La contraseña nunca se guarda localmente. En lugar de una contraseña de texto sin formato, se almacena localmente un valor hash de la contraseña. Cuando un usuario inicia sesión a través de la contraseña con el cliente, el sistema operativo Windows compara el valor hash almacenado y el valor hash de la contraseña de entrada. Si ambos son iguales, la autenticación pasa.
Cuando el usuario quiere acceder a cualquier recurso en otro servidor, el cliente envía una solicitud al servidor con el nombre de la cuenta en texto sin formato.
-
Cuando el servidor recibe la solicitud, el servidor genera una clave aleatoria de 16 bits. La clave se llama Desafío (o Nonce). Antes de que el servidor vuelva a enviar al cliente, el desafío se almacena en el servidor. Luego, el servidor envía el desafío al cliente en texto sin formato.
-
Tan pronto como el cliente recibe el desafío enviado desde el servidor, el cliente cifra el desafío por el valor hash que se mencionó en el paso 1. Después del cifrado, el valor se devuelve al servidor.
-
Cuando el servidor recibe el valor cifrado del cliente, el servidor lo envía al controlador de dominio para su verificación. La solicitud incluye: el nombre de la cuenta, el desafío cifrado que envió el cliente y el desafío simple original.
-
El controlador de dominio puede recuperar los valores de hash de la contraseña según el nombre de la cuenta. Y, a continuación, el controlador de dominio puede cifrar en el desafío original. El controlador doman puede entonces comparar con el valor de hash recibido y el valor de hash cifrado. Si son iguales, la verificación se realiza correctamente.
Windows tiene la autenticación de seguridad integrada en el sistema operativo, lo que facilita que las aplicaciones admitan la autenticación de seguridad. En consecuencia, no es necesario completar la configuración adicional.
Configurar un proxy transparente
En esta situación, el navegador no sabe que un proxy web transparente está interceptando solicitudes http [puerto 80/puerto 443] y no se requiere ninguna configuración en el lado del cliente.
| 1 |
Implemente un proxy transparente para que el conector pueda conectar y sincronizar usuarios. |
| 2 |
Confirme que el proxy sea correcto: verá una ventana emergente de autenticación del navegador esperada al iniciar el conector. |
Establecer autenticación de proxy
Agregue la URL cloudconnector.webex.com a su lista de permitidos; para ello, cree una Lista de control de acceso.
En su servidor de firewall empresarial:
| 1 |
Habilite la búsqueda de DNS si todavía no está habilitada. |
| 2 |
Determine un ancho de banda estimado para esta conexión (aproximadamente 2 mb/s o menos para el conector). Es posible que esto no sea obligatorio. |
| 3 |
Cree una Lista de control de acceso para aplicarla al host de conectores y especifique Por ejemplo: access-list 2000 acl-inside extended permit TCP [IP del conector] cloudconnector.webex.com eq https |
| 4 |
Aplique esta ACL a la interfaz de firewall adecuada, que solo se aplica a este host de conectores únicos. |
| 5 |
Asegúrese de que el resto de los hosts de su empresa todavía tengan que utilizar su proxy web; para ello, configure la declaración de denegación implícita que corresponda. |
Implementar el Conector de directorios
Flujo de tareas de implementación del conector de directorios de Cisco
Antes de comenzar
| 1 |
Instalar el Conector de directorios Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito. En el caso de una instalación nueva del Conector de directorios, vaya siempre a Control Hub ( https://admin.webex.com) para obtener la última versión del software, de modo que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 2 |
Iniciar sesión en el Conector de directorios Inicie sesión con sus credenciales de administrador de Webex y realice la configuración inicial. |
| 3 |
Configurar mejoras automáticas Siempre es importante mantener el software del Conector de directorios actualizado con la última versión. Le recomendamos que utilice este procedimiento para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 4 |
Elegir objetos de Active Directory para sincronizar De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios. |
| 5 |
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid. |
| 6 |
Sincronice los avatares de directorios mediante uno de los siguientes procedimientos:
Puede sincronizar los avatares de sus usuarios con la nube para que aparezca el avatar de cada usuario cuando inicie sesión en la aplicación. Puede sincronizar avatares desde un atributo de Active Directory o un servidor de recursos. |
| 7 |
Sincronizar la información de la sala local con la nube de Webex Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube, como un dispositivo de sala de Webex o Cisco Webex Board |
| 8 |
Para Aprovisionar Usuarios De Active Directory En Control Hub, siga estos pasos:
Siga esta secuencia para aprovisionar usuarios de Active Directory para cuentas de la aplicación de Webex. Puede aprovisionar usuarios de una implementación de Active Directory de varios bosques o dominios para el Conector de directorios 3.0 y versiones posteriores. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex. |
Instalar el Conector de directorios
Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito.
Debe instalar un conector por cada dominio de Active Directory que quiera sincronizar. Una única instancia del Conector de directorios solo puede servir a un único dominio. Consulte el siguiente diagrama para comprender el flujo de la sincronización de múltiples dominios:
Antes de comenzar
Si se autentica a través de un servidor proxy, asegúrese de tener sus credenciales de proxy:
-
Para la autenticación básica de proxy, introducirá el nombre de usuario y la contraseña después de instalar una instancia del conector. La configuración del proxy de Internet Explorer también es necesaria para la autenticación básica; consulte Utilizar un proxy web a través del navegador
-
En el caso de NTLM de proxy, es posible que vea un error cuando abra el conector por primera vez. Consulte Utilizar un proxy web a través del navegador.
| 1 |
En Control Hub, diríjase a y elija Siguiente. |
| 2 |
Haga clic en el enlace Descargar e instalar para guardar la última versión del archivo .zip de instalación del conector en su servidor VMware o Windows. Puede obtener el archivo .zip directamente desde este enlace, pero debe tener acceso administrativo total a una organización de Control Hub para que este software funcione. En el caso de una instalación nueva, obtenga la versión más reciente del software para que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 3 |
En el servidor de VMware o Windows, descomprima y ejecute el archivo .msi en la carpeta de configuración para iniciar el asistente de configuración. |
| 4 |
Haga clic en Siguiente, marque la casilla para aceptar el acuerdo de licencia y, luego, haga clic en Siguiente hasta ver la pantalla del tipo de cuenta. |
| 5 |
Elija el tipo de cuenta de servicio que desea utilizar y realice la instalación con una cuenta de administrador:
Para evitar errores, asegúrese de que estén implementados los siguientes privilegios:
|
| 6 |
Haga clic en Instalar. Después de ejecutar la prueba de red y, si se le solicita, introduzca sus credenciales básicas de proxy, haga clic en Aceptar y, a continuación, haga clic en Finalizar. |
Qué hacer a continuación
Le recomendamos que reinicie el servidor después de la instalación. El informe de simulación no puede mostrar el resultado correcto cuando no se liberaron los datos. Al reiniciar la máquina, se actualizan todos los datos para mostrar un resultado exacto en el informe.
Iniciar sesión en el Conector de directorios
Antes de comenzar
Asegúrese de tener sus credenciales de proxy.
-
Para la autenticación básica del proxy, introducirá el nombre de usuario y la contraseña después de abrir el conector por primera vez.
-
En el caso de NTLM proxy, abra Internet Explorer, haga clic en el icono de engranaje, diríjase a Opciones de Internet > Conexiones > configuración de LAN, asegúrese de que se agregue la información del servidor proxy y, luego, haga clic en Aceptar. Consulte Utilizar un proxy web a través del navegador.
| 1 |
Abra el conector y, a continuación, agregue |
| 2 |
Si se le solicita, inicie sesión con sus credenciales de autenticación de proxy y, luego, inicie sesión en Webex con su cuenta de administrador y haga clic en Siguiente. |
| 3 |
Confirme su organización y dominio.
|
| 4 |
Después de que aparezca la pantalla Confirmar organización, haga clic en Confirmar. Si ya vinculó AD DS/AD LDS, aparecerá la pantalla Confirmar organización. |
| 5 |
Haga clic en Confirmar. |
| 6 |
Elija uno, según la cantidad de dominios de Active Directory que quiera vincular al Conector de directorios:
|
Qué hacer a continuación
Después de iniciar sesión, se le pedirá que realice una simulación de sincronización.
Tablero de mandos del Conector de directorios
La primera vez que inicie sesión en el Conector de directorios, aparecerá el tablero de mandos. Aquí puede ver un resumen de todas las actividades de sincronización, ver estadísticas de la nube, realizar una simulación de sincronización, iniciar una sincronización completa o incremental e iniciar la vista de eventos para ver información de errores.
Puede ejecutar fácilmente estas tareas desde la barra de herramientas de acciones o desde el menú de acciones.
|
Componente |
Descripción |
|---|---|
|
Sincronización actual |
Muestra la información de estado de la sincronización en curso. Cuando no se está ejecutando ninguna sincronización, la pantalla de estado está inactiva. |
|
Próxima sincronización |
Muestra las siguientes sincronizaciones completas e incrementales planificadas. Si no se establece ninguna planificación, se muestra No planificada. |
|
Última sincronización |
Muestra el estado de las dos últimas sincronizaciones realizadas. |
|
Estado de sincronización actual |
Muestra el estado general de la sincronización. |
|
Conectores |
Muestra los conectores locales actuales que están disponibles para la nube. |
|
Estadísticas de la nube |
Muestra el estado general de la sincronización. |
|
Planificación de sincronización |
Muestra la planificación de sincronización para la sincronización incremental y completa. |
|
Resumen de configuración |
Enumera los ajustes que ha cambiado en la configuración. Por ejemplo, el resumen podría incluir lo siguiente:
|
| Acción | Descripción |
|---|---|
| Iniciar sincronización incremental |
Iniciar manualmente una sincronización incremental Esta acción se deshabilita cuando pausa o deshabilita la sincronización, si no se ha completado una sincronización completa, o si hay una sincronización en curso. |
|
Simulación de sincronización |
Realice una simulación de sincronización. |
|
Iniciar el visor de eventos |
Inicie el visor de eventos de Microsoft. |
|
Actualizar |
Actualizar el tablero de mandos del conector de directorios de Cisco |
|
Acción |
Descripción |
|---|---|
| Sincronizar ahora |
Inicia una sincronización completa al instante. |
|
Modo de sincronización |
Seleccione el modo de sincronización incremental o completa. |
|
Restablecer secreto de conector |
Establezca una conversación entre el Conector de directorios de Cisco y el servicio de conectores. Si selecciona esta acción, se restablecerá el secreto en la nube y, luego, se guardará el secreto localmente. |
|
Simulacro |
Realice una prueba del proceso de sincronización. Debe realizar una simulación antes de realizar una sincronización completa. |
|
Resolución de problemas |
Active/desactive la solución de problemas. |
|
Actualizar |
Actualice la pantalla principal del conector de directorios de Cisco. |
|
Salir |
Salga del conector de directorios de Cisco. |
|
Combinación de teclas |
Acción |
|---|---|
|
Alt + A |
Mostrar el menú Acciones |
|
|
Sincronización ahora |
|
|
Restablecer secreto de conector |
|
|
Simulacro |
|
|
Sincronización incremental |
|
|
Sincronización completa |
|
|
Mostrar el menú deAyuda |
|
|
Ayuda |
|
|
Acerca del día |
|
|
preguntas frecuentes |
Configurar mejoras automáticas
| 1 |
Desde el Conector de directorios, diríjase a y luego marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco. |
| 2 |
Haga clic en Aplicar para guardar los cambios. |
Las nuevas versiones del conector se instalan automáticamente cuando están disponibles.
Puede administrar las mejoras manualmente, si lo prefiere. Consulte Mejorar a la versión de software más reciente para obtener más información.
Elegir objetos de Active Directory para sincronizar
De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios.
Grupos para la asignación automática de licencias
Control Hub le permite administrar las asignaciones de licencias por grupo. Puede crear plantillas de licencia y asignarlas a grupos de Active Directory que sincronice con la nube. En el momento de la creación del usuario, Webex comprueba la pertenencia del usuario y la asignación automática de plantillas de licencias para ese nuevo usuario.
Le recomendamos que utilice un filtro de LDAP para sincronizar solo los grupos relevantes con la nube. Por ejemplo, puede configurar el filtro en:
(&(cn=Ejemplo)(objectclass=Grupo))*
Este filtro sincroniza todos los grupos dentro del DN base donde el nombre comienza con el ejemplo. A los usuarios que no están asignados a grupos se les asignan licencias de la plantilla de licencia automática predeterminada que configuró en Control Hub.
Grupos para implementaciones de seguridad de datos híbridos
En el Conector de directorios, debe marcar Grupos si está utilizando seguridad de datos híbridos a fin de configurar un grupo de prueba para usuarios piloto. Consulte la Guía de implementación para la seguridad de datos híbridos para obtener instrucciones. Esta configuración del Conector de directorios no afecta a otras sincronizaciones de usuarios en la nube.
Antes de comenzar
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en Selección de objetos. |
| 2 |
En la sección Tipo de objeto, marque Usuarios y considere la posibilidad de limitar la cantidad de contenedores con capacidad de búsqueda para los usuarios. Por ejemplo, si desea sincronizar solo los usuarios de un determinado grupo, debe introducir un filtro de LDAP en el campo Filtros de LDAP Usuarios. Si desea sincronizar a los usuarios que se encuentran en el grupo Administrador de ejemplos, utilice un filtro como este:
|
| 3 |
Marque Identificar sala para separar los datos de la sala de los datos del usuario. Haga clic en Personalizar si desea configurar atributos adicionales para identificar los datos de los usuarios como datos de salas. Utilice esta configuración si desea sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube. Para obtener más información, consulte Sincronizar la información de la sala local con la nube de Webex. |
| 4 |
Marque Grupos si desea sincronizar sus grupos de usuarios de Active Directory con la nube. No agregue un filtro de LDAP de sincronización de usuarios al campo Grupos. Solo debe utilizar el campo Grupos para sincronizar los datos del grupo con la nube. De manera predeterminada, los grupos no se sincronizan para los clientes nuevos. Debe habilitar la sincronización de grupos. También debe sincronizar los grupos de seguridad. |
| 5 |
Marque Contactos si desea sincronizar la información de contacto de los usuarios con la nube. El Conector de directorios solo administra los Contactos sincronizados por el conector. Si ya hay contactos en Control Hub, la sincronización no eliminará los contactos. Si los contactos se eliminan del alcance de la sincronización, la información de contacto de los usuarios también se eliminaría en Control Hub. |
| 6 |
Configure los filtros de LDAP. Puede agregar filtros extendidos si proporciona un filtro de LDAP válido. Consulte este artículo para obtener más información sobre la configuración de filtros de LDAP. |
| 7 |
Especifique los DN base locales para sincronizar al hacer clic en Seleccionar para ver la estructura de árbol de su Active Directory. Desde aquí, puede seleccionar o anular la selección de los contenedores en los que desea buscar. |
| 8 |
Compruebe que los objetos que desea agregar para esta configuración y haga clic en Seleccionar. Puede seleccionar contenedores individuales o principales para la sincronización. Seleccione un contenedor principal para habilitar todos los contenedores secundarios. Si selecciona un contenedor secundario, el contenedor principal muestra una marca de verificación gris que indica que se ha marcado un contenedor secundario. Luego, puede hacer clic en Seleccionar para aceptar los contenedores de Active Directory que marcó. Si su organización coloca a todos los usuarios y grupos en el contenedor Usuarios, no tiene que buscar en otros contenedores. Si su organización está dividida en unidades de la organización, asegúrese de seleccionar Unidades organizativas. |
| 9 |
Haga clic en Aplicar. Elegir una opción:
Para obtener información sobre simulaciones, consulte Realizar una simulación de sincronización en sus usuarios de Active Directory. Para la sincronización de grupos, debe realizar una sincronización completa: Realizar una sincronización completa de los usuarios de Active Directory en la nube. |
Asignar atributos de usuario
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid, un identificador único para cada cuenta de usuario en el servicio de identidad en la nube.
Puede elegir qué atributo de Active Directory asignar a la nube; por ejemplo, puede asignar firstName lastName en Active Directory o una expresión de atributo personalizada a displayName en la nube.
Las cuentas de Active Directory deben tener una dirección de correo electrónico; de manera predeterminada, uid se asigna al campo ad del correo (no sAMAccountName).
Si elige que el idioma preferido provenga de su Active Directory, Active Directory es la única fuente de verdad: los usuarios no podrán cambiar la configuración de idioma en la configuración de Webex y los administradores no podrán cambiar la configuración en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. En esta página se muestran los nombres de atributos de Active Directory (a la izquierda) y la nube de Webex (a la derecha). Todos los atributos obligatorios están marcados con un asterisco de color rojo. |
| 2 |
Desplácese hacia abajo hasta la parte inferior de los Nombres de atributos de Active Directory y, luego, elija uno de estos atributos de Active Directory para asignarlo al atributo uid de la nube:
Puede asignar cualquiera de los otros atributos de Active Directory a uid, pero le recomendamos que utilice mail o userPrincipalName, como se describe en las pautas anteriores. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. Para ver a qué atributos de Active Directory corresponden en la nube, consulte Asignación de atributos de Active Directory en el Conector de directorios. Para que la sincronización funcione, debe asegurarse de que el atributo de Active Directory que elija esté en formato de correo electrónico. El Conector de directorios muestra una ventana emergente para recordarle si no elige uno de los atributos recomendados. |
| 3 |
Si los atributos predefinidos de Active Directory no funcionan para su implementación, haga clic en el menú desplegable de atributos, desplácese hasta la parte inferior y, a continuación, elija Personalizar atributo para abrir una ventana que le permita definir una expresión de atributos. Haga clic en Ayuda para obtener más información acerca de las expresiones y ver ejemplos de cómo funcionan las expresiones. También puede ver Expresiones para atributos personalizados para obtener más información. En este ejemplo, asignemos los atributos de Active Directory
El Conector de directorios verifica el valor del atributo uid en el servicio de identidad y recupera 3 usuarios disponibles en las opciones de filtro de usuarios actuales. Si todos estos 3 usuarios tienen un formato de correo electrónico válido, el Conector de directorios de Cisco muestra el siguiente mensaje:
Si el atributo no se puede verificar, verá la siguiente advertencia y podrá volver a Active Directory para comprobar y corregir los datos del usuario:
|
| 4 |
(Opcional) Elija asignaciones para móvil y telephoneNumber si desea que aparezcan los números de teléfono móvil y de trabajo, por ejemplo, en la tarjeta de contacto del usuario en la aplicación de Webex. Los datos del número de teléfono aparecen en la aplicación Webex cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario. Para obtener más información sobre las llamadas desde la tarjeta de contacto de un usuario, consulte la Guía de implementación de llamadas en Webex (Unified CM) (administradores). |
| 5 |
Elija asignaciones adicionales para que aparezcan más datos en la tarjeta de contacto:
Una vez asignados los atributos, la información aparece cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario:
Para obtener más información acerca de la tarjeta de contacto, consulte Verificar con quién se está comunicando. Después de sincronizar estos atributos con cada cuenta de usuario, también puede activar People Insights en Control Hub. Esta característica permite a los usuarios de la aplicación de Webex compartir más información en sus perfiles y obtener más información acerca de los demás. Para obtener más información sobre la característica y cómo habilitarla, consulte Perfiles de información personal para Webex, Jabber, Webex Meetings y Webex Events (nuevo) en Control Hub |
| 6 |
Después de tomar sus decisiones, haga clic en Aplicar. |
Todos los datos de usuario contenidos en Active Directory sobrescribirán a los de la nube que correspondan a ese usuario. Por ejemplo, si creó un usuario manualmente en Control Hub, la dirección de correo electrónico del usuario debe ser idéntica al correo electrónico de Active Directory. Se elimina cualquier usuario que no tenga una dirección de correo electrónico correspondiente en Active Directory.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Atributos de la nube y Active Directory
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube mediante la ficha Asignación de atributos de usuarios.
En esta tabla se compara la asignación entre los nombres de atributos de Active Directory y los nombres de atributos de la nube de Cisco. Estos valores y asignaciones son la configuración predeterminada en el Conector de directorios. Puede elegir diferentes atributos en los menús desplegables de Active Directory y determinar qué atributo local se sincroniza con qué atributo en la nube.
Piense en los atributos desplegables como ajustes preestablecidos. Como alternativa a los valores de la fila de Active Directory, también puede especificar un atributo personalizado, su propio ajuste preestablecido, en Active Directory (una expresión con varios atributos) para asignar a un único atributo de nube en la fila correspondiente. De esta manera, tiene la flexibilidad de determinar los nombres para mostrar de sus usuarios; por ejemplo, puede agregar una expresión que cree un atributo personalizado basado en el cargo del empleado, el nombre dado y el apellido en Active Directory.
También puede especificar cualquiera de los atributos de Active Directory para asignar a uid en la nube. Sin embargo, debe asegurarse de que el atributo local siga un formato de correo electrónico válido.
También puede utilizar direcciones de correo electrónico alternativas si, por ejemplo, desea utilizar userPrincipalName para iniciar sesión, pero la dirección de correo electrónico de un usuario se utiliza para administrar su calendario. En este caso, asigne otra dirección de correo electrónico al atributo emails;type-work. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario.
|
Nombres de atributos de Active Directory |
Nombres de atributos de la nube de Webex |
Notas |
|---|---|---|
|
— |
nombre del edificio |
— |
|
c |
c |
Este atributo especifica la abreviatura del país del usuario. |
|
NúmeroDepartamento |
NúmeroDepartamento |
Este atributo se utiliza para el número de departamento del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
Nombre para mostrar |
Nombre para mostrar |
Este atributo se utiliza para el nombre para mostrar de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
ControlDeCuentaUsuario |
ds-pwp-account-disabled |
Este atributo se utiliza para la sincronización de usuarios. Asegúrese de que el atributo userAccountControl esté asignado a ds-pwp-account-disabled o los usuarios no se sincronizarán correctamente. |
|
Número de empleado |
Número de empleado |
— |
|
facsímilTelephoneNumber |
facsímilTelephoneNumber |
— |
|
— |
ID de jabber |
Este atributo de nube se relaciona con direcciones de MI (tipo XMPP) que utiliza Jabber. Este valor no es el mismo que sipAddresses. |
|
l |
l |
Este atributo especifica la ciudad del usuario. |
|
— |
región |
— |
|
administrador |
administrador |
Este atributo se utiliza para el nombre de administrador del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
móvil |
móvil |
Este atributo se utiliza como el número de teléfono móvil que aparece para llamar al usuario desde la tarjeta de contacto. |
|
o |
o |
Este atributo especifica el nombre de la empresa u organización y aparece en la tarjeta de contacto. |
|
ou |
ou |
Este atributo especifica el nombre de la unidad de organización. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Este atributo especifica la ubicación de la oficina del usuario. |
|
código postal |
código postal |
Este atributo especifica el código postal del usuario para la entrega física del correo. |
|
Idioma preferido |
Idioma preferido |
Este atributo establece el idioma preferido del usuario y se admiten los siguientes formatos: xx_YY o xx-YY. Estos son algunos ejemplos: en_US, en_GB, fr-CA. Si utiliza un idioma no compatible o un formato no válido, el idioma preferido de los usuarios cambiará al idioma definido para la organización. |
|
MSRTCSIP-PrimaryUserAddress Teléfono ip |
SipAddresses;type=enterprise |
Este atributo se utiliza para sincronizar la información de la sala local de Active Directory en la nube de Cisco Webex. |
|
sn |
sn |
Este atributo se utiliza para el apellido de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
s |
s |
Este atributo especifica el estado o la provincia del usuario. |
|
dirección |
calle |
Este atributo especifica la dirección postal del usuario para la entrega física de correo. |
|
teléfonoNúmero |
teléfonoNúmero |
Este atributo especifica el número de teléfono principal (laboral) del usuario que se utiliza para llamar al usuario desde la tarjeta de contacto. |
|
— |
zona horaria |
Este atributo de nube especifica la zona horaria del usuario. |
|
título |
título |
Este atributo especifica el título del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
tipo |
empresarial |
— |
|
*correo *userPrincipalName |
uid |
Una asignación de atributos obligatoria. Para cada cuenta de usuario, el valor de Active Directory se asigna a un uid único en la nube. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. El usuario puede utilizar cualquiera de estas direcciones de correo electrónico para iniciar sesión, siempre que se encuentre la asignación de atributos de SAML correcta. Consulte la asignación de atributos de ejemplo a continuación para saber cómo puede asignar una dirección de correo electrónico alternativa. |
|
*userPrincipalName *correo <atributo personalizado> |
correos electrónicos;tipo-trabajo |
Esta asignación es opcional; utilícela si desea utilizar direcciones de correo electrónico alternativas. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario. |
|
<Nuevo atributo para el usuario de Azure objectId> |
ID externo |
Cree un nuevo atributo de Active Directory para contener el ID de usuario de Azure, de modo que no choque con uno existente. Este atributo se asigna al atributo externalId, lo que garantiza que cuando los usuarios de Webex creen grupos en Microsoft 365 creen equipos automáticamente en Webex. |
Asignación alternativa de direcciones de correo electrónico
Expresiones para atributos personalizados
|
Operador |
Descripción y ejemplo |
|---|---|
|
% |
Elimina todos los caracteres desde el comienzo de la cadena hasta la posición del caracter o del argumento, si coinciden.
|
|
- |
Elimina la parte posterior de la cadena de entrada desde el final de la cadena especificada.
|
|
+ |
Concatena las cadenas o expresiones de entrada.
|
|
| |
Evalúa las expresiones separadas con la cadena vacía y selecciona el primer resultado no vacío.
|
Sincronizar avatares de directorios desde un atributo de Active Directory a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar los datos brutos de avatar de un atributo de Active Directory.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija el atributo de AD y, luego, elija el atributo de avatar que contenga los datos brutos del avatar que desea sincronizar con la nube. |
| 3 |
Para verificar que se acceda correctamente al avatar, introduzca la dirección de correo electrónico de un usuario y, a continuación, haga clic en Obtener avatar del usuario. El avatar aparece a la derecha. |
| 4 |
Después de verificar que el avatar aparecía correctamente, haga clic en Aplicar para guardar los cambios. |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar avatares de directorios desde un servidor de recursos a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar avatares desde un servidor de recursos.
Antes de comenzar
-
El patrón de URI y el valor de la variable en este procedimiento son ejemplos. Debe utilizar las URL reales donde se encuentran sus avatares de directorio.
-
El patrón de URI del avatar y el servidor donde residen los avatares deben ser accesibles desde la aplicación del Conector de directorios. El conector necesita acceso http o https a las imágenes, pero no es necesario que las imágenes sean accesibles públicamente en Internet.
-
La sincronización de datos del avatar está separada de los perfiles de usuario de Active Directory. Si ejecuta un proxy, debe asegurarse de que se pueda acceder a los datos de avatar mediante autenticación NTLM o autenticación básica.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija Servidor de recursos y, luego, introduzca el Patrón de URI de avatar; por ejemplo, Veamos cada parte del patrón de URI del avatar y lo que significan:
|
| 3 |
(Opcional) Si su servidor de recursos requiere credenciales, marque Establecer credencial de usuario para avatar y, a continuación, elija Utilizar usuario de conexión del servicio actual o Utilizar este usuario e introduzca la contraseña. |
| 4 |
Introduzca el Valor de la variable; por ejemplo: |
| 5 |
Haga clic en Prueba para asegurarse de que el patrón de URI del avatar funcione correctamente. En este ejemplo, si el valor de correo para una entrada de AD es |
| 6 |
Una vez verificada la información de URI y que se vea correcta, haga clic en Aplicar. Para obtener información detallada sobre el uso de expresiones regulares, consulte la Referencia rápida del lenguaje de expresiones regulares de Microsoft . |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar la información de la sala local con la nube de Webex
Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de Webex registrados en la nube (Room, Desk y Board).
| 1 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 2 |
Marque la opción Sincronizar la información de la sala con la nube para separar los datos de la sala de los datos de los usuarios durante la sincronización. Cuando esta configuración está desactivada, los datos de la sala se tratan de la misma manera que los datos sincronizados del usuario. |
| 3 |
Diríjase a Asignación de atributos y luego cambie la asignación de atributos para el atributo en la nube sipAddresses;type=enterprise. Para utilizar la validación de valor, el valor de la dirección SIP debe ser Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Cree un buzón de recursos de sala en Exchange. Esto agrega el atributo msExchResourceMetaData;ResourceType:Room que el conector utiliza para identificar salas.
|
| 5 |
Desde usuarios y computadoras de Active Directory, diríjase a las propiedades de la sala y editarlas. Agregue la URI de SIP completamente calificada con un prefijo de sip:
|
| 6 |
Realice una simulación de sincronización y luego una sincronización de ejecución completa en el conector. Los nuevos objetos de sala aparecen en la lista Objetos agregados y los objetos de sala coincidentes aparecen en Objetos coincidentes en el informe de simulación. Todos los objetos de sala marcados para su eliminación se encuentran en Salas eliminadas.
Los resultados del simulacro muestran cualquier recurso de sala que coincida.
Esta configuración separa los datos de la sala de Active Directory (incluido el atributo de la sala) de los datos de los usuarios. Una vez finalizada la sincronización, las estadísticas de la nube en el tablero de mandos del conector muestran los datos de salas que se sincronizaron con la nube.
|
Qué hacer a continuación
Ahora que ha completado estos pasos, cuando realice una búsqueda en un dispositivo registrado en la nube de Webex, verá las entradas de salas sincronizadas configuradas con direcciones SIP. Cuando realiza una llamada desde el dispositivo de Webex en esa entrada, se realiza una llamada a la dirección SIP que se configuró para la sala.
Desde Control Hub, puede importar salas automáticamente desde su directorio y crear espacios de trabajo.
El extremo no puede devolver la llamada a la aplicación de Webex. Para los dispositivos de marcado de prueba, estos dispositivos deben registrarse como una URI de SIP en las instalaciones o en otro lugar que no sea la aplicación de Webex. Si el sistema de salas de Active Directory que está buscando está registrado en Webex y la misma dirección de correo electrónico está en el dispositivo Webex Room, el dispositivo Desk o Webex Board para el servicio de calendario, los resultados de la búsqueda no mostrarán la entrada duplicada. El dispositivo Room, Desk o Board se marca directamente en la aplicación de Webex, y no se realiza una llamada SIP.
Enviar informes por correo electrónico sobre los resultados de la sincronización de directorios
De forma predeterminada, los contactos o administradores de la organización siempre reciben notificaciones por correo electrónico. Con esta configuración, puede personalizar quién debe recibir notificaciones por correo electrónico que resumen los informes de sincronización de directorios.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Notificación. |
| 2 |
Desde el Conector de directorios, haga clic en Configuración y, junto a Destinatario de correo electrónico, active Habilitar sincronización del informe. |
| 3 |
Marque Habilitar notificación si desea anular el comportamiento de notificación predeterminado y agregar uno o más destinatarios de correo electrónico. |
| 4 |
Haga clic en Agregar y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 5 |
Haga clic en Agregar correo electrónico y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 6 |
Si necesita editar alguna dirección de correo electrónico que haya introducido, haga doble clic en la entrada de correo electrónico de la columna de la izquierda y, a continuación, realice los cambios que necesite. |
| 7 |
Una vez que haya agregado todas las direcciones de correo electrónico válidas, haga clic en Aplicar. |
| 8 |
Después de agregar todas las direcciones de correo electrónico válidas, haga clic en Guardar. |
Qué hacer a continuación
Si decidió que desea eliminar las direcciones de correo electrónico, puede hacer clic en un correo electrónico para resaltar esa entrada y, luego, haga clic en Eliminar.
Si ha decidido que desea eliminar direcciones de correo electrónico, puede hacer clic en Eliminar junto a entradas específicas de direcciones de correo electrónico.
Aprovisionar usuarios de Active Directory en Control Hub
Siga estos pasos para aprovisionar usuarios de Active Directory y crear las cuentas de usuario correspondientes en Control Hub. Puede aprovisionar usuarios desde una implementación de Active Directory de varios dominios (ya sea con un solo bosque o con varios bosques) después de instalar un Conector de directorios por dominio. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex.
| 1 |
Realizar una simulación de sincronización en sus usuarios de Active Directory Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube. |
| 2 |
Realizar una sincronización completa de los usuarios de Active Directory en la nube Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados. |
| 3 |
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede asignar licencias de servicios de Webex mediante diversos métodos. Le recomendamos que configure una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory. También puede realizar cambios individuales después de este paso inicial. |
Realizar una simulación de sincronización en sus usuarios de Active Directory
Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube.
Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. Con el Conector de directorios, el objetivo es lograr una coincidencia exacta entre sus Active Directories y la nube de Webex.
Si tiene varios dominios en un solo bosque o varios bosques, debe realizar este paso en cada una de las instancias del conector de directorios de Cisco que haya instalado para cada dominio de Active Directory.
Antes de comenzar
Es posible que ya tenga algunos usuarios de la aplicación Webex en Control Hub antes de utilizar el Conector de directorios. Entre los usuarios de la nube, algunos pueden coincidir con el objeto local de Active Directory y tener asignadas licencias para los servicios. Sin embargo, es posible que algunos sean usuarios de prueba que desea eliminar mientras realiza una sincronización. Debe crear una coincidencia exacta entre su Active Directory y Control Hub.
| 1 |
Elija una opción:
Cuando finalice la simulación, verá uno de los siguientes resultados:
El Resumen contiene información sobre la coincidencia de objetos:
La simulación identifica a los usuarios al compararlos con los usuarios del dominio. La aplicación puede identificar a los usuarios si pertenecen al dominio actual. En el siguiente paso, debe decidir si desea eliminar los objetos o conservarlos. Los objetos no coincidentes se identifican como ya existentes en la nube de Webex, pero no en el Active Directory local. |
| 2 |
Revise los resultados del simulacro y, a continuación, elija una opción según si utiliza un solo dominio o varios dominios:
|
| 3 |
En el mensaje Confirmar simulación, haga clic en Sí para rehacer la sincronización de la simulación y ver el tablero de mandos para ver los resultados. Todas las cuentas que se sincronizaron correctamente en la simulación aparecerán en Objetos coincidentes. Si un usuario en la nube no tiene un usuario correspondiente con el mismo correo electrónico en Active Directory, la entrada aparece en Usuarios eliminados. Para evitar este indicador de eliminación, puede agregar un usuario en Active Directory con la misma dirección de correo electrónico. Para ver los detalles de los elementos que se sincronizaron, haga clic en la ficha correspondiente a elementos específicos o en Objetos coincidentes. Para guardar la información del resumen, haga clic en Guardar resultados en archivo. |
| 4 |
Si se esperan los resultados, diríjase a y, luego, haga clic en Habilitar ahora para realizar una sincronización manual y ponerla en modo manual en este punto. Después de realizar una sincronización en el último dominio de Active Directory en su implementación de varios dominios, debe habilitar el modo automático para el Conector de directorios. Puede habilitar el modo automático solo cuando los objetos coinciden completamente entre la nube de Webex y todos los directorios activos locales. |
Qué hacer a continuación
-
Para todos los objetos de usuario no coincidentes que haya conservado, debe agregarlos a Active Directory para que haya una coincidencia exacta entre las instalaciones locales y la nube.
-
Elija un tipo de sincronización:
-
De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa.
-
Si tiene varios dominios, repita estos pasos en cualquier otro Conector de directorios que haya instalado.
Aspectos a tener en cuenta
-
Realice un simulacro antes de habilitar la sincronización completa o cuando cambie los parámetros de sincronización. Si la simulación se inició por un cambio en la configuración, puede guardar los ajustes una vez finalizada la simulación. Si ya agregó usuarios manualmente, llevar a cabo una sincronización de Active Directory puede provocar la eliminación de los usuarios agregados previamente. Puede consultar los Informes de ensayos del Conector de directorios para verificar que todos los usuarios esperados estén presentes antes de sincronizarlos completamente con la nube.
-
Si los usuarios coincidentes están marcados para ser eliminados y no está seguro de cómo continuar, consulte la información de solución de problemas y cómo comunicarse con el soporte en Solución de problemas y correcciones para el Conector de directorios.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Realizar una sincronización completa de los usuarios de Active Directory en la nube
Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados.
Si tiene varios dominios, debe realizar este paso en cada una de las instancias del Conector de directorios que haya instalado para cada dominio de Active Directory.
El Conector de directorios sincroniza el estado de las cuentas de usuario: en Active Directory, todos los usuarios marcados como deshabilitados también aparecen como inactivos en la nube.
Antes de comenzar
-
Si desea que las cuentas de usuario de la aplicación de Webex estén en estado activo después de la sincronización completa y antes de que los usuarios inicien sesión por primera vez, debe seguir estos pasos para omitir la validación de correo electrónico:
-
Integre el inicio de sesión único con su organización de Webex. Ver
Inicio de sesión único con los servicios de Cisco Webex y el proveedor de servicios de identidad de su organización
para obtener más información. -
Utilice Control Hub para verificar y, de manera opcional, reclamar dominios contenidos en las direcciones de correo electrónico. Ver
Agregar, verificar y reclamar dominios
. -
Suprimir invitaciones automáticas por correo electrónico, para que los usuarios nuevos no reciban la invitación automática por correo electrónico a la aplicación de Webex. (Puede realizar su propia campaña de correo electrónico).
Los usuarios activados que no hayan iniciado sesión aparecerán con el estado Verificado en Control Hub. Después de que inician sesión, aparecen como Activos. Para obtener más información acerca de los estados de los usuarios, consulte Estados y acciones de los usuarios en Cisco Webex Control Hub.
-
-
Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. Le recomendamos que realice un simulacro antes de una sincronización completa para detectar cualquier posible error.
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
Si no utiliza plantillas de licencia de asignación automática, los usuarios recién sincronizados obtienen licencias gratuitas automáticamente. Podrán utilizar las mismas características gratuitas que las que tienen cuentas gratuitas.
| 1 |
Elija una opción:
|
| 2 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 3 |
Confirme el inicio de la sincronización. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación de Webex refleja los cambios hasta 72 horas después de realizar la sincronización. Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
|
| 4 |
Haga clic en Actualizar si desea actualizar el estado de la sincronización. (Los elementos sincronizados aparecen en Estadísticas de la nube). |
| 5 |
Para obtener información sobre los errores, seleccione Iniciar visor de eventos en la barra de herramientas de Acciones para ver los registros de errores. |
| 6 |
Para establecer una planificación de sincronización para las sincronizaciones incrementales en curso con la nube, consulte Definir la planificación del conector y Ejecutar una sincronización incremental. |
-
Una vez finalizada la sincronización completa, el estado de la sincronización de directorios se actualiza de Deshabilitado a Operativo en la página Configuración de Control Hub.
-
Cuando todos los datos coinciden en las instalaciones y en la nube, el Conector de directorios cambia del modo manual al modo de sincronización automática.
-
A menos que integre el inicio de sesión único, verifique dominios y, opcionalmente, reclame dominios para las cuentas de correo electrónico que sincronizó, y suprima los correos electrónicos automatizados, las cuentas de usuario de la aplicación de Webex permanecen en estado No verificado hasta que los usuarios inicien sesión en la aplicación de Webex por primera vez para confirmar sus cuentas. Consulte la sección Antes de comenzar para obtener orientación sobre cómo sincronizar las cuentas como Usuarios activos.
-
Si tiene varios dominios, realice este paso en cualquier otro conector de directorios que haya instalado. Después de la sincronización, los usuarios de todos los dominios que agregó aparecerán listados en Control Hub.
-
Si integró el inicio de sesión único con Webex y notificaciones por correo electrónico suprimidas, las invitaciones por correo electrónico no se envían a los usuarios recién sincronizados.
-
No puede agregar usuarios manualmente en Control Hub después de que se habilite el conector de directorios. Una vez habilitada, la administración de usuarios se realiza desde el conector de directorios de Cisco, y Active Directory es la única fuente fiable.
-
Cualquier grupo que sincronice aparecerá en Control Hub y puede asignar una plantilla de licencia para que a los usuarios de ese grupo se les asignen licencias.
Qué hacer a continuación
-
Cuando elimina un usuario de Active Directory, se elimina por software después de la siguiente sincronización. El usuario pasa a estar Inactivo, pero el perfil de identidad en la nube se mantiene durante siete días (para permitir la recuperación de la eliminación accidental).
Cuando selecciona La cuenta está deshabilitada en Active Directory, el usuario pasa a ser Inactivo después de la siguiente sincronización. El perfil de identidad en la nube no se elimina después de siete días, en caso de que desee habilitar nuevamente al usuario.
-
Tenga en cuenta estas excepciones a una sincronización incremental (en su lugar, siga los pasos de sincronización completos anteriores):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Los cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar requieren una sincronización completa.
-
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub
Después de completar una sincronización completa de usuarios desde el conector de directorios de Cisco en Control Hub, puede utilizar Control Hub para asignar las mismas licencias de servicios de Webex a todos sus usuarios a la vez o agregar licencias adicionales a los usuarios nuevos si ya configuró una plantilla de licencia asignada automáticamente. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede utilizar métodos en Control Hub para asignar globalmente licencias de servicios de Webex a todos sus usuarios, usuarios individuales, a través de la plantilla CSV masiva, o automáticamente a los usuarios nuevos si ya configuró una plantilla de licencia de asignación automática. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Cuando asigna una licencia a un usuario de la aplicación de Webex, ese usuario recibe un correo electrónico en el que se confirma la asignación de manera predeterminada. El correo electrónico se envía mediante un servicio de notificación en Control Hub. Si integró el inicio de sesión único (SSO) con su organización de Webex, también puede suprimir estas notificaciones automáticas por correo electrónico si prefiere comunicarse directamente con sus usuarios.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Realice una simulación de sincronización en sus usuarios de Active Directory.
-
Después de confirmar los resultados de la simulación, realice una sincronización completa en sus usuarios de Active Directory.
En el momento de la sincronización completa, el usuario se crea en la nube, no se agregan asignaciones de servicios ni se envía ningún correo electrónico de activación. Si no se eliminan los correos electrónicos, los nuevos usuarios reciben un correo electrónico de activación cuando asigna servicios a los usuarios mediante un método de administración de usuarios estándar en Control Hub, como la importación de archivos CSV, la actualización manual de usuarios o la finalización correcta de la asignación automática.
| 1 |
Desde la vista del cliente en https://admin.webex.com, vaya a , haga clic en Administrar usuarios, elija Modificar todos los usuarios sincronizados y, luego, haga clic en Siguiente. |
| 2 |
Elegir una opción: |
Qué hacer a continuación
-
Si no se eliminan los correos electrónicos, se envía un correo electrónico a cada usuario con una invitación para entrar y descargar Webex.
-
Si seleccionó los mismos servicios de Webex para todos sus usuarios, puede cambiar la licencia asignada individualmente o en forma masiva.
Problemas conocidos con el Conector de directorios
-
Las versiones de Windows Server anteriores a 2012 R2 tienen un problema de cookies que afecta al Conector de directorios. Este problema se corrigió en las versiones 2012 R2 y 2016.
-
Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
-
Cuando un usuario utiliza la aplicación de Webex en el escritorio o en un dispositivo móvil para buscar y llamar a una sala que solo tiene una URI de SIP sincronizada, la llamada suena indefinidamente en este momento.
Administrar usuarios de la aplicación de Webex
Ejecutar una sincronización incremental
Una sincronización incremental consulta su Active Directory y busca cambios que se hayan producido desde la última sincronización. En este paso se agrupan esos cambios y se los envía al servicio de conectores Los cambios incluyen la modificación de la atribución de usuarios y cuándo se agrega o elimina un usuario.
Esta sincronización no carga tanto en los servidores y no toma tanto tiempo como una sincronización completa. Después de realizar la sincronización completa inicial, le recomendamos la opción incremental para las sincronizaciones posteriores.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Tenga en cuenta estas excepciones para las que la sincronización incremental no es compatible (siga Realizar una sincronización completa de usuarios de Active Directory en la nube ):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Para los nuevos cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar, la sincronización incremental no funcionará y estos requieren una sincronización completa.
-
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. |
| 2 |
Desde Acciones, haga clic en Modo de sincronización > Habilitar sincronización si todavía no está habilitado. De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa. Cuando se activa un nuevo intervalo de tiempo incremental, el programa comprueba los cambios en función de la última marca de tiempo. |
| 3 |
Desde Acciones, haga clic en Sincronizar ahora > Incremental. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
|
| 4 |
Para obtener información sobre los errores, haga clic en Iniciar visor de eventos desde la barra de herramientas de Acciones para ver los registros de errores. |
Qué hacer a continuación
Si tiene varios dominios, realice este paso en otras instancias del Conector de directorios que haya instalado.
Recuperar usuarios eliminados accidentalmente
El Conector de directorios tiene controles y contrapesos para evitar la eliminación no intencional de usuarios. Lamentablemente, ocurren accidentes; es posible que haya configurado incorrectamente un filtro LDAP en Active Directory, que eliminó a algunos usuarios cuando se sincronizaban con la nube. La característica de eliminación suave puede ayudarlo a recuperarse de estos accidentes y restablecer las cuentas de los usuarios en Control Hub.
De forma predeterminada, esta función está habilitada para todas las organizaciones. Cuando se eliminan usuarios en la nube, por ejemplo, debido a un problema de objeto no coincidente después de una sincronización desde el Conector de directorios, los usuarios se pueden recuperar. Si vio un aviso de objetos no coincidentes o notó que los usuarios fueron eliminados, es posible que pueda recuperarlos si actúa rápido.
Los usuarios se marcan como Inactivos en Control Hub cuando se eliminan las cuentas correspondientes en Active Directory. El servicio en la nube en segundo plano conserva a los usuarios durante un máximo de 7 días. Durante este período, aún puede utilizar el Conector de directorios de Cisco para recuperar usuarios. Le recomendamos que recupere estos usuarios lo antes posible.
Los usuarios que están deshabilitados en Active Directory también se marcan como inactivos en Control Hub, pero la cuenta de usuario no se elimina después de 7 días.
| 1 | |
| 2 |
Vaya a Usuarios y confirme si una cuenta de usuario específica está en estado inactivo o no está listada. Para obtener más información, consulte Estados y acciones del usuario en Control Hub. |
| 3 |
Si se eliminaron usuarios en Control Hub o si observa que los usuarios están en estado inactivo, vaya a Active Directory, agregue las cuentas de usuario que faltan y, luego, realice una simulación de sincronización en el Conector de directorios. El objetivo del Conector de directorios es crear una coincidencia exacta entre la información de los usuarios en Active Directory y en la nube. |
| 4 |
Realice una sincronización completa para volver a sincronizar las cuentas de usuario eliminadas temporalmente con Control Hub. Los usuarios se recuperan y pasan al estado original, incluido el estado de su cuenta y las asignaciones de servicios. |
Qué hacer a continuación
Regrese a Control Hub, vaya a , y confirme que las cuentas de usuario eliminadas anteriormente aparezcan en la lista de usuarios.
Eliminar usuarios permanentemente después de la eliminación por software
Después de realizar una simulación, puede optar por eliminar de forma permanente los usuarios que fueron eliminados por software en la próxima sincronización.
| 1 |
Una vez finalizada la simulación, seleccione Objetos eliminados por software. |
| 2 |
Marque la casilla de verificación situada junto a los usuarios que desea eliminar. |
| 3 |
Seleccione Listo. |
Qué hacer a continuación
En la próxima sincronización, los usuarios que revisó se eliminarán de forma permanente.
Cambiar una dirección de correo electrónico de la aplicación de Webex
Si quiere cambiar las direcciones de correo electrónico de los usuarios y su organización utiliza el Conector de directorios, puede cambiar esas direcciones de correo electrónico en Active Directory. Este procedimiento cubre cómo cambiar la dirección de correo electrónico de la aplicación de Webex para un único dominio y un proceso para cambiar el dominio.
Si solo quiere cambiar el correo electrónico o algún valor para un usuario, no lo elimine de Active Directory y vuelva a crear uno nuevo con el mismo correo electrónico. La nube interpreta esta acción como una nueva cuenta de usuario y se perderán los espacios del usuario y otros datos en la nube.
El Conector de directorios no limita el cambio de dominio de correo electrónico. Sin embargo, cuando el usuario se vuelve a sincronizar con la nube, el estado del usuario depende de si se verifica el nuevo dominio en su organización. Si el dominio no está verificado en su organización, el estado del usuario cambia a Pendiente después de la sincronización completa. Para obtener más información, consulte Administrar sus dominios.
Si su organización no utiliza el Conector de directorios, puede cambiar las direcciones de correo electrónico de la aplicación de Webex a través de la página de configuración de la cuenta. Consulte Cambiar la dirección de correo electrónico de su cuenta para conocer los pasos que los usuarios pueden seguir para cambiar sus correos electrónicos.
Cambiar el dominio de Active Directory
Puede utilizar este procedimiento para crear nuevos dominios y direcciones de correo electrónico. Se sincronizan con el servicio de identidad en la nube.
| 1 |
Configure un nuevo dominio de Active Directory (AD). |
| 2 |
Deshabilite las sincronizaciones en todos sus conectores. |
| 3 |
Desinstale todos los conectores. |
| 4 |
Abra un caso para cambiar el dominio. En el envío del caso, asegúrese de solicitar la eliminación de la configuración del dominio y de todos los atributos de sincronización de su organización. Antes de abrir un caso para cambiar el dominio, asegúrese de no tener una sincronización en ejecución. No cambie ninguna dirección de correo electrónico del usuario en Active Directory hasta que el caso se resuelva. |
| 5 |
Una vez resuelto el caso: Realice una ejecución de prueba con el Conector de directorios antes de realizar la sincronización real. |
Reclamo de dominios
Un reclamo de dominio se produce si reclama un dominio de correo electrónico para una organización de modo que cualquier cuenta creada con Sideboard se cree en la organización del cliente con suscripción paga y no en la organización del consumidor sin cargo. Solo puede realizar un reclamo de dominio a través de un caso de soporte (consulte el siguiente enlace para obtener más información).
Si el Conector de directorios está activo y se reclama el dominio, las cuentas creadas con Sideboard no se crean ni en la organización del cliente ni en la organización de consumidores sin cargo. Solo el Conector de directorios puede aprovisionar cuentas para la organización desde Active Directory. La información almacenada en Active Directory es la fuente original. Si trató de hacer Sideboard con una cuenta, el usuario invitado recibe un error. La única manera en que se puede agregar un usuario invitado a un espacio de la aplicación de Webex es utilizar primero el Conector de directorios para aprovisionar la cuenta en Control Hub.
Convertir usuarios gratuitos de la aplicación de Webex en una organización con directorios sincronizados
Solo puede utilizar direcciones de correo electrónico únicas en el directorio de la aplicación de Webex. Si sus usuarios se han inscrito en la versión gratuita de la aplicación de Webex, su cuenta existe en la organización de consumidores gratuita. Para administrar a los usuarios de esta organización con el Conector de directorios, mígrelos (conviértalos) a la organización del cliente antes de activar el Conector de directorios. Luego, agrega a los usuarios a active Directory con la dirección de correo electrónico exacta y luego sincroniza a la nube.
Si no convierte las cuentas antes de la activación, desactive el Conector de directorios para convertirlas.
Si intenta convertir un usuario con la sincronización de directorios habilitada, aparece el mensaje de error no se pudo convertir
. Para evitar el problema, puede utilizar estos pasos como solución alternativa.
Es posible que algunos usuarios reclamados aparezcan con el atributo movedfrom al realizar una simulación. Estos usuarios estarán en la lista Objetos eliminados en lugar de ObjetosNo Coincidentes. Tendrá que agregar esos usuarios a su lista de AD si desea moverlos a su organización.
Si no agrega esos usuarios, todos se eliminarán la próxima vez que se sincronice con la nube.
| 1 |
Deshabilite la sincronización de directorios desde el Conector de directorios. |
| 2 |
Siga el procedimiento Convertir usuarios sin licencia en Control Hub para convertir al usuario de la organización de consumidores sin cargo a la organización empresarial. Este paso agrega al usuario a su organización y la cuenta aparece en Control Hub. El Conector de directorios hace que Active Directory sea la única fuente fiable para las cuentas de usuario y el objetivo es lograr una coincidencia exacta entre Active Directory y Control Hub. Asegúrese de que haya usuarios coinciden en la Active Directory para todos los usuarios convertidos recientemente antes de volver a realizar la sincronización. Se puede utilizar una sincronización de la prueba para asegurarse de que no haya usuarios iguales. |
| 3 |
En el Conector de directorios, realice una simulación de sincronización. Una vez que finalice la prueba, revise la ficha Agregar objetos. Verifique que no se hayan eliminado los usuarios que convirtió. Debe realizar una simulación antes de volver a habilitar la sincronización para asegurarse de que las cuentas de usuario convertidas aparezcan en active Directory. Si activa la sincronización y las cuentas solo residen en Control Hub, el conector de directorios distingue entre mayúsculas y minúsculas y elimina a los usuarios convertidos que detecta con direcciones de correo electrónico no coincidentes (por ejemplo, user1@example.com y User1@example.com). Si se elimina algún usuario convertido, perderá todos sus espacios de la aplicación de Webex. |
| 4 |
Cuando tenga la certeza de que la próxima sincronización no eliminará ninguna cuenta, vuelva a habilitar la sincronización de directorios desde el Conector de directorios. |
Las cuentas de usuario convertida no se activan automáticamente si usted no verificó un dominio. Por ejemplo, si activó la plantilla de licencia de asignación automática y luego activó el Conector de directorios sin verificación de dominio, los usuarios convertidos estarán inactivos en el backend en la nube hasta que confirmen sus direcciones de correo electrónico.
Cuentas de usuario de la aplicación Webex creadas con Sideboard
Cuando invita a otro usuario a un espacio en la aplicación de Webex, si el usuario invitado no tiene una cuenta de la aplicación de Webex, se crea una cuenta para él ("sideboard"). De manera predeterminada, las cuentas que se crean de este modo se agregan a la organización de consumidores sin cargo.
Si desea administrar la cuenta creada con Sideboard mediante el Conector de directorios, debe convertirla.
Cambiar el formato de nombre de usuario de la aplicación Webex después de la sincronización de directorios
De manera predeterminada, el Conector de directorios asigna el atributo displayName en Active Directory al atributo displayName en la nube.
Después de realizar una sincronización de directorios, es posible que encuentre que los nombres de usuario se muestran en el formato .
Este nombre de usuario puede aparecer si el atributo displayName en Active Directory está configurado de esa manera. Cuando el atributo se asigna a displayName en la nube, los nombres aparecen en el formato en Control Hub.
Para cambiar el formato, haga lo siguiente en la pantalla para mapear atributos del Conector de directorios: Asigne el atributo de Active Directory givenName sn (o sn givenName) a displayName en los nombres de atributos de la nube de Cisco.
Como alternativa, asigne el atributo sn givenName a displayName:
También puede utilizar la opción Personalizar atributo, si desea asignar su propia expresión de atributo personalizada a displayName.
Por ejemplo, introduzca givenName + "" + sn (nombre, espacio, apellido) como la expresión. Esto asigna los dos atributos de Active Directory a displayName en la nube.
Permitir que los usuarios cambien los nombres para mostrar en Webex Meetings
Puede desasignar el atributo displayName de la sincronización a la nube en el Conector de directorios si desea permitir que los usuarios editen sus nombres para mostrar preferidos. Los usuarios pueden introducir un nombre para mostrar durante las reuniones de Webex en lugar de su nombre y apellido. Los administradores también pueden cambiar el nombre para mostrar de un usuario manualmente en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. |
| 2 |
Seleccione displayName en Nombre de atributo de la nube de Cisco. |
| 3 |
Seleccione No sincronizar este atributo. |
Qué hacer a continuación
Los usuarios ahora pueden editar sus nombres en pantalla desde su sitio de Webex.
Resolución de problemas en el Conector de directorios
Mejorar a la versión de software más reciente
Para que su implementación cumpla las normas y obtenga las últimas características, funcionalidades, correcciones de errores y mejoras de seguridad, siempre debe mejorar a la versión más reciente del Conector de directorios. Si no realiza una mejora a la última versión disponible, es posible que experimente problemas, como que el Conector de directorios ya no se sincronice correctamente o que tenga una versión que no admita el requisito obligatorio de TLS 1.2.
El Conector de directorios le notifica automáticamente cuando hay una nueva versión disponible. Siempre mejore a la versión más reciente para evitar problemas. También verá una notificación en la barra de tareas de Windows.
Aunque puede instalar manualmente las actualizaciones de software de conectores, le recomendamos que siga los pasos de Configurar mejoras automáticas para permitir que la aplicación administre las mejoras automáticamente.
| 1 |
Haga clic en la notificación en la barra de tareas de Windows o haga clic con el botón derecho en el icono del Conector de directorios en la barra de tareas de Windows para iniciar el proceso de mejora. |
| 2 |
Siga las instrucciones para completar la mejora. |
| 3 |
Reinicie el conector e inicie sesión con sus credenciales de administrador. |
| 4 |
Verifique el número de versión del software en . |
Qué hacer a continuación
Para una nueva instalación del Conector de directorios, puede descargar el archivo zip y, a continuación, seguir los pasos de instalación de esta guía.
Configurar ajustes generales para el Conector de directorios
Utilice este procedimiento para configurar ajustes generales, como el nombre del servidor que ejecuta el Conector de directorios, los niveles de registro, las actualizaciones automáticas y los ajustes preferidos para los controladores de dominio. El nombre del conector aparece en el tablero de mandos de la sección de conectores, junto con cualquier otro conector que se esté ejecutando.
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en General. |
| 2 |
En el campo Nombre del conector, introduzca el nombre del conector. Este campo solo muestra el nombre de la computadora que está ejecutando el conector en este momento. |
| 3 |
Elija el nivel de registro desde el menú desplegable. De manera predeterminada, el nivel de registro está definido en Información. Los niveles de registro disponibles son los siguientes:
Esta configuración afecta al informe de sincronización que se envía por correo electrónico. Si establece el nivel de registro en Error, solo se informan errores en el informe de sincronización; si no existen errores, el informe de sincronización no se envía. Cambie la configuración a Información; luego, recibirá informes de sincronización después de la sincronización completa. (Tenga en cuenta que para una sincronización incremental, no se envía ningún informe cuando no se reportan errores). |
| 4 |
Seleccione los Controladores de dominio preferidos para definir el orden de los controladores de dominio para sincronizar identidades. A los controladores de dominio se accede desde arriba hacia abajo. Si el primer controlador desde arriba no está disponible, elija el segundo controlador de la lista. Si no hay ningún controlador en la lista, puede acceder al controlador primario. |
| 5 |
Marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco si desea que se realicen mejoras automáticas. Siempre es importante mantener el software del Conector de directorios de Cisco actualizado a la versión más reciente. Le recomendamos que marque esta configuración para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 6 |
Marque LDAP sobre SSL para utilizar el LDAP seguro (LDAPS) como protocolo de conexión. Si no marca LDAP sobre SSL, el Conector de directorios sigue utilizando el protocolo de conexión de LDAP. LDAP (Lightweight Directory Application Protocol) y LDAP seguro (LDAPS) son los protocolos de conexión que se utilizan entre una aplicación y el controlador de dominio dentro de la infraestructura. La comunicación LDAPS está cifrada y es segura. |
Configurar la política del conector
Puede definir la cantidad máxima de operaciones de eliminación que pueden tener lugar durante la sincronización. La sincronización en ejecución no elimina objetos de su Active Directory local. Todos los objetos se eliminan solo de la nube.
Por ejemplo, establece 1 como el valor de activación del umbral de eliminación. Cuando ejecuta una sincronización completa o incremental, si la cantidad de usuarios que quiere eliminar es superior al ajuste configurado, el conector de directorios exhibirá una advertencia. Si hace clic en Anular umbral, puede iniciar una sincronización completa o incremental sin inconveniente, pero seguirá viendo este aviso de anulación la próxima vez que ejecute la política.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Política. |
| 2 |
Marque la casilla Habilitar activador de umbral de eliminación si quiere agregar un activador de umbral. Si elige esta opción, se activa una alerta si la cantidad de operaciones de eliminación excede el umbral. Cuando la cantidad de operaciones de eliminación excede la cifra que definió, la sincronización falla.
|
| 3 |
Introduzca la cantidad máxima de operaciones de eliminación que quiera. El valor predeterminado es 20. Le recomendamos que no aumente el valor predeterminado. |
| 4 |
Haga clic en Aplicar. |
Definir la programación del conector
Defina la sincronización en Active Directory. La conmutación por falla se utiliza para proporcionar alta disponibilidad (HA). Si un conector está fuera de servicio, pasamos a otro conector de reserva después del intervalo predefinido.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Planificar. |
| 2 |
Especifique el Intervalo de sincronización incremental en minutos. De manera predeterminada, el intervalo para la sincronización incremental está definido en 30 minutos. No habrá ninguna sincronización incremental completa hasta que usted no realice inicialmente una sincronización completa. |
| 3 |
Cambie el valor de Enviar informes por… tiempo si quiere cambiar la frecuencia con la que se envían los informes. |
| 4 |
Marque Habilitar planificación de sincronización completa para especificar los días y horarios en los que quiera ejecutar una sincronización completa. |
| 5 |
Especifique el Intervalo de conmutación por falla en minutos. |
| 6 |
Haga clic en Aplicar. |
Situaciones de varios dominios
Los dominios múltiples se basan en la prioridad del dominio. En el caso de objetos que tengan el mismo valor de clave en diferentes dominios, después de la sincronización, los datos del dominio de mayor prioridad sobrescriben a los del dominio de menor prioridad.
Los objetos que tengan el mismo valor de clave se enlazan a un registro en la base de datos.
El valor de clave correspondiente a "Usuario" es Dirección de correo electrónico; y el correspondiente a "Grupo" es Nombre del grupo.
Caso práctico modelo para varios dominios
En este ejemplo se asume que una organización tiene dos dominios: ejemplo1.com y ejemplo2.com, en orden de prioridad.
-
Agregue usuario1(correo electrónico: Usuario@ejemplo1.com) al Active Directory de ejemplo1.com.
-
Agregue grupo1(Nombre del grupo: Prueba) al Active Directory de ejemplo1.com.
-
Agregue usuario2(correo electrónico: Usuario@ejemplo2.com) al Active Directory de ejemplo2.com.
-
Agregue grupo2(Nombre del grupo: Prueba) al Active Directory de ejemplo2.com.
- Sincronización en ejemplo1.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Si ejecuta una sincronización completa o incremental para ejemplo1.com. se sincronizan usuario1 y grupo1. Además, los valores de usuario2 y grupo2 se sobrescribirán con la información de usuario1 y grupo1.
usuario1 se enlaza a usuario2 como el mismo registro en la base de datos; grupo1 se enlaza a grupo2 como el mismo registro en la base de datos.
- Sincronización en ejemplo1.com y ejemplo2.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Tenga presentes estos pasos:
- Elimine usuario1 y grupo1 en el Active Directory correspondiente a ejemplo1.com.
- Ejecute una sincronización completa o incremental para ejemplo1.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com. usuario2 no se enlaza a usuario1; y grupo2 tampoco se enlaza a grupo1.
- Ejecute una sincronización incremental para ejemplo2.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com.
- Ejecute una sincronización completa para ejemplo2.com.
Resultado: la información de usuario2 y grupo2 se indica en https://admin.webex.com.
Sincronizar un nuevo dominio y conservar un dominio existente
Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de instalar el Conector de directorios para el dominio (B) en un servidor de Windows compatible. El conector se vincula al nuevo dominio después de la configuración inicial, y la información del usuario del dominio (A) no se ve afectada.
Cada dominio debe tener su propio conector activo. Considere dos dominios con la siguiente configuración: dominio A con conectores (ca1) y (ca2) para Alta disponibilidad (HA) local; dominio B con conector (cb1). (ca1) y(ca2) sirven al dominio A. En esta situación, un conector está activo y el otro en modo de espera (HA). Este diseño mantiene al dominio sincronizado debido a que siempre hay un conector activo. Por lo tanto, cb1 es el conector activo para el dominio B, ya que el dominio A ya tiene un conector activo (ca1 o ca2).
Establecer la prioridad de los dominios
Utilice este procedimiento para cambiar la prioridad de los dominios de Active Directory. La prioridad de los dominios le permite determinar el dominio primario, el secundario, y así sucesivamente. Esto resulta útil cuando dos usuarios de dos dominios diferentes tienen el mismo valor de correo electrónico sincronizado a una organización.
No utilice este procedimiento si tiene un solo dominio en el Conector de directorios. Si lo intenta, el conector le exhibirá un mensaje en el que se indica que no es necesario establecer ninguna prioridad de directorios.
Antes de comenzar
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde https://admin.webex.com.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Definir prioridad de dominios. |
| 3 |
Resalte un dominio de la lista, haga clic en Subir o Bajar para cambiar la prioridad de este dominio; luego, haga clic en Guardar para guardar este cambio. Los dominios se ordenan por prioridad de arriba hacia abajo. |
Cambiar dominios
Utilice este procedimiento para volver a vincular el conector de directorios de Cisco a un dominio diferente.
Antes de comenzar
-
Asegúrese de que no se esté ejecutando ninguna tarea de sincronización antes de cambiar dominios.
-
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde Control Hub.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Cambiar dominio. |
| 3 |
Después de leer el mensaje de precaución, si comprende el efecto de este cambio en su implementación y todavía está seguro, haga clic en Sí. Si cambia un dominio, se cierra la sesión del conector de directorios actual de Cisco, se cancelan los registros de otros dominios del conector y se elimina la información del conector de esa computadora. |
| 4 |
Vuelva a iniciar sesión en el conector de directorios de Cisco y vuelva a vincular el dominio. |
Desactivar la sincronización de directorios
Si necesita detener la sincronización desde el Conector de directorios, puede desactivarla temporalmente desde Control Hub.
| 1 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios y, luego, elija una opción:
|
| 2 |
Después de leer el mensaje, haga clic en Desactivar. La sincronización se detiene hasta que la vuelva a habilitar desde el Conector de directorios. |
Eliminar asignación de atributos de usuarios
Utilice el Conector de directorios para eliminar la asignación de atributos de Active Directory previamente asignados a la nube y sincronizados con Webex. Después de eliminar la asignación de atributos, los valores de los atributos se eliminan de la nube y ya no se sincronizan con Webex. Estos valores se pueden editar manualmente.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
Seleccione la asignación que desea eliminar de la lista Nombre de atributo . |
| 4 |
En Alcance del usuario afectado, seleccione una de las siguientes opciones:
|
| 5 |
Haga clic en Aplicar. |
Administrar imágenes de perfil
Utilice el Conector de directorios para actualizar las imágenes de perfil de usuario o para eliminar las imágenes de perfil de usuario en blanco.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
En Acciones, seleccione una de las siguientes opciones:
|
| 4 |
Haga clic en Aplicar. |
Desinstalar y desactivar el Conector de directorios
Después de desinstalar una instancia del Conector de directorios, deberá desinscribirlo. Elimine completamente un Conector de directorios en cualquiera de estas situaciones:
-
Ya no quiere utilizar la sincronización de directorios.
-
No quiere utilizar uno de los varios conectores de directorio (alta disponibilidad).
-
Quiere cambiar el dominio e instalar otro conector.
Antes de comenzar
-
Puede tener varias instancias del Conector de directorios configuradas para alta disponibilidad (HA) o sincronización de varios dominios. Deshabilite la sincronización si está desinstalando la única o última instancia del Conector de directorios.
-
Guarde y cierre cualquier trabajo importante antes de desinstalar el Conector de directorios.
| 1 |
En su máquina con Windows, diríjase al Panel de control y luego haga clic en Programas y características. |
| 2 |
En la lista de programas, haga clic en Conector de directorios, elija Desinstalar y, a continuación, siga las indicaciones. Es posible que tenga que reiniciar su sistema para completar la desinstalación. |
| 3 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios, haga clic en Más |
| 4 |
Después de leer el mensaje, haga clic en Desactivar. Si no hay ningún otro Conector de directorios en una implementación de alta disponibilidad (HA), ya no se sincronizan las cuentas de usuario. |
Ejecutar la herramienta de diagnóstico
Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas en la implementación del Conector de directorios. Esta herramienta se instala como parte del Conector de directorios 3.4 en adelante.
Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión a LDAP para poder diagnosticar errores usted mismo antes de comunicarse con el soporte. Si la herramienta devuelve algún error, puede enviar los resultados detallados del registro a soporte técnico.
-
Para ejecutar pruebas para los servicios de dominio de Active Directory:
-
Para ejecutar pruebas de los servicios de directorio ligero de Active Directory:
-
Para ejecutar pruebas del Lightweight Directory Access Protocol (Protocolo ligero de acceso a directorios, LDAP):
Solucionar problemas en el Conector de directorios de Ciso
Solución de problemas y correcciones para el Conector de directorios
Es posible que encuentre un mensaje de error u otro problema en el Conector de directorios. Además, una vez que el Conector de directorios sincroniza la información de los usuarios, es posible que el conector le envíe un informe por correo electrónico en el que se enumeren los problemas con la sincronización. Consulte las siguientes secciones para conocer los problemas que pueden surgir, las posibles causas y las soluciones propuestas que puede probar antes de comunicarse con el soporte.
Instalar
El Conector de directorios dejó de funcionar
Recibió alertas por correo electrónico en las que se le notifica que su Conector de directorios no está funcionando.
-
Es posible que el Conector de directorios no se instale correctamente.
-
Es posible que el Conector de directorios no se esté ejecutando.
-
Es posible que la red no esté disponible.
Intente lo siguiente:
-
Abra . Localice el Conector de directorios. Si no está allí, descargue la versión más reciente de Control Hub e instálela.
-
Abra Servicio y busque el Servicio de sincronización de directorios de Cisco. Asegúrese de que muestre el estado como Iniciado. Si el servicio está detenido, hágale clic derecho y seleccione Iniciar para reiniciarlo.
-
Asegúrese de que el servidor en el que instaló el Conector de directorios tenga acceso a Internet.
Error de reinstalación
Problema: si instala inmediatamente un nuevo conector después de desinstalar uno anterior, es posible que vea un mensaje de error.
Causa posible: en Windows Server 2012, el cliente de desinstalación necesita tiempo para eliminar la cuenta de servicio de la lista de servicios.
Solución: después de que haya pasado un tiempo, intente la instalación nuevamente.
Iniciar sesión
El conector de directorios se bloquea durante el inicio de sesión con SSO
Problema
El Conector de directorios puede bloquearse después de que usted introduzca una dirección de correo electrónico desde una página de inicio de sesión de SSO.
Solución
Intente lo siguiente:
Siga estos pasos para configurar una nueva política de grupo:
-
Vaya al controlador de dominio y abra Group Policy Management (gpedit.msc).
-
Haga clic con el botón derecho en una unidad organizativa o un dominio específicos, seleccione Crear un GPO en este dominio y Vincule aquí…
-
Asigne un nombre a la política y, a continuación, haga clic con el botón derecho y elija Editar.
Siga estos pasos para cambiar la política a nivel de la máquina:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_LOCAL_MÁQUINA\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Siga estos pasos para cambiar la política a nivel de usuario:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_USUARIO ACTUAL\SOFTWARE\Microsoft\Internet Explorer\Main_.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Los cambios surten efecto después de ejecutar gpupdate /force, de que la máquina se reinicie (para los cambios de máquina) o de que el usuario vuelva a iniciar sesión (para los cambios de usuario).
No se pudo inscribir el conector de servicios DirSync de Cisco
Problema
El inicio de sesión falla y aparece este mensaje: “El conector de servicios de sincronización de directorios de Cisco no se pudo inscribir”.
Solución
El sistema de Windows en el que está instalado el Conector de directorios debe ser miembro de Active Directory.
No aparece la página de inicio de sesión
Problema
Abrió el Conector de directorios y no aparecía la página de inicio de sesión.
Solución
Pruebe los siguientes pasos:
-
En Internet Explorer, vaya a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Pruebe el enlace en otros navegadores como Chrome y Firefox.
-
Si Internet Explorer no puede visitar el enlace, pero otros navegadores sí pueden, marque la configuración de Internet Explorer y marque las casillas de verificación TLS 1.1 y 1.2. (Utilice el procedimiento Habilitar TLS en Internet Explorer .)
Aparece el mensaje de inicio de sesión
Problema
Aparece un mensaje que le solicita que ingrese el nombre de usuario y la contraseña para pasar la autenticación.
Causa posible
El Conector de directorios completa la autenticación de seguridad NTLM silenciosamente con la cuenta de inicio de sesión. Si falla la autenticación, aparece un cuadro de diálogo para solicitar el nombre de usuario y la contraseña de autenticación.
Solución
Cuando vea la ventana emergente de inicio de sesión, necesita proporcionar una cuenta válida con autenticación correcta para pasar la seguridad.
No se puede conectar al servidor remoto
Problema
Durante el funcionamiento normal, aparece el mensaje de error: "No se puede conectar al servidor remoto".
Causa posible
Es posible que tenga problemas de proxy que deban resolverse.
Solución
Consulte Solucionar problemas de inicio de sesión en la cuenta de servicio para obtener más información sobre la solución de problemas.
No se puede inscribir el conector
Problema
Aparece el mensaje de error "No se puede inscribir el conector. Ocurrió una excepción general".
Causa posible
En la mayoría de los casos, el problema se debe a que el Conector de directorios no tiene privilegios para conectarse al contexto raíz de LDAP.
Solución
Intente lo siguiente:
-
Ejecute un símbolo del sistema (cmd) y luego introduzca ldp.exe.
-
Haga clic en , elija Vincular como usuario actualmente conectado y, a continuación, haga clic en Aceptar.
-
Haga clic en , introduzca DC=arbonneintl,DC=ad como BaseDN y, luego, haga clic en Aceptar.
-
Si el problema continúa, abra un caso en el servicio de soporte técnico.
Sincronización
Avatares no sincronizados
Problema
El conector de directorios de Cisco sincronizó los datos de AD del usuario con la nube de Webex. Pero no se sincronizaron correctamente datos de avatar.
Causa posible
Si reutilizó un servidor de avatar existente y los avatares del usuario ya estaban sincronizados, la caché local los captura y evita que se vuelvan a enviar para ahorrar ancho de banda.
Solución
Elimine la caché local siguiendo estos pasos:
-
Vaya a C:\Archivos de programa (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Elimine DirSyncPluginAvatar.dll-cache.bin.
-
Vuelva a ejecutar la sincronización de avatares desde el conector de directorios de Cisco.
Cuentas de correo electrónico de usuarios en conflicto
Problema
Los resultados de la sincronización pueden mostrar cuentas de correo electrónico de usuarios conflictivas.
-
Si los usuarios probaron la versión gratuita de la Aplicación de Webex, sus direcciones de correo electrónico residen en la organización de consumidores sin cargo.
-
Si alguna vez se sincronizaron los correos electrónicos de los usuarios en otra organización.
-
Si los correos electrónicos de los usuarios existen en varios dominios que pertenecen a la organización.
Solución
Intente lo siguiente:
-
Siga estos pasos si está intentando reclamar usuarios:
-
Asegúrese de haber verificado el dominio en Control Hub.
-
Deshabilite temporalmente el Conector de directorios de Cisco.
-
Utilice la opción Reclamar usuario en Control Hub para reclamar las cuentas que puedan existir en la organización de consumidores sin cargo. Consulte Reclamar usuarios a su organización (Convertir usuarios) para obtener más información.
-
Realice una simulación en el Conector de directorios de Cisco y, luego, vuelva a habilitar la sincronización de directorios
-
-
En el último caso, compruebe dos veces los datos de los usuarios en sus fuentes de Active Directory.
Usuario convertido marcado como inactivo
Problema
En su entorno sincronizado de directorios, convirtió a un usuario gratuito (organización de consumidor) en su organización empresarial, pero el usuario convertido no puede iniciar sesión en la Aplicación de Webex.
Causa posible
Cuando el usuario gratuito se convierte en la organización empresarial, se marca al usuario como estado inactivo durante 30 días como medida de cumplimiento de seguridad. Durante este período, el usuario no puede iniciar sesión en la Aplicación de Webex y se marca para su eliminación al final del período de 30 días. Esta situación surge porque la información del usuario gratuito no reside en Active Directory.
Solución
Debe tomar medidas si no desea que se elimine la cuenta de usuario. Para resolver este problema, cree una cuenta de usuario en su Active Directory local que corresponda a la cuenta de usuario gratuita convertida. A continuación, realice una sincronización desde el Conector de directorios de Cisco. Luego, el usuario podrá volver a iniciar sesión en la aplicación de Webex y la cuenta no se eliminará.
Falla la sincronización incremental
Problema
Falla una sincronización incremental.
Este problema puede ocurrir en Windows Server 2008 R2 en las siguientes condiciones:
-
Usted admite las actualizaciones de valor incremental.
-
El filtro que utiliza hace referencia a un atributo de valor vinculado.
-
Los valores de resultado de ese atributo se actualizaron desde la última vez que se realizó una sincronización completa.
Solución
Windows Server 2008 R2 tiene un error relacionado con este problema. El error se corrigió en 2012 R2 y versiones posteriores. Le recomendamos que mejore su Windows Server a al menos 2012 R2.
Valor no válido para el atributo
Problema
Para [ND del usuario (nombre distinguido)], el atributo [nombre del atributo] tiene el siguiente valor no válido: [valor del atributo].
Causa posible
Para CN=b,OU=Employees,OU=C Users,DC=c,DC=com, el atributo [número de teléfono] tiene el siguiente valor no válido: +. Este atributo debe contener al menos un número.
Solución
Un atributo para este usuario no tiene un valor válido. Corrija su valor según la descripción que se indica en el mensaje de advertencia. Luego realice otra operación de sincronización.
Usuarios coincidentes para eliminar
Problema
Los usuarios coincidentes se marcan para ser eliminados.
Al realizar una simulación de sincronización para comprobar los datos entre Active Directory y la nube, es posible que vea la misma dirección de correo electrónico en ambos. Sin embargo, el usuario se marca como un objeto que desea eliminar.
Solución
Elija una solución adecuada:
-
Si no está bien eliminar al usuario y rehacer las licencias después, puede utilizar el Conector de directorios para solucionarlo. Realice una sincronización para eliminar al usuario y, luego, realice otra sincronización para sincronizar al usuario de AD local con la nube.
-
Si no puede eliminar ni volver a crear la cuenta de usuario, abra un caso en el servicio de soporte técnico.
Atributo faltante
Problema
El atributo obligatorio [attribute_name] al agregar una entrada local [DN del usuario (nombre distinguido)]. La entrada no se crea en Control Hub hasta que todos los atributos obligatorios tienen un valor.
Causa posible
Falta el atributo obligatorio de dirección de correo electrónico. Al agregar una entrada local [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], la entrada no se crea en Control Hub hasta que todos los atributos obligatorios tengan un valor.
Solución
Falta uno de los atributos obligatorios para el usuario [user_email_address]. Proporcione los valores obligatorios para ese usuario.
El grupo anidado no se sincronizará
Problema
Los usuarios de un grupo de Active Directory anidado no se sincronizan correctamente con la nube.
Causa posible
Se utiliza un filtro que incluye tanto el grupo secundario como el grupo padre, que no es compatible. Por ejemplo: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Solución
Debe volver a configurar el filtro que sincroniza los grupos. Por ejemplo: |(memberof=CN=testgroup1,CN=Usuarios,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuarios,DC=rktest2008,DC=org)
Conflicto de nomenclatura del usuario
Problema
Hay un conflicto de nomenclatura para [ND del usuario] para un objeto de entrada en la nube existente con el siguiente nombre: [dirección de correo electrónico del usuario] y del tipo de usuario [user_type].
Causa posible
Ya existe un usuario con esa dirección de correo electrónico en Control Hub.
Solución
Cree un usuario en su Active Directory con la misma dirección de correo electrónico que la cuenta que inscribió a través de Control Hub.
Concentrador de control
Falta la lista de usuarios en Control Hub
Problema
Si tiene una organización de Webex con más de 1000 usuarios sincronizados, es posible que no vea la lista de usuarios en Control Hub.
Solución
Puede utilizar la funcionalidad de búsqueda para encontrar una cuenta de usuario. En Control Hub, diríjase a Usuarios, haga clic en Buscar y, luego, introduzca los criterios de búsqueda para encontrar un usuario específico.
Los grupos no se sincronizarán con Control Hub
Problema
Los usuarios de un grupo de directorio no se sincronizarán correctamente con Control Hub.
Causa posible
El grupo no está etiquetado como isCriticalSystemObject en Active Directory.
Solución
Asegúrese de que el atributo isCriticalSystemObject esté definido en TRUE en Active Directory.
Habilitar la solución de problemas para el Conector de directorios
Puede habilitar la solución de problemas para diagnosticar más fácilmente cualquier error que encuentre en el Conector de directorios. La solución de problemas le permite capturar información del tráfico de red y guardarla en un archivo.
Los archivos de registro que son: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Ejecute el archivo |
| 2 |
Reinicie el servicio. Consulte Cómo iniciar servicios para obtener ayuda. |
| 3 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 4 |
Diríjase a Acciones y, luego, haga clic en . |
| 5 |
Con la solución de problemas habilitada, repita las acciones que estaban causando un error; de esta manera, se capturan los datos del tráfico para poder examinarlos. |
| 6 |
Examine los archivos de registro: si el archivo está en blanco, asegúrese de que la cuenta tenga privilegios para acceder a su AD DS o AD LDS. La carpeta de registro solo guarda los archivos de los últimos 3 días. El contenido de los archivos de registro es coherente con la salida del registro de eventos en el sistema. |
| 7 |
Si es necesario, envíe el archivo de registro al servicio de Soporte para obtener ayuda. |
| 8 |
Deshabilite la característica de solución de problemas cuando termine. |
Iniciar el visor de eventos
Para ver los eventos que se produjeron durante una sincronización completa o incremental, inicie el Visor de eventos. Muestra un resumen de los eventos administrativos y los registros de errores.
| 1 |
Desde el Conector de directorios, diríjase al Tablero de mandos y, luego, haga clic en . En el cuadro de diálogo de Propiedades de eventos se indican detalles de los eventos y errores durante la sincronización. |
| 2 |
Desde el Visor de eventos, diríjase a .
|
| 3 |
En Acciones, haga clic en Guardar todos los eventos como para exportar todos los registros como un solo archivo de eventos (*.evtx) u otro formato como xml o csv. |
Qué hacer a continuación
Si necesita abrir un caso, comuníquese con el soporte, describa el problema con el conector y, a continuación, adjunte el archivo de Events a su caso.
Los registros de eventos capturan las acciones de los usuarios. Para obtener ayuda con la administración del tráfico de red, habilite la resolución de problemas en el conector.
Habilitar TLS en Internet Explorer
Si cambió los proveedores de inicio de sesión único (SSO), es posible que vea los siguientes mensajes de error del conector de directorios de Cisco:
-
Se produjo un error al conectarse al servicio
-
Se ha producido un error en el script de esta página
Si ve estos errores, debe habilitar un ajuste de TLS en su navegador.
| 1 |
Abra Internet Explorer y, a continuación, elija Herramientas. Ahora marque las casillas de la versión TLS/SSL que desea habilitar Haga clic en Aceptar Cerrar el navegador y abrirlo de nuevo |
| 2 |
Haga clic en Opciones de Internet , vaya a Opciones avanzadas y desplácese hasta Seguridad. |
| 3 |
Marque las casillas de verificación Usar TLS 1.1 y Usar TLS 1.2 y, luego, haga clic en Aceptar.
|
| 4 |
Reinicie su sistema para que los cambios tengan efecto. |
Solucionar problemas en el inicio de sesión a una cuenta de servicios
Si no puede iniciar sesión en el conector de directorios de Cisco o no puede ejecutar una sincronización, siga estos pasos para intentar resolver el problema antes de comunicarse con el servicio de soporte.
| 1 |
Trate de ingresar a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL en su navegador web. |
| 2 |
Dependiendo de los resultados, elija una opción:
|
| 3 |
Como mínimo, asegúrese de que la cuenta configurada para el servicio Cisco DirSync (que se puede encontrar en los servicios de Windows) tenga un nivel de privilegios que le permita acceder a los datos de avatar y a los datos de AD. De forma predeterminada, el servicio aprovecha las credenciales y la autenticación de la cuenta de inicio de sesión de Windows. |
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
Descripción general del Conector de directorios de Cisco
Descripción general del Conector de directorios
El Conector de directorios es una aplicación local para la sincronización de identidades en la nube. Descargue el software del conector desde Control Hub e instálelo en su máquina local.
Con el Conector de directorios, puede mantener sus cuentas de usuario y sus datos en Active Directory, de modo que Active Directory se convierte en la única fuente fiable. Cuando realiza un cambio en las instalaciones, se replica en la nube.
Consulte todas las características, las descripciones y los beneficios en la tabla:
| Característica | Descripción y ventaja |
|---|---|
| Tablero de mandos fácil de usar | El tablero de mandos proporciona una planificación de sincronizaciones, un resumen y el estado de la sincronización y del Conector de directorios. Puede ver el tablero de mandos cada vez que inicie sesión. |
| Simulacro antes de la sincronización con la nube | Realice una simulación de los cambios en el directorio antes de que se implementen en la nube. Luego, ejecute un informe para ver que los cambios cumplen con sus expectativas. |
| Sincronización completa y gradual | Sincronice el directorio completo. O bien, sincronice los cambios graduales para ahorrar potencia de procesamiento y acortar el tiempo de sincronización. |
|
Sincronizar varios dominios (bosque único o bosques múltiples) |
El Conector de directorios admite varios dominios en un solo bosque o en varios bosques (sin la necesidad de AD LDS). En el caso de empresas con varios dominios de Active Directory, puede instalar un Conector de directorios para cada dominio, vincular cada dominio a su organización y, luego, sincronizar cada base de usuarios en Webex. Control Hub refleja el estado mostrando el estado de sincronización para varios conectores de directorios, le permite desactivar la sincronización para un dominio específico y desactivar un conector de directorios en una implementación de alta disponibilidad. |
| Sincronización programada | Configure una planificación de sincronizaciones por día, hora y minuto. |
| Filtros del Protocolo ligero de acceso a directorios (LDAP) | Defina el criterio de búsqueda de LDAP y proporcione importaciones eficientes. |
| Asignación de atributos de Active Directory | Asigne atributos de Microsoft Active Directory a los atributos de la nube de Webex correspondientes. Puede asignar atributos relevantes para la configuración de su Active Directory y también definir atributos personalizados para asignar a la nube. Los atributos de las instalaciones forman diversos datos en la nube, como información de cuentas de usuario, números de teléfono empresarial en Webex Teams, direcciones SIP de recursos de sala y otros datos de tarjetas de contacto del usuario (cargo, departamento, gerente, etc.). |
|
Directorio corporativo para recursos de salas locales y usuarios de Cisco Webex Calling (PSTN en la nube) y contactos empresariales sin licencias de Webex |
Si parte de su organización utiliza la PSTN en la nube de Cisco Webex Calling para el servicio de llamadas o usted tiene dispositivos de sala locales, esta característica permite a los usuarios buscar contactos empresariales en el directorio desde sus teléfonos o recursos de sala de Cisco Webex Calling (PSTN en la nube).
|
| Visor de eventos | Use el visor de eventos para determinar si hubo problemas con la sincronización. |
| Herramienta de diagnóstico y solución de problemas | Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas de su implementación Conector de directorios Cisco. Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión con Active Directory para que pueda diagnosticar los errores usted mismo antes de comunicarse con el servicio de soporte. Una vez que habilite la solución de problemas en el Conector de directorios, se escriben registros que pueden enviarse al soporte técnico. |
| Mejora automática | Después de que instala Conector de directorios, recibe una notificación cada vez que haya una nueva versión del software disponible. Puede configurar actualizaciones automáticas para que siempre tenga la última versión del software cuando se lanza una nueva versión. |
| Alta disponibilidad | Configure varios conectores para que haya una copia de seguridad, por si el conector principal o la máquina que lo aloja dejan de funcionar. |
El Conector de directorios está dividido en tres áreas:
-
Control Hub es la interfaz única que le permite administrar todos los aspectos de su organización de Webex: ver usuarios, asignar licencias, descargar el Conector de directorios y configurar el inicio de sesión único (SSO) si desea que sus usuarios se autentiquen a través de su proveedor de servicios de identidad empresarial y no desea enviar invitaciones por correo electrónico para la aplicación de Webex.
-
La interfaz de administración del Conector de directorios es el software que se descarga desde Control Hub e instala en un servidor de Windows de confianza. Para varios dominios de Active Directory, puede instalar una porción del software para cada dominio que desea sincronizar. Si utiliza el software, puede ejecutar una sincronización para incorporar sus cuentas de usuario de Active Directory a Webex, ver y supervisar el estado de la sincronización y configurar servicios del Conector de directorios.
-
El servicio de sincronización de directorios solicita a su Active Directory que recupere usuarios y grupos para sincronizarlos con el servicio de conectores y con el Conector de directorios.
Consulte este diagrama para comprender la arquitectura del Conector de directorios:
Preparar su entorno para el Conector de directorios
Requisitos para el Conector de directorios
Requisitos de Windows y Active Directory
Puede instalar el Conector de directorios en estos servidores Windows compatibles:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver un problema con las cookies, le recomendamos que mejore su controlador de dominio a una versión que contenga la solución: Windows Server 2012 R2 o 2016.
El Conector de directorios es compatible con los siguientes servicios de Active Directory:
-
Active Directory 2016
(El Conector de directorios es compatible cuando se utiliza la última versión de Active Directory en Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Tenga en cuenta los siguientes requisitos adicionales:
-
El Conector de directorios requiere TLS1.2. Debe instalar lo siguiente:
-
.NET Framework v3.5 (necesario para la aplicación del Conector de directorios. Si tiene algún problema, utilice las instrucciones de Habilitar .NET Framework 3.5 mediante el asistente para agregar funciones y características).
-
.NET Framework v.4.5 (se requiere para TLS1.2)
-
-
Se requiere el nivel 2 de la funcionalidad de bosque de Active Directory (Windows Server 2003) o posterior (Consulte ¿Qué son los niveles funcionales de Active Directory? para obtener más información).
Requisitos de hardware
Debe instalar el Conector de directorios en una computadora con estos requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de almacenamiento
-
No hay ningún mínimo para la CPU
Requisitos de red
Si su red está detrás de un firewall, asegúrese de que su sistema tenga acceso HTTPS (puerto 443) a Internet.
Requisitos de la organización de Webex
-
Para acceder al software del Conector de directorios desde Control Hub, necesita una organización de Webex con una prueba o cualquier suscripción paga.
-
(Opcional) Si desea que las nuevas cuentas de usuario de la aplicación de Webex estén Activas antes de que inicien sesión por primera vez, le recomendamos que haga lo siguiente:
-
Agregue, verifique y, opcionalmente, reclame dominios que contengan las direcciones de correo electrónico de los usuarios que desea sincronizar en la nube.
-
Realice una integración de inicio de sesión único (SSO) de su proveedor de servicios de identidad (IdP) con su organización de Webex.
-
Suprimir las invitaciones automáticas por correo electrónico, de modo que los usuarios nuevos no reciban la invitación automática por correo electrónico y usted pueda realizar su propia campaña de correo electrónico. (Esta característica requiere la integración de SSO).
-
Para obtener más información, consulte Estados y acciones del usuario en Control Hub.
Requisitos de instalación
-
Para un entorno de varios dominios (ya sea bosque único o bosques múltiples), debe instalar un Conector de directorios por cada dominio de Active Directory. Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de tener un servidor Windows compatible separado para instalar el Conector de directorios para la sincronización del dominio (B).
-
Para iniciar sesión en el conector, no necesitamos una cuenta administrativa en Active Directory. Requerimos una cuenta de usuario local que sea el mismo usuario que una cuenta de administrador completa en Control Hub.
Este usuario local debe tener privilegios en esa máquina de Windows para conectarse al Controlador de dominios y leer los objetos de usuario de Active Directory. La cuenta de inicio de sesión de la máquina debe ser un administrador de la computadora con privilegios para instalar software en la máquina local. (Esta información también se aplica a la conexión de una máquina virtual).
-
Al iniciar sesión en el conector, la cuenta de inicio de sesión debe ser la misma que la cuenta de administrador completa para Control Hub. De forma predeterminada, el conector utiliza la cuenta del sistema local para acceder a Active Directory. Sin embargo, puede utilizar los servicios de Windows para configurar otra cuenta a fin de acceder a Active Directory. (Esta información también se aplica a la conexión de una máquina virtual).
-
Asegúrese de que el modo de búsqueda de biblioteca dinámica de enlaces (DLL) de Windows Safe esté habilitado mediante este procedimiento: Compruebe SafeDllSearchMode en el Registro de Windows.
-
Si utiliza AD LDS para varios dominios en un solo bosque, le recomendamos que instale el Conector de directorios y Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) en máquinas separadas.
Requisitos de varios dominios
Antes de seguir las tareas que se indican en el Flujo de tareas de implementación del conector de directorios de Cisco, tenga en cuenta los siguientes requisitos y recomendaciones si va a sincronizar la información de Active Directory de varios dominios a la nube:
-
Se requiere una instancia independiente del Conector de directorios para cada dominio.
-
El software del Conector de directorios debe ejecutarse en un host que esté en el mismo dominio que sincronizará.
-
Le recomendamos que verifique o reclame sus dominios en Control Hub. (Consulte Agregar, verificar y reclamar dominios).
-
Si desea sincronizar más de 50 dominios, debe abrir un ticket para que su organización se mueva a una lista de organizaciones grande.
-
Si lo desea, puede sincronizar la información de los recursos de la sala junto con las cuentas de usuario. (Consulte Sincronizar la información de la sala local con la nube de Webex).
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
Los grupos de Active Directory se utilizan para recopilar cuentas de usuarios, cuentas informáticas y otros grupos en unidades manejables. Trabajar con grupos en lugar de con usuarios individuales ayuda a simplificar el mantenimiento y la administración de la red.
Hay dos tipos de grupos en Active Directory:
-
Grupos de distribución: se utiliza para crear listas de distribución de correo electrónico.
-
Grupos de seguridad: se utiliza para asignar permisos a recursos compartidos.
Tenga en cuenta las siguientes pautas al crear grupos en Active Directory:
-
Cree un grupo global para cada función, departamento o servicio (como ventas, marketing, gerentes, contables, licencias de Webex, etc.).
-
Utilice convenciones de nomenclatura estándares en toda la organización para facilitar la identificación de información importante sobre un grupo. Los nombres de grupos pueden incluir detalles acerca del grupo, como el nivel de acceso, el tipo de recurso, el nivel de seguridad, el alcance del grupo, la capacidad de correo, etc. Por ejemplo, el nombre de grupo “GSG_Webex_Licensing_EMEAR” se refiere a un grupo de seguridad global para usuarios de licencias de Webex de EMEAR.
-
Organice grupos de una manera fácil de entender, por ejemplo, por geografía o jerarquía gerencial. Utilice las descripciones del grupo para describir completamente el propósito del grupo.
-
Antes de agregar usuarios a los grupos recientemente aprovisionados, defina la plantilla de grupo de licencias automáticas en Control Hub para esos grupos. Consulte Configurar su plantilla de asignación automática de licencias para obtener más información.
Información de dimensionamiento
El Conector de directorios funciona como un puente entre Active Directory en las instalaciones y la nube de Webex. Como tal, el conector no tiene un límite superior para la cantidad de objetos de Active Directory que se pueden sincronizar en la nube. Los límites de los objetos del directorio local están vinculados a la versión y las especificaciones específicas del entorno de Active Directory que se está sincronizando con la nube, no con el propio conector.
Algunos factores pueden afectar la velocidad de la sincronización:
-
El número total de objetos de Active Directory. (Un trabajo de sincronización de 5000 usuarios no demorará tanto como 50000).
-
Velocidad de red y ancho de banda.
-
Carga de trabajo y especificaciones del sistema.
Si está sincronizando más de 50 000 usuarios, le recomendamos con énfasis que utilice un segundo conector para la conmutación por error y la redundancia.
Debido a que hay varios factores involucrados en la sincronización y porque cada implementación varía según los factores anteriores, no podemos proporcionar valores de tiempo específicos para el tiempo que llevará una sincronización de objetos.
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
Integración de proxy web
Integración de proxy web
Si la autenticación con proxy web está habilitada en su entorno, puede seguir usando el Conector de directorios.
Si su organización utiliza un proxy web transparente, no es compatible con la autenticación. El conector conecta y sincroniza usuarios con éxito.
Puede adoptar uno de estos enfoques:
-
Proxy web explícito a través de Internet Explorer (el conector hereda la configuración del proxy web)
-
Proxy web explícito por medio de un archivo .pac (el conector hereda la configuración proxy específica de la empresa)
-
Proxy transparente que funciona con el conector sin ningún cambio
Utilizar un proxy web por medio del navegador
Puede configurar el Conector de directorios para que utilice un proxy web a través de Internet Explorer.
Si el servicio de sincronización de directorios de Cisco se ejecuta desde una cuenta diferente a la que está conectado el usuario en ese momento, también tiene que iniciar sesión con esta cuenta y configurar el proxy web.
| 1 |
Desde Internet Explorer, diríjase a Opciones de Internet, haga clic en Conexiones y luego elija Configuración de LAN. |
| 2 |
Señale la instancia de Windows donde esté instalado el conector en su proxy web. El conector hereda esta configuración de proxy web. |
| 3 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 4 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Configurar el proxy web por medio de un archivo PAC
Puede configurar un navegador cliente para utilizar un archivo .pac. Este archivo proporciona información sobre la dirección y el puerto del proxy web. El Conector de directorios hereda directamente la configuración del proxy web específica de la empresa.
| 1 |
Para que el conector conecte y sincronice con éxito la información de los usuarios con la nube de Webex, asegúrese de que la autenticación con proxy esté deshabilitada para |
| 2 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 3 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Proxy NTLM
El Conector de directorios admite NT LAN Manager (NTLM). NTLM es un enfoque para admitir la autenticación de Windows entre los dispositivos del dominio y garantizar su seguridad.
Diseño NTLM
En la mayoría de los casos, un usuario quiere acceder a los recursos de otra estación de trabajo a través de un PC cliente, lo que puede ser difícil de hacer de una manera segura.
En general, el diseño técnico de NTLM se basa en un mecanismo de Desafío
y Respuesta
:
-
Un usuario inicia sesión en la PC de un cliente a través de una cuenta y contraseña de Windows. La contraseña nunca se guarda localmente. En lugar de una contraseña de texto sin formato, se almacena localmente un valor hash de la contraseña. Cuando un usuario inicia sesión a través de la contraseña con el cliente, el sistema operativo Windows compara el valor hash almacenado y el valor hash de la contraseña de entrada. Si ambos son iguales, la autenticación pasa.
Cuando el usuario quiere acceder a cualquier recurso en otro servidor, el cliente envía una solicitud al servidor con el nombre de la cuenta en texto sin formato.
-
Cuando el servidor recibe la solicitud, el servidor genera una clave aleatoria de 16 bits. La clave se llama Desafío (o Nonce). Antes de que el servidor vuelva a enviar al cliente, el desafío se almacena en el servidor. Luego, el servidor envía el desafío al cliente en texto sin formato.
-
Tan pronto como el cliente recibe el desafío enviado desde el servidor, el cliente cifra el desafío por el valor hash que se mencionó en el paso 1. Después del cifrado, el valor se devuelve al servidor.
-
Cuando el servidor recibe el valor cifrado del cliente, el servidor lo envía al controlador de dominio para su verificación. La solicitud incluye: el nombre de la cuenta, el desafío cifrado que envió el cliente y el desafío simple original.
-
El controlador de dominio puede recuperar los valores de hash de la contraseña según el nombre de la cuenta. Y, a continuación, el controlador de dominio puede cifrar en el desafío original. El controlador doman puede entonces comparar con el valor de hash recibido y el valor de hash cifrado. Si son iguales, la verificación se realiza correctamente.
Windows tiene la autenticación de seguridad integrada en el sistema operativo, lo que facilita que las aplicaciones admitan la autenticación de seguridad. En consecuencia, no es necesario completar la configuración adicional.
Configurar un proxy transparente
En esta situación, el navegador no sabe que un proxy web transparente está interceptando solicitudes http [puerto 80/puerto 443] y no se requiere ninguna configuración en el lado del cliente.
| 1 |
Implemente un proxy transparente para que el conector pueda conectar y sincronizar usuarios. |
| 2 |
Confirme que el proxy sea correcto: verá una ventana emergente de autenticación del navegador esperada al iniciar el conector. |
Establecer autenticación de proxy
Agregue la URL cloudconnector.webex.com a su lista de permitidos; para ello, cree una Lista de control de acceso.
En su servidor de firewall empresarial:
| 1 |
Habilite la búsqueda de DNS si todavía no está habilitada. |
| 2 |
Determine un ancho de banda estimado para esta conexión (aproximadamente 2 mb/s o menos para el conector). Es posible que esto no sea obligatorio. |
| 3 |
Cree una Lista de control de acceso para aplicarla al host de conectores y especifique Por ejemplo: access-list 2000 acl-inside extended permit TCP [IP del conector] cloudconnector.webex.com eq https |
| 4 |
Aplique esta ACL a la interfaz de firewall adecuada, que solo se aplica a este host de conectores únicos. |
| 5 |
Asegúrese de que el resto de los hosts de su empresa todavía tengan que utilizar su proxy web; para ello, configure la declaración de denegación implícita que corresponda. |
Implementar el Conector de directorios
Flujo de tareas de implementación del conector de directorios de Cisco
Antes de comenzar
| 1 |
Instalar el Conector de directorios Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito. En el caso de una instalación nueva del Conector de directorios, vaya siempre a Control Hub ( https://admin.webex.com) para obtener la última versión del software, de modo que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 2 |
Iniciar sesión en el Conector de directorios Inicie sesión con sus credenciales de administrador de Webex y realice la configuración inicial. |
| 3 |
Configurar mejoras automáticas Siempre es importante mantener el software del Conector de directorios actualizado con la última versión. Le recomendamos que utilice este procedimiento para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 4 |
Elegir objetos de Active Directory para sincronizar De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios. |
| 5 |
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid. |
| 6 |
Sincronice los avatares de directorios mediante uno de los siguientes procedimientos:
Puede sincronizar los avatares de sus usuarios con la nube para que aparezca el avatar de cada usuario cuando inicie sesión en la aplicación. Puede sincronizar avatares desde un atributo de Active Directory o un servidor de recursos. |
| 7 |
Sincronizar la información de la sala local con la nube de Webex Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube, como un dispositivo de sala de Webex o Cisco Webex Board |
| 8 |
Para Aprovisionar Usuarios De Active Directory En Control Hub, siga estos pasos:
Siga esta secuencia para aprovisionar usuarios de Active Directory para cuentas de la aplicación de Webex. Puede aprovisionar usuarios de una implementación de Active Directory de varios bosques o dominios para el Conector de directorios 3.0 y versiones posteriores. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex. |
Instalar el Conector de directorios
Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito.
Debe instalar un conector por cada dominio de Active Directory que quiera sincronizar. Una única instancia del Conector de directorios solo puede servir a un único dominio. Consulte el siguiente diagrama para comprender el flujo de la sincronización de múltiples dominios:
Antes de comenzar
Si se autentica a través de un servidor proxy, asegúrese de tener sus credenciales de proxy:
-
Para la autenticación básica de proxy, introducirá el nombre de usuario y la contraseña después de instalar una instancia del conector. La configuración del proxy de Internet Explorer también es necesaria para la autenticación básica; consulte Utilizar un proxy web a través del navegador
-
En el caso de NTLM de proxy, es posible que vea un error cuando abra el conector por primera vez. Consulte Utilizar un proxy web a través del navegador.
| 1 |
En Control Hub, diríjase a y elija Siguiente. |
| 2 |
Haga clic en el enlace Descargar e instalar para guardar la última versión del archivo .zip de instalación del conector en su servidor VMware o Windows. Puede obtener el archivo .zip directamente desde este enlace, pero debe tener acceso administrativo total a una organización de Control Hub para que este software funcione. En el caso de una instalación nueva, obtenga la versión más reciente del software para que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 3 |
En el servidor de VMware o Windows, descomprima y ejecute el archivo .msi en la carpeta de configuración para iniciar el asistente de configuración. |
| 4 |
Haga clic en Siguiente, marque la casilla para aceptar el acuerdo de licencia y, luego, haga clic en Siguiente hasta ver la pantalla del tipo de cuenta. |
| 5 |
Elija el tipo de cuenta de servicio que desea utilizar y realice la instalación con una cuenta de administrador:
Para evitar errores, asegúrese de que estén implementados los siguientes privilegios:
|
| 6 |
Haga clic en Instalar. Después de ejecutar la prueba de red y, si se le solicita, introduzca sus credenciales básicas de proxy, haga clic en Aceptar y, a continuación, haga clic en Finalizar. |
Qué hacer a continuación
Le recomendamos que reinicie el servidor después de la instalación. El informe de simulación no puede mostrar el resultado correcto cuando no se liberaron los datos. Al reiniciar la máquina, se actualizan todos los datos para mostrar un resultado exacto en el informe.
Iniciar sesión en el Conector de directorios
Antes de comenzar
Asegúrese de tener sus credenciales de proxy.
-
Para la autenticación básica del proxy, introducirá el nombre de usuario y la contraseña después de abrir el conector por primera vez.
-
En el caso de NTLM proxy, abra Internet Explorer, haga clic en el icono de engranaje, diríjase a Opciones de Internet > Conexiones > configuración de LAN, asegúrese de que se agregue la información del servidor proxy y, luego, haga clic en Aceptar. Consulte Utilizar un proxy web a través del navegador.
| 1 |
Abra el conector y, a continuación, agregue |
| 2 |
Si se le solicita, inicie sesión con sus credenciales de autenticación de proxy y, luego, inicie sesión en Webex con su cuenta de administrador y haga clic en Siguiente. |
| 3 |
Confirme su organización y dominio.
|
| 4 |
Después de que aparezca la pantalla Confirmar organización, haga clic en Confirmar. Si ya vinculó AD DS/AD LDS, aparecerá la pantalla Confirmar organización. |
| 5 |
Haga clic en Confirmar. |
| 6 |
Elija uno, según la cantidad de dominios de Active Directory que quiera vincular al Conector de directorios:
|
Qué hacer a continuación
Después de iniciar sesión, se le pedirá que realice una simulación de sincronización.
Tablero de mandos del Conector de directorios
La primera vez que inicie sesión en el Conector de directorios, aparecerá el tablero de mandos. Aquí puede ver un resumen de todas las actividades de sincronización, ver estadísticas de la nube, realizar una simulación de sincronización, iniciar una sincronización completa o incremental e iniciar la vista de eventos para ver información de errores.
Puede ejecutar fácilmente estas tareas desde la barra de herramientas de acciones o desde el menú de acciones.
|
Componente |
Descripción |
|---|---|
|
Sincronización actual |
Muestra la información de estado de la sincronización en curso. Cuando no se está ejecutando ninguna sincronización, la pantalla de estado está inactiva. |
|
Próxima sincronización |
Muestra las siguientes sincronizaciones completas e incrementales planificadas. Si no se establece ninguna planificación, se muestra No planificada. |
|
Última sincronización |
Muestra el estado de las dos últimas sincronizaciones realizadas. |
|
Estado de sincronización actual |
Muestra el estado general de la sincronización. |
|
Conectores |
Muestra los conectores locales actuales que están disponibles para la nube. |
|
Estadísticas de la nube |
Muestra el estado general de la sincronización. |
|
Planificación de sincronización |
Muestra la planificación de sincronización para la sincronización incremental y completa. |
|
Resumen de configuración |
Enumera los ajustes que ha cambiado en la configuración. Por ejemplo, el resumen podría incluir lo siguiente:
|
| Acción | Descripción |
|---|---|
| Iniciar sincronización incremental |
Iniciar manualmente una sincronización incremental Esta acción se deshabilita cuando pausa o deshabilita la sincronización, si no se ha completado una sincronización completa, o si hay una sincronización en curso. |
|
Simulación de sincronización |
Realice una simulación de sincronización. |
|
Iniciar el visor de eventos |
Inicie el visor de eventos de Microsoft. |
|
Actualizar |
Actualizar el tablero de mandos del conector de directorios de Cisco |
|
Acción |
Descripción |
|---|---|
| Sincronizar ahora |
Inicia una sincronización completa al instante. |
|
Modo de sincronización |
Seleccione el modo de sincronización incremental o completa. |
|
Restablecer secreto de conector |
Establezca una conversación entre el Conector de directorios de Cisco y el servicio de conectores. Si selecciona esta acción, se restablecerá el secreto en la nube y, luego, se guardará el secreto localmente. |
|
Simulacro |
Realice una prueba del proceso de sincronización. Debe realizar una simulación antes de realizar una sincronización completa. |
|
Resolución de problemas |
Active/desactive la solución de problemas. |
|
Actualizar |
Actualice la pantalla principal del conector de directorios de Cisco. |
|
Salir |
Salga del conector de directorios de Cisco. |
|
Combinación de teclas |
Acción |
|---|---|
|
Alt + A |
Mostrar el menú Acciones |
|
|
Sincronización ahora |
|
|
Restablecer secreto de conector |
|
|
Simulacro |
|
|
Sincronización incremental |
|
|
Sincronización completa |
|
|
Mostrar el menú deAyuda |
|
|
Ayuda |
|
|
Acerca del día |
|
|
preguntas frecuentes |
Configurar mejoras automáticas
| 1 |
Desde el Conector de directorios, diríjase a y luego marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco. |
| 2 |
Haga clic en Aplicar para guardar los cambios. |
Las nuevas versiones del conector se instalan automáticamente cuando están disponibles.
Puede administrar las mejoras manualmente, si lo prefiere. Consulte Mejorar a la versión de software más reciente para obtener más información.
Elegir objetos de Active Directory para sincronizar
De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios.
Grupos para la asignación automática de licencias
Control Hub le permite administrar las asignaciones de licencias por grupo. Puede crear plantillas de licencia y asignarlas a grupos de Active Directory que sincronice con la nube. En el momento de la creación del usuario, Webex comprueba la pertenencia del usuario y la asignación automática de plantillas de licencias para ese nuevo usuario.
Le recomendamos que utilice un filtro de LDAP para sincronizar solo los grupos relevantes con la nube. Por ejemplo, puede configurar el filtro en:
(&(cn=Ejemplo)(objectclass=Grupo))*
Este filtro sincroniza todos los grupos dentro del DN base donde el nombre comienza con el ejemplo. A los usuarios que no están asignados a grupos se les asignan licencias de la plantilla de licencia automática predeterminada que configuró en Control Hub.
Grupos para implementaciones de seguridad de datos híbridos
En el Conector de directorios, debe marcar Grupos si está utilizando seguridad de datos híbridos a fin de configurar un grupo de prueba para usuarios piloto. Consulte la Guía de implementación para la seguridad de datos híbridos para obtener instrucciones. Esta configuración del Conector de directorios no afecta a otras sincronizaciones de usuarios en la nube.
Antes de comenzar
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en Selección de objetos. |
| 2 |
En la sección Tipo de objeto, marque Usuarios y considere la posibilidad de limitar la cantidad de contenedores con capacidad de búsqueda para los usuarios. Por ejemplo, si desea sincronizar solo los usuarios de un determinado grupo, debe introducir un filtro de LDAP en el campo Filtros de LDAP Usuarios. Si desea sincronizar a los usuarios que se encuentran en el grupo Administrador de ejemplos, utilice un filtro como este:
|
| 3 |
Marque Identificar sala para separar los datos de la sala de los datos del usuario. Haga clic en Personalizar si desea configurar atributos adicionales para identificar los datos de los usuarios como datos de salas. Utilice esta configuración si desea sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube. Para obtener más información, consulte Sincronizar la información de la sala local con la nube de Webex. |
| 4 |
Marque Grupos si desea sincronizar sus grupos de usuarios de Active Directory con la nube. No agregue un filtro de LDAP de sincronización de usuarios al campo Grupos. Solo debe utilizar el campo Grupos para sincronizar los datos del grupo con la nube. De manera predeterminada, los grupos no se sincronizan para los clientes nuevos. Debe habilitar la sincronización de grupos. También debe sincronizar los grupos de seguridad. |
| 5 |
Marque Contactos si desea sincronizar la información de contacto de los usuarios con la nube. El Conector de directorios solo administra los Contactos sincronizados por el conector. Si ya hay contactos en Control Hub, la sincronización no eliminará los contactos. Si los contactos se eliminan del alcance de la sincronización, la información de contacto de los usuarios también se eliminaría en Control Hub. |
| 6 |
Configure los filtros de LDAP. Puede agregar filtros extendidos si proporciona un filtro de LDAP válido. Consulte este artículo para obtener más información sobre la configuración de filtros de LDAP. |
| 7 |
Especifique los DN base locales para sincronizar al hacer clic en Seleccionar para ver la estructura de árbol de su Active Directory. Desde aquí, puede seleccionar o anular la selección de los contenedores en los que desea buscar. |
| 8 |
Compruebe que los objetos que desea agregar para esta configuración y haga clic en Seleccionar. Puede seleccionar contenedores individuales o principales para la sincronización. Seleccione un contenedor principal para habilitar todos los contenedores secundarios. Si selecciona un contenedor secundario, el contenedor principal muestra una marca de verificación gris que indica que se ha marcado un contenedor secundario. Luego, puede hacer clic en Seleccionar para aceptar los contenedores de Active Directory que marcó. Si su organización coloca a todos los usuarios y grupos en el contenedor Usuarios, no tiene que buscar en otros contenedores. Si su organización está dividida en unidades de la organización, asegúrese de seleccionar Unidades organizativas. |
| 9 |
Haga clic en Aplicar. Elegir una opción:
Para obtener información sobre simulaciones, consulte Realizar una simulación de sincronización en sus usuarios de Active Directory. Para la sincronización de grupos, debe realizar una sincronización completa: Realizar una sincronización completa de los usuarios de Active Directory en la nube. |
Asignar atributos de usuario
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid, un identificador único para cada cuenta de usuario en el servicio de identidad en la nube.
Puede elegir qué atributo de Active Directory asignar a la nube; por ejemplo, puede asignar firstName lastName en Active Directory o una expresión de atributo personalizada a displayName en la nube.
Las cuentas de Active Directory deben tener una dirección de correo electrónico; de manera predeterminada, uid se asigna al campo ad del correo (no sAMAccountName).
Si elige que el idioma preferido provenga de su Active Directory, Active Directory es la única fuente de verdad: los usuarios no podrán cambiar la configuración de idioma en la configuración de Webex y los administradores no podrán cambiar la configuración en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. En esta página se muestran los nombres de atributos de Active Directory (a la izquierda) y la nube de Webex (a la derecha). Todos los atributos obligatorios están marcados con un asterisco de color rojo. |
| 2 |
Desplácese hacia abajo hasta la parte inferior de los Nombres de atributos de Active Directory y, luego, elija uno de estos atributos de Active Directory para asignarlo al atributo uid de la nube:
Puede asignar cualquiera de los otros atributos de Active Directory a uid, pero le recomendamos que utilice mail o userPrincipalName, como se describe en las pautas anteriores. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. Para ver a qué atributos de Active Directory corresponden en la nube, consulte Asignación de atributos de Active Directory en el Conector de directorios. Para que la sincronización funcione, debe asegurarse de que el atributo de Active Directory que elija esté en formato de correo electrónico. El Conector de directorios muestra una ventana emergente para recordarle si no elige uno de los atributos recomendados. |
| 3 |
Si los atributos predefinidos de Active Directory no funcionan para su implementación, haga clic en el menú desplegable de atributos, desplácese hasta la parte inferior y, a continuación, elija Personalizar atributo para abrir una ventana que le permita definir una expresión de atributos. Haga clic en Ayuda para obtener más información acerca de las expresiones y ver ejemplos de cómo funcionan las expresiones. También puede ver Expresiones para atributos personalizados para obtener más información. En este ejemplo, asignemos los atributos de Active Directory
El Conector de directorios verifica el valor del atributo uid en el servicio de identidad y recupera 3 usuarios disponibles en las opciones de filtro de usuarios actuales. Si todos estos 3 usuarios tienen un formato de correo electrónico válido, el Conector de directorios de Cisco muestra el siguiente mensaje:
Si el atributo no se puede verificar, verá la siguiente advertencia y podrá volver a Active Directory para comprobar y corregir los datos del usuario:
|
| 4 |
(Opcional) Elija asignaciones para móvil y telephoneNumber si desea que aparezcan los números de teléfono móvil y de trabajo, por ejemplo, en la tarjeta de contacto del usuario en la aplicación de Webex. Los datos del número de teléfono aparecen en la aplicación Webex cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario. Para obtener más información sobre las llamadas desde la tarjeta de contacto de un usuario, consulte la Guía de implementación de llamadas en Webex (Unified CM) (administradores). |
| 5 |
Elija asignaciones adicionales para que aparezcan más datos en la tarjeta de contacto:
Una vez asignados los atributos, la información aparece cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario:
Para obtener más información acerca de la tarjeta de contacto, consulte Verificar con quién se está comunicando. Después de sincronizar estos atributos con cada cuenta de usuario, también puede activar People Insights en Control Hub. Esta característica permite a los usuarios de la aplicación de Webex compartir más información en sus perfiles y obtener más información acerca de los demás. Para obtener más información sobre la característica y cómo habilitarla, consulte Perfiles de información personal para Webex, Jabber, Webex Meetings y Webex Events (nuevo) en Control Hub |
| 6 |
Después de tomar sus decisiones, haga clic en Aplicar. |
Todos los datos de usuario contenidos en Active Directory sobrescribirán a los de la nube que correspondan a ese usuario. Por ejemplo, si creó un usuario manualmente en Control Hub, la dirección de correo electrónico del usuario debe ser idéntica al correo electrónico de Active Directory. Se elimina cualquier usuario que no tenga una dirección de correo electrónico correspondiente en Active Directory.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Atributos de la nube y Active Directory
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube mediante la ficha Asignación de atributos de usuarios.
En esta tabla se compara la asignación entre los nombres de atributos de Active Directory y los nombres de atributos de la nube de Cisco. Estos valores y asignaciones son la configuración predeterminada en el Conector de directorios. Puede elegir diferentes atributos en los menús desplegables de Active Directory y determinar qué atributo local se sincroniza con qué atributo en la nube.
Piense en los atributos desplegables como ajustes preestablecidos. Como alternativa a los valores de la fila de Active Directory, también puede especificar un atributo personalizado, su propio ajuste preestablecido, en Active Directory (una expresión con varios atributos) para asignar a un único atributo de nube en la fila correspondiente. De esta manera, tiene la flexibilidad de determinar los nombres para mostrar de sus usuarios; por ejemplo, puede agregar una expresión que cree un atributo personalizado basado en el cargo del empleado, el nombre dado y el apellido en Active Directory.
También puede especificar cualquiera de los atributos de Active Directory para asignar a uid en la nube. Sin embargo, debe asegurarse de que el atributo local siga un formato de correo electrónico válido.
También puede utilizar direcciones de correo electrónico alternativas si, por ejemplo, desea utilizar userPrincipalName para iniciar sesión, pero la dirección de correo electrónico de un usuario se utiliza para administrar su calendario. En este caso, asigne otra dirección de correo electrónico al atributo emails;type-work. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario.
|
Nombres de atributos de Active Directory |
Nombres de atributos de la nube de Webex |
Notas |
|---|---|---|
|
— |
nombre del edificio |
— |
|
c |
c |
Este atributo especifica la abreviatura del país del usuario. |
|
NúmeroDepartamento |
NúmeroDepartamento |
Este atributo se utiliza para el número de departamento del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
Nombre para mostrar |
Nombre para mostrar |
Este atributo se utiliza para el nombre para mostrar de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
ControlDeCuentaUsuario |
ds-pwp-account-disabled |
Este atributo se utiliza para la sincronización de usuarios. Asegúrese de que el atributo userAccountControl esté asignado a ds-pwp-account-disabled o los usuarios no se sincronizarán correctamente. |
|
Número de empleado |
Número de empleado |
— |
|
facsímilTelephoneNumber |
facsímilTelephoneNumber |
— |
|
— |
ID de jabber |
Este atributo de nube se relaciona con direcciones de MI (tipo XMPP) que utiliza Jabber. Este valor no es el mismo que sipAddresses. |
|
l |
l |
Este atributo especifica la ciudad del usuario. |
|
— |
región |
— |
|
administrador |
administrador |
Este atributo se utiliza para el nombre de administrador del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
móvil |
móvil |
Este atributo se utiliza como el número de teléfono móvil que aparece para llamar al usuario desde la tarjeta de contacto. |
|
o |
o |
Este atributo especifica el nombre de la empresa u organización y aparece en la tarjeta de contacto. |
|
ou |
ou |
Este atributo especifica el nombre de la unidad de organización. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Este atributo especifica la ubicación de la oficina del usuario. |
|
código postal |
código postal |
Este atributo especifica el código postal del usuario para la entrega física del correo. |
|
Idioma preferido |
Idioma preferido |
Este atributo establece el idioma preferido del usuario y se admiten los siguientes formatos: xx_YY o xx-YY. Estos son algunos ejemplos: en_US, en_GB, fr-CA. Si utiliza un idioma no compatible o un formato no válido, el idioma preferido de los usuarios cambiará al idioma definido para la organización. |
|
MSRTCSIP-PrimaryUserAddress Teléfono ip |
SipAddresses;type=enterprise |
Este atributo se utiliza para sincronizar la información de la sala local de Active Directory en la nube de Cisco Webex. |
|
sn |
sn |
Este atributo se utiliza para el apellido de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
s |
s |
Este atributo especifica el estado o la provincia del usuario. |
|
dirección |
calle |
Este atributo especifica la dirección postal del usuario para la entrega física de correo. |
|
teléfonoNúmero |
teléfonoNúmero |
Este atributo especifica el número de teléfono principal (laboral) del usuario que se utiliza para llamar al usuario desde la tarjeta de contacto. |
|
— |
zona horaria |
Este atributo de nube especifica la zona horaria del usuario. |
|
título |
título |
Este atributo especifica el título del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
tipo |
empresarial |
— |
|
*correo *userPrincipalName |
uid |
Una asignación de atributos obligatoria. Para cada cuenta de usuario, el valor de Active Directory se asigna a un uid único en la nube. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. El usuario puede utilizar cualquiera de estas direcciones de correo electrónico para iniciar sesión, siempre que se encuentre la asignación de atributos de SAML correcta. Consulte la asignación de atributos de ejemplo a continuación para saber cómo puede asignar una dirección de correo electrónico alternativa. |
|
*userPrincipalName *correo <atributo personalizado> |
correos electrónicos;tipo-trabajo |
Esta asignación es opcional; utilícela si desea utilizar direcciones de correo electrónico alternativas. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario. |
|
<Nuevo atributo para el usuario de Azure objectId> |
ID externo |
Cree un nuevo atributo de Active Directory para contener el ID de usuario de Azure, de modo que no choque con uno existente. Este atributo se asigna al atributo externalId, lo que garantiza que cuando los usuarios de Webex creen grupos en Microsoft 365 creen equipos automáticamente en Webex. |
Asignación alternativa de direcciones de correo electrónico
Expresiones para atributos personalizados
|
Operador |
Descripción y ejemplo |
|---|---|
|
% |
Elimina todos los caracteres desde el comienzo de la cadena hasta la posición del caracter o del argumento, si coinciden.
|
|
- |
Elimina la parte posterior de la cadena de entrada desde el final de la cadena especificada.
|
|
+ |
Concatena las cadenas o expresiones de entrada.
|
|
| |
Evalúa las expresiones separadas con la cadena vacía y selecciona el primer resultado no vacío.
|
Sincronizar avatares de directorios desde un atributo de Active Directory a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar los datos brutos de avatar de un atributo de Active Directory.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija el atributo de AD y, luego, elija el atributo de avatar que contenga los datos brutos del avatar que desea sincronizar con la nube. |
| 3 |
Para verificar que se acceda correctamente al avatar, introduzca la dirección de correo electrónico de un usuario y, a continuación, haga clic en Obtener avatar del usuario. El avatar aparece a la derecha. |
| 4 |
Después de verificar que el avatar aparecía correctamente, haga clic en Aplicar para guardar los cambios. |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar avatares de directorios desde un servidor de recursos a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar avatares desde un servidor de recursos.
Antes de comenzar
-
El patrón de URI y el valor de la variable en este procedimiento son ejemplos. Debe utilizar las URL reales donde se encuentran sus avatares de directorio.
-
El patrón de URI del avatar y el servidor donde residen los avatares deben ser accesibles desde la aplicación del Conector de directorios. El conector necesita acceso http o https a las imágenes, pero no es necesario que las imágenes sean accesibles públicamente en Internet.
-
La sincronización de datos del avatar está separada de los perfiles de usuario de Active Directory. Si ejecuta un proxy, debe asegurarse de que se pueda acceder a los datos de avatar mediante autenticación NTLM o autenticación básica.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija Servidor de recursos y, luego, introduzca el Patrón de URI de avatar; por ejemplo, Veamos cada parte del patrón de URI del avatar y lo que significan:
|
| 3 |
(Opcional) Si su servidor de recursos requiere credenciales, marque Establecer credencial de usuario para avatar y, a continuación, elija Utilizar usuario de conexión del servicio actual o Utilizar este usuario e introduzca la contraseña. |
| 4 |
Introduzca el Valor de la variable; por ejemplo: |
| 5 |
Haga clic en Prueba para asegurarse de que el patrón de URI del avatar funcione correctamente. En este ejemplo, si el valor de correo para una entrada de AD es |
| 6 |
Una vez verificada la información de URI y que se vea correcta, haga clic en Aplicar. Para obtener información detallada sobre el uso de expresiones regulares, consulte la Referencia rápida del lenguaje de expresiones regulares de Microsoft . |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar la información de la sala local con la nube de Webex
Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de Webex registrados en la nube (Room, Desk y Board).
| 1 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 2 |
Marque la opción Sincronizar la información de la sala con la nube para separar los datos de la sala de los datos de los usuarios durante la sincronización. Cuando esta configuración está desactivada, los datos de la sala se tratan de la misma manera que los datos sincronizados del usuario. |
| 3 |
Diríjase a Asignación de atributos y luego cambie la asignación de atributos para el atributo en la nube sipAddresses;type=enterprise. Para utilizar la validación de valor, el valor de la dirección SIP debe ser Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Cree un buzón de recursos de sala en Exchange. Esto agrega el atributo msExchResourceMetaData;ResourceType:Room que el conector utiliza para identificar salas.
|
| 5 |
Desde usuarios y computadoras de Active Directory, diríjase a las propiedades de la sala y editarlas. Agregue la URI de SIP completamente calificada con un prefijo de sip:
|
| 6 |
Realice una simulación de sincronización y luego una sincronización de ejecución completa en el conector. Los nuevos objetos de sala aparecen en la lista Objetos agregados y los objetos de sala coincidentes aparecen en Objetos coincidentes en el informe de simulación. Todos los objetos de sala marcados para su eliminación se encuentran en Salas eliminadas.
Los resultados del simulacro muestran cualquier recurso de sala que coincida.
Esta configuración separa los datos de la sala de Active Directory (incluido el atributo de la sala) de los datos de los usuarios. Una vez finalizada la sincronización, las estadísticas de la nube en el tablero de mandos del conector muestran los datos de salas que se sincronizaron con la nube.
|
Qué hacer a continuación
Ahora que ha completado estos pasos, cuando realice una búsqueda en un dispositivo registrado en la nube de Webex, verá las entradas de salas sincronizadas configuradas con direcciones SIP. Cuando realiza una llamada desde el dispositivo de Webex en esa entrada, se realiza una llamada a la dirección SIP que se configuró para la sala.
Desde Control Hub, puede importar salas automáticamente desde su directorio y crear espacios de trabajo.
El extremo no puede devolver la llamada a la aplicación de Webex. Para los dispositivos de marcado de prueba, estos dispositivos deben registrarse como una URI de SIP en las instalaciones o en otro lugar que no sea la aplicación de Webex. Si el sistema de salas de Active Directory que está buscando está registrado en Webex y la misma dirección de correo electrónico está en el dispositivo Webex Room, el dispositivo Desk o Webex Board para el servicio de calendario, los resultados de la búsqueda no mostrarán la entrada duplicada. El dispositivo Room, Desk o Board se marca directamente en la aplicación de Webex, y no se realiza una llamada SIP.
Enviar informes por correo electrónico sobre los resultados de la sincronización de directorios
De forma predeterminada, los contactos o administradores de la organización siempre reciben notificaciones por correo electrónico. Con esta configuración, puede personalizar quién debe recibir notificaciones por correo electrónico que resumen los informes de sincronización de directorios.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Notificación. |
| 2 |
Desde el Conector de directorios, haga clic en Configuración y, junto a Destinatario de correo electrónico, active Habilitar sincronización del informe. |
| 3 |
Marque Habilitar notificación si desea anular el comportamiento de notificación predeterminado y agregar uno o más destinatarios de correo electrónico. |
| 4 |
Haga clic en Agregar y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 5 |
Haga clic en Agregar correo electrónico y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 6 |
Si necesita editar alguna dirección de correo electrónico que haya introducido, haga doble clic en la entrada de correo electrónico de la columna de la izquierda y, a continuación, realice los cambios que necesite. |
| 7 |
Una vez que haya agregado todas las direcciones de correo electrónico válidas, haga clic en Aplicar. |
| 8 |
Después de agregar todas las direcciones de correo electrónico válidas, haga clic en Guardar. |
Qué hacer a continuación
Si decidió que desea eliminar las direcciones de correo electrónico, puede hacer clic en un correo electrónico para resaltar esa entrada y, luego, haga clic en Eliminar.
Si ha decidido que desea eliminar direcciones de correo electrónico, puede hacer clic en Eliminar junto a entradas específicas de direcciones de correo electrónico.
Aprovisionar usuarios de Active Directory en Control Hub
Siga estos pasos para aprovisionar usuarios de Active Directory y crear las cuentas de usuario correspondientes en Control Hub. Puede aprovisionar usuarios desde una implementación de Active Directory de varios dominios (ya sea con un solo bosque o con varios bosques) después de instalar un Conector de directorios por dominio. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex.
| 1 |
Realizar una simulación de sincronización en sus usuarios de Active Directory Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube. |
| 2 |
Realizar una sincronización completa de los usuarios de Active Directory en la nube Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados. |
| 3 |
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede asignar licencias de servicios de Webex mediante diversos métodos. Le recomendamos que configure una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory. También puede realizar cambios individuales después de este paso inicial. |
Realizar una simulación de sincronización en sus usuarios de Active Directory
Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube.
Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. Con el Conector de directorios, el objetivo es lograr una coincidencia exacta entre sus Active Directories y la nube de Webex.
Si tiene varios dominios en un solo bosque o varios bosques, debe realizar este paso en cada una de las instancias del conector de directorios de Cisco que haya instalado para cada dominio de Active Directory.
Antes de comenzar
Es posible que ya tenga algunos usuarios de la aplicación Webex en Control Hub antes de utilizar el Conector de directorios. Entre los usuarios de la nube, algunos pueden coincidir con el objeto local de Active Directory y tener asignadas licencias para los servicios. Sin embargo, es posible que algunos sean usuarios de prueba que desea eliminar mientras realiza una sincronización. Debe crear una coincidencia exacta entre su Active Directory y Control Hub.
| 1 |
Elija una opción:
Cuando finalice la simulación, verá uno de los siguientes resultados:
El Resumen contiene información sobre la coincidencia de objetos:
La simulación identifica a los usuarios al compararlos con los usuarios del dominio. La aplicación puede identificar a los usuarios si pertenecen al dominio actual. En el siguiente paso, debe decidir si desea eliminar los objetos o conservarlos. Los objetos no coincidentes se identifican como ya existentes en la nube de Webex, pero no en el Active Directory local. |
| 2 |
Revise los resultados del simulacro y, a continuación, elija una opción según si utiliza un solo dominio o varios dominios:
|
| 3 |
En el mensaje Confirmar simulación, haga clic en Sí para rehacer la sincronización de la simulación y ver el tablero de mandos para ver los resultados. Todas las cuentas que se sincronizaron correctamente en la simulación aparecerán en Objetos coincidentes. Si un usuario en la nube no tiene un usuario correspondiente con el mismo correo electrónico en Active Directory, la entrada aparece en Usuarios eliminados. Para evitar este indicador de eliminación, puede agregar un usuario en Active Directory con la misma dirección de correo electrónico. Para ver los detalles de los elementos que se sincronizaron, haga clic en la ficha correspondiente a elementos específicos o en Objetos coincidentes. Para guardar la información del resumen, haga clic en Guardar resultados en archivo. |
| 4 |
Si se esperan los resultados, diríjase a y, luego, haga clic en Habilitar ahora para realizar una sincronización manual y ponerla en modo manual en este punto. Después de realizar una sincronización en el último dominio de Active Directory en su implementación de varios dominios, debe habilitar el modo automático para el Conector de directorios. Puede habilitar el modo automático solo cuando los objetos coinciden completamente entre la nube de Webex y todos los directorios activos locales. |
Qué hacer a continuación
-
Para todos los objetos de usuario no coincidentes que haya conservado, debe agregarlos a Active Directory para que haya una coincidencia exacta entre las instalaciones locales y la nube.
-
Elija un tipo de sincronización:
-
De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa.
-
Si tiene varios dominios, repita estos pasos en cualquier otro Conector de directorios que haya instalado.
Aspectos a tener en cuenta
-
Realice un simulacro antes de habilitar la sincronización completa o cuando cambie los parámetros de sincronización. Si la simulación se inició por un cambio en la configuración, puede guardar los ajustes una vez finalizada la simulación. Si ya agregó usuarios manualmente, llevar a cabo una sincronización de Active Directory puede provocar la eliminación de los usuarios agregados previamente. Puede consultar los Informes de ensayos del Conector de directorios para verificar que todos los usuarios esperados estén presentes antes de sincronizarlos completamente con la nube.
-
Si los usuarios coincidentes están marcados para ser eliminados y no está seguro de cómo continuar, consulte la información de solución de problemas y cómo comunicarse con el soporte en Solución de problemas y correcciones para el Conector de directorios.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Realizar una sincronización completa de los usuarios de Active Directory en la nube
Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados.
Si tiene varios dominios, debe realizar este paso en cada una de las instancias del Conector de directorios que haya instalado para cada dominio de Active Directory.
El Conector de directorios sincroniza el estado de las cuentas de usuario: en Active Directory, todos los usuarios marcados como deshabilitados también aparecen como inactivos en la nube.
Antes de comenzar
-
Si desea que las cuentas de usuario de la aplicación de Webex estén en estado activo después de la sincronización completa y antes de que los usuarios inicien sesión por primera vez, debe seguir estos pasos para omitir la validación de correo electrónico:
-
Integre el inicio de sesión único con su organización de Webex. Ver
Inicio de sesión único con los servicios de Cisco Webex y el proveedor de servicios de identidad de su organización
para obtener más información. -
Utilice Control Hub para verificar y, de manera opcional, reclamar dominios contenidos en las direcciones de correo electrónico. Ver
Agregar, verificar y reclamar dominios
. -
Suprimir invitaciones automáticas por correo electrónico, para que los usuarios nuevos no reciban la invitación automática por correo electrónico a la aplicación de Webex. (Puede realizar su propia campaña de correo electrónico).
Los usuarios activados que no hayan iniciado sesión aparecerán con el estado Verificado en Control Hub. Después de que inician sesión, aparecen como Activos. Para obtener más información acerca de los estados de los usuarios, consulte Estados y acciones de los usuarios en Cisco Webex Control Hub.
-
-
Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. Le recomendamos que realice un simulacro antes de una sincronización completa para detectar cualquier posible error.
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
Si no utiliza plantillas de licencia de asignación automática, los usuarios recién sincronizados obtienen licencias gratuitas automáticamente. Podrán utilizar las mismas características gratuitas que las que tienen cuentas gratuitas.
| 1 |
Elija una opción:
|
| 2 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 3 |
Confirme el inicio de la sincronización. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación de Webex refleja los cambios hasta 72 horas después de realizar la sincronización. Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
|
| 4 |
Haga clic en Actualizar si desea actualizar el estado de la sincronización. (Los elementos sincronizados aparecen en Estadísticas de la nube). |
| 5 |
Para obtener información sobre los errores, seleccione Iniciar visor de eventos en la barra de herramientas de Acciones para ver los registros de errores. |
| 6 |
Para establecer una planificación de sincronización para las sincronizaciones incrementales en curso con la nube, consulte Definir la planificación del conector y Ejecutar una sincronización incremental. |
-
Una vez finalizada la sincronización completa, el estado de la sincronización de directorios se actualiza de Deshabilitado a Operativo en la página Configuración de Control Hub.
-
Cuando todos los datos coinciden en las instalaciones y en la nube, el Conector de directorios cambia del modo manual al modo de sincronización automática.
-
A menos que integre el inicio de sesión único, verifique dominios y, opcionalmente, reclame dominios para las cuentas de correo electrónico que sincronizó, y suprima los correos electrónicos automatizados, las cuentas de usuario de la aplicación de Webex permanecen en estado No verificado hasta que los usuarios inicien sesión en la aplicación de Webex por primera vez para confirmar sus cuentas. Consulte la sección Antes de comenzar para obtener orientación sobre cómo sincronizar las cuentas como Usuarios activos.
-
Si tiene varios dominios, realice este paso en cualquier otro conector de directorios que haya instalado. Después de la sincronización, los usuarios de todos los dominios que agregó aparecerán listados en Control Hub.
-
Si integró el inicio de sesión único con Webex y notificaciones por correo electrónico suprimidas, las invitaciones por correo electrónico no se envían a los usuarios recién sincronizados.
-
No puede agregar usuarios manualmente en Control Hub después de que se habilite el conector de directorios. Una vez habilitada, la administración de usuarios se realiza desde el conector de directorios de Cisco, y Active Directory es la única fuente fiable.
-
Cualquier grupo que sincronice aparecerá en Control Hub y puede asignar una plantilla de licencia para que a los usuarios de ese grupo se les asignen licencias.
Qué hacer a continuación
-
Cuando elimina un usuario de Active Directory, se elimina por software después de la siguiente sincronización. El usuario pasa a estar Inactivo, pero el perfil de identidad en la nube se mantiene durante siete días (para permitir la recuperación de la eliminación accidental).
Cuando selecciona La cuenta está deshabilitada en Active Directory, el usuario pasa a ser Inactivo después de la siguiente sincronización. El perfil de identidad en la nube no se elimina después de siete días, en caso de que desee habilitar nuevamente al usuario.
-
Tenga en cuenta estas excepciones a una sincronización incremental (en su lugar, siga los pasos de sincronización completos anteriores):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Los cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar requieren una sincronización completa.
-
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub
Después de completar una sincronización completa de usuarios desde el conector de directorios de Cisco en Control Hub, puede utilizar Control Hub para asignar las mismas licencias de servicios de Webex a todos sus usuarios a la vez o agregar licencias adicionales a los usuarios nuevos si ya configuró una plantilla de licencia asignada automáticamente. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede utilizar métodos en Control Hub para asignar globalmente licencias de servicios de Webex a todos sus usuarios, usuarios individuales, a través de la plantilla CSV masiva, o automáticamente a los usuarios nuevos si ya configuró una plantilla de licencia de asignación automática. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Cuando asigna una licencia a un usuario de la aplicación de Webex, ese usuario recibe un correo electrónico en el que se confirma la asignación de manera predeterminada. El correo electrónico se envía mediante un servicio de notificación en Control Hub. Si integró el inicio de sesión único (SSO) con su organización de Webex, también puede suprimir estas notificaciones automáticas por correo electrónico si prefiere comunicarse directamente con sus usuarios.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Realice una simulación de sincronización en sus usuarios de Active Directory.
-
Después de confirmar los resultados de la simulación, realice una sincronización completa en sus usuarios de Active Directory.
En el momento de la sincronización completa, el usuario se crea en la nube, no se agregan asignaciones de servicios ni se envía ningún correo electrónico de activación. Si no se eliminan los correos electrónicos, los nuevos usuarios reciben un correo electrónico de activación cuando asigna servicios a los usuarios mediante un método de administración de usuarios estándar en Control Hub, como la importación de archivos CSV, la actualización manual de usuarios o la finalización correcta de la asignación automática.
| 1 |
Desde la vista del cliente en https://admin.webex.com, vaya a , haga clic en Administrar usuarios, elija Modificar todos los usuarios sincronizados y, luego, haga clic en Siguiente. |
| 2 |
Elegir una opción: |
Qué hacer a continuación
-
Si no se eliminan los correos electrónicos, se envía un correo electrónico a cada usuario con una invitación para entrar y descargar Webex.
-
Si seleccionó los mismos servicios de Webex para todos sus usuarios, puede cambiar la licencia asignada individualmente o en forma masiva.
Problemas conocidos con el Conector de directorios
-
Las versiones de Windows Server anteriores a 2012 R2 tienen un problema de cookies que afecta al Conector de directorios. Este problema se corrigió en las versiones 2012 R2 y 2016.
-
Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
-
Cuando un usuario utiliza la aplicación de Webex en el escritorio o en un dispositivo móvil para buscar y llamar a una sala que solo tiene una URI de SIP sincronizada, la llamada suena indefinidamente en este momento.
Administrar usuarios de la aplicación de Webex
Ejecutar una sincronización incremental
Una sincronización incremental consulta su Active Directory y busca cambios que se hayan producido desde la última sincronización. En este paso se agrupan esos cambios y se los envía al servicio de conectores Los cambios incluyen la modificación de la atribución de usuarios y cuándo se agrega o elimina un usuario.
Esta sincronización no carga tanto en los servidores y no toma tanto tiempo como una sincronización completa. Después de realizar la sincronización completa inicial, le recomendamos la opción incremental para las sincronizaciones posteriores.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Tenga en cuenta estas excepciones para las que la sincronización incremental no es compatible (siga Realizar una sincronización completa de usuarios de Active Directory en la nube ):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Para los nuevos cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar, la sincronización incremental no funcionará y estos requieren una sincronización completa.
-
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. |
| 2 |
Desde Acciones, haga clic en Modo de sincronización > Habilitar sincronización si todavía no está habilitado. De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa. Cuando se activa un nuevo intervalo de tiempo incremental, el programa comprueba los cambios en función de la última marca de tiempo. |
| 3 |
Desde Acciones, haga clic en Sincronizar ahora > Incremental. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
|
| 4 |
Para obtener información sobre los errores, haga clic en Iniciar visor de eventos desde la barra de herramientas de Acciones para ver los registros de errores. |
Qué hacer a continuación
Si tiene varios dominios, realice este paso en otras instancias del Conector de directorios que haya instalado.
Recuperar usuarios eliminados accidentalmente
El Conector de directorios tiene controles y contrapesos para evitar la eliminación no intencional de usuarios. Lamentablemente, ocurren accidentes; es posible que haya configurado incorrectamente un filtro LDAP en Active Directory, que eliminó a algunos usuarios cuando se sincronizaban con la nube. La característica de eliminación suave puede ayudarlo a recuperarse de estos accidentes y restablecer las cuentas de los usuarios en Control Hub.
De forma predeterminada, esta función está habilitada para todas las organizaciones. Cuando se eliminan usuarios en la nube, por ejemplo, debido a un problema de objeto no coincidente después de una sincronización desde el Conector de directorios, los usuarios se pueden recuperar. Si vio un aviso de objetos no coincidentes o notó que los usuarios fueron eliminados, es posible que pueda recuperarlos si actúa rápido.
Los usuarios se marcan como Inactivos en Control Hub cuando se eliminan las cuentas correspondientes en Active Directory. El servicio en la nube en segundo plano conserva a los usuarios durante un máximo de 7 días. Durante este período, aún puede utilizar el Conector de directorios de Cisco para recuperar usuarios. Le recomendamos que recupere estos usuarios lo antes posible.
Los usuarios que están deshabilitados en Active Directory también se marcan como inactivos en Control Hub, pero la cuenta de usuario no se elimina después de 7 días.
| 1 | |
| 2 |
Vaya a Usuarios y confirme si una cuenta de usuario específica está en estado inactivo o no está listada. Para obtener más información, consulte Estados y acciones del usuario en Control Hub. |
| 3 |
Si se eliminaron usuarios en Control Hub o si observa que los usuarios están en estado inactivo, vaya a Active Directory, agregue las cuentas de usuario que faltan y, luego, realice una simulación de sincronización en el Conector de directorios. El objetivo del Conector de directorios es crear una coincidencia exacta entre la información de los usuarios en Active Directory y en la nube. |
| 4 |
Realice una sincronización completa para volver a sincronizar las cuentas de usuario eliminadas temporalmente con Control Hub. Los usuarios se recuperan y pasan al estado original, incluido el estado de su cuenta y las asignaciones de servicios. |
Qué hacer a continuación
Regrese a Control Hub, vaya a , y confirme que las cuentas de usuario eliminadas anteriormente aparezcan en la lista de usuarios.
Eliminar usuarios permanentemente después de la eliminación por software
Después de realizar una simulación, puede optar por eliminar de forma permanente los usuarios que fueron eliminados por software en la próxima sincronización.
| 1 |
Una vez finalizada la simulación, seleccione Objetos eliminados por software. |
| 2 |
Marque la casilla de verificación situada junto a los usuarios que desea eliminar. |
| 3 |
Seleccione Listo. |
Qué hacer a continuación
En la próxima sincronización, los usuarios que revisó se eliminarán de forma permanente.
Cambiar una dirección de correo electrónico de la aplicación de Webex
Si quiere cambiar las direcciones de correo electrónico de los usuarios y su organización utiliza el Conector de directorios, puede cambiar esas direcciones de correo electrónico en Active Directory. Este procedimiento cubre cómo cambiar la dirección de correo electrónico de la aplicación de Webex para un único dominio y un proceso para cambiar el dominio.
Si solo quiere cambiar el correo electrónico o algún valor para un usuario, no lo elimine de Active Directory y vuelva a crear uno nuevo con el mismo correo electrónico. La nube interpreta esta acción como una nueva cuenta de usuario y se perderán los espacios del usuario y otros datos en la nube.
El Conector de directorios no limita el cambio de dominio de correo electrónico. Sin embargo, cuando el usuario se vuelve a sincronizar con la nube, el estado del usuario depende de si se verifica el nuevo dominio en su organización. Si el dominio no está verificado en su organización, el estado del usuario cambia a Pendiente después de la sincronización completa. Para obtener más información, consulte Administrar sus dominios.
Si su organización no utiliza el Conector de directorios, puede cambiar las direcciones de correo electrónico de la aplicación de Webex a través de la página de configuración de la cuenta. Consulte Cambiar la dirección de correo electrónico de su cuenta para conocer los pasos que los usuarios pueden seguir para cambiar sus correos electrónicos.
Cambiar el dominio de Active Directory
Puede utilizar este procedimiento para crear nuevos dominios y direcciones de correo electrónico. Se sincronizan con el servicio de identidad en la nube.
| 1 |
Configure un nuevo dominio de Active Directory (AD). |
| 2 |
Deshabilite las sincronizaciones en todos sus conectores. |
| 3 |
Desinstale todos los conectores. |
| 4 |
Abra un caso para cambiar el dominio. En el envío del caso, asegúrese de solicitar la eliminación de la configuración del dominio y de todos los atributos de sincronización de su organización. Antes de abrir un caso para cambiar el dominio, asegúrese de no tener una sincronización en ejecución. No cambie ninguna dirección de correo electrónico del usuario en Active Directory hasta que el caso se resuelva. |
| 5 |
Una vez resuelto el caso: Realice una ejecución de prueba con el Conector de directorios antes de realizar la sincronización real. |
Reclamo de dominios
Un reclamo de dominio se produce si reclama un dominio de correo electrónico para una organización de modo que cualquier cuenta creada con Sideboard se cree en la organización del cliente con suscripción paga y no en la organización del consumidor sin cargo. Solo puede realizar un reclamo de dominio a través de un caso de soporte (consulte el siguiente enlace para obtener más información).
Si el Conector de directorios está activo y se reclama el dominio, las cuentas creadas con Sideboard no se crean ni en la organización del cliente ni en la organización de consumidores sin cargo. Solo el Conector de directorios puede aprovisionar cuentas para la organización desde Active Directory. La información almacenada en Active Directory es la fuente original. Si trató de hacer Sideboard con una cuenta, el usuario invitado recibe un error. La única manera en que se puede agregar un usuario invitado a un espacio de la aplicación de Webex es utilizar primero el Conector de directorios para aprovisionar la cuenta en Control Hub.
Convertir usuarios gratuitos de la aplicación de Webex en una organización con directorios sincronizados
Solo puede utilizar direcciones de correo electrónico únicas en el directorio de la aplicación de Webex. Si sus usuarios se han inscrito en la versión gratuita de la aplicación de Webex, su cuenta existe en la organización de consumidores gratuita. Para administrar a los usuarios de esta organización con el Conector de directorios, mígrelos (conviértalos) a la organización del cliente antes de activar el Conector de directorios. Luego, agrega a los usuarios a active Directory con la dirección de correo electrónico exacta y luego sincroniza a la nube.
Si no convierte las cuentas antes de la activación, desactive el Conector de directorios para convertirlas.
Si intenta convertir un usuario con la sincronización de directorios habilitada, aparece el mensaje de error no se pudo convertir
. Para evitar el problema, puede utilizar estos pasos como solución alternativa.
Es posible que algunos usuarios reclamados aparezcan con el atributo movedfrom al realizar una simulación. Estos usuarios estarán en la lista Objetos eliminados en lugar de ObjetosNo Coincidentes. Tendrá que agregar esos usuarios a su lista de AD si desea moverlos a su organización.
Si no agrega esos usuarios, todos se eliminarán la próxima vez que se sincronice con la nube.
| 1 |
Deshabilite la sincronización de directorios desde el Conector de directorios. |
| 2 |
Siga el procedimiento Convertir usuarios sin licencia en Control Hub para convertir al usuario de la organización de consumidores sin cargo a la organización empresarial. Este paso agrega al usuario a su organización y la cuenta aparece en Control Hub. El Conector de directorios hace que Active Directory sea la única fuente fiable para las cuentas de usuario y el objetivo es lograr una coincidencia exacta entre Active Directory y Control Hub. Asegúrese de que haya usuarios coinciden en la Active Directory para todos los usuarios convertidos recientemente antes de volver a realizar la sincronización. Se puede utilizar una sincronización de la prueba para asegurarse de que no haya usuarios iguales. |
| 3 |
En el Conector de directorios, realice una simulación de sincronización. Una vez que finalice la prueba, revise la ficha Agregar objetos. Verifique que no se hayan eliminado los usuarios que convirtió. Debe realizar una simulación antes de volver a habilitar la sincronización para asegurarse de que las cuentas de usuario convertidas aparezcan en active Directory. Si activa la sincronización y las cuentas solo residen en Control Hub, el conector de directorios distingue entre mayúsculas y minúsculas y elimina a los usuarios convertidos que detecta con direcciones de correo electrónico no coincidentes (por ejemplo, user1@example.com y User1@example.com). Si se elimina algún usuario convertido, perderá todos sus espacios de la aplicación de Webex. |
| 4 |
Cuando tenga la certeza de que la próxima sincronización no eliminará ninguna cuenta, vuelva a habilitar la sincronización de directorios desde el Conector de directorios. |
Las cuentas de usuario convertida no se activan automáticamente si usted no verificó un dominio. Por ejemplo, si activó la plantilla de licencia de asignación automática y luego activó el Conector de directorios sin verificación de dominio, los usuarios convertidos estarán inactivos en el backend en la nube hasta que confirmen sus direcciones de correo electrónico.
Cuentas de usuario de la aplicación Webex creadas con Sideboard
Cuando invita a otro usuario a un espacio en la aplicación de Webex, si el usuario invitado no tiene una cuenta de la aplicación de Webex, se crea una cuenta para él ("sideboard"). De manera predeterminada, las cuentas que se crean de este modo se agregan a la organización de consumidores sin cargo.
Si desea administrar la cuenta creada con Sideboard mediante el Conector de directorios, debe convertirla.
Cambiar el formato de nombre de usuario de la aplicación Webex después de la sincronización de directorios
De manera predeterminada, el Conector de directorios asigna el atributo displayName en Active Directory al atributo displayName en la nube.
Después de realizar una sincronización de directorios, es posible que encuentre que los nombres de usuario se muestran en el formato .
Este nombre de usuario puede aparecer si el atributo displayName en Active Directory está configurado de esa manera. Cuando el atributo se asigna a displayName en la nube, los nombres aparecen en el formato en Control Hub.
Para cambiar el formato, haga lo siguiente en la pantalla para mapear atributos del Conector de directorios: Asigne el atributo de Active Directory givenName sn (o sn givenName) a displayName en los nombres de atributos de la nube de Cisco.
Como alternativa, asigne el atributo sn givenName a displayName:
También puede utilizar la opción Personalizar atributo, si desea asignar su propia expresión de atributo personalizada a displayName.
Por ejemplo, introduzca givenName + "" + sn (nombre, espacio, apellido) como la expresión. Esto asigna los dos atributos de Active Directory a displayName en la nube.
Permitir que los usuarios cambien los nombres para mostrar en Webex Meetings
Puede desasignar el atributo displayName de la sincronización a la nube en el Conector de directorios si desea permitir que los usuarios editen sus nombres para mostrar preferidos. Los usuarios pueden introducir un nombre para mostrar durante las reuniones de Webex en lugar de su nombre y apellido. Los administradores también pueden cambiar el nombre para mostrar de un usuario manualmente en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. |
| 2 |
Seleccione displayName en Nombre de atributo de la nube de Cisco. |
| 3 |
Seleccione No sincronizar este atributo. |
Qué hacer a continuación
Los usuarios ahora pueden editar sus nombres en pantalla desde su sitio de Webex.
Resolución de problemas en el Conector de directorios
Mejorar a la versión de software más reciente
Para que su implementación cumpla las normas y obtenga las últimas características, funcionalidades, correcciones de errores y mejoras de seguridad, siempre debe mejorar a la versión más reciente del Conector de directorios. Si no realiza una mejora a la última versión disponible, es posible que experimente problemas, como que el Conector de directorios ya no se sincronice correctamente o que tenga una versión que no admita el requisito obligatorio de TLS 1.2.
El Conector de directorios le notifica automáticamente cuando hay una nueva versión disponible. Siempre mejore a la versión más reciente para evitar problemas. También verá una notificación en la barra de tareas de Windows.
Aunque puede instalar manualmente las actualizaciones de software de conectores, le recomendamos que siga los pasos de Configurar mejoras automáticas para permitir que la aplicación administre las mejoras automáticamente.
| 1 |
Haga clic en la notificación en la barra de tareas de Windows o haga clic con el botón derecho en el icono del Conector de directorios en la barra de tareas de Windows para iniciar el proceso de mejora. |
| 2 |
Siga las instrucciones para completar la mejora. |
| 3 |
Reinicie el conector e inicie sesión con sus credenciales de administrador. |
| 4 |
Verifique el número de versión del software en . |
Qué hacer a continuación
Para una nueva instalación del Conector de directorios, puede descargar el archivo zip y, a continuación, seguir los pasos de instalación de esta guía.
Configurar ajustes generales para el Conector de directorios
Utilice este procedimiento para configurar ajustes generales, como el nombre del servidor que ejecuta el Conector de directorios, los niveles de registro, las actualizaciones automáticas y los ajustes preferidos para los controladores de dominio. El nombre del conector aparece en el tablero de mandos de la sección de conectores, junto con cualquier otro conector que se esté ejecutando.
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en General. |
| 2 |
En el campo Nombre del conector, introduzca el nombre del conector. Este campo solo muestra el nombre de la computadora que está ejecutando el conector en este momento. |
| 3 |
Elija el nivel de registro desde el menú desplegable. De manera predeterminada, el nivel de registro está definido en Información. Los niveles de registro disponibles son los siguientes:
Esta configuración afecta al informe de sincronización que se envía por correo electrónico. Si establece el nivel de registro en Error, solo se informan errores en el informe de sincronización; si no existen errores, el informe de sincronización no se envía. Cambie la configuración a Información; luego, recibirá informes de sincronización después de la sincronización completa. (Tenga en cuenta que para una sincronización incremental, no se envía ningún informe cuando no se reportan errores). |
| 4 |
Seleccione los Controladores de dominio preferidos para definir el orden de los controladores de dominio para sincronizar identidades. A los controladores de dominio se accede desde arriba hacia abajo. Si el primer controlador desde arriba no está disponible, elija el segundo controlador de la lista. Si no hay ningún controlador en la lista, puede acceder al controlador primario. |
| 5 |
Marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco si desea que se realicen mejoras automáticas. Siempre es importante mantener el software del Conector de directorios de Cisco actualizado a la versión más reciente. Le recomendamos que marque esta configuración para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 6 |
Marque LDAP sobre SSL para utilizar el LDAP seguro (LDAPS) como protocolo de conexión. Si no marca LDAP sobre SSL, el Conector de directorios sigue utilizando el protocolo de conexión de LDAP. LDAP (Lightweight Directory Application Protocol) y LDAP seguro (LDAPS) son los protocolos de conexión que se utilizan entre una aplicación y el controlador de dominio dentro de la infraestructura. La comunicación LDAPS está cifrada y es segura. |
Configurar la política del conector
Puede definir la cantidad máxima de operaciones de eliminación que pueden tener lugar durante la sincronización. La sincronización en ejecución no elimina objetos de su Active Directory local. Todos los objetos se eliminan solo de la nube.
Por ejemplo, establece 1 como el valor de activación del umbral de eliminación. Cuando ejecuta una sincronización completa o incremental, si la cantidad de usuarios que quiere eliminar es superior al ajuste configurado, el conector de directorios exhibirá una advertencia. Si hace clic en Anular umbral, puede iniciar una sincronización completa o incremental sin inconveniente, pero seguirá viendo este aviso de anulación la próxima vez que ejecute la política.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Política. |
| 2 |
Marque la casilla Habilitar activador de umbral de eliminación si quiere agregar un activador de umbral. Si elige esta opción, se activa una alerta si la cantidad de operaciones de eliminación excede el umbral. Cuando la cantidad de operaciones de eliminación excede la cifra que definió, la sincronización falla.
|
| 3 |
Introduzca la cantidad máxima de operaciones de eliminación que quiera. El valor predeterminado es 20. Le recomendamos que no aumente el valor predeterminado. |
| 4 |
Haga clic en Aplicar. |
Definir la programación del conector
Defina la sincronización en Active Directory. La conmutación por falla se utiliza para proporcionar alta disponibilidad (HA). Si un conector está fuera de servicio, pasamos a otro conector de reserva después del intervalo predefinido.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Planificar. |
| 2 |
Especifique el Intervalo de sincronización incremental en minutos. De manera predeterminada, el intervalo para la sincronización incremental está definido en 30 minutos. No habrá ninguna sincronización incremental completa hasta que usted no realice inicialmente una sincronización completa. |
| 3 |
Cambie el valor de Enviar informes por… tiempo si quiere cambiar la frecuencia con la que se envían los informes. |
| 4 |
Marque Habilitar planificación de sincronización completa para especificar los días y horarios en los que quiera ejecutar una sincronización completa. |
| 5 |
Especifique el Intervalo de conmutación por falla en minutos. |
| 6 |
Haga clic en Aplicar. |
Situaciones de varios dominios
Los dominios múltiples se basan en la prioridad del dominio. En el caso de objetos que tengan el mismo valor de clave en diferentes dominios, después de la sincronización, los datos del dominio de mayor prioridad sobrescriben a los del dominio de menor prioridad.
Los objetos que tengan el mismo valor de clave se enlazan a un registro en la base de datos.
El valor de clave correspondiente a "Usuario" es Dirección de correo electrónico; y el correspondiente a "Grupo" es Nombre del grupo.
Caso práctico modelo para varios dominios
En este ejemplo se asume que una organización tiene dos dominios: ejemplo1.com y ejemplo2.com, en orden de prioridad.
-
Agregue usuario1(correo electrónico: Usuario@ejemplo1.com) al Active Directory de ejemplo1.com.
-
Agregue grupo1(Nombre del grupo: Prueba) al Active Directory de ejemplo1.com.
-
Agregue usuario2(correo electrónico: Usuario@ejemplo2.com) al Active Directory de ejemplo2.com.
-
Agregue grupo2(Nombre del grupo: Prueba) al Active Directory de ejemplo2.com.
- Sincronización en ejemplo1.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Si ejecuta una sincronización completa o incremental para ejemplo1.com. se sincronizan usuario1 y grupo1. Además, los valores de usuario2 y grupo2 se sobrescribirán con la información de usuario1 y grupo1.
usuario1 se enlaza a usuario2 como el mismo registro en la base de datos; grupo1 se enlaza a grupo2 como el mismo registro en la base de datos.
- Sincronización en ejemplo1.com y ejemplo2.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Tenga presentes estos pasos:
- Elimine usuario1 y grupo1 en el Active Directory correspondiente a ejemplo1.com.
- Ejecute una sincronización completa o incremental para ejemplo1.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com. usuario2 no se enlaza a usuario1; y grupo2 tampoco se enlaza a grupo1.
- Ejecute una sincronización incremental para ejemplo2.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com.
- Ejecute una sincronización completa para ejemplo2.com.
Resultado: la información de usuario2 y grupo2 se indica en https://admin.webex.com.
Sincronizar un nuevo dominio y conservar un dominio existente
Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de instalar el Conector de directorios para el dominio (B) en un servidor de Windows compatible. El conector se vincula al nuevo dominio después de la configuración inicial, y la información del usuario del dominio (A) no se ve afectada.
Cada dominio debe tener su propio conector activo. Considere dos dominios con la siguiente configuración: dominio A con conectores (ca1) y (ca2) para Alta disponibilidad (HA) local; dominio B con conector (cb1). (ca1) y(ca2) sirven al dominio A. En esta situación, un conector está activo y el otro en modo de espera (HA). Este diseño mantiene al dominio sincronizado debido a que siempre hay un conector activo. Por lo tanto, cb1 es el conector activo para el dominio B, ya que el dominio A ya tiene un conector activo (ca1 o ca2).
Establecer la prioridad de los dominios
Utilice este procedimiento para cambiar la prioridad de los dominios de Active Directory. La prioridad de los dominios le permite determinar el dominio primario, el secundario, y así sucesivamente. Esto resulta útil cuando dos usuarios de dos dominios diferentes tienen el mismo valor de correo electrónico sincronizado a una organización.
No utilice este procedimiento si tiene un solo dominio en el Conector de directorios. Si lo intenta, el conector le exhibirá un mensaje en el que se indica que no es necesario establecer ninguna prioridad de directorios.
Antes de comenzar
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde https://admin.webex.com.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Definir prioridad de dominios. |
| 3 |
Resalte un dominio de la lista, haga clic en Subir o Bajar para cambiar la prioridad de este dominio; luego, haga clic en Guardar para guardar este cambio. Los dominios se ordenan por prioridad de arriba hacia abajo. |
Cambiar dominios
Utilice este procedimiento para volver a vincular el conector de directorios de Cisco a un dominio diferente.
Antes de comenzar
-
Asegúrese de que no se esté ejecutando ninguna tarea de sincronización antes de cambiar dominios.
-
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde Control Hub.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Cambiar dominio. |
| 3 |
Después de leer el mensaje de precaución, si comprende el efecto de este cambio en su implementación y todavía está seguro, haga clic en Sí. Si cambia un dominio, se cierra la sesión del conector de directorios actual de Cisco, se cancelan los registros de otros dominios del conector y se elimina la información del conector de esa computadora. |
| 4 |
Vuelva a iniciar sesión en el conector de directorios de Cisco y vuelva a vincular el dominio. |
Desactivar la sincronización de directorios
Si necesita detener la sincronización desde el Conector de directorios, puede desactivarla temporalmente desde Control Hub.
| 1 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios y, luego, elija una opción:
|
| 2 |
Después de leer el mensaje, haga clic en Desactivar. La sincronización se detiene hasta que la vuelva a habilitar desde el Conector de directorios. |
Eliminar asignación de atributos de usuarios
Utilice el Conector de directorios para eliminar la asignación de atributos de Active Directory previamente asignados a la nube y sincronizados con Webex. Después de eliminar la asignación de atributos, los valores de los atributos se eliminan de la nube y ya no se sincronizan con Webex. Estos valores se pueden editar manualmente.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
Seleccione la asignación que desea eliminar de la lista Nombre de atributo . |
| 4 |
En Alcance del usuario afectado, seleccione una de las siguientes opciones:
|
| 5 |
Haga clic en Aplicar. |
Administrar imágenes de perfil
Utilice el Conector de directorios para actualizar las imágenes de perfil de usuario o para eliminar las imágenes de perfil de usuario en blanco.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
En Acciones, seleccione una de las siguientes opciones:
|
| 4 |
Haga clic en Aplicar. |
Desinstalar y desactivar el Conector de directorios
Después de desinstalar una instancia del Conector de directorios, deberá desinscribirlo. Elimine completamente un Conector de directorios en cualquiera de estas situaciones:
-
Ya no quiere utilizar la sincronización de directorios.
-
No quiere utilizar uno de los varios conectores de directorio (alta disponibilidad).
-
Quiere cambiar el dominio e instalar otro conector.
Antes de comenzar
-
Puede tener varias instancias del Conector de directorios configuradas para alta disponibilidad (HA) o sincronización de varios dominios. Deshabilite la sincronización si está desinstalando la única o última instancia del Conector de directorios.
-
Guarde y cierre cualquier trabajo importante antes de desinstalar el Conector de directorios.
| 1 |
En su máquina con Windows, diríjase al Panel de control y luego haga clic en Programas y características. |
| 2 |
En la lista de programas, haga clic en Conector de directorios, elija Desinstalar y, a continuación, siga las indicaciones. Es posible que tenga que reiniciar su sistema para completar la desinstalación. |
| 3 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios, haga clic en Más |
| 4 |
Después de leer el mensaje, haga clic en Desactivar. Si no hay ningún otro Conector de directorios en una implementación de alta disponibilidad (HA), ya no se sincronizan las cuentas de usuario. |
Ejecutar la herramienta de diagnóstico
Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas en la implementación del Conector de directorios. Esta herramienta se instala como parte del Conector de directorios 3.4 en adelante.
Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión a LDAP para poder diagnosticar errores usted mismo antes de comunicarse con el soporte. Si la herramienta devuelve algún error, puede enviar los resultados detallados del registro a soporte técnico.
-
Para ejecutar pruebas para los servicios de dominio de Active Directory:
-
Para ejecutar pruebas de los servicios de directorio ligero de Active Directory:
-
Para ejecutar pruebas del Lightweight Directory Access Protocol (Protocolo ligero de acceso a directorios, LDAP):
Solucionar problemas en el Conector de directorios de Ciso
Solución de problemas y correcciones para el Conector de directorios
Es posible que encuentre un mensaje de error u otro problema en el Conector de directorios. Además, una vez que el Conector de directorios sincroniza la información de los usuarios, es posible que el conector le envíe un informe por correo electrónico en el que se enumeren los problemas con la sincronización. Consulte las siguientes secciones para conocer los problemas que pueden surgir, las posibles causas y las soluciones propuestas que puede probar antes de comunicarse con el soporte.
Instalar
El Conector de directorios dejó de funcionar
Recibió alertas por correo electrónico en las que se le notifica que su Conector de directorios no está funcionando.
-
Es posible que el Conector de directorios no se instale correctamente.
-
Es posible que el Conector de directorios no se esté ejecutando.
-
Es posible que la red no esté disponible.
Intente lo siguiente:
-
Abra . Localice el Conector de directorios. Si no está allí, descargue la versión más reciente de Control Hub e instálela.
-
Abra Servicio y busque el Servicio de sincronización de directorios de Cisco. Asegúrese de que muestre el estado como Iniciado. Si el servicio está detenido, hágale clic derecho y seleccione Iniciar para reiniciarlo.
-
Asegúrese de que el servidor en el que instaló el Conector de directorios tenga acceso a Internet.
Error de reinstalación
Problema: si instala inmediatamente un nuevo conector después de desinstalar uno anterior, es posible que vea un mensaje de error.
Causa posible: en Windows Server 2012, el cliente de desinstalación necesita tiempo para eliminar la cuenta de servicio de la lista de servicios.
Solución: después de que haya pasado un tiempo, intente la instalación nuevamente.
Iniciar sesión
El conector de directorios se bloquea durante el inicio de sesión con SSO
Problema
El Conector de directorios puede bloquearse después de que usted introduzca una dirección de correo electrónico desde una página de inicio de sesión de SSO.
Solución
Intente lo siguiente:
Siga estos pasos para configurar una nueva política de grupo:
-
Vaya al controlador de dominio y abra Group Policy Management (gpedit.msc).
-
Haga clic con el botón derecho en una unidad organizativa o un dominio específicos, seleccione Crear un GPO en este dominio y Vincule aquí…
-
Asigne un nombre a la política y, a continuación, haga clic con el botón derecho y elija Editar.
Siga estos pasos para cambiar la política a nivel de la máquina:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_LOCAL_MÁQUINA\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Siga estos pasos para cambiar la política a nivel de usuario:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_USUARIO ACTUAL\SOFTWARE\Microsoft\Internet Explorer\Main_.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Los cambios surten efecto después de ejecutar gpupdate /force, de que la máquina se reinicie (para los cambios de máquina) o de que el usuario vuelva a iniciar sesión (para los cambios de usuario).
No se pudo inscribir el conector de servicios DirSync de Cisco
Problema
El inicio de sesión falla y aparece este mensaje: “El conector de servicios de sincronización de directorios de Cisco no se pudo inscribir”.
Solución
El sistema de Windows en el que está instalado el Conector de directorios debe ser miembro de Active Directory.
No aparece la página de inicio de sesión
Problema
Abrió el Conector de directorios y no aparecía la página de inicio de sesión.
Solución
Pruebe los siguientes pasos:
-
En Internet Explorer, vaya a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Pruebe el enlace en otros navegadores como Chrome y Firefox.
-
Si Internet Explorer no puede visitar el enlace, pero otros navegadores sí pueden, marque la configuración de Internet Explorer y marque las casillas de verificación TLS 1.1 y 1.2. (Utilice el procedimiento Habilitar TLS en Internet Explorer .)
Aparece el mensaje de inicio de sesión
Problema
Aparece un mensaje que le solicita que ingrese el nombre de usuario y la contraseña para pasar la autenticación.
Causa posible
El Conector de directorios completa la autenticación de seguridad NTLM silenciosamente con la cuenta de inicio de sesión. Si falla la autenticación, aparece un cuadro de diálogo para solicitar el nombre de usuario y la contraseña de autenticación.
Solución
Cuando vea la ventana emergente de inicio de sesión, necesita proporcionar una cuenta válida con autenticación correcta para pasar la seguridad.
No se puede conectar al servidor remoto
Problema
Durante el funcionamiento normal, aparece el mensaje de error: "No se puede conectar al servidor remoto".
Causa posible
Es posible que tenga problemas de proxy que deban resolverse.
Solución
Consulte Solucionar problemas de inicio de sesión en la cuenta de servicio para obtener más información sobre la solución de problemas.
No se puede inscribir el conector
Problema
Aparece el mensaje de error "No se puede inscribir el conector. Ocurrió una excepción general".
Causa posible
En la mayoría de los casos, el problema se debe a que el Conector de directorios no tiene privilegios para conectarse al contexto raíz de LDAP.
Solución
Intente lo siguiente:
-
Ejecute un símbolo del sistema (cmd) y luego introduzca ldp.exe.
-
Haga clic en , elija Vincular como usuario actualmente conectado y, a continuación, haga clic en Aceptar.
-
Haga clic en , introduzca DC=arbonneintl,DC=ad como BaseDN y, luego, haga clic en Aceptar.
-
Si el problema continúa, abra un caso en el servicio de soporte técnico.
Sincronización
Avatares no sincronizados
Problema
El conector de directorios de Cisco sincronizó los datos de AD del usuario con la nube de Webex. Pero no se sincronizaron correctamente datos de avatar.
Causa posible
Si reutilizó un servidor de avatar existente y los avatares del usuario ya estaban sincronizados, la caché local los captura y evita que se vuelvan a enviar para ahorrar ancho de banda.
Solución
Elimine la caché local siguiendo estos pasos:
-
Vaya a C:\Archivos de programa (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Elimine DirSyncPluginAvatar.dll-cache.bin.
-
Vuelva a ejecutar la sincronización de avatares desde el conector de directorios de Cisco.
Cuentas de correo electrónico de usuarios en conflicto
Problema
Los resultados de la sincronización pueden mostrar cuentas de correo electrónico de usuarios conflictivas.
-
Si los usuarios probaron la versión gratuita de la Aplicación de Webex, sus direcciones de correo electrónico residen en la organización de consumidores sin cargo.
-
Si alguna vez se sincronizaron los correos electrónicos de los usuarios en otra organización.
-
Si los correos electrónicos de los usuarios existen en varios dominios que pertenecen a la organización.
Solución
Intente lo siguiente:
-
Siga estos pasos si está intentando reclamar usuarios:
-
Asegúrese de haber verificado el dominio en Control Hub.
-
Deshabilite temporalmente el Conector de directorios de Cisco.
-
Utilice la opción Reclamar usuario en Control Hub para reclamar las cuentas que puedan existir en la organización de consumidores sin cargo. Consulte Reclamar usuarios a su organización (Convertir usuarios) para obtener más información.
-
Realice una simulación en el Conector de directorios de Cisco y, luego, vuelva a habilitar la sincronización de directorios
-
-
En el último caso, compruebe dos veces los datos de los usuarios en sus fuentes de Active Directory.
Usuario convertido marcado como inactivo
Problema
En su entorno sincronizado de directorios, convirtió a un usuario gratuito (organización de consumidor) en su organización empresarial, pero el usuario convertido no puede iniciar sesión en la Aplicación de Webex.
Causa posible
Cuando el usuario gratuito se convierte en la organización empresarial, se marca al usuario como estado inactivo durante 30 días como medida de cumplimiento de seguridad. Durante este período, el usuario no puede iniciar sesión en la Aplicación de Webex y se marca para su eliminación al final del período de 30 días. Esta situación surge porque la información del usuario gratuito no reside en Active Directory.
Solución
Debe tomar medidas si no desea que se elimine la cuenta de usuario. Para resolver este problema, cree una cuenta de usuario en su Active Directory local que corresponda a la cuenta de usuario gratuita convertida. A continuación, realice una sincronización desde el Conector de directorios de Cisco. Luego, el usuario podrá volver a iniciar sesión en la aplicación de Webex y la cuenta no se eliminará.
Falla la sincronización incremental
Problema
Falla una sincronización incremental.
Este problema puede ocurrir en Windows Server 2008 R2 en las siguientes condiciones:
-
Usted admite las actualizaciones de valor incremental.
-
El filtro que utiliza hace referencia a un atributo de valor vinculado.
-
Los valores de resultado de ese atributo se actualizaron desde la última vez que se realizó una sincronización completa.
Solución
Windows Server 2008 R2 tiene un error relacionado con este problema. El error se corrigió en 2012 R2 y versiones posteriores. Le recomendamos que mejore su Windows Server a al menos 2012 R2.
Valor no válido para el atributo
Problema
Para [ND del usuario (nombre distinguido)], el atributo [nombre del atributo] tiene el siguiente valor no válido: [valor del atributo].
Causa posible
Para CN=b,OU=Employees,OU=C Users,DC=c,DC=com, el atributo [número de teléfono] tiene el siguiente valor no válido: +. Este atributo debe contener al menos un número.
Solución
Un atributo para este usuario no tiene un valor válido. Corrija su valor según la descripción que se indica en el mensaje de advertencia. Luego realice otra operación de sincronización.
Usuarios coincidentes para eliminar
Problema
Los usuarios coincidentes se marcan para ser eliminados.
Al realizar una simulación de sincronización para comprobar los datos entre Active Directory y la nube, es posible que vea la misma dirección de correo electrónico en ambos. Sin embargo, el usuario se marca como un objeto que desea eliminar.
Solución
Elija una solución adecuada:
-
Si no está bien eliminar al usuario y rehacer las licencias después, puede utilizar el Conector de directorios para solucionarlo. Realice una sincronización para eliminar al usuario y, luego, realice otra sincronización para sincronizar al usuario de AD local con la nube.
-
Si no puede eliminar ni volver a crear la cuenta de usuario, abra un caso en el servicio de soporte técnico.
Atributo faltante
Problema
El atributo obligatorio [attribute_name] al agregar una entrada local [DN del usuario (nombre distinguido)]. La entrada no se crea en Control Hub hasta que todos los atributos obligatorios tienen un valor.
Causa posible
Falta el atributo obligatorio de dirección de correo electrónico. Al agregar una entrada local [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], la entrada no se crea en Control Hub hasta que todos los atributos obligatorios tengan un valor.
Solución
Falta uno de los atributos obligatorios para el usuario [user_email_address]. Proporcione los valores obligatorios para ese usuario.
El grupo anidado no se sincronizará
Problema
Los usuarios de un grupo de Active Directory anidado no se sincronizan correctamente con la nube.
Causa posible
Se utiliza un filtro que incluye tanto el grupo secundario como el grupo padre, que no es compatible. Por ejemplo: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Solución
Debe volver a configurar el filtro que sincroniza los grupos. Por ejemplo: |(memberof=CN=testgroup1,CN=Usuarios,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuarios,DC=rktest2008,DC=org)
Conflicto de nomenclatura del usuario
Problema
Hay un conflicto de nomenclatura para [ND del usuario] para un objeto de entrada en la nube existente con el siguiente nombre: [dirección de correo electrónico del usuario] y del tipo de usuario [user_type].
Causa posible
Ya existe un usuario con esa dirección de correo electrónico en Control Hub.
Solución
Cree un usuario en su Active Directory con la misma dirección de correo electrónico que la cuenta que inscribió a través de Control Hub.
Concentrador de control
Falta la lista de usuarios en Control Hub
Problema
Si tiene una organización de Webex con más de 1000 usuarios sincronizados, es posible que no vea la lista de usuarios en Control Hub.
Solución
Puede utilizar la funcionalidad de búsqueda para encontrar una cuenta de usuario. En Control Hub, diríjase a Usuarios, haga clic en Buscar y, luego, introduzca los criterios de búsqueda para encontrar un usuario específico.
Los grupos no se sincronizarán con Control Hub
Problema
Los usuarios de un grupo de directorio no se sincronizarán correctamente con Control Hub.
Causa posible
El grupo no está etiquetado como isCriticalSystemObject en Active Directory.
Solución
Asegúrese de que el atributo isCriticalSystemObject esté definido en TRUE en Active Directory.
Habilitar la solución de problemas para el Conector de directorios
Puede habilitar la solución de problemas para diagnosticar más fácilmente cualquier error que encuentre en el Conector de directorios. La solución de problemas le permite capturar información del tráfico de red y guardarla en un archivo.
Los archivos de registro que son: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Ejecute el archivo |
| 2 |
Reinicie el servicio. Consulte Cómo iniciar servicios para obtener ayuda. |
| 3 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 4 |
Diríjase a Acciones y, luego, haga clic en . |
| 5 |
Con la solución de problemas habilitada, repita las acciones que estaban causando un error; de esta manera, se capturan los datos del tráfico para poder examinarlos. |
| 6 |
Examine los archivos de registro: si el archivo está en blanco, asegúrese de que la cuenta tenga privilegios para acceder a su AD DS o AD LDS. La carpeta de registro solo guarda los archivos de los últimos 3 días. El contenido de los archivos de registro es coherente con la salida del registro de eventos en el sistema. |
| 7 |
Si es necesario, envíe el archivo de registro al servicio de Soporte para obtener ayuda. |
| 8 |
Deshabilite la característica de solución de problemas cuando termine. |
Iniciar el visor de eventos
Para ver los eventos que se produjeron durante una sincronización completa o incremental, inicie el Visor de eventos. Muestra un resumen de los eventos administrativos y los registros de errores.
| 1 |
Desde el Conector de directorios, diríjase al Tablero de mandos y, luego, haga clic en . En el cuadro de diálogo de Propiedades de eventos se indican detalles de los eventos y errores durante la sincronización. |
| 2 |
Desde el Visor de eventos, diríjase a .
|
| 3 |
En Acciones, haga clic en Guardar todos los eventos como para exportar todos los registros como un solo archivo de eventos (*.evtx) u otro formato como xml o csv. |
Qué hacer a continuación
Si necesita abrir un caso, comuníquese con el soporte, describa el problema con el conector y, a continuación, adjunte el archivo de Events a su caso.
Los registros de eventos capturan las acciones de los usuarios. Para obtener ayuda con la administración del tráfico de red, habilite la resolución de problemas en el conector.
Habilitar TLS en Internet Explorer
Si cambió los proveedores de inicio de sesión único (SSO), es posible que vea los siguientes mensajes de error del conector de directorios de Cisco:
-
Se produjo un error al conectarse al servicio
-
Se ha producido un error en el script de esta página
Si ve estos errores, debe habilitar un ajuste de TLS en su navegador.
| 1 |
Abra Internet Explorer y, a continuación, elija Herramientas. Ahora marque las casillas de la versión TLS/SSL que desea habilitar Haga clic en Aceptar Cerrar el navegador y abrirlo de nuevo |
| 2 |
Haga clic en Opciones de Internet , vaya a Opciones avanzadas y desplácese hasta Seguridad. |
| 3 |
Marque las casillas de verificación Usar TLS 1.1 y Usar TLS 1.2 y, luego, haga clic en Aceptar.
|
| 4 |
Reinicie su sistema para que los cambios tengan efecto. |
Solucionar problemas en el inicio de sesión a una cuenta de servicios
Si no puede iniciar sesión en el conector de directorios de Cisco o no puede ejecutar una sincronización, siga estos pasos para intentar resolver el problema antes de comunicarse con el servicio de soporte.
| 1 |
Trate de ingresar a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL en su navegador web. |
| 2 |
Dependiendo de los resultados, elija una opción:
|
| 3 |
Como mínimo, asegúrese de que la cuenta configurada para el servicio Cisco DirSync (que se puede encontrar en los servicios de Windows) tenga un nivel de privilegios que le permita acceder a los datos de avatar y a los datos de AD. De forma predeterminada, el servicio aprovecha las credenciales y la autenticación de la cuenta de inicio de sesión de Windows. |
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
Descripción general del Conector de directorios de Cisco
Descripción general del Conector de directorios
El Conector de directorios es una aplicación local para la sincronización de identidades en la nube. Descargue el software del conector desde Control Hub e instálelo en su máquina local.
Con el Conector de directorios, puede mantener sus cuentas de usuario y sus datos en Active Directory, de modo que Active Directory se convierte en la única fuente fiable. Cuando realiza un cambio en las instalaciones, se replica en la nube.
Consulte todas las características, las descripciones y los beneficios en la tabla:
| Característica | Descripción y ventaja |
|---|---|
| Tablero de mandos fácil de usar | El tablero de mandos proporciona una planificación de sincronizaciones, un resumen y el estado de la sincronización y del Conector de directorios. Puede ver el tablero de mandos cada vez que inicie sesión. |
| Simulacro antes de la sincronización con la nube | Realice una simulación de los cambios en el directorio antes de que se implementen en la nube. Luego, ejecute un informe para ver que los cambios cumplen con sus expectativas. |
| Sincronización completa y gradual | Sincronice el directorio completo. O bien, sincronice los cambios graduales para ahorrar potencia de procesamiento y acortar el tiempo de sincronización. |
|
Sincronizar varios dominios (bosque único o bosques múltiples) |
El Conector de directorios admite varios dominios en un solo bosque o en varios bosques (sin la necesidad de AD LDS). En el caso de empresas con varios dominios de Active Directory, puede instalar un Conector de directorios para cada dominio, vincular cada dominio a su organización y, luego, sincronizar cada base de usuarios en Webex. Control Hub refleja el estado mostrando el estado de sincronización para varios conectores de directorios, le permite desactivar la sincronización para un dominio específico y desactivar un conector de directorios en una implementación de alta disponibilidad. |
| Sincronización programada | Configure una planificación de sincronizaciones por día, hora y minuto. |
| Filtros del Protocolo ligero de acceso a directorios (LDAP) | Defina el criterio de búsqueda de LDAP y proporcione importaciones eficientes. |
| Asignación de atributos de Active Directory | Asigne atributos de Microsoft Active Directory a los atributos de la nube de Webex correspondientes. Puede asignar atributos relevantes para la configuración de su Active Directory y también definir atributos personalizados para asignar a la nube. Los atributos de las instalaciones forman diversos datos en la nube, como información de cuentas de usuario, números de teléfono empresarial en Webex Teams, direcciones SIP de recursos de sala y otros datos de tarjetas de contacto del usuario (cargo, departamento, gerente, etc.). |
|
Directorio corporativo para recursos de salas locales y usuarios de Cisco Webex Calling (PSTN en la nube) y contactos empresariales sin licencias de Webex |
Si parte de su organización utiliza la PSTN en la nube de Cisco Webex Calling para el servicio de llamadas o usted tiene dispositivos de sala locales, esta característica permite a los usuarios buscar contactos empresariales en el directorio desde sus teléfonos o recursos de sala de Cisco Webex Calling (PSTN en la nube).
|
| Visor de eventos | Use el visor de eventos para determinar si hubo problemas con la sincronización. |
| Herramienta de diagnóstico y solución de problemas | Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas de su implementación Conector de directorios Cisco. Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión con Active Directory para que pueda diagnosticar los errores usted mismo antes de comunicarse con el servicio de soporte. Una vez que habilite la solución de problemas en el Conector de directorios, se escriben registros que pueden enviarse al soporte técnico. |
| Mejora automática | Después de que instala Conector de directorios, recibe una notificación cada vez que haya una nueva versión del software disponible. Puede configurar actualizaciones automáticas para que siempre tenga la última versión del software cuando se lanza una nueva versión. |
| Alta disponibilidad | Configure varios conectores para que haya una copia de seguridad, por si el conector principal o la máquina que lo aloja dejan de funcionar. |
El Conector de directorios está dividido en tres áreas:
-
Control Hub es la interfaz única que le permite administrar todos los aspectos de su organización de Webex: ver usuarios, asignar licencias, descargar el Conector de directorios y configurar el inicio de sesión único (SSO) si desea que sus usuarios se autentiquen a través de su proveedor de servicios de identidad empresarial y no desea enviar invitaciones por correo electrónico para la aplicación de Webex.
-
La interfaz de administración del Conector de directorios es el software que se descarga desde Control Hub e instala en un servidor de Windows de confianza. Para varios dominios de Active Directory, puede instalar una porción del software para cada dominio que desea sincronizar. Si utiliza el software, puede ejecutar una sincronización para incorporar sus cuentas de usuario de Active Directory a Webex, ver y supervisar el estado de la sincronización y configurar servicios del Conector de directorios.
-
El servicio de sincronización de directorios solicita a su Active Directory que recupere usuarios y grupos para sincronizarlos con el servicio de conectores y con el Conector de directorios.
Consulte este diagrama para comprender la arquitectura del Conector de directorios:
Preparar su entorno para el Conector de directorios
Requisitos para el Conector de directorios
Requisitos de Windows y Active Directory
Puede instalar el Conector de directorios en estos servidores Windows compatibles:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver un problema con las cookies, le recomendamos que mejore su controlador de dominio a una versión que contenga la solución: Windows Server 2012 R2 o 2016.
El Conector de directorios es compatible con los siguientes servicios de Active Directory:
-
Active Directory 2016
(El Conector de directorios es compatible cuando se utiliza la última versión de Active Directory en Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Tenga en cuenta los siguientes requisitos adicionales:
-
El Conector de directorios requiere TLS1.2. Debe instalar lo siguiente:
-
.NET Framework v3.5 (necesario para la aplicación del Conector de directorios. Si tiene algún problema, utilice las instrucciones de Habilitar .NET Framework 3.5 mediante el asistente para agregar funciones y características).
-
.NET Framework v.4.5 (se requiere para TLS1.2)
-
-
Se requiere el nivel 2 de la funcionalidad de bosque de Active Directory (Windows Server 2003) o posterior (Consulte ¿Qué son los niveles funcionales de Active Directory? para obtener más información).
Requisitos de hardware
Debe instalar el Conector de directorios en una computadora con estos requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de almacenamiento
-
No hay ningún mínimo para la CPU
Requisitos de red
Si su red está detrás de un firewall, asegúrese de que su sistema tenga acceso HTTPS (puerto 443) a Internet.
Requisitos de la organización de Webex
-
Para acceder al software del Conector de directorios desde Control Hub, necesita una organización de Webex con una prueba o cualquier suscripción paga.
-
(Opcional) Si desea que las nuevas cuentas de usuario de la aplicación de Webex estén Activas antes de que inicien sesión por primera vez, le recomendamos que haga lo siguiente:
-
Agregue, verifique y, opcionalmente, reclame dominios que contengan las direcciones de correo electrónico de los usuarios que desea sincronizar en la nube.
-
Realice una integración de inicio de sesión único (SSO) de su proveedor de servicios de identidad (IdP) con su organización de Webex.
-
Suprimir las invitaciones automáticas por correo electrónico, de modo que los usuarios nuevos no reciban la invitación automática por correo electrónico y usted pueda realizar su propia campaña de correo electrónico. (Esta característica requiere la integración de SSO).
-
Para obtener más información, consulte Estados y acciones del usuario en Control Hub.
Requisitos de instalación
-
Para un entorno de varios dominios (ya sea bosque único o bosques múltiples), debe instalar un Conector de directorios por cada dominio de Active Directory. Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de tener un servidor Windows compatible separado para instalar el Conector de directorios para la sincronización del dominio (B).
-
Para iniciar sesión en el conector, no necesitamos una cuenta administrativa en Active Directory. Requerimos una cuenta de usuario local que sea el mismo usuario que una cuenta de administrador completa en Control Hub.
Este usuario local debe tener privilegios en esa máquina de Windows para conectarse al Controlador de dominios y leer los objetos de usuario de Active Directory. La cuenta de inicio de sesión de la máquina debe ser un administrador de la computadora con privilegios para instalar software en la máquina local. (Esta información también se aplica a la conexión de una máquina virtual).
-
Al iniciar sesión en el conector, la cuenta de inicio de sesión debe ser la misma que la cuenta de administrador completa para Control Hub. De forma predeterminada, el conector utiliza la cuenta del sistema local para acceder a Active Directory. Sin embargo, puede utilizar los servicios de Windows para configurar otra cuenta a fin de acceder a Active Directory. (Esta información también se aplica a la conexión de una máquina virtual).
-
Asegúrese de que el modo de búsqueda de biblioteca dinámica de enlaces (DLL) de Windows Safe esté habilitado mediante este procedimiento: Compruebe SafeDllSearchMode en el Registro de Windows.
-
Si utiliza AD LDS para varios dominios en un solo bosque, le recomendamos que instale el Conector de directorios y Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) en máquinas separadas.
Requisitos de varios dominios
Antes de seguir las tareas que se indican en el Flujo de tareas de implementación del conector de directorios de Cisco, tenga en cuenta los siguientes requisitos y recomendaciones si va a sincronizar la información de Active Directory de varios dominios a la nube:
-
Se requiere una instancia independiente del Conector de directorios para cada dominio.
-
El software del Conector de directorios debe ejecutarse en un host que esté en el mismo dominio que sincronizará.
-
Le recomendamos que verifique o reclame sus dominios en Control Hub. (Consulte Agregar, verificar y reclamar dominios).
-
Si desea sincronizar más de 50 dominios, debe abrir un ticket para que su organización se mueva a una lista de organizaciones grande.
-
Si lo desea, puede sincronizar la información de los recursos de la sala junto con las cuentas de usuario. (Consulte Sincronizar la información de la sala local con la nube de Webex).
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
Los grupos de Active Directory se utilizan para recopilar cuentas de usuarios, cuentas informáticas y otros grupos en unidades manejables. Trabajar con grupos en lugar de con usuarios individuales ayuda a simplificar el mantenimiento y la administración de la red.
Hay dos tipos de grupos en Active Directory:
-
Grupos de distribución: se utiliza para crear listas de distribución de correo electrónico.
-
Grupos de seguridad: se utiliza para asignar permisos a recursos compartidos.
Tenga en cuenta las siguientes pautas al crear grupos en Active Directory:
-
Cree un grupo global para cada función, departamento o servicio (como ventas, marketing, gerentes, contables, licencias de Webex, etc.).
-
Utilice convenciones de nomenclatura estándares en toda la organización para facilitar la identificación de información importante sobre un grupo. Los nombres de grupos pueden incluir detalles acerca del grupo, como el nivel de acceso, el tipo de recurso, el nivel de seguridad, el alcance del grupo, la capacidad de correo, etc. Por ejemplo, el nombre de grupo “GSG_Webex_Licensing_EMEAR” se refiere a un grupo de seguridad global para usuarios de licencias de Webex de EMEAR.
-
Organice grupos de una manera fácil de entender, por ejemplo, por geografía o jerarquía gerencial. Utilice las descripciones del grupo para describir completamente el propósito del grupo.
-
Antes de agregar usuarios a los grupos recientemente aprovisionados, defina la plantilla de grupo de licencias automáticas en Control Hub para esos grupos. Consulte Configurar su plantilla de asignación automática de licencias para obtener más información.
Información de dimensionamiento
El Conector de directorios funciona como un puente entre Active Directory en las instalaciones y la nube de Webex. Como tal, el conector no tiene un límite superior para la cantidad de objetos de Active Directory que se pueden sincronizar en la nube. Los límites de los objetos del directorio local están vinculados a la versión y las especificaciones específicas del entorno de Active Directory que se está sincronizando con la nube, no con el propio conector.
Algunos factores pueden afectar la velocidad de la sincronización:
-
El número total de objetos de Active Directory. (Un trabajo de sincronización de 5000 usuarios no demorará tanto como 50000).
-
Velocidad de red y ancho de banda.
-
Carga de trabajo y especificaciones del sistema.
Si está sincronizando más de 50 000 usuarios, le recomendamos con énfasis que utilice un segundo conector para la conmutación por error y la redundancia.
Debido a que hay varios factores involucrados en la sincronización y porque cada implementación varía según los factores anteriores, no podemos proporcionar valores de tiempo específicos para el tiempo que llevará una sincronización de objetos.
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
Integración de proxy web
Integración de proxy web
Si la autenticación con proxy web está habilitada en su entorno, puede seguir usando el Conector de directorios.
Si su organización utiliza un proxy web transparente, no es compatible con la autenticación. El conector conecta y sincroniza usuarios con éxito.
Puede adoptar uno de estos enfoques:
-
Proxy web explícito a través de Internet Explorer (el conector hereda la configuración del proxy web)
-
Proxy web explícito por medio de un archivo .pac (el conector hereda la configuración proxy específica de la empresa)
-
Proxy transparente que funciona con el conector sin ningún cambio
Utilizar un proxy web por medio del navegador
Puede configurar el Conector de directorios para que utilice un proxy web a través de Internet Explorer.
Si el servicio de sincronización de directorios de Cisco se ejecuta desde una cuenta diferente a la que está conectado el usuario en ese momento, también tiene que iniciar sesión con esta cuenta y configurar el proxy web.
| 1 |
Desde Internet Explorer, diríjase a Opciones de Internet, haga clic en Conexiones y luego elija Configuración de LAN. |
| 2 |
Señale la instancia de Windows donde esté instalado el conector en su proxy web. El conector hereda esta configuración de proxy web. |
| 3 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 4 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Configurar el proxy web por medio de un archivo PAC
Puede configurar un navegador cliente para utilizar un archivo .pac. Este archivo proporciona información sobre la dirección y el puerto del proxy web. El Conector de directorios hereda directamente la configuración del proxy web específica de la empresa.
| 1 |
Para que el conector conecte y sincronice con éxito la información de los usuarios con la nube de Webex, asegúrese de que la autenticación con proxy esté deshabilitada para |
| 2 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 3 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Proxy NTLM
El Conector de directorios admite NT LAN Manager (NTLM). NTLM es un enfoque para admitir la autenticación de Windows entre los dispositivos del dominio y garantizar su seguridad.
Diseño NTLM
En la mayoría de los casos, un usuario quiere acceder a los recursos de otra estación de trabajo a través de un PC cliente, lo que puede ser difícil de hacer de una manera segura.
En general, el diseño técnico de NTLM se basa en un mecanismo de Desafío
y Respuesta
:
-
Un usuario inicia sesión en la PC de un cliente a través de una cuenta y contraseña de Windows. La contraseña nunca se guarda localmente. En lugar de una contraseña de texto sin formato, se almacena localmente un valor hash de la contraseña. Cuando un usuario inicia sesión a través de la contraseña con el cliente, el sistema operativo Windows compara el valor hash almacenado y el valor hash de la contraseña de entrada. Si ambos son iguales, la autenticación pasa.
Cuando el usuario quiere acceder a cualquier recurso en otro servidor, el cliente envía una solicitud al servidor con el nombre de la cuenta en texto sin formato.
-
Cuando el servidor recibe la solicitud, el servidor genera una clave aleatoria de 16 bits. La clave se llama Desafío (o Nonce). Antes de que el servidor vuelva a enviar al cliente, el desafío se almacena en el servidor. Luego, el servidor envía el desafío al cliente en texto sin formato.
-
Tan pronto como el cliente recibe el desafío enviado desde el servidor, el cliente cifra el desafío por el valor hash que se mencionó en el paso 1. Después del cifrado, el valor se devuelve al servidor.
-
Cuando el servidor recibe el valor cifrado del cliente, el servidor lo envía al controlador de dominio para su verificación. La solicitud incluye: el nombre de la cuenta, el desafío cifrado que envió el cliente y el desafío simple original.
-
El controlador de dominio puede recuperar los valores de hash de la contraseña según el nombre de la cuenta. Y, a continuación, el controlador de dominio puede cifrar en el desafío original. El controlador doman puede entonces comparar con el valor de hash recibido y el valor de hash cifrado. Si son iguales, la verificación se realiza correctamente.
Windows tiene la autenticación de seguridad integrada en el sistema operativo, lo que facilita que las aplicaciones admitan la autenticación de seguridad. En consecuencia, no es necesario completar la configuración adicional.
Configurar un proxy transparente
En esta situación, el navegador no sabe que un proxy web transparente está interceptando solicitudes http [puerto 80/puerto 443] y no se requiere ninguna configuración en el lado del cliente.
| 1 |
Implemente un proxy transparente para que el conector pueda conectar y sincronizar usuarios. |
| 2 |
Confirme que el proxy sea correcto: verá una ventana emergente de autenticación del navegador esperada al iniciar el conector. |
Establecer autenticación de proxy
Agregue la URL cloudconnector.webex.com a su lista de permitidos; para ello, cree una Lista de control de acceso.
En su servidor de firewall empresarial:
| 1 |
Habilite la búsqueda de DNS si todavía no está habilitada. |
| 2 |
Determine un ancho de banda estimado para esta conexión (aproximadamente 2 mb/s o menos para el conector). Es posible que esto no sea obligatorio. |
| 3 |
Cree una Lista de control de acceso para aplicarla al host de conectores y especifique Por ejemplo: access-list 2000 acl-inside extended permit TCP [IP del conector] cloudconnector.webex.com eq https |
| 4 |
Aplique esta ACL a la interfaz de firewall adecuada, que solo se aplica a este host de conectores únicos. |
| 5 |
Asegúrese de que el resto de los hosts de su empresa todavía tengan que utilizar su proxy web; para ello, configure la declaración de denegación implícita que corresponda. |
Implementar el Conector de directorios
Flujo de tareas de implementación del conector de directorios de Cisco
Antes de comenzar
| 1 |
Instalar el Conector de directorios Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito. En el caso de una instalación nueva del Conector de directorios, vaya siempre a Control Hub ( https://admin.webex.com) para obtener la última versión del software, de modo que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 2 |
Iniciar sesión en el Conector de directorios Inicie sesión con sus credenciales de administrador de Webex y realice la configuración inicial. |
| 3 |
Configurar mejoras automáticas Siempre es importante mantener el software del Conector de directorios actualizado con la última versión. Le recomendamos que utilice este procedimiento para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 4 |
Elegir objetos de Active Directory para sincronizar De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios. |
| 5 |
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid. |
| 6 |
Sincronice los avatares de directorios mediante uno de los siguientes procedimientos:
Puede sincronizar los avatares de sus usuarios con la nube para que aparezca el avatar de cada usuario cuando inicie sesión en la aplicación. Puede sincronizar avatares desde un atributo de Active Directory o un servidor de recursos. |
| 7 |
Sincronizar la información de la sala local con la nube de Webex Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube, como un dispositivo de sala de Webex o Cisco Webex Board |
| 8 |
Para Aprovisionar Usuarios De Active Directory En Control Hub, siga estos pasos:
Siga esta secuencia para aprovisionar usuarios de Active Directory para cuentas de la aplicación de Webex. Puede aprovisionar usuarios de una implementación de Active Directory de varios bosques o dominios para el Conector de directorios 3.0 y versiones posteriores. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex. |
Instalar el Conector de directorios
Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito.
Debe instalar un conector por cada dominio de Active Directory que quiera sincronizar. Una única instancia del Conector de directorios solo puede servir a un único dominio. Consulte el siguiente diagrama para comprender el flujo de la sincronización de múltiples dominios:
Antes de comenzar
Si se autentica a través de un servidor proxy, asegúrese de tener sus credenciales de proxy:
-
Para la autenticación básica de proxy, introducirá el nombre de usuario y la contraseña después de instalar una instancia del conector. La configuración del proxy de Internet Explorer también es necesaria para la autenticación básica; consulte Utilizar un proxy web a través del navegador
-
En el caso de NTLM de proxy, es posible que vea un error cuando abra el conector por primera vez. Consulte Utilizar un proxy web a través del navegador.
| 1 |
En Control Hub, diríjase a y elija Siguiente. |
| 2 |
Haga clic en el enlace Descargar e instalar para guardar la última versión del archivo .zip de instalación del conector en su servidor VMware o Windows. Puede obtener el archivo .zip directamente desde este enlace, pero debe tener acceso administrativo total a una organización de Control Hub para que este software funcione. En el caso de una instalación nueva, obtenga la versión más reciente del software para que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 3 |
En el servidor de VMware o Windows, descomprima y ejecute el archivo .msi en la carpeta de configuración para iniciar el asistente de configuración. |
| 4 |
Haga clic en Siguiente, marque la casilla para aceptar el acuerdo de licencia y, luego, haga clic en Siguiente hasta ver la pantalla del tipo de cuenta. |
| 5 |
Elija el tipo de cuenta de servicio que desea utilizar y realice la instalación con una cuenta de administrador:
Para evitar errores, asegúrese de que estén implementados los siguientes privilegios:
|
| 6 |
Haga clic en Instalar. Después de ejecutar la prueba de red y, si se le solicita, introduzca sus credenciales básicas de proxy, haga clic en Aceptar y, a continuación, haga clic en Finalizar. |
Qué hacer a continuación
Le recomendamos que reinicie el servidor después de la instalación. El informe de simulación no puede mostrar el resultado correcto cuando no se liberaron los datos. Al reiniciar la máquina, se actualizan todos los datos para mostrar un resultado exacto en el informe.
Iniciar sesión en el Conector de directorios
Antes de comenzar
Asegúrese de tener sus credenciales de proxy.
-
Para la autenticación básica del proxy, introducirá el nombre de usuario y la contraseña después de abrir el conector por primera vez.
-
En el caso de NTLM proxy, abra Internet Explorer, haga clic en el icono de engranaje, diríjase a Opciones de Internet > Conexiones > configuración de LAN, asegúrese de que se agregue la información del servidor proxy y, luego, haga clic en Aceptar. Consulte Utilizar un proxy web a través del navegador.
| 1 |
Abra el conector y, a continuación, agregue |
| 2 |
Si se le solicita, inicie sesión con sus credenciales de autenticación de proxy y, luego, inicie sesión en Webex con su cuenta de administrador y haga clic en Siguiente. |
| 3 |
Confirme su organización y dominio.
|
| 4 |
Después de que aparezca la pantalla Confirmar organización, haga clic en Confirmar. Si ya vinculó AD DS/AD LDS, aparecerá la pantalla Confirmar organización. |
| 5 |
Haga clic en Confirmar. |
| 6 |
Elija uno, según la cantidad de dominios de Active Directory que quiera vincular al Conector de directorios:
|
Qué hacer a continuación
Después de iniciar sesión, se le pedirá que realice una simulación de sincronización.
Tablero de mandos del Conector de directorios
La primera vez que inicie sesión en el Conector de directorios, aparecerá el tablero de mandos. Aquí puede ver un resumen de todas las actividades de sincronización, ver estadísticas de la nube, realizar una simulación de sincronización, iniciar una sincronización completa o incremental e iniciar la vista de eventos para ver información de errores.
Puede ejecutar fácilmente estas tareas desde la barra de herramientas de acciones o desde el menú de acciones.
|
Componente |
Descripción |
|---|---|
|
Sincronización actual |
Muestra la información de estado de la sincronización en curso. Cuando no se está ejecutando ninguna sincronización, la pantalla de estado está inactiva. |
|
Próxima sincronización |
Muestra las siguientes sincronizaciones completas e incrementales planificadas. Si no se establece ninguna planificación, se muestra No planificada. |
|
Última sincronización |
Muestra el estado de las dos últimas sincronizaciones realizadas. |
|
Estado de sincronización actual |
Muestra el estado general de la sincronización. |
|
Conectores |
Muestra los conectores locales actuales que están disponibles para la nube. |
|
Estadísticas de la nube |
Muestra el estado general de la sincronización. |
|
Planificación de sincronización |
Muestra la planificación de sincronización para la sincronización incremental y completa. |
|
Resumen de configuración |
Enumera los ajustes que ha cambiado en la configuración. Por ejemplo, el resumen podría incluir lo siguiente:
|
| Acción | Descripción |
|---|---|
| Iniciar sincronización incremental |
Iniciar manualmente una sincronización incremental Esta acción se deshabilita cuando pausa o deshabilita la sincronización, si no se ha completado una sincronización completa, o si hay una sincronización en curso. |
|
Simulación de sincronización |
Realice una simulación de sincronización. |
|
Iniciar el visor de eventos |
Inicie el visor de eventos de Microsoft. |
|
Actualizar |
Actualizar el tablero de mandos del conector de directorios de Cisco |
|
Acción |
Descripción |
|---|---|
| Sincronizar ahora |
Inicia una sincronización completa al instante. |
|
Modo de sincronización |
Seleccione el modo de sincronización incremental o completa. |
|
Restablecer secreto de conector |
Establezca una conversación entre el Conector de directorios de Cisco y el servicio de conectores. Si selecciona esta acción, se restablecerá el secreto en la nube y, luego, se guardará el secreto localmente. |
|
Simulacro |
Realice una prueba del proceso de sincronización. Debe realizar una simulación antes de realizar una sincronización completa. |
|
Resolución de problemas |
Active/desactive la solución de problemas. |
|
Actualizar |
Actualice la pantalla principal del conector de directorios de Cisco. |
|
Salir |
Salga del conector de directorios de Cisco. |
|
Combinación de teclas |
Acción |
|---|---|
|
Alt + A |
Mostrar el menú Acciones |
|
|
Sincronización ahora |
|
|
Restablecer secreto de conector |
|
|
Simulacro |
|
|
Sincronización incremental |
|
|
Sincronización completa |
|
|
Mostrar el menú deAyuda |
|
|
Ayuda |
|
|
Acerca del día |
|
|
preguntas frecuentes |
Configurar mejoras automáticas
| 1 |
Desde el Conector de directorios, diríjase a y luego marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco. |
| 2 |
Haga clic en Aplicar para guardar los cambios. |
Las nuevas versiones del conector se instalan automáticamente cuando están disponibles.
Puede administrar las mejoras manualmente, si lo prefiere. Consulte Mejorar a la versión de software más reciente para obtener más información.
Elegir objetos de Active Directory para sincronizar
De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios.
Grupos para la asignación automática de licencias
Control Hub le permite administrar las asignaciones de licencias por grupo. Puede crear plantillas de licencia y asignarlas a grupos de Active Directory que sincronice con la nube. En el momento de la creación del usuario, Webex comprueba la pertenencia del usuario y la asignación automática de plantillas de licencias para ese nuevo usuario.
Le recomendamos que utilice un filtro de LDAP para sincronizar solo los grupos relevantes con la nube. Por ejemplo, puede configurar el filtro en:
(&(cn=Ejemplo)(objectclass=Grupo))*
Este filtro sincroniza todos los grupos dentro del DN base donde el nombre comienza con el ejemplo. A los usuarios que no están asignados a grupos se les asignan licencias de la plantilla de licencia automática predeterminada que configuró en Control Hub.
Grupos para implementaciones de seguridad de datos híbridos
En el Conector de directorios, debe marcar Grupos si está utilizando seguridad de datos híbridos a fin de configurar un grupo de prueba para usuarios piloto. Consulte la Guía de implementación para la seguridad de datos híbridos para obtener instrucciones. Esta configuración del Conector de directorios no afecta a otras sincronizaciones de usuarios en la nube.
Antes de comenzar
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en Selección de objetos. |
| 2 |
En la sección Tipo de objeto, marque Usuarios y considere la posibilidad de limitar la cantidad de contenedores con capacidad de búsqueda para los usuarios. Por ejemplo, si desea sincronizar solo los usuarios de un determinado grupo, debe introducir un filtro de LDAP en el campo Filtros de LDAP Usuarios. Si desea sincronizar a los usuarios que se encuentran en el grupo Administrador de ejemplos, utilice un filtro como este:
|
| 3 |
Marque Identificar sala para separar los datos de la sala de los datos del usuario. Haga clic en Personalizar si desea configurar atributos adicionales para identificar los datos de los usuarios como datos de salas. Utilice esta configuración si desea sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube. Para obtener más información, consulte Sincronizar la información de la sala local con la nube de Webex. |
| 4 |
Marque Grupos si desea sincronizar sus grupos de usuarios de Active Directory con la nube. No agregue un filtro de LDAP de sincronización de usuarios al campo Grupos. Solo debe utilizar el campo Grupos para sincronizar los datos del grupo con la nube. De manera predeterminada, los grupos no se sincronizan para los clientes nuevos. Debe habilitar la sincronización de grupos. También debe sincronizar los grupos de seguridad. |
| 5 |
Marque Contactos si desea sincronizar la información de contacto de los usuarios con la nube. El Conector de directorios solo administra los Contactos sincronizados por el conector. Si ya hay contactos en Control Hub, la sincronización no eliminará los contactos. Si los contactos se eliminan del alcance de la sincronización, la información de contacto de los usuarios también se eliminaría en Control Hub. |
| 6 |
Configure los filtros de LDAP. Puede agregar filtros extendidos si proporciona un filtro de LDAP válido. Consulte este artículo para obtener más información sobre la configuración de filtros de LDAP. |
| 7 |
Especifique los DN base locales para sincronizar al hacer clic en Seleccionar para ver la estructura de árbol de su Active Directory. Desde aquí, puede seleccionar o anular la selección de los contenedores en los que desea buscar. |
| 8 |
Compruebe que los objetos que desea agregar para esta configuración y haga clic en Seleccionar. Puede seleccionar contenedores individuales o principales para la sincronización. Seleccione un contenedor principal para habilitar todos los contenedores secundarios. Si selecciona un contenedor secundario, el contenedor principal muestra una marca de verificación gris que indica que se ha marcado un contenedor secundario. Luego, puede hacer clic en Seleccionar para aceptar los contenedores de Active Directory que marcó. Si su organización coloca a todos los usuarios y grupos en el contenedor Usuarios, no tiene que buscar en otros contenedores. Si su organización está dividida en unidades de la organización, asegúrese de seleccionar Unidades organizativas. |
| 9 |
Haga clic en Aplicar. Elegir una opción:
Para obtener información sobre simulaciones, consulte Realizar una simulación de sincronización en sus usuarios de Active Directory. Para la sincronización de grupos, debe realizar una sincronización completa: Realizar una sincronización completa de los usuarios de Active Directory en la nube. |
Asignar atributos de usuario
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid, un identificador único para cada cuenta de usuario en el servicio de identidad en la nube.
Puede elegir qué atributo de Active Directory asignar a la nube; por ejemplo, puede asignar firstName lastName en Active Directory o una expresión de atributo personalizada a displayName en la nube.
Las cuentas de Active Directory deben tener una dirección de correo electrónico; de manera predeterminada, uid se asigna al campo ad del correo (no sAMAccountName).
Si elige que el idioma preferido provenga de su Active Directory, Active Directory es la única fuente de verdad: los usuarios no podrán cambiar la configuración de idioma en la configuración de Webex y los administradores no podrán cambiar la configuración en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. En esta página se muestran los nombres de atributos de Active Directory (a la izquierda) y la nube de Webex (a la derecha). Todos los atributos obligatorios están marcados con un asterisco de color rojo. |
| 2 |
Desplácese hacia abajo hasta la parte inferior de los Nombres de atributos de Active Directory y, luego, elija uno de estos atributos de Active Directory para asignarlo al atributo uid de la nube:
Puede asignar cualquiera de los otros atributos de Active Directory a uid, pero le recomendamos que utilice mail o userPrincipalName, como se describe en las pautas anteriores. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. Para ver a qué atributos de Active Directory corresponden en la nube, consulte Asignación de atributos de Active Directory en el Conector de directorios. Para que la sincronización funcione, debe asegurarse de que el atributo de Active Directory que elija esté en formato de correo electrónico. El Conector de directorios muestra una ventana emergente para recordarle si no elige uno de los atributos recomendados. |
| 3 |
Si los atributos predefinidos de Active Directory no funcionan para su implementación, haga clic en el menú desplegable de atributos, desplácese hasta la parte inferior y, a continuación, elija Personalizar atributo para abrir una ventana que le permita definir una expresión de atributos. Haga clic en Ayuda para obtener más información acerca de las expresiones y ver ejemplos de cómo funcionan las expresiones. También puede ver Expresiones para atributos personalizados para obtener más información. En este ejemplo, asignemos los atributos de Active Directory
El Conector de directorios verifica el valor del atributo uid en el servicio de identidad y recupera 3 usuarios disponibles en las opciones de filtro de usuarios actuales. Si todos estos 3 usuarios tienen un formato de correo electrónico válido, el Conector de directorios de Cisco muestra el siguiente mensaje:
Si el atributo no se puede verificar, verá la siguiente advertencia y podrá volver a Active Directory para comprobar y corregir los datos del usuario:
|
| 4 |
(Opcional) Elija asignaciones para móvil y telephoneNumber si desea que aparezcan los números de teléfono móvil y de trabajo, por ejemplo, en la tarjeta de contacto del usuario en la aplicación de Webex. Los datos del número de teléfono aparecen en la aplicación Webex cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario. Para obtener más información sobre las llamadas desde la tarjeta de contacto de un usuario, consulte la Guía de implementación de llamadas en Webex (Unified CM) (administradores). |
| 5 |
Elija asignaciones adicionales para que aparezcan más datos en la tarjeta de contacto:
Una vez asignados los atributos, la información aparece cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario:
Para obtener más información acerca de la tarjeta de contacto, consulte Verificar con quién se está comunicando. Después de sincronizar estos atributos con cada cuenta de usuario, también puede activar People Insights en Control Hub. Esta característica permite a los usuarios de la aplicación de Webex compartir más información en sus perfiles y obtener más información acerca de los demás. Para obtener más información sobre la característica y cómo habilitarla, consulte Perfiles de información personal para Webex, Jabber, Webex Meetings y Webex Events (nuevo) en Control Hub |
| 6 |
Después de tomar sus decisiones, haga clic en Aplicar. |
Todos los datos de usuario contenidos en Active Directory sobrescribirán a los de la nube que correspondan a ese usuario. Por ejemplo, si creó un usuario manualmente en Control Hub, la dirección de correo electrónico del usuario debe ser idéntica al correo electrónico de Active Directory. Se elimina cualquier usuario que no tenga una dirección de correo electrónico correspondiente en Active Directory.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Atributos de la nube y Active Directory
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube mediante la ficha Asignación de atributos de usuarios.
En esta tabla se compara la asignación entre los nombres de atributos de Active Directory y los nombres de atributos de la nube de Cisco. Estos valores y asignaciones son la configuración predeterminada en el Conector de directorios. Puede elegir diferentes atributos en los menús desplegables de Active Directory y determinar qué atributo local se sincroniza con qué atributo en la nube.
Piense en los atributos desplegables como ajustes preestablecidos. Como alternativa a los valores de la fila de Active Directory, también puede especificar un atributo personalizado, su propio ajuste preestablecido, en Active Directory (una expresión con varios atributos) para asignar a un único atributo de nube en la fila correspondiente. De esta manera, tiene la flexibilidad de determinar los nombres para mostrar de sus usuarios; por ejemplo, puede agregar una expresión que cree un atributo personalizado basado en el cargo del empleado, el nombre dado y el apellido en Active Directory.
También puede especificar cualquiera de los atributos de Active Directory para asignar a uid en la nube. Sin embargo, debe asegurarse de que el atributo local siga un formato de correo electrónico válido.
También puede utilizar direcciones de correo electrónico alternativas si, por ejemplo, desea utilizar userPrincipalName para iniciar sesión, pero la dirección de correo electrónico de un usuario se utiliza para administrar su calendario. En este caso, asigne otra dirección de correo electrónico al atributo emails;type-work. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario.
|
Nombres de atributos de Active Directory |
Nombres de atributos de la nube de Webex |
Notas |
|---|---|---|
|
— |
nombre del edificio |
— |
|
c |
c |
Este atributo especifica la abreviatura del país del usuario. |
|
NúmeroDepartamento |
NúmeroDepartamento |
Este atributo se utiliza para el número de departamento del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
Nombre para mostrar |
Nombre para mostrar |
Este atributo se utiliza para el nombre para mostrar de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
ControlDeCuentaUsuario |
ds-pwp-account-disabled |
Este atributo se utiliza para la sincronización de usuarios. Asegúrese de que el atributo userAccountControl esté asignado a ds-pwp-account-disabled o los usuarios no se sincronizarán correctamente. |
|
Número de empleado |
Número de empleado |
— |
|
facsímilTelephoneNumber |
facsímilTelephoneNumber |
— |
|
— |
ID de jabber |
Este atributo de nube se relaciona con direcciones de MI (tipo XMPP) que utiliza Jabber. Este valor no es el mismo que sipAddresses. |
|
l |
l |
Este atributo especifica la ciudad del usuario. |
|
— |
región |
— |
|
administrador |
administrador |
Este atributo se utiliza para el nombre de administrador del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
móvil |
móvil |
Este atributo se utiliza como el número de teléfono móvil que aparece para llamar al usuario desde la tarjeta de contacto. |
|
o |
o |
Este atributo especifica el nombre de la empresa u organización y aparece en la tarjeta de contacto. |
|
ou |
ou |
Este atributo especifica el nombre de la unidad de organización. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Este atributo especifica la ubicación de la oficina del usuario. |
|
código postal |
código postal |
Este atributo especifica el código postal del usuario para la entrega física del correo. |
|
Idioma preferido |
Idioma preferido |
Este atributo establece el idioma preferido del usuario y se admiten los siguientes formatos: xx_YY o xx-YY. Estos son algunos ejemplos: en_US, en_GB, fr-CA. Si utiliza un idioma no compatible o un formato no válido, el idioma preferido de los usuarios cambiará al idioma definido para la organización. |
|
MSRTCSIP-PrimaryUserAddress Teléfono ip |
SipAddresses;type=enterprise |
Este atributo se utiliza para sincronizar la información de la sala local de Active Directory en la nube de Cisco Webex. |
|
sn |
sn |
Este atributo se utiliza para el apellido de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
s |
s |
Este atributo especifica el estado o la provincia del usuario. |
|
dirección |
calle |
Este atributo especifica la dirección postal del usuario para la entrega física de correo. |
|
teléfonoNúmero |
teléfonoNúmero |
Este atributo especifica el número de teléfono principal (laboral) del usuario que se utiliza para llamar al usuario desde la tarjeta de contacto. |
|
— |
zona horaria |
Este atributo de nube especifica la zona horaria del usuario. |
|
título |
título |
Este atributo especifica el título del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
tipo |
empresarial |
— |
|
*correo *userPrincipalName |
uid |
Una asignación de atributos obligatoria. Para cada cuenta de usuario, el valor de Active Directory se asigna a un uid único en la nube. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. El usuario puede utilizar cualquiera de estas direcciones de correo electrónico para iniciar sesión, siempre que se encuentre la asignación de atributos de SAML correcta. Consulte la asignación de atributos de ejemplo a continuación para saber cómo puede asignar una dirección de correo electrónico alternativa. |
|
*userPrincipalName *correo <atributo personalizado> |
correos electrónicos;tipo-trabajo |
Esta asignación es opcional; utilícela si desea utilizar direcciones de correo electrónico alternativas. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario. |
|
<Nuevo atributo para el usuario de Azure objectId> |
ID externo |
Cree un nuevo atributo de Active Directory para contener el ID de usuario de Azure, de modo que no choque con uno existente. Este atributo se asigna al atributo externalId, lo que garantiza que cuando los usuarios de Webex creen grupos en Microsoft 365 creen equipos automáticamente en Webex. |
Asignación alternativa de direcciones de correo electrónico
Expresiones para atributos personalizados
|
Operador |
Descripción y ejemplo |
|---|---|
|
% |
Elimina todos los caracteres desde el comienzo de la cadena hasta la posición del caracter o del argumento, si coinciden.
|
|
- |
Elimina la parte posterior de la cadena de entrada desde el final de la cadena especificada.
|
|
+ |
Concatena las cadenas o expresiones de entrada.
|
|
| |
Evalúa las expresiones separadas con la cadena vacía y selecciona el primer resultado no vacío.
|
Sincronizar avatares de directorios desde un atributo de Active Directory a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar los datos brutos de avatar de un atributo de Active Directory.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija el atributo de AD y, luego, elija el atributo de avatar que contenga los datos brutos del avatar que desea sincronizar con la nube. |
| 3 |
Para verificar que se acceda correctamente al avatar, introduzca la dirección de correo electrónico de un usuario y, a continuación, haga clic en Obtener avatar del usuario. El avatar aparece a la derecha. |
| 4 |
Después de verificar que el avatar aparecía correctamente, haga clic en Aplicar para guardar los cambios. |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar avatares de directorios desde un servidor de recursos a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar avatares desde un servidor de recursos.
Antes de comenzar
-
El patrón de URI y el valor de la variable en este procedimiento son ejemplos. Debe utilizar las URL reales donde se encuentran sus avatares de directorio.
-
El patrón de URI del avatar y el servidor donde residen los avatares deben ser accesibles desde la aplicación del Conector de directorios. El conector necesita acceso http o https a las imágenes, pero no es necesario que las imágenes sean accesibles públicamente en Internet.
-
La sincronización de datos del avatar está separada de los perfiles de usuario de Active Directory. Si ejecuta un proxy, debe asegurarse de que se pueda acceder a los datos de avatar mediante autenticación NTLM o autenticación básica.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija Servidor de recursos y, luego, introduzca el Patrón de URI de avatar; por ejemplo, Veamos cada parte del patrón de URI del avatar y lo que significan:
|
| 3 |
(Opcional) Si su servidor de recursos requiere credenciales, marque Establecer credencial de usuario para avatar y, a continuación, elija Utilizar usuario de conexión del servicio actual o Utilizar este usuario e introduzca la contraseña. |
| 4 |
Introduzca el Valor de la variable; por ejemplo: |
| 5 |
Haga clic en Prueba para asegurarse de que el patrón de URI del avatar funcione correctamente. En este ejemplo, si el valor de correo para una entrada de AD es |
| 6 |
Una vez verificada la información de URI y que se vea correcta, haga clic en Aplicar. Para obtener información detallada sobre el uso de expresiones regulares, consulte la Referencia rápida del lenguaje de expresiones regulares de Microsoft . |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar la información de la sala local con la nube de Webex
Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de Webex registrados en la nube (Room, Desk y Board).
| 1 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 2 |
Marque la opción Sincronizar la información de la sala con la nube para separar los datos de la sala de los datos de los usuarios durante la sincronización. Cuando esta configuración está desactivada, los datos de la sala se tratan de la misma manera que los datos sincronizados del usuario. |
| 3 |
Diríjase a Asignación de atributos y luego cambie la asignación de atributos para el atributo en la nube sipAddresses;type=enterprise. Para utilizar la validación de valor, el valor de la dirección SIP debe ser Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Cree un buzón de recursos de sala en Exchange. Esto agrega el atributo msExchResourceMetaData;ResourceType:Room que el conector utiliza para identificar salas.
|
| 5 |
Desde usuarios y computadoras de Active Directory, diríjase a las propiedades de la sala y editarlas. Agregue la URI de SIP completamente calificada con un prefijo de sip:
|
| 6 |
Realice una simulación de sincronización y luego una sincronización de ejecución completa en el conector. Los nuevos objetos de sala aparecen en la lista Objetos agregados y los objetos de sala coincidentes aparecen en Objetos coincidentes en el informe de simulación. Todos los objetos de sala marcados para su eliminación se encuentran en Salas eliminadas.
Los resultados del simulacro muestran cualquier recurso de sala que coincida.
Esta configuración separa los datos de la sala de Active Directory (incluido el atributo de la sala) de los datos de los usuarios. Una vez finalizada la sincronización, las estadísticas de la nube en el tablero de mandos del conector muestran los datos de salas que se sincronizaron con la nube.
|
Qué hacer a continuación
Ahora que ha completado estos pasos, cuando realice una búsqueda en un dispositivo registrado en la nube de Webex, verá las entradas de salas sincronizadas configuradas con direcciones SIP. Cuando realiza una llamada desde el dispositivo de Webex en esa entrada, se realiza una llamada a la dirección SIP que se configuró para la sala.
Desde Control Hub, puede importar salas automáticamente desde su directorio y crear espacios de trabajo.
El extremo no puede devolver la llamada a la aplicación de Webex. Para los dispositivos de marcado de prueba, estos dispositivos deben registrarse como una URI de SIP en las instalaciones o en otro lugar que no sea la aplicación de Webex. Si el sistema de salas de Active Directory que está buscando está registrado en Webex y la misma dirección de correo electrónico está en el dispositivo Webex Room, el dispositivo Desk o Webex Board para el servicio de calendario, los resultados de la búsqueda no mostrarán la entrada duplicada. El dispositivo Room, Desk o Board se marca directamente en la aplicación de Webex, y no se realiza una llamada SIP.
Enviar informes por correo electrónico sobre los resultados de la sincronización de directorios
De forma predeterminada, los contactos o administradores de la organización siempre reciben notificaciones por correo electrónico. Con esta configuración, puede personalizar quién debe recibir notificaciones por correo electrónico que resumen los informes de sincronización de directorios.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Notificación. |
| 2 |
Desde el Conector de directorios, haga clic en Configuración y, junto a Destinatario de correo electrónico, active Habilitar sincronización del informe. |
| 3 |
Marque Habilitar notificación si desea anular el comportamiento de notificación predeterminado y agregar uno o más destinatarios de correo electrónico. |
| 4 |
Haga clic en Agregar y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 5 |
Haga clic en Agregar correo electrónico y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 6 |
Si necesita editar alguna dirección de correo electrónico que haya introducido, haga doble clic en la entrada de correo electrónico de la columna de la izquierda y, a continuación, realice los cambios que necesite. |
| 7 |
Una vez que haya agregado todas las direcciones de correo electrónico válidas, haga clic en Aplicar. |
| 8 |
Después de agregar todas las direcciones de correo electrónico válidas, haga clic en Guardar. |
Qué hacer a continuación
Si decidió que desea eliminar las direcciones de correo electrónico, puede hacer clic en un correo electrónico para resaltar esa entrada y, luego, haga clic en Eliminar.
Si ha decidido que desea eliminar direcciones de correo electrónico, puede hacer clic en Eliminar junto a entradas específicas de direcciones de correo electrónico.
Aprovisionar usuarios de Active Directory en Control Hub
Siga estos pasos para aprovisionar usuarios de Active Directory y crear las cuentas de usuario correspondientes en Control Hub. Puede aprovisionar usuarios desde una implementación de Active Directory de varios dominios (ya sea con un solo bosque o con varios bosques) después de instalar un Conector de directorios por dominio. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex.
| 1 |
Realizar una simulación de sincronización en sus usuarios de Active Directory Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube. |
| 2 |
Realizar una sincronización completa de los usuarios de Active Directory en la nube Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados. |
| 3 |
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede asignar licencias de servicios de Webex mediante diversos métodos. Le recomendamos que configure una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory. También puede realizar cambios individuales después de este paso inicial. |
Realizar una simulación de sincronización en sus usuarios de Active Directory
Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube.
Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. Con el Conector de directorios, el objetivo es lograr una coincidencia exacta entre sus Active Directories y la nube de Webex.
Si tiene varios dominios en un solo bosque o varios bosques, debe realizar este paso en cada una de las instancias del conector de directorios de Cisco que haya instalado para cada dominio de Active Directory.
Antes de comenzar
Es posible que ya tenga algunos usuarios de la aplicación Webex en Control Hub antes de utilizar el Conector de directorios. Entre los usuarios de la nube, algunos pueden coincidir con el objeto local de Active Directory y tener asignadas licencias para los servicios. Sin embargo, es posible que algunos sean usuarios de prueba que desea eliminar mientras realiza una sincronización. Debe crear una coincidencia exacta entre su Active Directory y Control Hub.
| 1 |
Elija una opción:
Cuando finalice la simulación, verá uno de los siguientes resultados:
El Resumen contiene información sobre la coincidencia de objetos:
La simulación identifica a los usuarios al compararlos con los usuarios del dominio. La aplicación puede identificar a los usuarios si pertenecen al dominio actual. En el siguiente paso, debe decidir si desea eliminar los objetos o conservarlos. Los objetos no coincidentes se identifican como ya existentes en la nube de Webex, pero no en el Active Directory local. |
| 2 |
Revise los resultados del simulacro y, a continuación, elija una opción según si utiliza un solo dominio o varios dominios:
|
| 3 |
En el mensaje Confirmar simulación, haga clic en Sí para rehacer la sincronización de la simulación y ver el tablero de mandos para ver los resultados. Todas las cuentas que se sincronizaron correctamente en la simulación aparecerán en Objetos coincidentes. Si un usuario en la nube no tiene un usuario correspondiente con el mismo correo electrónico en Active Directory, la entrada aparece en Usuarios eliminados. Para evitar este indicador de eliminación, puede agregar un usuario en Active Directory con la misma dirección de correo electrónico. Para ver los detalles de los elementos que se sincronizaron, haga clic en la ficha correspondiente a elementos específicos o en Objetos coincidentes. Para guardar la información del resumen, haga clic en Guardar resultados en archivo. |
| 4 |
Si se esperan los resultados, diríjase a y, luego, haga clic en Habilitar ahora para realizar una sincronización manual y ponerla en modo manual en este punto. Después de realizar una sincronización en el último dominio de Active Directory en su implementación de varios dominios, debe habilitar el modo automático para el Conector de directorios. Puede habilitar el modo automático solo cuando los objetos coinciden completamente entre la nube de Webex y todos los directorios activos locales. |
Qué hacer a continuación
-
Para todos los objetos de usuario no coincidentes que haya conservado, debe agregarlos a Active Directory para que haya una coincidencia exacta entre las instalaciones locales y la nube.
-
Elija un tipo de sincronización:
-
De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa.
-
Si tiene varios dominios, repita estos pasos en cualquier otro Conector de directorios que haya instalado.
Aspectos a tener en cuenta
-
Realice un simulacro antes de habilitar la sincronización completa o cuando cambie los parámetros de sincronización. Si la simulación se inició por un cambio en la configuración, puede guardar los ajustes una vez finalizada la simulación. Si ya agregó usuarios manualmente, llevar a cabo una sincronización de Active Directory puede provocar la eliminación de los usuarios agregados previamente. Puede consultar los Informes de ensayos del Conector de directorios para verificar que todos los usuarios esperados estén presentes antes de sincronizarlos completamente con la nube.
-
Si los usuarios coincidentes están marcados para ser eliminados y no está seguro de cómo continuar, consulte la información de solución de problemas y cómo comunicarse con el soporte en Solución de problemas y correcciones para el Conector de directorios.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Realizar una sincronización completa de los usuarios de Active Directory en la nube
Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados.
Si tiene varios dominios, debe realizar este paso en cada una de las instancias del Conector de directorios que haya instalado para cada dominio de Active Directory.
El Conector de directorios sincroniza el estado de las cuentas de usuario: en Active Directory, todos los usuarios marcados como deshabilitados también aparecen como inactivos en la nube.
Antes de comenzar
-
Si desea que las cuentas de usuario de la aplicación de Webex estén en estado activo después de la sincronización completa y antes de que los usuarios inicien sesión por primera vez, debe seguir estos pasos para omitir la validación de correo electrónico:
-
Integre el inicio de sesión único con su organización de Webex. Ver
Inicio de sesión único con los servicios de Cisco Webex y el proveedor de servicios de identidad de su organización
para obtener más información. -
Utilice Control Hub para verificar y, de manera opcional, reclamar dominios contenidos en las direcciones de correo electrónico. Ver
Agregar, verificar y reclamar dominios
. -
Suprimir invitaciones automáticas por correo electrónico, para que los usuarios nuevos no reciban la invitación automática por correo electrónico a la aplicación de Webex. (Puede realizar su propia campaña de correo electrónico).
Los usuarios activados que no hayan iniciado sesión aparecerán con el estado Verificado en Control Hub. Después de que inician sesión, aparecen como Activos. Para obtener más información acerca de los estados de los usuarios, consulte Estados y acciones de los usuarios en Cisco Webex Control Hub.
-
-
Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. Le recomendamos que realice un simulacro antes de una sincronización completa para detectar cualquier posible error.
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
Si no utiliza plantillas de licencia de asignación automática, los usuarios recién sincronizados obtienen licencias gratuitas automáticamente. Podrán utilizar las mismas características gratuitas que las que tienen cuentas gratuitas.
| 1 |
Elija una opción:
|
| 2 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 3 |
Confirme el inicio de la sincronización. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación de Webex refleja los cambios hasta 72 horas después de realizar la sincronización. Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
|
| 4 |
Haga clic en Actualizar si desea actualizar el estado de la sincronización. (Los elementos sincronizados aparecen en Estadísticas de la nube). |
| 5 |
Para obtener información sobre los errores, seleccione Iniciar visor de eventos en la barra de herramientas de Acciones para ver los registros de errores. |
| 6 |
Para establecer una planificación de sincronización para las sincronizaciones incrementales en curso con la nube, consulte Definir la planificación del conector y Ejecutar una sincronización incremental. |
-
Una vez finalizada la sincronización completa, el estado de la sincronización de directorios se actualiza de Deshabilitado a Operativo en la página Configuración de Control Hub.
-
Cuando todos los datos coinciden en las instalaciones y en la nube, el Conector de directorios cambia del modo manual al modo de sincronización automática.
-
A menos que integre el inicio de sesión único, verifique dominios y, opcionalmente, reclame dominios para las cuentas de correo electrónico que sincronizó, y suprima los correos electrónicos automatizados, las cuentas de usuario de la aplicación de Webex permanecen en estado No verificado hasta que los usuarios inicien sesión en la aplicación de Webex por primera vez para confirmar sus cuentas. Consulte la sección Antes de comenzar para obtener orientación sobre cómo sincronizar las cuentas como Usuarios activos.
-
Si tiene varios dominios, realice este paso en cualquier otro conector de directorios que haya instalado. Después de la sincronización, los usuarios de todos los dominios que agregó aparecerán listados en Control Hub.
-
Si integró el inicio de sesión único con Webex y notificaciones por correo electrónico suprimidas, las invitaciones por correo electrónico no se envían a los usuarios recién sincronizados.
-
No puede agregar usuarios manualmente en Control Hub después de que se habilite el conector de directorios. Una vez habilitada, la administración de usuarios se realiza desde el conector de directorios de Cisco, y Active Directory es la única fuente fiable.
-
Cualquier grupo que sincronice aparecerá en Control Hub y puede asignar una plantilla de licencia para que a los usuarios de ese grupo se les asignen licencias.
Qué hacer a continuación
-
Cuando elimina un usuario de Active Directory, se elimina por software después de la siguiente sincronización. El usuario pasa a estar Inactivo, pero el perfil de identidad en la nube se mantiene durante siete días (para permitir la recuperación de la eliminación accidental).
Cuando selecciona La cuenta está deshabilitada en Active Directory, el usuario pasa a ser Inactivo después de la siguiente sincronización. El perfil de identidad en la nube no se elimina después de siete días, en caso de que desee habilitar nuevamente al usuario.
-
Tenga en cuenta estas excepciones a una sincronización incremental (en su lugar, siga los pasos de sincronización completos anteriores):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Los cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar requieren una sincronización completa.
-
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub
Después de completar una sincronización completa de usuarios desde el conector de directorios de Cisco en Control Hub, puede utilizar Control Hub para asignar las mismas licencias de servicios de Webex a todos sus usuarios a la vez o agregar licencias adicionales a los usuarios nuevos si ya configuró una plantilla de licencia asignada automáticamente. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede utilizar métodos en Control Hub para asignar globalmente licencias de servicios de Webex a todos sus usuarios, usuarios individuales, a través de la plantilla CSV masiva, o automáticamente a los usuarios nuevos si ya configuró una plantilla de licencia de asignación automática. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Cuando asigna una licencia a un usuario de la aplicación de Webex, ese usuario recibe un correo electrónico en el que se confirma la asignación de manera predeterminada. El correo electrónico se envía mediante un servicio de notificación en Control Hub. Si integró el inicio de sesión único (SSO) con su organización de Webex, también puede suprimir estas notificaciones automáticas por correo electrónico si prefiere comunicarse directamente con sus usuarios.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Realice una simulación de sincronización en sus usuarios de Active Directory.
-
Después de confirmar los resultados de la simulación, realice una sincronización completa en sus usuarios de Active Directory.
En el momento de la sincronización completa, el usuario se crea en la nube, no se agregan asignaciones de servicios ni se envía ningún correo electrónico de activación. Si no se eliminan los correos electrónicos, los nuevos usuarios reciben un correo electrónico de activación cuando asigna servicios a los usuarios mediante un método de administración de usuarios estándar en Control Hub, como la importación de archivos CSV, la actualización manual de usuarios o la finalización correcta de la asignación automática.
| 1 |
Desde la vista del cliente en https://admin.webex.com, vaya a , haga clic en Administrar usuarios, elija Modificar todos los usuarios sincronizados y, luego, haga clic en Siguiente. |
| 2 |
Elegir una opción: |
Qué hacer a continuación
-
Si no se eliminan los correos electrónicos, se envía un correo electrónico a cada usuario con una invitación para entrar y descargar Webex.
-
Si seleccionó los mismos servicios de Webex para todos sus usuarios, puede cambiar la licencia asignada individualmente o en forma masiva.
Problemas conocidos con el Conector de directorios
-
Las versiones de Windows Server anteriores a 2012 R2 tienen un problema de cookies que afecta al Conector de directorios. Este problema se corrigió en las versiones 2012 R2 y 2016.
-
Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
-
Cuando un usuario utiliza la aplicación de Webex en el escritorio o en un dispositivo móvil para buscar y llamar a una sala que solo tiene una URI de SIP sincronizada, la llamada suena indefinidamente en este momento.
Administrar usuarios de la aplicación de Webex
Ejecutar una sincronización incremental
Una sincronización incremental consulta su Active Directory y busca cambios que se hayan producido desde la última sincronización. En este paso se agrupan esos cambios y se los envía al servicio de conectores Los cambios incluyen la modificación de la atribución de usuarios y cuándo se agrega o elimina un usuario.
Esta sincronización no carga tanto en los servidores y no toma tanto tiempo como una sincronización completa. Después de realizar la sincronización completa inicial, le recomendamos la opción incremental para las sincronizaciones posteriores.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Tenga en cuenta estas excepciones para las que la sincronización incremental no es compatible (siga Realizar una sincronización completa de usuarios de Active Directory en la nube ):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Para los nuevos cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar, la sincronización incremental no funcionará y estos requieren una sincronización completa.
-
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. |
| 2 |
Desde Acciones, haga clic en Modo de sincronización > Habilitar sincronización si todavía no está habilitado. De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa. Cuando se activa un nuevo intervalo de tiempo incremental, el programa comprueba los cambios en función de la última marca de tiempo. |
| 3 |
Desde Acciones, haga clic en Sincronizar ahora > Incremental. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
|
| 4 |
Para obtener información sobre los errores, haga clic en Iniciar visor de eventos desde la barra de herramientas de Acciones para ver los registros de errores. |
Qué hacer a continuación
Si tiene varios dominios, realice este paso en otras instancias del Conector de directorios que haya instalado.
Recuperar usuarios eliminados accidentalmente
El Conector de directorios tiene controles y contrapesos para evitar la eliminación no intencional de usuarios. Lamentablemente, ocurren accidentes; es posible que haya configurado incorrectamente un filtro LDAP en Active Directory, que eliminó a algunos usuarios cuando se sincronizaban con la nube. La característica de eliminación suave puede ayudarlo a recuperarse de estos accidentes y restablecer las cuentas de los usuarios en Control Hub.
De forma predeterminada, esta función está habilitada para todas las organizaciones. Cuando se eliminan usuarios en la nube, por ejemplo, debido a un problema de objeto no coincidente después de una sincronización desde el Conector de directorios, los usuarios se pueden recuperar. Si vio un aviso de objetos no coincidentes o notó que los usuarios fueron eliminados, es posible que pueda recuperarlos si actúa rápido.
Los usuarios se marcan como Inactivos en Control Hub cuando se eliminan las cuentas correspondientes en Active Directory. El servicio en la nube en segundo plano conserva a los usuarios durante un máximo de 7 días. Durante este período, aún puede utilizar el Conector de directorios de Cisco para recuperar usuarios. Le recomendamos que recupere estos usuarios lo antes posible.
Los usuarios que están deshabilitados en Active Directory también se marcan como inactivos en Control Hub, pero la cuenta de usuario no se elimina después de 7 días.
| 1 | |
| 2 |
Vaya a Usuarios y confirme si una cuenta de usuario específica está en estado inactivo o no está listada. Para obtener más información, consulte Estados y acciones del usuario en Control Hub. |
| 3 |
Si se eliminaron usuarios en Control Hub o si observa que los usuarios están en estado inactivo, vaya a Active Directory, agregue las cuentas de usuario que faltan y, luego, realice una simulación de sincronización en el Conector de directorios. El objetivo del Conector de directorios es crear una coincidencia exacta entre la información de los usuarios en Active Directory y en la nube. |
| 4 |
Realice una sincronización completa para volver a sincronizar las cuentas de usuario eliminadas temporalmente con Control Hub. Los usuarios se recuperan y pasan al estado original, incluido el estado de su cuenta y las asignaciones de servicios. |
Qué hacer a continuación
Regrese a Control Hub, vaya a , y confirme que las cuentas de usuario eliminadas anteriormente aparezcan en la lista de usuarios.
Eliminar usuarios permanentemente después de la eliminación por software
Después de realizar una simulación, puede optar por eliminar de forma permanente los usuarios que fueron eliminados por software en la próxima sincronización.
| 1 |
Una vez finalizada la simulación, seleccione Objetos eliminados por software. |
| 2 |
Marque la casilla de verificación situada junto a los usuarios que desea eliminar. |
| 3 |
Seleccione Listo. |
Qué hacer a continuación
En la próxima sincronización, los usuarios que revisó se eliminarán de forma permanente.
Cambiar una dirección de correo electrónico de la aplicación de Webex
Si quiere cambiar las direcciones de correo electrónico de los usuarios y su organización utiliza el Conector de directorios, puede cambiar esas direcciones de correo electrónico en Active Directory. Este procedimiento cubre cómo cambiar la dirección de correo electrónico de la aplicación de Webex para un único dominio y un proceso para cambiar el dominio.
Si solo quiere cambiar el correo electrónico o algún valor para un usuario, no lo elimine de Active Directory y vuelva a crear uno nuevo con el mismo correo electrónico. La nube interpreta esta acción como una nueva cuenta de usuario y se perderán los espacios del usuario y otros datos en la nube.
El Conector de directorios no limita el cambio de dominio de correo electrónico. Sin embargo, cuando el usuario se vuelve a sincronizar con la nube, el estado del usuario depende de si se verifica el nuevo dominio en su organización. Si el dominio no está verificado en su organización, el estado del usuario cambia a Pendiente después de la sincronización completa. Para obtener más información, consulte Administrar sus dominios.
Si su organización no utiliza el Conector de directorios, puede cambiar las direcciones de correo electrónico de la aplicación de Webex a través de la página de configuración de la cuenta. Consulte Cambiar la dirección de correo electrónico de su cuenta para conocer los pasos que los usuarios pueden seguir para cambiar sus correos electrónicos.
Cambiar el dominio de Active Directory
Puede utilizar este procedimiento para crear nuevos dominios y direcciones de correo electrónico. Se sincronizan con el servicio de identidad en la nube.
| 1 |
Configure un nuevo dominio de Active Directory (AD). |
| 2 |
Deshabilite las sincronizaciones en todos sus conectores. |
| 3 |
Desinstale todos los conectores. |
| 4 |
Abra un caso para cambiar el dominio. En el envío del caso, asegúrese de solicitar la eliminación de la configuración del dominio y de todos los atributos de sincronización de su organización. Antes de abrir un caso para cambiar el dominio, asegúrese de no tener una sincronización en ejecución. No cambie ninguna dirección de correo electrónico del usuario en Active Directory hasta que el caso se resuelva. |
| 5 |
Una vez resuelto el caso: Realice una ejecución de prueba con el Conector de directorios antes de realizar la sincronización real. |
Reclamo de dominios
Un reclamo de dominio se produce si reclama un dominio de correo electrónico para una organización de modo que cualquier cuenta creada con Sideboard se cree en la organización del cliente con suscripción paga y no en la organización del consumidor sin cargo. Solo puede realizar un reclamo de dominio a través de un caso de soporte (consulte el siguiente enlace para obtener más información).
Si el Conector de directorios está activo y se reclama el dominio, las cuentas creadas con Sideboard no se crean ni en la organización del cliente ni en la organización de consumidores sin cargo. Solo el Conector de directorios puede aprovisionar cuentas para la organización desde Active Directory. La información almacenada en Active Directory es la fuente original. Si trató de hacer Sideboard con una cuenta, el usuario invitado recibe un error. La única manera en que se puede agregar un usuario invitado a un espacio de la aplicación de Webex es utilizar primero el Conector de directorios para aprovisionar la cuenta en Control Hub.
Convertir usuarios gratuitos de la aplicación de Webex en una organización con directorios sincronizados
Solo puede utilizar direcciones de correo electrónico únicas en el directorio de la aplicación de Webex. Si sus usuarios se han inscrito en la versión gratuita de la aplicación de Webex, su cuenta existe en la organización de consumidores gratuita. Para administrar a los usuarios de esta organización con el Conector de directorios, mígrelos (conviértalos) a la organización del cliente antes de activar el Conector de directorios. Luego, agrega a los usuarios a active Directory con la dirección de correo electrónico exacta y luego sincroniza a la nube.
Si no convierte las cuentas antes de la activación, desactive el Conector de directorios para convertirlas.
Si intenta convertir un usuario con la sincronización de directorios habilitada, aparece el mensaje de error no se pudo convertir
. Para evitar el problema, puede utilizar estos pasos como solución alternativa.
Es posible que algunos usuarios reclamados aparezcan con el atributo movedfrom al realizar una simulación. Estos usuarios estarán en la lista Objetos eliminados en lugar de ObjetosNo Coincidentes. Tendrá que agregar esos usuarios a su lista de AD si desea moverlos a su organización.
Si no agrega esos usuarios, todos se eliminarán la próxima vez que se sincronice con la nube.
| 1 |
Deshabilite la sincronización de directorios desde el Conector de directorios. |
| 2 |
Siga el procedimiento Convertir usuarios sin licencia en Control Hub para convertir al usuario de la organización de consumidores sin cargo a la organización empresarial. Este paso agrega al usuario a su organización y la cuenta aparece en Control Hub. El Conector de directorios hace que Active Directory sea la única fuente fiable para las cuentas de usuario y el objetivo es lograr una coincidencia exacta entre Active Directory y Control Hub. Asegúrese de que haya usuarios coinciden en la Active Directory para todos los usuarios convertidos recientemente antes de volver a realizar la sincronización. Se puede utilizar una sincronización de la prueba para asegurarse de que no haya usuarios iguales. |
| 3 |
En el Conector de directorios, realice una simulación de sincronización. Una vez que finalice la prueba, revise la ficha Agregar objetos. Verifique que no se hayan eliminado los usuarios que convirtió. Debe realizar una simulación antes de volver a habilitar la sincronización para asegurarse de que las cuentas de usuario convertidas aparezcan en active Directory. Si activa la sincronización y las cuentas solo residen en Control Hub, el conector de directorios distingue entre mayúsculas y minúsculas y elimina a los usuarios convertidos que detecta con direcciones de correo electrónico no coincidentes (por ejemplo, user1@example.com y User1@example.com). Si se elimina algún usuario convertido, perderá todos sus espacios de la aplicación de Webex. |
| 4 |
Cuando tenga la certeza de que la próxima sincronización no eliminará ninguna cuenta, vuelva a habilitar la sincronización de directorios desde el Conector de directorios. |
Las cuentas de usuario convertida no se activan automáticamente si usted no verificó un dominio. Por ejemplo, si activó la plantilla de licencia de asignación automática y luego activó el Conector de directorios sin verificación de dominio, los usuarios convertidos estarán inactivos en el backend en la nube hasta que confirmen sus direcciones de correo electrónico.
Cuentas de usuario de la aplicación Webex creadas con Sideboard
Cuando invita a otro usuario a un espacio en la aplicación de Webex, si el usuario invitado no tiene una cuenta de la aplicación de Webex, se crea una cuenta para él ("sideboard"). De manera predeterminada, las cuentas que se crean de este modo se agregan a la organización de consumidores sin cargo.
Si desea administrar la cuenta creada con Sideboard mediante el Conector de directorios, debe convertirla.
Cambiar el formato de nombre de usuario de la aplicación Webex después de la sincronización de directorios
De manera predeterminada, el Conector de directorios asigna el atributo displayName en Active Directory al atributo displayName en la nube.
Después de realizar una sincronización de directorios, es posible que encuentre que los nombres de usuario se muestran en el formato .
Este nombre de usuario puede aparecer si el atributo displayName en Active Directory está configurado de esa manera. Cuando el atributo se asigna a displayName en la nube, los nombres aparecen en el formato en Control Hub.
Para cambiar el formato, haga lo siguiente en la pantalla para mapear atributos del Conector de directorios: Asigne el atributo de Active Directory givenName sn (o sn givenName) a displayName en los nombres de atributos de la nube de Cisco.
Como alternativa, asigne el atributo sn givenName a displayName:
También puede utilizar la opción Personalizar atributo, si desea asignar su propia expresión de atributo personalizada a displayName.
Por ejemplo, introduzca givenName + "" + sn (nombre, espacio, apellido) como la expresión. Esto asigna los dos atributos de Active Directory a displayName en la nube.
Permitir que los usuarios cambien los nombres para mostrar en Webex Meetings
Puede desasignar el atributo displayName de la sincronización a la nube en el Conector de directorios si desea permitir que los usuarios editen sus nombres para mostrar preferidos. Los usuarios pueden introducir un nombre para mostrar durante las reuniones de Webex en lugar de su nombre y apellido. Los administradores también pueden cambiar el nombre para mostrar de un usuario manualmente en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. |
| 2 |
Seleccione displayName en Nombre de atributo de la nube de Cisco. |
| 3 |
Seleccione No sincronizar este atributo. |
Qué hacer a continuación
Los usuarios ahora pueden editar sus nombres en pantalla desde su sitio de Webex.
Resolución de problemas en el Conector de directorios
Mejorar a la versión de software más reciente
Para que su implementación cumpla las normas y obtenga las últimas características, funcionalidades, correcciones de errores y mejoras de seguridad, siempre debe mejorar a la versión más reciente del Conector de directorios. Si no realiza una mejora a la última versión disponible, es posible que experimente problemas, como que el Conector de directorios ya no se sincronice correctamente o que tenga una versión que no admita el requisito obligatorio de TLS 1.2.
El Conector de directorios le notifica automáticamente cuando hay una nueva versión disponible. Siempre mejore a la versión más reciente para evitar problemas. También verá una notificación en la barra de tareas de Windows.
Aunque puede instalar manualmente las actualizaciones de software de conectores, le recomendamos que siga los pasos de Configurar mejoras automáticas para permitir que la aplicación administre las mejoras automáticamente.
| 1 |
Haga clic en la notificación en la barra de tareas de Windows o haga clic con el botón derecho en el icono del Conector de directorios en la barra de tareas de Windows para iniciar el proceso de mejora. |
| 2 |
Siga las instrucciones para completar la mejora. |
| 3 |
Reinicie el conector e inicie sesión con sus credenciales de administrador. |
| 4 |
Verifique el número de versión del software en . |
Qué hacer a continuación
Para una nueva instalación del Conector de directorios, puede descargar el archivo zip y, a continuación, seguir los pasos de instalación de esta guía.
Configurar ajustes generales para el Conector de directorios
Utilice este procedimiento para configurar ajustes generales, como el nombre del servidor que ejecuta el Conector de directorios, los niveles de registro, las actualizaciones automáticas y los ajustes preferidos para los controladores de dominio. El nombre del conector aparece en el tablero de mandos de la sección de conectores, junto con cualquier otro conector que se esté ejecutando.
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en General. |
| 2 |
En el campo Nombre del conector, introduzca el nombre del conector. Este campo solo muestra el nombre de la computadora que está ejecutando el conector en este momento. |
| 3 |
Elija el nivel de registro desde el menú desplegable. De manera predeterminada, el nivel de registro está definido en Información. Los niveles de registro disponibles son los siguientes:
Esta configuración afecta al informe de sincronización que se envía por correo electrónico. Si establece el nivel de registro en Error, solo se informan errores en el informe de sincronización; si no existen errores, el informe de sincronización no se envía. Cambie la configuración a Información; luego, recibirá informes de sincronización después de la sincronización completa. (Tenga en cuenta que para una sincronización incremental, no se envía ningún informe cuando no se reportan errores). |
| 4 |
Seleccione los Controladores de dominio preferidos para definir el orden de los controladores de dominio para sincronizar identidades. A los controladores de dominio se accede desde arriba hacia abajo. Si el primer controlador desde arriba no está disponible, elija el segundo controlador de la lista. Si no hay ningún controlador en la lista, puede acceder al controlador primario. |
| 5 |
Marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco si desea que se realicen mejoras automáticas. Siempre es importante mantener el software del Conector de directorios de Cisco actualizado a la versión más reciente. Le recomendamos que marque esta configuración para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 6 |
Marque LDAP sobre SSL para utilizar el LDAP seguro (LDAPS) como protocolo de conexión. Si no marca LDAP sobre SSL, el Conector de directorios sigue utilizando el protocolo de conexión de LDAP. LDAP (Lightweight Directory Application Protocol) y LDAP seguro (LDAPS) son los protocolos de conexión que se utilizan entre una aplicación y el controlador de dominio dentro de la infraestructura. La comunicación LDAPS está cifrada y es segura. |
Configurar la política del conector
Puede definir la cantidad máxima de operaciones de eliminación que pueden tener lugar durante la sincronización. La sincronización en ejecución no elimina objetos de su Active Directory local. Todos los objetos se eliminan solo de la nube.
Por ejemplo, establece 1 como el valor de activación del umbral de eliminación. Cuando ejecuta una sincronización completa o incremental, si la cantidad de usuarios que quiere eliminar es superior al ajuste configurado, el conector de directorios exhibirá una advertencia. Si hace clic en Anular umbral, puede iniciar una sincronización completa o incremental sin inconveniente, pero seguirá viendo este aviso de anulación la próxima vez que ejecute la política.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Política. |
| 2 |
Marque la casilla Habilitar activador de umbral de eliminación si quiere agregar un activador de umbral. Si elige esta opción, se activa una alerta si la cantidad de operaciones de eliminación excede el umbral. Cuando la cantidad de operaciones de eliminación excede la cifra que definió, la sincronización falla.
|
| 3 |
Introduzca la cantidad máxima de operaciones de eliminación que quiera. El valor predeterminado es 20. Le recomendamos que no aumente el valor predeterminado. |
| 4 |
Haga clic en Aplicar. |
Definir la programación del conector
Defina la sincronización en Active Directory. La conmutación por falla se utiliza para proporcionar alta disponibilidad (HA). Si un conector está fuera de servicio, pasamos a otro conector de reserva después del intervalo predefinido.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Planificar. |
| 2 |
Especifique el Intervalo de sincronización incremental en minutos. De manera predeterminada, el intervalo para la sincronización incremental está definido en 30 minutos. No habrá ninguna sincronización incremental completa hasta que usted no realice inicialmente una sincronización completa. |
| 3 |
Cambie el valor de Enviar informes por… tiempo si quiere cambiar la frecuencia con la que se envían los informes. |
| 4 |
Marque Habilitar planificación de sincronización completa para especificar los días y horarios en los que quiera ejecutar una sincronización completa. |
| 5 |
Especifique el Intervalo de conmutación por falla en minutos. |
| 6 |
Haga clic en Aplicar. |
Situaciones de varios dominios
Los dominios múltiples se basan en la prioridad del dominio. En el caso de objetos que tengan el mismo valor de clave en diferentes dominios, después de la sincronización, los datos del dominio de mayor prioridad sobrescriben a los del dominio de menor prioridad.
Los objetos que tengan el mismo valor de clave se enlazan a un registro en la base de datos.
El valor de clave correspondiente a "Usuario" es Dirección de correo electrónico; y el correspondiente a "Grupo" es Nombre del grupo.
Caso práctico modelo para varios dominios
En este ejemplo se asume que una organización tiene dos dominios: ejemplo1.com y ejemplo2.com, en orden de prioridad.
-
Agregue usuario1(correo electrónico: Usuario@ejemplo1.com) al Active Directory de ejemplo1.com.
-
Agregue grupo1(Nombre del grupo: Prueba) al Active Directory de ejemplo1.com.
-
Agregue usuario2(correo electrónico: Usuario@ejemplo2.com) al Active Directory de ejemplo2.com.
-
Agregue grupo2(Nombre del grupo: Prueba) al Active Directory de ejemplo2.com.
- Sincronización en ejemplo1.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Si ejecuta una sincronización completa o incremental para ejemplo1.com. se sincronizan usuario1 y grupo1. Además, los valores de usuario2 y grupo2 se sobrescribirán con la información de usuario1 y grupo1.
usuario1 se enlaza a usuario2 como el mismo registro en la base de datos; grupo1 se enlaza a grupo2 como el mismo registro en la base de datos.
- Sincronización en ejemplo1.com y ejemplo2.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Tenga presentes estos pasos:
- Elimine usuario1 y grupo1 en el Active Directory correspondiente a ejemplo1.com.
- Ejecute una sincronización completa o incremental para ejemplo1.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com. usuario2 no se enlaza a usuario1; y grupo2 tampoco se enlaza a grupo1.
- Ejecute una sincronización incremental para ejemplo2.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com.
- Ejecute una sincronización completa para ejemplo2.com.
Resultado: la información de usuario2 y grupo2 se indica en https://admin.webex.com.
Sincronizar un nuevo dominio y conservar un dominio existente
Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de instalar el Conector de directorios para el dominio (B) en un servidor de Windows compatible. El conector se vincula al nuevo dominio después de la configuración inicial, y la información del usuario del dominio (A) no se ve afectada.
Cada dominio debe tener su propio conector activo. Considere dos dominios con la siguiente configuración: dominio A con conectores (ca1) y (ca2) para Alta disponibilidad (HA) local; dominio B con conector (cb1). (ca1) y(ca2) sirven al dominio A. En esta situación, un conector está activo y el otro en modo de espera (HA). Este diseño mantiene al dominio sincronizado debido a que siempre hay un conector activo. Por lo tanto, cb1 es el conector activo para el dominio B, ya que el dominio A ya tiene un conector activo (ca1 o ca2).
Establecer la prioridad de los dominios
Utilice este procedimiento para cambiar la prioridad de los dominios de Active Directory. La prioridad de los dominios le permite determinar el dominio primario, el secundario, y así sucesivamente. Esto resulta útil cuando dos usuarios de dos dominios diferentes tienen el mismo valor de correo electrónico sincronizado a una organización.
No utilice este procedimiento si tiene un solo dominio en el Conector de directorios. Si lo intenta, el conector le exhibirá un mensaje en el que se indica que no es necesario establecer ninguna prioridad de directorios.
Antes de comenzar
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde https://admin.webex.com.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Definir prioridad de dominios. |
| 3 |
Resalte un dominio de la lista, haga clic en Subir o Bajar para cambiar la prioridad de este dominio; luego, haga clic en Guardar para guardar este cambio. Los dominios se ordenan por prioridad de arriba hacia abajo. |
Cambiar dominios
Utilice este procedimiento para volver a vincular el conector de directorios de Cisco a un dominio diferente.
Antes de comenzar
-
Asegúrese de que no se esté ejecutando ninguna tarea de sincronización antes de cambiar dominios.
-
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde Control Hub.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Cambiar dominio. |
| 3 |
Después de leer el mensaje de precaución, si comprende el efecto de este cambio en su implementación y todavía está seguro, haga clic en Sí. Si cambia un dominio, se cierra la sesión del conector de directorios actual de Cisco, se cancelan los registros de otros dominios del conector y se elimina la información del conector de esa computadora. |
| 4 |
Vuelva a iniciar sesión en el conector de directorios de Cisco y vuelva a vincular el dominio. |
Desactivar la sincronización de directorios
Si necesita detener la sincronización desde el Conector de directorios, puede desactivarla temporalmente desde Control Hub.
| 1 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios y, luego, elija una opción:
|
| 2 |
Después de leer el mensaje, haga clic en Desactivar. La sincronización se detiene hasta que la vuelva a habilitar desde el Conector de directorios. |
Eliminar asignación de atributos de usuarios
Utilice el Conector de directorios para eliminar la asignación de atributos de Active Directory previamente asignados a la nube y sincronizados con Webex. Después de eliminar la asignación de atributos, los valores de los atributos se eliminan de la nube y ya no se sincronizan con Webex. Estos valores se pueden editar manualmente.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
Seleccione la asignación que desea eliminar de la lista Nombre de atributo . |
| 4 |
En Alcance del usuario afectado, seleccione una de las siguientes opciones:
|
| 5 |
Haga clic en Aplicar. |
Administrar imágenes de perfil
Utilice el Conector de directorios para actualizar las imágenes de perfil de usuario o para eliminar las imágenes de perfil de usuario en blanco.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
En Acciones, seleccione una de las siguientes opciones:
|
| 4 |
Haga clic en Aplicar. |
Desinstalar y desactivar el Conector de directorios
Después de desinstalar una instancia del Conector de directorios, deberá desinscribirlo. Elimine completamente un Conector de directorios en cualquiera de estas situaciones:
-
Ya no quiere utilizar la sincronización de directorios.
-
No quiere utilizar uno de los varios conectores de directorio (alta disponibilidad).
-
Quiere cambiar el dominio e instalar otro conector.
Antes de comenzar
-
Puede tener varias instancias del Conector de directorios configuradas para alta disponibilidad (HA) o sincronización de varios dominios. Deshabilite la sincronización si está desinstalando la única o última instancia del Conector de directorios.
-
Guarde y cierre cualquier trabajo importante antes de desinstalar el Conector de directorios.
| 1 |
En su máquina con Windows, diríjase al Panel de control y luego haga clic en Programas y características. |
| 2 |
En la lista de programas, haga clic en Conector de directorios, elija Desinstalar y, a continuación, siga las indicaciones. Es posible que tenga que reiniciar su sistema para completar la desinstalación. |
| 3 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios, haga clic en Más |
| 4 |
Después de leer el mensaje, haga clic en Desactivar. Si no hay ningún otro Conector de directorios en una implementación de alta disponibilidad (HA), ya no se sincronizan las cuentas de usuario. |
Ejecutar la herramienta de diagnóstico
Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas en la implementación del Conector de directorios. Esta herramienta se instala como parte del Conector de directorios 3.4 en adelante.
Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión a LDAP para poder diagnosticar errores usted mismo antes de comunicarse con el soporte. Si la herramienta devuelve algún error, puede enviar los resultados detallados del registro a soporte técnico.
-
Para ejecutar pruebas para los servicios de dominio de Active Directory:
-
Para ejecutar pruebas de los servicios de directorio ligero de Active Directory:
-
Para ejecutar pruebas del Lightweight Directory Access Protocol (Protocolo ligero de acceso a directorios, LDAP):
Solucionar problemas en el Conector de directorios de Ciso
Solución de problemas y correcciones para el Conector de directorios
Es posible que encuentre un mensaje de error u otro problema en el Conector de directorios. Además, una vez que el Conector de directorios sincroniza la información de los usuarios, es posible que el conector le envíe un informe por correo electrónico en el que se enumeren los problemas con la sincronización. Consulte las siguientes secciones para conocer los problemas que pueden surgir, las posibles causas y las soluciones propuestas que puede probar antes de comunicarse con el soporte.
Instalar
El Conector de directorios dejó de funcionar
Recibió alertas por correo electrónico en las que se le notifica que su Conector de directorios no está funcionando.
-
Es posible que el Conector de directorios no se instale correctamente.
-
Es posible que el Conector de directorios no se esté ejecutando.
-
Es posible que la red no esté disponible.
Intente lo siguiente:
-
Abra . Localice el Conector de directorios. Si no está allí, descargue la versión más reciente de Control Hub e instálela.
-
Abra Servicio y busque el Servicio de sincronización de directorios de Cisco. Asegúrese de que muestre el estado como Iniciado. Si el servicio está detenido, hágale clic derecho y seleccione Iniciar para reiniciarlo.
-
Asegúrese de que el servidor en el que instaló el Conector de directorios tenga acceso a Internet.
Error de reinstalación
Problema: si instala inmediatamente un nuevo conector después de desinstalar uno anterior, es posible que vea un mensaje de error.
Causa posible: en Windows Server 2012, el cliente de desinstalación necesita tiempo para eliminar la cuenta de servicio de la lista de servicios.
Solución: después de que haya pasado un tiempo, intente la instalación nuevamente.
Iniciar sesión
El conector de directorios se bloquea durante el inicio de sesión con SSO
Problema
El Conector de directorios puede bloquearse después de que usted introduzca una dirección de correo electrónico desde una página de inicio de sesión de SSO.
Solución
Intente lo siguiente:
Siga estos pasos para configurar una nueva política de grupo:
-
Vaya al controlador de dominio y abra Group Policy Management (gpedit.msc).
-
Haga clic con el botón derecho en una unidad organizativa o un dominio específicos, seleccione Crear un GPO en este dominio y Vincule aquí…
-
Asigne un nombre a la política y, a continuación, haga clic con el botón derecho y elija Editar.
Siga estos pasos para cambiar la política a nivel de la máquina:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_LOCAL_MÁQUINA\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Siga estos pasos para cambiar la política a nivel de usuario:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_USUARIO ACTUAL\SOFTWARE\Microsoft\Internet Explorer\Main_.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Los cambios surten efecto después de ejecutar gpupdate /force, de que la máquina se reinicie (para los cambios de máquina) o de que el usuario vuelva a iniciar sesión (para los cambios de usuario).
No se pudo inscribir el conector de servicios DirSync de Cisco
Problema
El inicio de sesión falla y aparece este mensaje: “El conector de servicios de sincronización de directorios de Cisco no se pudo inscribir”.
Solución
El sistema de Windows en el que está instalado el Conector de directorios debe ser miembro de Active Directory.
No aparece la página de inicio de sesión
Problema
Abrió el Conector de directorios y no aparecía la página de inicio de sesión.
Solución
Pruebe los siguientes pasos:
-
En Internet Explorer, vaya a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Pruebe el enlace en otros navegadores como Chrome y Firefox.
-
Si Internet Explorer no puede visitar el enlace, pero otros navegadores sí pueden, marque la configuración de Internet Explorer y marque las casillas de verificación TLS 1.1 y 1.2. (Utilice el procedimiento Habilitar TLS en Internet Explorer .)
Aparece el mensaje de inicio de sesión
Problema
Aparece un mensaje que le solicita que ingrese el nombre de usuario y la contraseña para pasar la autenticación.
Causa posible
El Conector de directorios completa la autenticación de seguridad NTLM silenciosamente con la cuenta de inicio de sesión. Si falla la autenticación, aparece un cuadro de diálogo para solicitar el nombre de usuario y la contraseña de autenticación.
Solución
Cuando vea la ventana emergente de inicio de sesión, necesita proporcionar una cuenta válida con autenticación correcta para pasar la seguridad.
No se puede conectar al servidor remoto
Problema
Durante el funcionamiento normal, aparece el mensaje de error: "No se puede conectar al servidor remoto".
Causa posible
Es posible que tenga problemas de proxy que deban resolverse.
Solución
Consulte Solucionar problemas de inicio de sesión en la cuenta de servicio para obtener más información sobre la solución de problemas.
No se puede inscribir el conector
Problema
Aparece el mensaje de error "No se puede inscribir el conector. Ocurrió una excepción general".
Causa posible
En la mayoría de los casos, el problema se debe a que el Conector de directorios no tiene privilegios para conectarse al contexto raíz de LDAP.
Solución
Intente lo siguiente:
-
Ejecute un símbolo del sistema (cmd) y luego introduzca ldp.exe.
-
Haga clic en , elija Vincular como usuario actualmente conectado y, a continuación, haga clic en Aceptar.
-
Haga clic en , introduzca DC=arbonneintl,DC=ad como BaseDN y, luego, haga clic en Aceptar.
-
Si el problema continúa, abra un caso en el servicio de soporte técnico.
Sincronización
Avatares no sincronizados
Problema
El conector de directorios de Cisco sincronizó los datos de AD del usuario con la nube de Webex. Pero no se sincronizaron correctamente datos de avatar.
Causa posible
Si reutilizó un servidor de avatar existente y los avatares del usuario ya estaban sincronizados, la caché local los captura y evita que se vuelvan a enviar para ahorrar ancho de banda.
Solución
Elimine la caché local siguiendo estos pasos:
-
Vaya a C:\Archivos de programa (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Elimine DirSyncPluginAvatar.dll-cache.bin.
-
Vuelva a ejecutar la sincronización de avatares desde el conector de directorios de Cisco.
Cuentas de correo electrónico de usuarios en conflicto
Problema
Los resultados de la sincronización pueden mostrar cuentas de correo electrónico de usuarios conflictivas.
-
Si los usuarios probaron la versión gratuita de la Aplicación de Webex, sus direcciones de correo electrónico residen en la organización de consumidores sin cargo.
-
Si alguna vez se sincronizaron los correos electrónicos de los usuarios en otra organización.
-
Si los correos electrónicos de los usuarios existen en varios dominios que pertenecen a la organización.
Solución
Intente lo siguiente:
-
Siga estos pasos si está intentando reclamar usuarios:
-
Asegúrese de haber verificado el dominio en Control Hub.
-
Deshabilite temporalmente el Conector de directorios de Cisco.
-
Utilice la opción Reclamar usuario en Control Hub para reclamar las cuentas que puedan existir en la organización de consumidores sin cargo. Consulte Reclamar usuarios a su organización (Convertir usuarios) para obtener más información.
-
Realice una simulación en el Conector de directorios de Cisco y, luego, vuelva a habilitar la sincronización de directorios
-
-
En el último caso, compruebe dos veces los datos de los usuarios en sus fuentes de Active Directory.
Usuario convertido marcado como inactivo
Problema
En su entorno sincronizado de directorios, convirtió a un usuario gratuito (organización de consumidor) en su organización empresarial, pero el usuario convertido no puede iniciar sesión en la Aplicación de Webex.
Causa posible
Cuando el usuario gratuito se convierte en la organización empresarial, se marca al usuario como estado inactivo durante 30 días como medida de cumplimiento de seguridad. Durante este período, el usuario no puede iniciar sesión en la Aplicación de Webex y se marca para su eliminación al final del período de 30 días. Esta situación surge porque la información del usuario gratuito no reside en Active Directory.
Solución
Debe tomar medidas si no desea que se elimine la cuenta de usuario. Para resolver este problema, cree una cuenta de usuario en su Active Directory local que corresponda a la cuenta de usuario gratuita convertida. A continuación, realice una sincronización desde el Conector de directorios de Cisco. Luego, el usuario podrá volver a iniciar sesión en la aplicación de Webex y la cuenta no se eliminará.
Falla la sincronización incremental
Problema
Falla una sincronización incremental.
Este problema puede ocurrir en Windows Server 2008 R2 en las siguientes condiciones:
-
Usted admite las actualizaciones de valor incremental.
-
El filtro que utiliza hace referencia a un atributo de valor vinculado.
-
Los valores de resultado de ese atributo se actualizaron desde la última vez que se realizó una sincronización completa.
Solución
Windows Server 2008 R2 tiene un error relacionado con este problema. El error se corrigió en 2012 R2 y versiones posteriores. Le recomendamos que mejore su Windows Server a al menos 2012 R2.
Valor no válido para el atributo
Problema
Para [ND del usuario (nombre distinguido)], el atributo [nombre del atributo] tiene el siguiente valor no válido: [valor del atributo].
Causa posible
Para CN=b,OU=Employees,OU=C Users,DC=c,DC=com, el atributo [número de teléfono] tiene el siguiente valor no válido: +. Este atributo debe contener al menos un número.
Solución
Un atributo para este usuario no tiene un valor válido. Corrija su valor según la descripción que se indica en el mensaje de advertencia. Luego realice otra operación de sincronización.
Usuarios coincidentes para eliminar
Problema
Los usuarios coincidentes se marcan para ser eliminados.
Al realizar una simulación de sincronización para comprobar los datos entre Active Directory y la nube, es posible que vea la misma dirección de correo electrónico en ambos. Sin embargo, el usuario se marca como un objeto que desea eliminar.
Solución
Elija una solución adecuada:
-
Si no está bien eliminar al usuario y rehacer las licencias después, puede utilizar el Conector de directorios para solucionarlo. Realice una sincronización para eliminar al usuario y, luego, realice otra sincronización para sincronizar al usuario de AD local con la nube.
-
Si no puede eliminar ni volver a crear la cuenta de usuario, abra un caso en el servicio de soporte técnico.
Atributo faltante
Problema
El atributo obligatorio [attribute_name] al agregar una entrada local [DN del usuario (nombre distinguido)]. La entrada no se crea en Control Hub hasta que todos los atributos obligatorios tienen un valor.
Causa posible
Falta el atributo obligatorio de dirección de correo electrónico. Al agregar una entrada local [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], la entrada no se crea en Control Hub hasta que todos los atributos obligatorios tengan un valor.
Solución
Falta uno de los atributos obligatorios para el usuario [user_email_address]. Proporcione los valores obligatorios para ese usuario.
El grupo anidado no se sincronizará
Problema
Los usuarios de un grupo de Active Directory anidado no se sincronizan correctamente con la nube.
Causa posible
Se utiliza un filtro que incluye tanto el grupo secundario como el grupo padre, que no es compatible. Por ejemplo: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Solución
Debe volver a configurar el filtro que sincroniza los grupos. Por ejemplo: |(memberof=CN=testgroup1,CN=Usuarios,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuarios,DC=rktest2008,DC=org)
Conflicto de nomenclatura del usuario
Problema
Hay un conflicto de nomenclatura para [ND del usuario] para un objeto de entrada en la nube existente con el siguiente nombre: [dirección de correo electrónico del usuario] y del tipo de usuario [user_type].
Causa posible
Ya existe un usuario con esa dirección de correo electrónico en Control Hub.
Solución
Cree un usuario en su Active Directory con la misma dirección de correo electrónico que la cuenta que inscribió a través de Control Hub.
Concentrador de control
Falta la lista de usuarios en Control Hub
Problema
Si tiene una organización de Webex con más de 1000 usuarios sincronizados, es posible que no vea la lista de usuarios en Control Hub.
Solución
Puede utilizar la funcionalidad de búsqueda para encontrar una cuenta de usuario. En Control Hub, diríjase a Usuarios, haga clic en Buscar y, luego, introduzca los criterios de búsqueda para encontrar un usuario específico.
Los grupos no se sincronizarán con Control Hub
Problema
Los usuarios de un grupo de directorio no se sincronizarán correctamente con Control Hub.
Causa posible
El grupo no está etiquetado como isCriticalSystemObject en Active Directory.
Solución
Asegúrese de que el atributo isCriticalSystemObject esté definido en TRUE en Active Directory.
Habilitar la solución de problemas para el Conector de directorios
Puede habilitar la solución de problemas para diagnosticar más fácilmente cualquier error que encuentre en el Conector de directorios. La solución de problemas le permite capturar información del tráfico de red y guardarla en un archivo.
Los archivos de registro que son: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Ejecute el archivo |
| 2 |
Reinicie el servicio. Consulte Cómo iniciar servicios para obtener ayuda. |
| 3 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 4 |
Diríjase a Acciones y, luego, haga clic en . |
| 5 |
Con la solución de problemas habilitada, repita las acciones que estaban causando un error; de esta manera, se capturan los datos del tráfico para poder examinarlos. |
| 6 |
Examine los archivos de registro: si el archivo está en blanco, asegúrese de que la cuenta tenga privilegios para acceder a su AD DS o AD LDS. La carpeta de registro solo guarda los archivos de los últimos 3 días. El contenido de los archivos de registro es coherente con la salida del registro de eventos en el sistema. |
| 7 |
Si es necesario, envíe el archivo de registro al servicio de Soporte para obtener ayuda. |
| 8 |
Deshabilite la característica de solución de problemas cuando termine. |
Iniciar el visor de eventos
Para ver los eventos que se produjeron durante una sincronización completa o incremental, inicie el Visor de eventos. Muestra un resumen de los eventos administrativos y los registros de errores.
| 1 |
Desde el Conector de directorios, diríjase al Tablero de mandos y, luego, haga clic en . En el cuadro de diálogo de Propiedades de eventos se indican detalles de los eventos y errores durante la sincronización. |
| 2 |
Desde el Visor de eventos, diríjase a .
|
| 3 |
En Acciones, haga clic en Guardar todos los eventos como para exportar todos los registros como un solo archivo de eventos (*.evtx) u otro formato como xml o csv. |
Qué hacer a continuación
Si necesita abrir un caso, comuníquese con el soporte, describa el problema con el conector y, a continuación, adjunte el archivo de Events a su caso.
Los registros de eventos capturan las acciones de los usuarios. Para obtener ayuda con la administración del tráfico de red, habilite la resolución de problemas en el conector.
Habilitar TLS en Internet Explorer
Si cambió los proveedores de inicio de sesión único (SSO), es posible que vea los siguientes mensajes de error del conector de directorios de Cisco:
-
Se produjo un error al conectarse al servicio
-
Se ha producido un error en el script de esta página
Si ve estos errores, debe habilitar un ajuste de TLS en su navegador.
| 1 |
Abra Internet Explorer y, a continuación, elija Herramientas. Ahora marque las casillas de la versión TLS/SSL que desea habilitar Haga clic en Aceptar Cerrar el navegador y abrirlo de nuevo |
| 2 |
Haga clic en Opciones de Internet , vaya a Opciones avanzadas y desplácese hasta Seguridad. |
| 3 |
Marque las casillas de verificación Usar TLS 1.1 y Usar TLS 1.2 y, luego, haga clic en Aceptar.
|
| 4 |
Reinicie su sistema para que los cambios tengan efecto. |
Solucionar problemas en el inicio de sesión a una cuenta de servicios
Si no puede iniciar sesión en el conector de directorios de Cisco o no puede ejecutar una sincronización, siga estos pasos para intentar resolver el problema antes de comunicarse con el servicio de soporte.
| 1 |
Trate de ingresar a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL en su navegador web. |
| 2 |
Dependiendo de los resultados, elija una opción:
|
| 3 |
Como mínimo, asegúrese de que la cuenta configurada para el servicio Cisco DirSync (que se puede encontrar en los servicios de Windows) tenga un nivel de privilegios que le permita acceder a los datos de avatar y a los datos de AD. De forma predeterminada, el servicio aprovecha las credenciales y la autenticación de la cuenta de inicio de sesión de Windows. |
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
Descripción general del Conector de directorios de Cisco
Descripción general del Conector de directorios
El Conector de directorios es una aplicación local para la sincronización de identidades en la nube. Descargue el software del conector desde Control Hub e instálelo en su máquina local.
Con el Conector de directorios, puede mantener sus cuentas de usuario y sus datos en Active Directory, de modo que Active Directory se convierte en la única fuente fiable. Cuando realiza un cambio en las instalaciones, se replica en la nube.
Consulte todas las características, las descripciones y los beneficios en la tabla:
| Característica | Descripción y ventaja |
|---|---|
| Tablero de mandos fácil de usar | El tablero de mandos proporciona una planificación de sincronizaciones, un resumen y el estado de la sincronización y del Conector de directorios. Puede ver el tablero de mandos cada vez que inicie sesión. |
| Simulacro antes de la sincronización con la nube | Realice una simulación de los cambios en el directorio antes de que se implementen en la nube. Luego, ejecute un informe para ver que los cambios cumplen con sus expectativas. |
| Sincronización completa y gradual | Sincronice el directorio completo. O bien, sincronice los cambios graduales para ahorrar potencia de procesamiento y acortar el tiempo de sincronización. |
|
Sincronizar varios dominios (bosque único o bosques múltiples) |
El Conector de directorios admite varios dominios en un solo bosque o en varios bosques (sin la necesidad de AD LDS). En el caso de empresas con varios dominios de Active Directory, puede instalar un Conector de directorios para cada dominio, vincular cada dominio a su organización y, luego, sincronizar cada base de usuarios en Webex. Control Hub refleja el estado mostrando el estado de sincronización para varios conectores de directorios, le permite desactivar la sincronización para un dominio específico y desactivar un conector de directorios en una implementación de alta disponibilidad. |
| Sincronización programada | Configure una planificación de sincronizaciones por día, hora y minuto. |
| Filtros del Protocolo ligero de acceso a directorios (LDAP) | Defina el criterio de búsqueda de LDAP y proporcione importaciones eficientes. |
| Asignación de atributos de Active Directory | Asigne atributos de Microsoft Active Directory a los atributos de la nube de Webex correspondientes. Puede asignar atributos relevantes para la configuración de su Active Directory y también definir atributos personalizados para asignar a la nube. Los atributos de las instalaciones forman diversos datos en la nube, como información de cuentas de usuario, números de teléfono empresarial en Webex Teams, direcciones SIP de recursos de sala y otros datos de tarjetas de contacto del usuario (cargo, departamento, gerente, etc.). |
|
Directorio corporativo para recursos de salas locales y usuarios de Cisco Webex Calling (PSTN en la nube) y contactos empresariales sin licencias de Webex |
Si parte de su organización utiliza la PSTN en la nube de Cisco Webex Calling para el servicio de llamadas o usted tiene dispositivos de sala locales, esta característica permite a los usuarios buscar contactos empresariales en el directorio desde sus teléfonos o recursos de sala de Cisco Webex Calling (PSTN en la nube).
|
| Visor de eventos | Use el visor de eventos para determinar si hubo problemas con la sincronización. |
| Herramienta de diagnóstico y solución de problemas | Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas de su implementación Conector de directorios Cisco. Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión con Active Directory para que pueda diagnosticar los errores usted mismo antes de comunicarse con el servicio de soporte. Una vez que habilite la solución de problemas en el Conector de directorios, se escriben registros que pueden enviarse al soporte técnico. |
| Mejora automática | Después de que instala Conector de directorios, recibe una notificación cada vez que haya una nueva versión del software disponible. Puede configurar actualizaciones automáticas para que siempre tenga la última versión del software cuando se lanza una nueva versión. |
| Alta disponibilidad | Configure varios conectores para que haya una copia de seguridad, por si el conector principal o la máquina que lo aloja dejan de funcionar. |
El Conector de directorios está dividido en tres áreas:
-
Control Hub es la interfaz única que le permite administrar todos los aspectos de su organización de Webex: ver usuarios, asignar licencias, descargar el Conector de directorios y configurar el inicio de sesión único (SSO) si desea que sus usuarios se autentiquen a través de su proveedor de servicios de identidad empresarial y no desea enviar invitaciones por correo electrónico para la aplicación de Webex.
-
La interfaz de administración del Conector de directorios es el software que se descarga desde Control Hub e instala en un servidor de Windows de confianza. Para varios dominios de Active Directory, puede instalar una porción del software para cada dominio que desea sincronizar. Si utiliza el software, puede ejecutar una sincronización para incorporar sus cuentas de usuario de Active Directory a Webex, ver y supervisar el estado de la sincronización y configurar servicios del Conector de directorios.
-
El servicio de sincronización de directorios solicita a su Active Directory que recupere usuarios y grupos para sincronizarlos con el servicio de conectores y con el Conector de directorios.
Consulte este diagrama para comprender la arquitectura del Conector de directorios:
Preparar su entorno para el Conector de directorios
Requisitos para el Conector de directorios
Requisitos de Windows y Active Directory
Puede instalar el Conector de directorios en estos servidores Windows compatibles:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver un problema con las cookies, le recomendamos que mejore su controlador de dominio a una versión que contenga la solución: Windows Server 2012 R2 o 2016.
El Conector de directorios es compatible con los siguientes servicios de Active Directory:
-
Active Directory 2016
(El Conector de directorios es compatible cuando se utiliza la última versión de Active Directory en Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Tenga en cuenta los siguientes requisitos adicionales:
-
El Conector de directorios requiere TLS1.2. Debe instalar lo siguiente:
-
.NET Framework v3.5 (necesario para la aplicación del Conector de directorios. Si tiene algún problema, utilice las instrucciones de Habilitar .NET Framework 3.5 mediante el asistente para agregar funciones y características).
-
.NET Framework v.4.5 (se requiere para TLS1.2)
-
-
Se requiere el nivel 2 de la funcionalidad de bosque de Active Directory (Windows Server 2003) o posterior (Consulte ¿Qué son los niveles funcionales de Active Directory? para obtener más información).
Requisitos de hardware
Debe instalar el Conector de directorios en una computadora con estos requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de almacenamiento
-
No hay ningún mínimo para la CPU
Requisitos de red
Si su red está detrás de un firewall, asegúrese de que su sistema tenga acceso HTTPS (puerto 443) a Internet.
Requisitos de la organización de Webex
-
Para acceder al software del Conector de directorios desde Control Hub, necesita una organización de Webex con una prueba o cualquier suscripción paga.
-
(Opcional) Si desea que las nuevas cuentas de usuario de la aplicación de Webex estén Activas antes de que inicien sesión por primera vez, le recomendamos que haga lo siguiente:
-
Agregue, verifique y, opcionalmente, reclame dominios que contengan las direcciones de correo electrónico de los usuarios que desea sincronizar en la nube.
-
Realice una integración de inicio de sesión único (SSO) de su proveedor de servicios de identidad (IdP) con su organización de Webex.
-
Suprimir las invitaciones automáticas por correo electrónico, de modo que los usuarios nuevos no reciban la invitación automática por correo electrónico y usted pueda realizar su propia campaña de correo electrónico. (Esta característica requiere la integración de SSO).
-
Para obtener más información, consulte Estados y acciones del usuario en Control Hub.
Requisitos de instalación
-
Para un entorno de varios dominios (ya sea bosque único o bosques múltiples), debe instalar un Conector de directorios por cada dominio de Active Directory. Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de tener un servidor Windows compatible separado para instalar el Conector de directorios para la sincronización del dominio (B).
-
Para iniciar sesión en el conector, no necesitamos una cuenta administrativa en Active Directory. Requerimos una cuenta de usuario local que sea el mismo usuario que una cuenta de administrador completa en Control Hub.
Este usuario local debe tener privilegios en esa máquina de Windows para conectarse al Controlador de dominios y leer los objetos de usuario de Active Directory. La cuenta de inicio de sesión de la máquina debe ser un administrador de la computadora con privilegios para instalar software en la máquina local. (Esta información también se aplica a la conexión de una máquina virtual).
-
Al iniciar sesión en el conector, la cuenta de inicio de sesión debe ser la misma que la cuenta de administrador completa para Control Hub. De forma predeterminada, el conector utiliza la cuenta del sistema local para acceder a Active Directory. Sin embargo, puede utilizar los servicios de Windows para configurar otra cuenta a fin de acceder a Active Directory. (Esta información también se aplica a la conexión de una máquina virtual).
-
Asegúrese de que el modo de búsqueda de biblioteca dinámica de enlaces (DLL) de Windows Safe esté habilitado mediante este procedimiento: Compruebe SafeDllSearchMode en el Registro de Windows.
-
Si utiliza AD LDS para varios dominios en un solo bosque, le recomendamos que instale el Conector de directorios y Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) en máquinas separadas.
Requisitos de varios dominios
Antes de seguir las tareas que se indican en el Flujo de tareas de implementación del conector de directorios de Cisco, tenga en cuenta los siguientes requisitos y recomendaciones si va a sincronizar la información de Active Directory de varios dominios a la nube:
-
Se requiere una instancia independiente del Conector de directorios para cada dominio.
-
El software del Conector de directorios debe ejecutarse en un host que esté en el mismo dominio que sincronizará.
-
Le recomendamos que verifique o reclame sus dominios en Control Hub. (Consulte Agregar, verificar y reclamar dominios).
-
Si desea sincronizar más de 50 dominios, debe abrir un ticket para que su organización se mueva a una lista de organizaciones grande.
-
Si lo desea, puede sincronizar la información de los recursos de la sala junto con las cuentas de usuario. (Consulte Sincronizar la información de la sala local con la nube de Webex).
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
Los grupos de Active Directory se utilizan para recopilar cuentas de usuarios, cuentas informáticas y otros grupos en unidades manejables. Trabajar con grupos en lugar de con usuarios individuales ayuda a simplificar el mantenimiento y la administración de la red.
Hay dos tipos de grupos en Active Directory:
-
Grupos de distribución: se utiliza para crear listas de distribución de correo electrónico.
-
Grupos de seguridad: se utiliza para asignar permisos a recursos compartidos.
Tenga en cuenta las siguientes pautas al crear grupos en Active Directory:
-
Cree un grupo global para cada función, departamento o servicio (como ventas, marketing, gerentes, contables, licencias de Webex, etc.).
-
Utilice convenciones de nomenclatura estándares en toda la organización para facilitar la identificación de información importante sobre un grupo. Los nombres de grupos pueden incluir detalles acerca del grupo, como el nivel de acceso, el tipo de recurso, el nivel de seguridad, el alcance del grupo, la capacidad de correo, etc. Por ejemplo, el nombre de grupo “GSG_Webex_Licensing_EMEAR” se refiere a un grupo de seguridad global para usuarios de licencias de Webex de EMEAR.
-
Organice grupos de una manera fácil de entender, por ejemplo, por geografía o jerarquía gerencial. Utilice las descripciones del grupo para describir completamente el propósito del grupo.
-
Antes de agregar usuarios a los grupos recientemente aprovisionados, defina la plantilla de grupo de licencias automáticas en Control Hub para esos grupos. Consulte Configurar su plantilla de asignación automática de licencias para obtener más información.
Información de dimensionamiento
El Conector de directorios funciona como un puente entre Active Directory en las instalaciones y la nube de Webex. Como tal, el conector no tiene un límite superior para la cantidad de objetos de Active Directory que se pueden sincronizar en la nube. Los límites de los objetos del directorio local están vinculados a la versión y las especificaciones específicas del entorno de Active Directory que se está sincronizando con la nube, no con el propio conector.
Algunos factores pueden afectar la velocidad de la sincronización:
-
El número total de objetos de Active Directory. (Un trabajo de sincronización de 5000 usuarios no demorará tanto como 50000).
-
Velocidad de red y ancho de banda.
-
Carga de trabajo y especificaciones del sistema.
Si está sincronizando más de 50 000 usuarios, le recomendamos con énfasis que utilice un segundo conector para la conmutación por error y la redundancia.
Debido a que hay varios factores involucrados en la sincronización y porque cada implementación varía según los factores anteriores, no podemos proporcionar valores de tiempo específicos para el tiempo que llevará una sincronización de objetos.
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
Integración de proxy web
Integración de proxy web
Si la autenticación con proxy web está habilitada en su entorno, puede seguir usando el Conector de directorios.
Si su organización utiliza un proxy web transparente, no es compatible con la autenticación. El conector conecta y sincroniza usuarios con éxito.
Puede adoptar uno de estos enfoques:
-
Proxy web explícito a través de Internet Explorer (el conector hereda la configuración del proxy web)
-
Proxy web explícito por medio de un archivo .pac (el conector hereda la configuración proxy específica de la empresa)
-
Proxy transparente que funciona con el conector sin ningún cambio
Utilizar un proxy web por medio del navegador
Puede configurar el Conector de directorios para que utilice un proxy web a través de Internet Explorer.
Si el servicio de sincronización de directorios de Cisco se ejecuta desde una cuenta diferente a la que está conectado el usuario en ese momento, también tiene que iniciar sesión con esta cuenta y configurar el proxy web.
| 1 |
Desde Internet Explorer, diríjase a Opciones de Internet, haga clic en Conexiones y luego elija Configuración de LAN. |
| 2 |
Señale la instancia de Windows donde esté instalado el conector en su proxy web. El conector hereda esta configuración de proxy web. |
| 3 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 4 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Configurar el proxy web por medio de un archivo PAC
Puede configurar un navegador cliente para utilizar un archivo .pac. Este archivo proporciona información sobre la dirección y el puerto del proxy web. El Conector de directorios hereda directamente la configuración del proxy web específica de la empresa.
| 1 |
Para que el conector conecte y sincronice con éxito la información de los usuarios con la nube de Webex, asegúrese de que la autenticación con proxy esté deshabilitada para |
| 2 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 3 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Proxy NTLM
El Conector de directorios admite NT LAN Manager (NTLM). NTLM es un enfoque para admitir la autenticación de Windows entre los dispositivos del dominio y garantizar su seguridad.
Diseño NTLM
En la mayoría de los casos, un usuario quiere acceder a los recursos de otra estación de trabajo a través de un PC cliente, lo que puede ser difícil de hacer de una manera segura.
En general, el diseño técnico de NTLM se basa en un mecanismo de Desafío
y Respuesta
:
-
Un usuario inicia sesión en la PC de un cliente a través de una cuenta y contraseña de Windows. La contraseña nunca se guarda localmente. En lugar de una contraseña de texto sin formato, se almacena localmente un valor hash de la contraseña. Cuando un usuario inicia sesión a través de la contraseña con el cliente, el sistema operativo Windows compara el valor hash almacenado y el valor hash de la contraseña de entrada. Si ambos son iguales, la autenticación pasa.
Cuando el usuario quiere acceder a cualquier recurso en otro servidor, el cliente envía una solicitud al servidor con el nombre de la cuenta en texto sin formato.
-
Cuando el servidor recibe la solicitud, el servidor genera una clave aleatoria de 16 bits. La clave se llama Desafío (o Nonce). Antes de que el servidor vuelva a enviar al cliente, el desafío se almacena en el servidor. Luego, el servidor envía el desafío al cliente en texto sin formato.
-
Tan pronto como el cliente recibe el desafío enviado desde el servidor, el cliente cifra el desafío por el valor hash que se mencionó en el paso 1. Después del cifrado, el valor se devuelve al servidor.
-
Cuando el servidor recibe el valor cifrado del cliente, el servidor lo envía al controlador de dominio para su verificación. La solicitud incluye: el nombre de la cuenta, el desafío cifrado que envió el cliente y el desafío simple original.
-
El controlador de dominio puede recuperar los valores de hash de la contraseña según el nombre de la cuenta. Y, a continuación, el controlador de dominio puede cifrar en el desafío original. El controlador doman puede entonces comparar con el valor de hash recibido y el valor de hash cifrado. Si son iguales, la verificación se realiza correctamente.
Windows tiene la autenticación de seguridad integrada en el sistema operativo, lo que facilita que las aplicaciones admitan la autenticación de seguridad. En consecuencia, no es necesario completar la configuración adicional.
Configurar un proxy transparente
En esta situación, el navegador no sabe que un proxy web transparente está interceptando solicitudes http [puerto 80/puerto 443] y no se requiere ninguna configuración en el lado del cliente.
| 1 |
Implemente un proxy transparente para que el conector pueda conectar y sincronizar usuarios. |
| 2 |
Confirme que el proxy sea correcto: verá una ventana emergente de autenticación del navegador esperada al iniciar el conector. |
Establecer autenticación de proxy
Agregue la URL cloudconnector.webex.com a su lista de permitidos; para ello, cree una Lista de control de acceso.
En su servidor de firewall empresarial:
| 1 |
Habilite la búsqueda de DNS si todavía no está habilitada. |
| 2 |
Determine un ancho de banda estimado para esta conexión (aproximadamente 2 mb/s o menos para el conector). Es posible que esto no sea obligatorio. |
| 3 |
Cree una Lista de control de acceso para aplicarla al host de conectores y especifique Por ejemplo: access-list 2000 acl-inside extended permit TCP [IP del conector] cloudconnector.webex.com eq https |
| 4 |
Aplique esta ACL a la interfaz de firewall adecuada, que solo se aplica a este host de conectores únicos. |
| 5 |
Asegúrese de que el resto de los hosts de su empresa todavía tengan que utilizar su proxy web; para ello, configure la declaración de denegación implícita que corresponda. |
Implementar el Conector de directorios
Flujo de tareas de implementación del conector de directorios de Cisco
Antes de comenzar
| 1 |
Instalar el Conector de directorios Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito. En el caso de una instalación nueva del Conector de directorios, vaya siempre a Control Hub ( https://admin.webex.com) para obtener la última versión del software, de modo que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 2 |
Iniciar sesión en el Conector de directorios Inicie sesión con sus credenciales de administrador de Webex y realice la configuración inicial. |
| 3 |
Configurar mejoras automáticas Siempre es importante mantener el software del Conector de directorios actualizado con la última versión. Le recomendamos que utilice este procedimiento para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 4 |
Elegir objetos de Active Directory para sincronizar De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios. |
| 5 |
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid. |
| 6 |
Sincronice los avatares de directorios mediante uno de los siguientes procedimientos:
Puede sincronizar los avatares de sus usuarios con la nube para que aparezca el avatar de cada usuario cuando inicie sesión en la aplicación. Puede sincronizar avatares desde un atributo de Active Directory o un servidor de recursos. |
| 7 |
Sincronizar la información de la sala local con la nube de Webex Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube, como un dispositivo de sala de Webex o Cisco Webex Board |
| 8 |
Para Aprovisionar Usuarios De Active Directory En Control Hub, siga estos pasos:
Siga esta secuencia para aprovisionar usuarios de Active Directory para cuentas de la aplicación de Webex. Puede aprovisionar usuarios de una implementación de Active Directory de varios bosques o dominios para el Conector de directorios 3.0 y versiones posteriores. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex. |
Instalar el Conector de directorios
Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito.
Debe instalar un conector por cada dominio de Active Directory que quiera sincronizar. Una única instancia del Conector de directorios solo puede servir a un único dominio. Consulte el siguiente diagrama para comprender el flujo de la sincronización de múltiples dominios:
Antes de comenzar
Si se autentica a través de un servidor proxy, asegúrese de tener sus credenciales de proxy:
-
Para la autenticación básica de proxy, introducirá el nombre de usuario y la contraseña después de instalar una instancia del conector. La configuración del proxy de Internet Explorer también es necesaria para la autenticación básica; consulte Utilizar un proxy web a través del navegador
-
En el caso de NTLM de proxy, es posible que vea un error cuando abra el conector por primera vez. Consulte Utilizar un proxy web a través del navegador.
| 1 |
En Control Hub, diríjase a y elija Siguiente. |
| 2 |
Haga clic en el enlace Descargar e instalar para guardar la última versión del archivo .zip de instalación del conector en su servidor VMware o Windows. Puede obtener el archivo .zip directamente desde este enlace, pero debe tener acceso administrativo total a una organización de Control Hub para que este software funcione. En el caso de una instalación nueva, obtenga la versión más reciente del software para que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 3 |
En el servidor de VMware o Windows, descomprima y ejecute el archivo .msi en la carpeta de configuración para iniciar el asistente de configuración. |
| 4 |
Haga clic en Siguiente, marque la casilla para aceptar el acuerdo de licencia y, luego, haga clic en Siguiente hasta ver la pantalla del tipo de cuenta. |
| 5 |
Elija el tipo de cuenta de servicio que desea utilizar y realice la instalación con una cuenta de administrador:
Para evitar errores, asegúrese de que estén implementados los siguientes privilegios:
|
| 6 |
Haga clic en Instalar. Después de ejecutar la prueba de red y, si se le solicita, introduzca sus credenciales básicas de proxy, haga clic en Aceptar y, a continuación, haga clic en Finalizar. |
Qué hacer a continuación
Le recomendamos que reinicie el servidor después de la instalación. El informe de simulación no puede mostrar el resultado correcto cuando no se liberaron los datos. Al reiniciar la máquina, se actualizan todos los datos para mostrar un resultado exacto en el informe.
Iniciar sesión en el Conector de directorios
Antes de comenzar
Asegúrese de tener sus credenciales de proxy.
-
Para la autenticación básica del proxy, introducirá el nombre de usuario y la contraseña después de abrir el conector por primera vez.
-
En el caso de NTLM proxy, abra Internet Explorer, haga clic en el icono de engranaje, diríjase a Opciones de Internet > Conexiones > configuración de LAN, asegúrese de que se agregue la información del servidor proxy y, luego, haga clic en Aceptar. Consulte Utilizar un proxy web a través del navegador.
| 1 |
Abra el conector y, a continuación, agregue |
| 2 |
Si se le solicita, inicie sesión con sus credenciales de autenticación de proxy y, luego, inicie sesión en Webex con su cuenta de administrador y haga clic en Siguiente. |
| 3 |
Confirme su organización y dominio.
|
| 4 |
Después de que aparezca la pantalla Confirmar organización, haga clic en Confirmar. Si ya vinculó AD DS/AD LDS, aparecerá la pantalla Confirmar organización. |
| 5 |
Haga clic en Confirmar. |
| 6 |
Elija uno, según la cantidad de dominios de Active Directory que quiera vincular al Conector de directorios:
|
Qué hacer a continuación
Después de iniciar sesión, se le pedirá que realice una simulación de sincronización.
Tablero de mandos del Conector de directorios
La primera vez que inicie sesión en el Conector de directorios, aparecerá el tablero de mandos. Aquí puede ver un resumen de todas las actividades de sincronización, ver estadísticas de la nube, realizar una simulación de sincronización, iniciar una sincronización completa o incremental e iniciar la vista de eventos para ver información de errores.
Puede ejecutar fácilmente estas tareas desde la barra de herramientas de acciones o desde el menú de acciones.
|
Componente |
Descripción |
|---|---|
|
Sincronización actual |
Muestra la información de estado de la sincronización en curso. Cuando no se está ejecutando ninguna sincronización, la pantalla de estado está inactiva. |
|
Próxima sincronización |
Muestra las siguientes sincronizaciones completas e incrementales planificadas. Si no se establece ninguna planificación, se muestra No planificada. |
|
Última sincronización |
Muestra el estado de las dos últimas sincronizaciones realizadas. |
|
Estado de sincronización actual |
Muestra el estado general de la sincronización. |
|
Conectores |
Muestra los conectores locales actuales que están disponibles para la nube. |
|
Estadísticas de la nube |
Muestra el estado general de la sincronización. |
|
Planificación de sincronización |
Muestra la planificación de sincronización para la sincronización incremental y completa. |
|
Resumen de configuración |
Enumera los ajustes que ha cambiado en la configuración. Por ejemplo, el resumen podría incluir lo siguiente:
|
| Acción | Descripción |
|---|---|
| Iniciar sincronización incremental |
Iniciar manualmente una sincronización incremental Esta acción se deshabilita cuando pausa o deshabilita la sincronización, si no se ha completado una sincronización completa, o si hay una sincronización en curso. |
|
Simulación de sincronización |
Realice una simulación de sincronización. |
|
Iniciar el visor de eventos |
Inicie el visor de eventos de Microsoft. |
|
Actualizar |
Actualizar el tablero de mandos del conector de directorios de Cisco |
|
Acción |
Descripción |
|---|---|
| Sincronizar ahora |
Inicia una sincronización completa al instante. |
|
Modo de sincronización |
Seleccione el modo de sincronización incremental o completa. |
|
Restablecer secreto de conector |
Establezca una conversación entre el Conector de directorios de Cisco y el servicio de conectores. Si selecciona esta acción, se restablecerá el secreto en la nube y, luego, se guardará el secreto localmente. |
|
Simulacro |
Realice una prueba del proceso de sincronización. Debe realizar una simulación antes de realizar una sincronización completa. |
|
Resolución de problemas |
Active/desactive la solución de problemas. |
|
Actualizar |
Actualice la pantalla principal del conector de directorios de Cisco. |
|
Salir |
Salga del conector de directorios de Cisco. |
|
Combinación de teclas |
Acción |
|---|---|
|
Alt + A |
Mostrar el menú Acciones |
|
|
Sincronización ahora |
|
|
Restablecer secreto de conector |
|
|
Simulacro |
|
|
Sincronización incremental |
|
|
Sincronización completa |
|
|
Mostrar el menú deAyuda |
|
|
Ayuda |
|
|
Acerca del día |
|
|
preguntas frecuentes |
Configurar mejoras automáticas
| 1 |
Desde el Conector de directorios, diríjase a y luego marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco. |
| 2 |
Haga clic en Aplicar para guardar los cambios. |
Las nuevas versiones del conector se instalan automáticamente cuando están disponibles.
Puede administrar las mejoras manualmente, si lo prefiere. Consulte Mejorar a la versión de software más reciente para obtener más información.
Elegir objetos de Active Directory para sincronizar
De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios.
Grupos para la asignación automática de licencias
Control Hub le permite administrar las asignaciones de licencias por grupo. Puede crear plantillas de licencia y asignarlas a grupos de Active Directory que sincronice con la nube. En el momento de la creación del usuario, Webex comprueba la pertenencia del usuario y la asignación automática de plantillas de licencias para ese nuevo usuario.
Le recomendamos que utilice un filtro de LDAP para sincronizar solo los grupos relevantes con la nube. Por ejemplo, puede configurar el filtro en:
(&(cn=Ejemplo)(objectclass=Grupo))*
Este filtro sincroniza todos los grupos dentro del DN base donde el nombre comienza con el ejemplo. A los usuarios que no están asignados a grupos se les asignan licencias de la plantilla de licencia automática predeterminada que configuró en Control Hub.
Grupos para implementaciones de seguridad de datos híbridos
En el Conector de directorios, debe marcar Grupos si está utilizando seguridad de datos híbridos a fin de configurar un grupo de prueba para usuarios piloto. Consulte la Guía de implementación para la seguridad de datos híbridos para obtener instrucciones. Esta configuración del Conector de directorios no afecta a otras sincronizaciones de usuarios en la nube.
Antes de comenzar
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en Selección de objetos. |
| 2 |
En la sección Tipo de objeto, marque Usuarios y considere la posibilidad de limitar la cantidad de contenedores con capacidad de búsqueda para los usuarios. Por ejemplo, si desea sincronizar solo los usuarios de un determinado grupo, debe introducir un filtro de LDAP en el campo Filtros de LDAP Usuarios. Si desea sincronizar a los usuarios que se encuentran en el grupo Administrador de ejemplos, utilice un filtro como este:
|
| 3 |
Marque Identificar sala para separar los datos de la sala de los datos del usuario. Haga clic en Personalizar si desea configurar atributos adicionales para identificar los datos de los usuarios como datos de salas. Utilice esta configuración si desea sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube. Para obtener más información, consulte Sincronizar la información de la sala local con la nube de Webex. |
| 4 |
Marque Grupos si desea sincronizar sus grupos de usuarios de Active Directory con la nube. No agregue un filtro de LDAP de sincronización de usuarios al campo Grupos. Solo debe utilizar el campo Grupos para sincronizar los datos del grupo con la nube. De manera predeterminada, los grupos no se sincronizan para los clientes nuevos. Debe habilitar la sincronización de grupos. También debe sincronizar los grupos de seguridad. |
| 5 |
Marque Contactos si desea sincronizar la información de contacto de los usuarios con la nube. El Conector de directorios solo administra los Contactos sincronizados por el conector. Si ya hay contactos en Control Hub, la sincronización no eliminará los contactos. Si los contactos se eliminan del alcance de la sincronización, la información de contacto de los usuarios también se eliminaría en Control Hub. |
| 6 |
Configure los filtros de LDAP. Puede agregar filtros extendidos si proporciona un filtro de LDAP válido. Consulte este artículo para obtener más información sobre la configuración de filtros de LDAP. |
| 7 |
Especifique los DN base locales para sincronizar al hacer clic en Seleccionar para ver la estructura de árbol de su Active Directory. Desde aquí, puede seleccionar o anular la selección de los contenedores en los que desea buscar. |
| 8 |
Compruebe que los objetos que desea agregar para esta configuración y haga clic en Seleccionar. Puede seleccionar contenedores individuales o principales para la sincronización. Seleccione un contenedor principal para habilitar todos los contenedores secundarios. Si selecciona un contenedor secundario, el contenedor principal muestra una marca de verificación gris que indica que se ha marcado un contenedor secundario. Luego, puede hacer clic en Seleccionar para aceptar los contenedores de Active Directory que marcó. Si su organización coloca a todos los usuarios y grupos en el contenedor Usuarios, no tiene que buscar en otros contenedores. Si su organización está dividida en unidades de la organización, asegúrese de seleccionar Unidades organizativas. |
| 9 |
Haga clic en Aplicar. Elegir una opción:
Para obtener información sobre simulaciones, consulte Realizar una simulación de sincronización en sus usuarios de Active Directory. Para la sincronización de grupos, debe realizar una sincronización completa: Realizar una sincronización completa de los usuarios de Active Directory en la nube. |
Asignar atributos de usuario
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid, un identificador único para cada cuenta de usuario en el servicio de identidad en la nube.
Puede elegir qué atributo de Active Directory asignar a la nube; por ejemplo, puede asignar firstName lastName en Active Directory o una expresión de atributo personalizada a displayName en la nube.
Las cuentas de Active Directory deben tener una dirección de correo electrónico; de manera predeterminada, uid se asigna al campo ad del correo (no sAMAccountName).
Si elige que el idioma preferido provenga de su Active Directory, Active Directory es la única fuente de verdad: los usuarios no podrán cambiar la configuración de idioma en la configuración de Webex y los administradores no podrán cambiar la configuración en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. En esta página se muestran los nombres de atributos de Active Directory (a la izquierda) y la nube de Webex (a la derecha). Todos los atributos obligatorios están marcados con un asterisco de color rojo. |
| 2 |
Desplácese hacia abajo hasta la parte inferior de los Nombres de atributos de Active Directory y, luego, elija uno de estos atributos de Active Directory para asignarlo al atributo uid de la nube:
Puede asignar cualquiera de los otros atributos de Active Directory a uid, pero le recomendamos que utilice mail o userPrincipalName, como se describe en las pautas anteriores. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. Para ver a qué atributos de Active Directory corresponden en la nube, consulte Asignación de atributos de Active Directory en el Conector de directorios. Para que la sincronización funcione, debe asegurarse de que el atributo de Active Directory que elija esté en formato de correo electrónico. El Conector de directorios muestra una ventana emergente para recordarle si no elige uno de los atributos recomendados. |
| 3 |
Si los atributos predefinidos de Active Directory no funcionan para su implementación, haga clic en el menú desplegable de atributos, desplácese hasta la parte inferior y, a continuación, elija Personalizar atributo para abrir una ventana que le permita definir una expresión de atributos. Haga clic en Ayuda para obtener más información acerca de las expresiones y ver ejemplos de cómo funcionan las expresiones. También puede ver Expresiones para atributos personalizados para obtener más información. En este ejemplo, asignemos los atributos de Active Directory
El Conector de directorios verifica el valor del atributo uid en el servicio de identidad y recupera 3 usuarios disponibles en las opciones de filtro de usuarios actuales. Si todos estos 3 usuarios tienen un formato de correo electrónico válido, el Conector de directorios de Cisco muestra el siguiente mensaje:
Si el atributo no se puede verificar, verá la siguiente advertencia y podrá volver a Active Directory para comprobar y corregir los datos del usuario:
|
| 4 |
(Opcional) Elija asignaciones para móvil y telephoneNumber si desea que aparezcan los números de teléfono móvil y de trabajo, por ejemplo, en la tarjeta de contacto del usuario en la aplicación de Webex. Los datos del número de teléfono aparecen en la aplicación Webex cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario. Para obtener más información sobre las llamadas desde la tarjeta de contacto de un usuario, consulte la Guía de implementación de llamadas en Webex (Unified CM) (administradores). |
| 5 |
Elija asignaciones adicionales para que aparezcan más datos en la tarjeta de contacto:
Una vez asignados los atributos, la información aparece cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario:
Para obtener más información acerca de la tarjeta de contacto, consulte Verificar con quién se está comunicando. Después de sincronizar estos atributos con cada cuenta de usuario, también puede activar People Insights en Control Hub. Esta característica permite a los usuarios de la aplicación de Webex compartir más información en sus perfiles y obtener más información acerca de los demás. Para obtener más información sobre la característica y cómo habilitarla, consulte Perfiles de información personal para Webex, Jabber, Webex Meetings y Webex Events (nuevo) en Control Hub |
| 6 |
Después de tomar sus decisiones, haga clic en Aplicar. |
Todos los datos de usuario contenidos en Active Directory sobrescribirán a los de la nube que correspondan a ese usuario. Por ejemplo, si creó un usuario manualmente en Control Hub, la dirección de correo electrónico del usuario debe ser idéntica al correo electrónico de Active Directory. Se elimina cualquier usuario que no tenga una dirección de correo electrónico correspondiente en Active Directory.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Atributos de la nube y Active Directory
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube mediante la ficha Asignación de atributos de usuarios.
En esta tabla se compara la asignación entre los nombres de atributos de Active Directory y los nombres de atributos de la nube de Cisco. Estos valores y asignaciones son la configuración predeterminada en el Conector de directorios. Puede elegir diferentes atributos en los menús desplegables de Active Directory y determinar qué atributo local se sincroniza con qué atributo en la nube.
Piense en los atributos desplegables como ajustes preestablecidos. Como alternativa a los valores de la fila de Active Directory, también puede especificar un atributo personalizado, su propio ajuste preestablecido, en Active Directory (una expresión con varios atributos) para asignar a un único atributo de nube en la fila correspondiente. De esta manera, tiene la flexibilidad de determinar los nombres para mostrar de sus usuarios; por ejemplo, puede agregar una expresión que cree un atributo personalizado basado en el cargo del empleado, el nombre dado y el apellido en Active Directory.
También puede especificar cualquiera de los atributos de Active Directory para asignar a uid en la nube. Sin embargo, debe asegurarse de que el atributo local siga un formato de correo electrónico válido.
También puede utilizar direcciones de correo electrónico alternativas si, por ejemplo, desea utilizar userPrincipalName para iniciar sesión, pero la dirección de correo electrónico de un usuario se utiliza para administrar su calendario. En este caso, asigne otra dirección de correo electrónico al atributo emails;type-work. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario.
|
Nombres de atributos de Active Directory |
Nombres de atributos de la nube de Webex |
Notas |
|---|---|---|
|
— |
nombre del edificio |
— |
|
c |
c |
Este atributo especifica la abreviatura del país del usuario. |
|
NúmeroDepartamento |
NúmeroDepartamento |
Este atributo se utiliza para el número de departamento del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
Nombre para mostrar |
Nombre para mostrar |
Este atributo se utiliza para el nombre para mostrar de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
ControlDeCuentaUsuario |
ds-pwp-account-disabled |
Este atributo se utiliza para la sincronización de usuarios. Asegúrese de que el atributo userAccountControl esté asignado a ds-pwp-account-disabled o los usuarios no se sincronizarán correctamente. |
|
Número de empleado |
Número de empleado |
— |
|
facsímilTelephoneNumber |
facsímilTelephoneNumber |
— |
|
— |
ID de jabber |
Este atributo de nube se relaciona con direcciones de MI (tipo XMPP) que utiliza Jabber. Este valor no es el mismo que sipAddresses. |
|
l |
l |
Este atributo especifica la ciudad del usuario. |
|
— |
región |
— |
|
administrador |
administrador |
Este atributo se utiliza para el nombre de administrador del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
móvil |
móvil |
Este atributo se utiliza como el número de teléfono móvil que aparece para llamar al usuario desde la tarjeta de contacto. |
|
o |
o |
Este atributo especifica el nombre de la empresa u organización y aparece en la tarjeta de contacto. |
|
ou |
ou |
Este atributo especifica el nombre de la unidad de organización. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Este atributo especifica la ubicación de la oficina del usuario. |
|
código postal |
código postal |
Este atributo especifica el código postal del usuario para la entrega física del correo. |
|
Idioma preferido |
Idioma preferido |
Este atributo establece el idioma preferido del usuario y se admiten los siguientes formatos: xx_YY o xx-YY. Estos son algunos ejemplos: en_US, en_GB, fr-CA. Si utiliza un idioma no compatible o un formato no válido, el idioma preferido de los usuarios cambiará al idioma definido para la organización. |
|
MSRTCSIP-PrimaryUserAddress Teléfono ip |
SipAddresses;type=enterprise |
Este atributo se utiliza para sincronizar la información de la sala local de Active Directory en la nube de Cisco Webex. |
|
sn |
sn |
Este atributo se utiliza para el apellido de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
s |
s |
Este atributo especifica el estado o la provincia del usuario. |
|
dirección |
calle |
Este atributo especifica la dirección postal del usuario para la entrega física de correo. |
|
teléfonoNúmero |
teléfonoNúmero |
Este atributo especifica el número de teléfono principal (laboral) del usuario que se utiliza para llamar al usuario desde la tarjeta de contacto. |
|
— |
zona horaria |
Este atributo de nube especifica la zona horaria del usuario. |
|
título |
título |
Este atributo especifica el título del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
tipo |
empresarial |
— |
|
*correo *userPrincipalName |
uid |
Una asignación de atributos obligatoria. Para cada cuenta de usuario, el valor de Active Directory se asigna a un uid único en la nube. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. El usuario puede utilizar cualquiera de estas direcciones de correo electrónico para iniciar sesión, siempre que se encuentre la asignación de atributos de SAML correcta. Consulte la asignación de atributos de ejemplo a continuación para saber cómo puede asignar una dirección de correo electrónico alternativa. |
|
*userPrincipalName *correo <atributo personalizado> |
correos electrónicos;tipo-trabajo |
Esta asignación es opcional; utilícela si desea utilizar direcciones de correo electrónico alternativas. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario. |
|
<Nuevo atributo para el usuario de Azure objectId> |
ID externo |
Cree un nuevo atributo de Active Directory para contener el ID de usuario de Azure, de modo que no choque con uno existente. Este atributo se asigna al atributo externalId, lo que garantiza que cuando los usuarios de Webex creen grupos en Microsoft 365 creen equipos automáticamente en Webex. |
Asignación alternativa de direcciones de correo electrónico
Expresiones para atributos personalizados
|
Operador |
Descripción y ejemplo |
|---|---|
|
% |
Elimina todos los caracteres desde el comienzo de la cadena hasta la posición del caracter o del argumento, si coinciden.
|
|
- |
Elimina la parte posterior de la cadena de entrada desde el final de la cadena especificada.
|
|
+ |
Concatena las cadenas o expresiones de entrada.
|
|
| |
Evalúa las expresiones separadas con la cadena vacía y selecciona el primer resultado no vacío.
|
Sincronizar avatares de directorios desde un atributo de Active Directory a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar los datos brutos de avatar de un atributo de Active Directory.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija el atributo de AD y, luego, elija el atributo de avatar que contenga los datos brutos del avatar que desea sincronizar con la nube. |
| 3 |
Para verificar que se acceda correctamente al avatar, introduzca la dirección de correo electrónico de un usuario y, a continuación, haga clic en Obtener avatar del usuario. El avatar aparece a la derecha. |
| 4 |
Después de verificar que el avatar aparecía correctamente, haga clic en Aplicar para guardar los cambios. |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar avatares de directorios desde un servidor de recursos a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar avatares desde un servidor de recursos.
Antes de comenzar
-
El patrón de URI y el valor de la variable en este procedimiento son ejemplos. Debe utilizar las URL reales donde se encuentran sus avatares de directorio.
-
El patrón de URI del avatar y el servidor donde residen los avatares deben ser accesibles desde la aplicación del Conector de directorios. El conector necesita acceso http o https a las imágenes, pero no es necesario que las imágenes sean accesibles públicamente en Internet.
-
La sincronización de datos del avatar está separada de los perfiles de usuario de Active Directory. Si ejecuta un proxy, debe asegurarse de que se pueda acceder a los datos de avatar mediante autenticación NTLM o autenticación básica.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija Servidor de recursos y, luego, introduzca el Patrón de URI de avatar; por ejemplo, Veamos cada parte del patrón de URI del avatar y lo que significan:
|
| 3 |
(Opcional) Si su servidor de recursos requiere credenciales, marque Establecer credencial de usuario para avatar y, a continuación, elija Utilizar usuario de conexión del servicio actual o Utilizar este usuario e introduzca la contraseña. |
| 4 |
Introduzca el Valor de la variable; por ejemplo: |
| 5 |
Haga clic en Prueba para asegurarse de que el patrón de URI del avatar funcione correctamente. En este ejemplo, si el valor de correo para una entrada de AD es |
| 6 |
Una vez verificada la información de URI y que se vea correcta, haga clic en Aplicar. Para obtener información detallada sobre el uso de expresiones regulares, consulte la Referencia rápida del lenguaje de expresiones regulares de Microsoft . |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar la información de la sala local con la nube de Webex
Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de Webex registrados en la nube (Room, Desk y Board).
| 1 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 2 |
Marque la opción Sincronizar la información de la sala con la nube para separar los datos de la sala de los datos de los usuarios durante la sincronización. Cuando esta configuración está desactivada, los datos de la sala se tratan de la misma manera que los datos sincronizados del usuario. |
| 3 |
Diríjase a Asignación de atributos y luego cambie la asignación de atributos para el atributo en la nube sipAddresses;type=enterprise. Para utilizar la validación de valor, el valor de la dirección SIP debe ser Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Cree un buzón de recursos de sala en Exchange. Esto agrega el atributo msExchResourceMetaData;ResourceType:Room que el conector utiliza para identificar salas.
|
| 5 |
Desde usuarios y computadoras de Active Directory, diríjase a las propiedades de la sala y editarlas. Agregue la URI de SIP completamente calificada con un prefijo de sip:
|
| 6 |
Realice una simulación de sincronización y luego una sincronización de ejecución completa en el conector. Los nuevos objetos de sala aparecen en la lista Objetos agregados y los objetos de sala coincidentes aparecen en Objetos coincidentes en el informe de simulación. Todos los objetos de sala marcados para su eliminación se encuentran en Salas eliminadas.
Los resultados del simulacro muestran cualquier recurso de sala que coincida.
Esta configuración separa los datos de la sala de Active Directory (incluido el atributo de la sala) de los datos de los usuarios. Una vez finalizada la sincronización, las estadísticas de la nube en el tablero de mandos del conector muestran los datos de salas que se sincronizaron con la nube.
|
Qué hacer a continuación
Ahora que ha completado estos pasos, cuando realice una búsqueda en un dispositivo registrado en la nube de Webex, verá las entradas de salas sincronizadas configuradas con direcciones SIP. Cuando realiza una llamada desde el dispositivo de Webex en esa entrada, se realiza una llamada a la dirección SIP que se configuró para la sala.
Desde Control Hub, puede importar salas automáticamente desde su directorio y crear espacios de trabajo.
El extremo no puede devolver la llamada a la aplicación de Webex. Para los dispositivos de marcado de prueba, estos dispositivos deben registrarse como una URI de SIP en las instalaciones o en otro lugar que no sea la aplicación de Webex. Si el sistema de salas de Active Directory que está buscando está registrado en Webex y la misma dirección de correo electrónico está en el dispositivo Webex Room, el dispositivo Desk o Webex Board para el servicio de calendario, los resultados de la búsqueda no mostrarán la entrada duplicada. El dispositivo Room, Desk o Board se marca directamente en la aplicación de Webex, y no se realiza una llamada SIP.
Enviar informes por correo electrónico sobre los resultados de la sincronización de directorios
De forma predeterminada, los contactos o administradores de la organización siempre reciben notificaciones por correo electrónico. Con esta configuración, puede personalizar quién debe recibir notificaciones por correo electrónico que resumen los informes de sincronización de directorios.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Notificación. |
| 2 |
Desde el Conector de directorios, haga clic en Configuración y, junto a Destinatario de correo electrónico, active Habilitar sincronización del informe. |
| 3 |
Marque Habilitar notificación si desea anular el comportamiento de notificación predeterminado y agregar uno o más destinatarios de correo electrónico. |
| 4 |
Haga clic en Agregar y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 5 |
Haga clic en Agregar correo electrónico y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 6 |
Si necesita editar alguna dirección de correo electrónico que haya introducido, haga doble clic en la entrada de correo electrónico de la columna de la izquierda y, a continuación, realice los cambios que necesite. |
| 7 |
Una vez que haya agregado todas las direcciones de correo electrónico válidas, haga clic en Aplicar. |
| 8 |
Después de agregar todas las direcciones de correo electrónico válidas, haga clic en Guardar. |
Qué hacer a continuación
Si decidió que desea eliminar las direcciones de correo electrónico, puede hacer clic en un correo electrónico para resaltar esa entrada y, luego, haga clic en Eliminar.
Si ha decidido que desea eliminar direcciones de correo electrónico, puede hacer clic en Eliminar junto a entradas específicas de direcciones de correo electrónico.
Aprovisionar usuarios de Active Directory en Control Hub
Siga estos pasos para aprovisionar usuarios de Active Directory y crear las cuentas de usuario correspondientes en Control Hub. Puede aprovisionar usuarios desde una implementación de Active Directory de varios dominios (ya sea con un solo bosque o con varios bosques) después de instalar un Conector de directorios por dominio. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex.
| 1 |
Realizar una simulación de sincronización en sus usuarios de Active Directory Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube. |
| 2 |
Realizar una sincronización completa de los usuarios de Active Directory en la nube Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados. |
| 3 |
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede asignar licencias de servicios de Webex mediante diversos métodos. Le recomendamos que configure una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory. También puede realizar cambios individuales después de este paso inicial. |
Realizar una simulación de sincronización en sus usuarios de Active Directory
Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube.
Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. Con el Conector de directorios, el objetivo es lograr una coincidencia exacta entre sus Active Directories y la nube de Webex.
Si tiene varios dominios en un solo bosque o varios bosques, debe realizar este paso en cada una de las instancias del conector de directorios de Cisco que haya instalado para cada dominio de Active Directory.
Antes de comenzar
Es posible que ya tenga algunos usuarios de la aplicación Webex en Control Hub antes de utilizar el Conector de directorios. Entre los usuarios de la nube, algunos pueden coincidir con el objeto local de Active Directory y tener asignadas licencias para los servicios. Sin embargo, es posible que algunos sean usuarios de prueba que desea eliminar mientras realiza una sincronización. Debe crear una coincidencia exacta entre su Active Directory y Control Hub.
| 1 |
Elija una opción:
Cuando finalice la simulación, verá uno de los siguientes resultados:
El Resumen contiene información sobre la coincidencia de objetos:
La simulación identifica a los usuarios al compararlos con los usuarios del dominio. La aplicación puede identificar a los usuarios si pertenecen al dominio actual. En el siguiente paso, debe decidir si desea eliminar los objetos o conservarlos. Los objetos no coincidentes se identifican como ya existentes en la nube de Webex, pero no en el Active Directory local. |
| 2 |
Revise los resultados del simulacro y, a continuación, elija una opción según si utiliza un solo dominio o varios dominios:
|
| 3 |
En el mensaje Confirmar simulación, haga clic en Sí para rehacer la sincronización de la simulación y ver el tablero de mandos para ver los resultados. Todas las cuentas que se sincronizaron correctamente en la simulación aparecerán en Objetos coincidentes. Si un usuario en la nube no tiene un usuario correspondiente con el mismo correo electrónico en Active Directory, la entrada aparece en Usuarios eliminados. Para evitar este indicador de eliminación, puede agregar un usuario en Active Directory con la misma dirección de correo electrónico. Para ver los detalles de los elementos que se sincronizaron, haga clic en la ficha correspondiente a elementos específicos o en Objetos coincidentes. Para guardar la información del resumen, haga clic en Guardar resultados en archivo. |
| 4 |
Si se esperan los resultados, diríjase a y, luego, haga clic en Habilitar ahora para realizar una sincronización manual y ponerla en modo manual en este punto. Después de realizar una sincronización en el último dominio de Active Directory en su implementación de varios dominios, debe habilitar el modo automático para el Conector de directorios. Puede habilitar el modo automático solo cuando los objetos coinciden completamente entre la nube de Webex y todos los directorios activos locales. |
Qué hacer a continuación
-
Para todos los objetos de usuario no coincidentes que haya conservado, debe agregarlos a Active Directory para que haya una coincidencia exacta entre las instalaciones locales y la nube.
-
Elija un tipo de sincronización:
-
De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa.
-
Si tiene varios dominios, repita estos pasos en cualquier otro Conector de directorios que haya instalado.
Aspectos a tener en cuenta
-
Realice un simulacro antes de habilitar la sincronización completa o cuando cambie los parámetros de sincronización. Si la simulación se inició por un cambio en la configuración, puede guardar los ajustes una vez finalizada la simulación. Si ya agregó usuarios manualmente, llevar a cabo una sincronización de Active Directory puede provocar la eliminación de los usuarios agregados previamente. Puede consultar los Informes de ensayos del Conector de directorios para verificar que todos los usuarios esperados estén presentes antes de sincronizarlos completamente con la nube.
-
Si los usuarios coincidentes están marcados para ser eliminados y no está seguro de cómo continuar, consulte la información de solución de problemas y cómo comunicarse con el soporte en Solución de problemas y correcciones para el Conector de directorios.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Realizar una sincronización completa de los usuarios de Active Directory en la nube
Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados.
Si tiene varios dominios, debe realizar este paso en cada una de las instancias del Conector de directorios que haya instalado para cada dominio de Active Directory.
El Conector de directorios sincroniza el estado de las cuentas de usuario: en Active Directory, todos los usuarios marcados como deshabilitados también aparecen como inactivos en la nube.
Antes de comenzar
-
Si desea que las cuentas de usuario de la aplicación de Webex estén en estado activo después de la sincronización completa y antes de que los usuarios inicien sesión por primera vez, debe seguir estos pasos para omitir la validación de correo electrónico:
-
Integre el inicio de sesión único con su organización de Webex. Ver
Inicio de sesión único con los servicios de Cisco Webex y el proveedor de servicios de identidad de su organización
para obtener más información. -
Utilice Control Hub para verificar y, de manera opcional, reclamar dominios contenidos en las direcciones de correo electrónico. Ver
Agregar, verificar y reclamar dominios
. -
Suprimir invitaciones automáticas por correo electrónico, para que los usuarios nuevos no reciban la invitación automática por correo electrónico a la aplicación de Webex. (Puede realizar su propia campaña de correo electrónico).
Los usuarios activados que no hayan iniciado sesión aparecerán con el estado Verificado en Control Hub. Después de que inician sesión, aparecen como Activos. Para obtener más información acerca de los estados de los usuarios, consulte Estados y acciones de los usuarios en Cisco Webex Control Hub.
-
-
Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. Le recomendamos que realice un simulacro antes de una sincronización completa para detectar cualquier posible error.
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
Si no utiliza plantillas de licencia de asignación automática, los usuarios recién sincronizados obtienen licencias gratuitas automáticamente. Podrán utilizar las mismas características gratuitas que las que tienen cuentas gratuitas.
| 1 |
Elija una opción:
|
| 2 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 3 |
Confirme el inicio de la sincronización. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación de Webex refleja los cambios hasta 72 horas después de realizar la sincronización. Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
|
| 4 |
Haga clic en Actualizar si desea actualizar el estado de la sincronización. (Los elementos sincronizados aparecen en Estadísticas de la nube). |
| 5 |
Para obtener información sobre los errores, seleccione Iniciar visor de eventos en la barra de herramientas de Acciones para ver los registros de errores. |
| 6 |
Para establecer una planificación de sincronización para las sincronizaciones incrementales en curso con la nube, consulte Definir la planificación del conector y Ejecutar una sincronización incremental. |
-
Una vez finalizada la sincronización completa, el estado de la sincronización de directorios se actualiza de Deshabilitado a Operativo en la página Configuración de Control Hub.
-
Cuando todos los datos coinciden en las instalaciones y en la nube, el Conector de directorios cambia del modo manual al modo de sincronización automática.
-
A menos que integre el inicio de sesión único, verifique dominios y, opcionalmente, reclame dominios para las cuentas de correo electrónico que sincronizó, y suprima los correos electrónicos automatizados, las cuentas de usuario de la aplicación de Webex permanecen en estado No verificado hasta que los usuarios inicien sesión en la aplicación de Webex por primera vez para confirmar sus cuentas. Consulte la sección Antes de comenzar para obtener orientación sobre cómo sincronizar las cuentas como Usuarios activos.
-
Si tiene varios dominios, realice este paso en cualquier otro conector de directorios que haya instalado. Después de la sincronización, los usuarios de todos los dominios que agregó aparecerán listados en Control Hub.
-
Si integró el inicio de sesión único con Webex y notificaciones por correo electrónico suprimidas, las invitaciones por correo electrónico no se envían a los usuarios recién sincronizados.
-
No puede agregar usuarios manualmente en Control Hub después de que se habilite el conector de directorios. Una vez habilitada, la administración de usuarios se realiza desde el conector de directorios de Cisco, y Active Directory es la única fuente fiable.
-
Cualquier grupo que sincronice aparecerá en Control Hub y puede asignar una plantilla de licencia para que a los usuarios de ese grupo se les asignen licencias.
Qué hacer a continuación
-
Cuando elimina un usuario de Active Directory, se elimina por software después de la siguiente sincronización. El usuario pasa a estar Inactivo, pero el perfil de identidad en la nube se mantiene durante siete días (para permitir la recuperación de la eliminación accidental).
Cuando selecciona La cuenta está deshabilitada en Active Directory, el usuario pasa a ser Inactivo después de la siguiente sincronización. El perfil de identidad en la nube no se elimina después de siete días, en caso de que desee habilitar nuevamente al usuario.
-
Tenga en cuenta estas excepciones a una sincronización incremental (en su lugar, siga los pasos de sincronización completos anteriores):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Los cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar requieren una sincronización completa.
-
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub
Después de completar una sincronización completa de usuarios desde el conector de directorios de Cisco en Control Hub, puede utilizar Control Hub para asignar las mismas licencias de servicios de Webex a todos sus usuarios a la vez o agregar licencias adicionales a los usuarios nuevos si ya configuró una plantilla de licencia asignada automáticamente. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede utilizar métodos en Control Hub para asignar globalmente licencias de servicios de Webex a todos sus usuarios, usuarios individuales, a través de la plantilla CSV masiva, o automáticamente a los usuarios nuevos si ya configuró una plantilla de licencia de asignación automática. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Cuando asigna una licencia a un usuario de la aplicación de Webex, ese usuario recibe un correo electrónico en el que se confirma la asignación de manera predeterminada. El correo electrónico se envía mediante un servicio de notificación en Control Hub. Si integró el inicio de sesión único (SSO) con su organización de Webex, también puede suprimir estas notificaciones automáticas por correo electrónico si prefiere comunicarse directamente con sus usuarios.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Realice una simulación de sincronización en sus usuarios de Active Directory.
-
Después de confirmar los resultados de la simulación, realice una sincronización completa en sus usuarios de Active Directory.
En el momento de la sincronización completa, el usuario se crea en la nube, no se agregan asignaciones de servicios ni se envía ningún correo electrónico de activación. Si no se eliminan los correos electrónicos, los nuevos usuarios reciben un correo electrónico de activación cuando asigna servicios a los usuarios mediante un método de administración de usuarios estándar en Control Hub, como la importación de archivos CSV, la actualización manual de usuarios o la finalización correcta de la asignación automática.
| 1 |
Desde la vista del cliente en https://admin.webex.com, vaya a , haga clic en Administrar usuarios, elija Modificar todos los usuarios sincronizados y, luego, haga clic en Siguiente. |
| 2 |
Elegir una opción: |
Qué hacer a continuación
-
Si no se eliminan los correos electrónicos, se envía un correo electrónico a cada usuario con una invitación para entrar y descargar Webex.
-
Si seleccionó los mismos servicios de Webex para todos sus usuarios, puede cambiar la licencia asignada individualmente o en forma masiva.
Problemas conocidos con el Conector de directorios
-
Las versiones de Windows Server anteriores a 2012 R2 tienen un problema de cookies que afecta al Conector de directorios. Este problema se corrigió en las versiones 2012 R2 y 2016.
-
Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
-
Cuando un usuario utiliza la aplicación de Webex en el escritorio o en un dispositivo móvil para buscar y llamar a una sala que solo tiene una URI de SIP sincronizada, la llamada suena indefinidamente en este momento.
Administrar usuarios de la aplicación de Webex
Ejecutar una sincronización incremental
Una sincronización incremental consulta su Active Directory y busca cambios que se hayan producido desde la última sincronización. En este paso se agrupan esos cambios y se los envía al servicio de conectores Los cambios incluyen la modificación de la atribución de usuarios y cuándo se agrega o elimina un usuario.
Esta sincronización no carga tanto en los servidores y no toma tanto tiempo como una sincronización completa. Después de realizar la sincronización completa inicial, le recomendamos la opción incremental para las sincronizaciones posteriores.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Tenga en cuenta estas excepciones para las que la sincronización incremental no es compatible (siga Realizar una sincronización completa de usuarios de Active Directory en la nube ):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Para los nuevos cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar, la sincronización incremental no funcionará y estos requieren una sincronización completa.
-
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. |
| 2 |
Desde Acciones, haga clic en Modo de sincronización > Habilitar sincronización si todavía no está habilitado. De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa. Cuando se activa un nuevo intervalo de tiempo incremental, el programa comprueba los cambios en función de la última marca de tiempo. |
| 3 |
Desde Acciones, haga clic en Sincronizar ahora > Incremental. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
|
| 4 |
Para obtener información sobre los errores, haga clic en Iniciar visor de eventos desde la barra de herramientas de Acciones para ver los registros de errores. |
Qué hacer a continuación
Si tiene varios dominios, realice este paso en otras instancias del Conector de directorios que haya instalado.
Recuperar usuarios eliminados accidentalmente
El Conector de directorios tiene controles y contrapesos para evitar la eliminación no intencional de usuarios. Lamentablemente, ocurren accidentes; es posible que haya configurado incorrectamente un filtro LDAP en Active Directory, que eliminó a algunos usuarios cuando se sincronizaban con la nube. La característica de eliminación suave puede ayudarlo a recuperarse de estos accidentes y restablecer las cuentas de los usuarios en Control Hub.
De forma predeterminada, esta función está habilitada para todas las organizaciones. Cuando se eliminan usuarios en la nube, por ejemplo, debido a un problema de objeto no coincidente después de una sincronización desde el Conector de directorios, los usuarios se pueden recuperar. Si vio un aviso de objetos no coincidentes o notó que los usuarios fueron eliminados, es posible que pueda recuperarlos si actúa rápido.
Los usuarios se marcan como Inactivos en Control Hub cuando se eliminan las cuentas correspondientes en Active Directory. El servicio en la nube en segundo plano conserva a los usuarios durante un máximo de 7 días. Durante este período, aún puede utilizar el Conector de directorios de Cisco para recuperar usuarios. Le recomendamos que recupere estos usuarios lo antes posible.
Los usuarios que están deshabilitados en Active Directory también se marcan como inactivos en Control Hub, pero la cuenta de usuario no se elimina después de 7 días.
| 1 | |
| 2 |
Vaya a Usuarios y confirme si una cuenta de usuario específica está en estado inactivo o no está listada. Para obtener más información, consulte Estados y acciones del usuario en Control Hub. |
| 3 |
Si se eliminaron usuarios en Control Hub o si observa que los usuarios están en estado inactivo, vaya a Active Directory, agregue las cuentas de usuario que faltan y, luego, realice una simulación de sincronización en el Conector de directorios. El objetivo del Conector de directorios es crear una coincidencia exacta entre la información de los usuarios en Active Directory y en la nube. |
| 4 |
Realice una sincronización completa para volver a sincronizar las cuentas de usuario eliminadas temporalmente con Control Hub. Los usuarios se recuperan y pasan al estado original, incluido el estado de su cuenta y las asignaciones de servicios. |
Qué hacer a continuación
Regrese a Control Hub, vaya a , y confirme que las cuentas de usuario eliminadas anteriormente aparezcan en la lista de usuarios.
Eliminar usuarios permanentemente después de la eliminación por software
Después de realizar una simulación, puede optar por eliminar de forma permanente los usuarios que fueron eliminados por software en la próxima sincronización.
| 1 |
Una vez finalizada la simulación, seleccione Objetos eliminados por software. |
| 2 |
Marque la casilla de verificación situada junto a los usuarios que desea eliminar. |
| 3 |
Seleccione Listo. |
Qué hacer a continuación
En la próxima sincronización, los usuarios que revisó se eliminarán de forma permanente.
Cambiar una dirección de correo electrónico de la aplicación de Webex
Si quiere cambiar las direcciones de correo electrónico de los usuarios y su organización utiliza el Conector de directorios, puede cambiar esas direcciones de correo electrónico en Active Directory. Este procedimiento cubre cómo cambiar la dirección de correo electrónico de la aplicación de Webex para un único dominio y un proceso para cambiar el dominio.
Si solo quiere cambiar el correo electrónico o algún valor para un usuario, no lo elimine de Active Directory y vuelva a crear uno nuevo con el mismo correo electrónico. La nube interpreta esta acción como una nueva cuenta de usuario y se perderán los espacios del usuario y otros datos en la nube.
El Conector de directorios no limita el cambio de dominio de correo electrónico. Sin embargo, cuando el usuario se vuelve a sincronizar con la nube, el estado del usuario depende de si se verifica el nuevo dominio en su organización. Si el dominio no está verificado en su organización, el estado del usuario cambia a Pendiente después de la sincronización completa. Para obtener más información, consulte Administrar sus dominios.
Si su organización no utiliza el Conector de directorios, puede cambiar las direcciones de correo electrónico de la aplicación de Webex a través de la página de configuración de la cuenta. Consulte Cambiar la dirección de correo electrónico de su cuenta para conocer los pasos que los usuarios pueden seguir para cambiar sus correos electrónicos.
Cambiar el dominio de Active Directory
Puede utilizar este procedimiento para crear nuevos dominios y direcciones de correo electrónico. Se sincronizan con el servicio de identidad en la nube.
| 1 |
Configure un nuevo dominio de Active Directory (AD). |
| 2 |
Deshabilite las sincronizaciones en todos sus conectores. |
| 3 |
Desinstale todos los conectores. |
| 4 |
Abra un caso para cambiar el dominio. En el envío del caso, asegúrese de solicitar la eliminación de la configuración del dominio y de todos los atributos de sincronización de su organización. Antes de abrir un caso para cambiar el dominio, asegúrese de no tener una sincronización en ejecución. No cambie ninguna dirección de correo electrónico del usuario en Active Directory hasta que el caso se resuelva. |
| 5 |
Una vez resuelto el caso: Realice una ejecución de prueba con el Conector de directorios antes de realizar la sincronización real. |
Reclamo de dominios
Un reclamo de dominio se produce si reclama un dominio de correo electrónico para una organización de modo que cualquier cuenta creada con Sideboard se cree en la organización del cliente con suscripción paga y no en la organización del consumidor sin cargo. Solo puede realizar un reclamo de dominio a través de un caso de soporte (consulte el siguiente enlace para obtener más información).
Si el Conector de directorios está activo y se reclama el dominio, las cuentas creadas con Sideboard no se crean ni en la organización del cliente ni en la organización de consumidores sin cargo. Solo el Conector de directorios puede aprovisionar cuentas para la organización desde Active Directory. La información almacenada en Active Directory es la fuente original. Si trató de hacer Sideboard con una cuenta, el usuario invitado recibe un error. La única manera en que se puede agregar un usuario invitado a un espacio de la aplicación de Webex es utilizar primero el Conector de directorios para aprovisionar la cuenta en Control Hub.
Convertir usuarios gratuitos de la aplicación de Webex en una organización con directorios sincronizados
Solo puede utilizar direcciones de correo electrónico únicas en el directorio de la aplicación de Webex. Si sus usuarios se han inscrito en la versión gratuita de la aplicación de Webex, su cuenta existe en la organización de consumidores gratuita. Para administrar a los usuarios de esta organización con el Conector de directorios, mígrelos (conviértalos) a la organización del cliente antes de activar el Conector de directorios. Luego, agrega a los usuarios a active Directory con la dirección de correo electrónico exacta y luego sincroniza a la nube.
Si no convierte las cuentas antes de la activación, desactive el Conector de directorios para convertirlas.
Si intenta convertir un usuario con la sincronización de directorios habilitada, aparece el mensaje de error no se pudo convertir
. Para evitar el problema, puede utilizar estos pasos como solución alternativa.
Es posible que algunos usuarios reclamados aparezcan con el atributo movedfrom al realizar una simulación. Estos usuarios estarán en la lista Objetos eliminados en lugar de ObjetosNo Coincidentes. Tendrá que agregar esos usuarios a su lista de AD si desea moverlos a su organización.
Si no agrega esos usuarios, todos se eliminarán la próxima vez que se sincronice con la nube.
| 1 |
Deshabilite la sincronización de directorios desde el Conector de directorios. |
| 2 |
Siga el procedimiento Convertir usuarios sin licencia en Control Hub para convertir al usuario de la organización de consumidores sin cargo a la organización empresarial. Este paso agrega al usuario a su organización y la cuenta aparece en Control Hub. El Conector de directorios hace que Active Directory sea la única fuente fiable para las cuentas de usuario y el objetivo es lograr una coincidencia exacta entre Active Directory y Control Hub. Asegúrese de que haya usuarios coinciden en la Active Directory para todos los usuarios convertidos recientemente antes de volver a realizar la sincronización. Se puede utilizar una sincronización de la prueba para asegurarse de que no haya usuarios iguales. |
| 3 |
En el Conector de directorios, realice una simulación de sincronización. Una vez que finalice la prueba, revise la ficha Agregar objetos. Verifique que no se hayan eliminado los usuarios que convirtió. Debe realizar una simulación antes de volver a habilitar la sincronización para asegurarse de que las cuentas de usuario convertidas aparezcan en active Directory. Si activa la sincronización y las cuentas solo residen en Control Hub, el conector de directorios distingue entre mayúsculas y minúsculas y elimina a los usuarios convertidos que detecta con direcciones de correo electrónico no coincidentes (por ejemplo, user1@example.com y User1@example.com). Si se elimina algún usuario convertido, perderá todos sus espacios de la aplicación de Webex. |
| 4 |
Cuando tenga la certeza de que la próxima sincronización no eliminará ninguna cuenta, vuelva a habilitar la sincronización de directorios desde el Conector de directorios. |
Las cuentas de usuario convertida no se activan automáticamente si usted no verificó un dominio. Por ejemplo, si activó la plantilla de licencia de asignación automática y luego activó el Conector de directorios sin verificación de dominio, los usuarios convertidos estarán inactivos en el backend en la nube hasta que confirmen sus direcciones de correo electrónico.
Cuentas de usuario de la aplicación Webex creadas con Sideboard
Cuando invita a otro usuario a un espacio en la aplicación de Webex, si el usuario invitado no tiene una cuenta de la aplicación de Webex, se crea una cuenta para él ("sideboard"). De manera predeterminada, las cuentas que se crean de este modo se agregan a la organización de consumidores sin cargo.
Si desea administrar la cuenta creada con Sideboard mediante el Conector de directorios, debe convertirla.
Cambiar el formato de nombre de usuario de la aplicación Webex después de la sincronización de directorios
De manera predeterminada, el Conector de directorios asigna el atributo displayName en Active Directory al atributo displayName en la nube.
Después de realizar una sincronización de directorios, es posible que encuentre que los nombres de usuario se muestran en el formato .
Este nombre de usuario puede aparecer si el atributo displayName en Active Directory está configurado de esa manera. Cuando el atributo se asigna a displayName en la nube, los nombres aparecen en el formato en Control Hub.
Para cambiar el formato, haga lo siguiente en la pantalla para mapear atributos del Conector de directorios: Asigne el atributo de Active Directory givenName sn (o sn givenName) a displayName en los nombres de atributos de la nube de Cisco.
Como alternativa, asigne el atributo sn givenName a displayName:
También puede utilizar la opción Personalizar atributo, si desea asignar su propia expresión de atributo personalizada a displayName.
Por ejemplo, introduzca givenName + "" + sn (nombre, espacio, apellido) como la expresión. Esto asigna los dos atributos de Active Directory a displayName en la nube.
Permitir que los usuarios cambien los nombres para mostrar en Webex Meetings
Puede desasignar el atributo displayName de la sincronización a la nube en el Conector de directorios si desea permitir que los usuarios editen sus nombres para mostrar preferidos. Los usuarios pueden introducir un nombre para mostrar durante las reuniones de Webex en lugar de su nombre y apellido. Los administradores también pueden cambiar el nombre para mostrar de un usuario manualmente en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. |
| 2 |
Seleccione displayName en Nombre de atributo de la nube de Cisco. |
| 3 |
Seleccione No sincronizar este atributo. |
Qué hacer a continuación
Los usuarios ahora pueden editar sus nombres en pantalla desde su sitio de Webex.
Resolución de problemas en el Conector de directorios
Mejorar a la versión de software más reciente
Para que su implementación cumpla las normas y obtenga las últimas características, funcionalidades, correcciones de errores y mejoras de seguridad, siempre debe mejorar a la versión más reciente del Conector de directorios. Si no realiza una mejora a la última versión disponible, es posible que experimente problemas, como que el Conector de directorios ya no se sincronice correctamente o que tenga una versión que no admita el requisito obligatorio de TLS 1.2.
El Conector de directorios le notifica automáticamente cuando hay una nueva versión disponible. Siempre mejore a la versión más reciente para evitar problemas. También verá una notificación en la barra de tareas de Windows.
Aunque puede instalar manualmente las actualizaciones de software de conectores, le recomendamos que siga los pasos de Configurar mejoras automáticas para permitir que la aplicación administre las mejoras automáticamente.
| 1 |
Haga clic en la notificación en la barra de tareas de Windows o haga clic con el botón derecho en el icono del Conector de directorios en la barra de tareas de Windows para iniciar el proceso de mejora. |
| 2 |
Siga las instrucciones para completar la mejora. |
| 3 |
Reinicie el conector e inicie sesión con sus credenciales de administrador. |
| 4 |
Verifique el número de versión del software en . |
Qué hacer a continuación
Para una nueva instalación del Conector de directorios, puede descargar el archivo zip y, a continuación, seguir los pasos de instalación de esta guía.
Configurar ajustes generales para el Conector de directorios
Utilice este procedimiento para configurar ajustes generales, como el nombre del servidor que ejecuta el Conector de directorios, los niveles de registro, las actualizaciones automáticas y los ajustes preferidos para los controladores de dominio. El nombre del conector aparece en el tablero de mandos de la sección de conectores, junto con cualquier otro conector que se esté ejecutando.
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en General. |
| 2 |
En el campo Nombre del conector, introduzca el nombre del conector. Este campo solo muestra el nombre de la computadora que está ejecutando el conector en este momento. |
| 3 |
Elija el nivel de registro desde el menú desplegable. De manera predeterminada, el nivel de registro está definido en Información. Los niveles de registro disponibles son los siguientes:
Esta configuración afecta al informe de sincronización que se envía por correo electrónico. Si establece el nivel de registro en Error, solo se informan errores en el informe de sincronización; si no existen errores, el informe de sincronización no se envía. Cambie la configuración a Información; luego, recibirá informes de sincronización después de la sincronización completa. (Tenga en cuenta que para una sincronización incremental, no se envía ningún informe cuando no se reportan errores). |
| 4 |
Seleccione los Controladores de dominio preferidos para definir el orden de los controladores de dominio para sincronizar identidades. A los controladores de dominio se accede desde arriba hacia abajo. Si el primer controlador desde arriba no está disponible, elija el segundo controlador de la lista. Si no hay ningún controlador en la lista, puede acceder al controlador primario. |
| 5 |
Marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco si desea que se realicen mejoras automáticas. Siempre es importante mantener el software del Conector de directorios de Cisco actualizado a la versión más reciente. Le recomendamos que marque esta configuración para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 6 |
Marque LDAP sobre SSL para utilizar el LDAP seguro (LDAPS) como protocolo de conexión. Si no marca LDAP sobre SSL, el Conector de directorios sigue utilizando el protocolo de conexión de LDAP. LDAP (Lightweight Directory Application Protocol) y LDAP seguro (LDAPS) son los protocolos de conexión que se utilizan entre una aplicación y el controlador de dominio dentro de la infraestructura. La comunicación LDAPS está cifrada y es segura. |
Configurar la política del conector
Puede definir la cantidad máxima de operaciones de eliminación que pueden tener lugar durante la sincronización. La sincronización en ejecución no elimina objetos de su Active Directory local. Todos los objetos se eliminan solo de la nube.
Por ejemplo, establece 1 como el valor de activación del umbral de eliminación. Cuando ejecuta una sincronización completa o incremental, si la cantidad de usuarios que quiere eliminar es superior al ajuste configurado, el conector de directorios exhibirá una advertencia. Si hace clic en Anular umbral, puede iniciar una sincronización completa o incremental sin inconveniente, pero seguirá viendo este aviso de anulación la próxima vez que ejecute la política.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Política. |
| 2 |
Marque la casilla Habilitar activador de umbral de eliminación si quiere agregar un activador de umbral. Si elige esta opción, se activa una alerta si la cantidad de operaciones de eliminación excede el umbral. Cuando la cantidad de operaciones de eliminación excede la cifra que definió, la sincronización falla.
|
| 3 |
Introduzca la cantidad máxima de operaciones de eliminación que quiera. El valor predeterminado es 20. Le recomendamos que no aumente el valor predeterminado. |
| 4 |
Haga clic en Aplicar. |
Definir la programación del conector
Defina la sincronización en Active Directory. La conmutación por falla se utiliza para proporcionar alta disponibilidad (HA). Si un conector está fuera de servicio, pasamos a otro conector de reserva después del intervalo predefinido.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Planificar. |
| 2 |
Especifique el Intervalo de sincronización incremental en minutos. De manera predeterminada, el intervalo para la sincronización incremental está definido en 30 minutos. No habrá ninguna sincronización incremental completa hasta que usted no realice inicialmente una sincronización completa. |
| 3 |
Cambie el valor de Enviar informes por… tiempo si quiere cambiar la frecuencia con la que se envían los informes. |
| 4 |
Marque Habilitar planificación de sincronización completa para especificar los días y horarios en los que quiera ejecutar una sincronización completa. |
| 5 |
Especifique el Intervalo de conmutación por falla en minutos. |
| 6 |
Haga clic en Aplicar. |
Situaciones de varios dominios
Los dominios múltiples se basan en la prioridad del dominio. En el caso de objetos que tengan el mismo valor de clave en diferentes dominios, después de la sincronización, los datos del dominio de mayor prioridad sobrescriben a los del dominio de menor prioridad.
Los objetos que tengan el mismo valor de clave se enlazan a un registro en la base de datos.
El valor de clave correspondiente a "Usuario" es Dirección de correo electrónico; y el correspondiente a "Grupo" es Nombre del grupo.
Caso práctico modelo para varios dominios
En este ejemplo se asume que una organización tiene dos dominios: ejemplo1.com y ejemplo2.com, en orden de prioridad.
-
Agregue usuario1(correo electrónico: Usuario@ejemplo1.com) al Active Directory de ejemplo1.com.
-
Agregue grupo1(Nombre del grupo: Prueba) al Active Directory de ejemplo1.com.
-
Agregue usuario2(correo electrónico: Usuario@ejemplo2.com) al Active Directory de ejemplo2.com.
-
Agregue grupo2(Nombre del grupo: Prueba) al Active Directory de ejemplo2.com.
- Sincronización en ejemplo1.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Si ejecuta una sincronización completa o incremental para ejemplo1.com. se sincronizan usuario1 y grupo1. Además, los valores de usuario2 y grupo2 se sobrescribirán con la información de usuario1 y grupo1.
usuario1 se enlaza a usuario2 como el mismo registro en la base de datos; grupo1 se enlaza a grupo2 como el mismo registro en la base de datos.
- Sincronización en ejemplo1.com y ejemplo2.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Tenga presentes estos pasos:
- Elimine usuario1 y grupo1 en el Active Directory correspondiente a ejemplo1.com.
- Ejecute una sincronización completa o incremental para ejemplo1.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com. usuario2 no se enlaza a usuario1; y grupo2 tampoco se enlaza a grupo1.
- Ejecute una sincronización incremental para ejemplo2.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com.
- Ejecute una sincronización completa para ejemplo2.com.
Resultado: la información de usuario2 y grupo2 se indica en https://admin.webex.com.
Sincronizar un nuevo dominio y conservar un dominio existente
Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de instalar el Conector de directorios para el dominio (B) en un servidor de Windows compatible. El conector se vincula al nuevo dominio después de la configuración inicial, y la información del usuario del dominio (A) no se ve afectada.
Cada dominio debe tener su propio conector activo. Considere dos dominios con la siguiente configuración: dominio A con conectores (ca1) y (ca2) para Alta disponibilidad (HA) local; dominio B con conector (cb1). (ca1) y(ca2) sirven al dominio A. En esta situación, un conector está activo y el otro en modo de espera (HA). Este diseño mantiene al dominio sincronizado debido a que siempre hay un conector activo. Por lo tanto, cb1 es el conector activo para el dominio B, ya que el dominio A ya tiene un conector activo (ca1 o ca2).
Establecer la prioridad de los dominios
Utilice este procedimiento para cambiar la prioridad de los dominios de Active Directory. La prioridad de los dominios le permite determinar el dominio primario, el secundario, y así sucesivamente. Esto resulta útil cuando dos usuarios de dos dominios diferentes tienen el mismo valor de correo electrónico sincronizado a una organización.
No utilice este procedimiento si tiene un solo dominio en el Conector de directorios. Si lo intenta, el conector le exhibirá un mensaje en el que se indica que no es necesario establecer ninguna prioridad de directorios.
Antes de comenzar
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde https://admin.webex.com.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Definir prioridad de dominios. |
| 3 |
Resalte un dominio de la lista, haga clic en Subir o Bajar para cambiar la prioridad de este dominio; luego, haga clic en Guardar para guardar este cambio. Los dominios se ordenan por prioridad de arriba hacia abajo. |
Cambiar dominios
Utilice este procedimiento para volver a vincular el conector de directorios de Cisco a un dominio diferente.
Antes de comenzar
-
Asegúrese de que no se esté ejecutando ninguna tarea de sincronización antes de cambiar dominios.
-
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde Control Hub.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Cambiar dominio. |
| 3 |
Después de leer el mensaje de precaución, si comprende el efecto de este cambio en su implementación y todavía está seguro, haga clic en Sí. Si cambia un dominio, se cierra la sesión del conector de directorios actual de Cisco, se cancelan los registros de otros dominios del conector y se elimina la información del conector de esa computadora. |
| 4 |
Vuelva a iniciar sesión en el conector de directorios de Cisco y vuelva a vincular el dominio. |
Desactivar la sincronización de directorios
Si necesita detener la sincronización desde el Conector de directorios, puede desactivarla temporalmente desde Control Hub.
| 1 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios y, luego, elija una opción:
|
| 2 |
Después de leer el mensaje, haga clic en Desactivar. La sincronización se detiene hasta que la vuelva a habilitar desde el Conector de directorios. |
Eliminar asignación de atributos de usuarios
Utilice el Conector de directorios para eliminar la asignación de atributos de Active Directory previamente asignados a la nube y sincronizados con Webex. Después de eliminar la asignación de atributos, los valores de los atributos se eliminan de la nube y ya no se sincronizan con Webex. Estos valores se pueden editar manualmente.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
Seleccione la asignación que desea eliminar de la lista Nombre de atributo . |
| 4 |
En Alcance del usuario afectado, seleccione una de las siguientes opciones:
|
| 5 |
Haga clic en Aplicar. |
Administrar imágenes de perfil
Utilice el Conector de directorios para actualizar las imágenes de perfil de usuario o para eliminar las imágenes de perfil de usuario en blanco.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
En Acciones, seleccione una de las siguientes opciones:
|
| 4 |
Haga clic en Aplicar. |
Desinstalar y desactivar el Conector de directorios
Después de desinstalar una instancia del Conector de directorios, deberá desinscribirlo. Elimine completamente un Conector de directorios en cualquiera de estas situaciones:
-
Ya no quiere utilizar la sincronización de directorios.
-
No quiere utilizar uno de los varios conectores de directorio (alta disponibilidad).
-
Quiere cambiar el dominio e instalar otro conector.
Antes de comenzar
-
Puede tener varias instancias del Conector de directorios configuradas para alta disponibilidad (HA) o sincronización de varios dominios. Deshabilite la sincronización si está desinstalando la única o última instancia del Conector de directorios.
-
Guarde y cierre cualquier trabajo importante antes de desinstalar el Conector de directorios.
| 1 |
En su máquina con Windows, diríjase al Panel de control y luego haga clic en Programas y características. |
| 2 |
En la lista de programas, haga clic en Conector de directorios, elija Desinstalar y, a continuación, siga las indicaciones. Es posible que tenga que reiniciar su sistema para completar la desinstalación. |
| 3 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios, haga clic en Más |
| 4 |
Después de leer el mensaje, haga clic en Desactivar. Si no hay ningún otro Conector de directorios en una implementación de alta disponibilidad (HA), ya no se sincronizan las cuentas de usuario. |
Ejecutar la herramienta de diagnóstico
Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas en la implementación del Conector de directorios. Esta herramienta se instala como parte del Conector de directorios 3.4 en adelante.
Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión a LDAP para poder diagnosticar errores usted mismo antes de comunicarse con el soporte. Si la herramienta devuelve algún error, puede enviar los resultados detallados del registro a soporte técnico.
-
Para ejecutar pruebas para los servicios de dominio de Active Directory:
-
Para ejecutar pruebas de los servicios de directorio ligero de Active Directory:
-
Para ejecutar pruebas del Lightweight Directory Access Protocol (Protocolo ligero de acceso a directorios, LDAP):
Solucionar problemas en el Conector de directorios de Ciso
Solución de problemas y correcciones para el Conector de directorios
Es posible que encuentre un mensaje de error u otro problema en el Conector de directorios. Además, una vez que el Conector de directorios sincroniza la información de los usuarios, es posible que el conector le envíe un informe por correo electrónico en el que se enumeren los problemas con la sincronización. Consulte las siguientes secciones para conocer los problemas que pueden surgir, las posibles causas y las soluciones propuestas que puede probar antes de comunicarse con el soporte.
Instalar
El Conector de directorios dejó de funcionar
Recibió alertas por correo electrónico en las que se le notifica que su Conector de directorios no está funcionando.
-
Es posible que el Conector de directorios no se instale correctamente.
-
Es posible que el Conector de directorios no se esté ejecutando.
-
Es posible que la red no esté disponible.
Intente lo siguiente:
-
Abra . Localice el Conector de directorios. Si no está allí, descargue la versión más reciente de Control Hub e instálela.
-
Abra Servicio y busque el Servicio de sincronización de directorios de Cisco. Asegúrese de que muestre el estado como Iniciado. Si el servicio está detenido, hágale clic derecho y seleccione Iniciar para reiniciarlo.
-
Asegúrese de que el servidor en el que instaló el Conector de directorios tenga acceso a Internet.
Error de reinstalación
Problema: si instala inmediatamente un nuevo conector después de desinstalar uno anterior, es posible que vea un mensaje de error.
Causa posible: en Windows Server 2012, el cliente de desinstalación necesita tiempo para eliminar la cuenta de servicio de la lista de servicios.
Solución: después de que haya pasado un tiempo, intente la instalación nuevamente.
Iniciar sesión
El conector de directorios se bloquea durante el inicio de sesión con SSO
Problema
El Conector de directorios puede bloquearse después de que usted introduzca una dirección de correo electrónico desde una página de inicio de sesión de SSO.
Solución
Intente lo siguiente:
Siga estos pasos para configurar una nueva política de grupo:
-
Vaya al controlador de dominio y abra Group Policy Management (gpedit.msc).
-
Haga clic con el botón derecho en una unidad organizativa o un dominio específicos, seleccione Crear un GPO en este dominio y Vincule aquí…
-
Asigne un nombre a la política y, a continuación, haga clic con el botón derecho y elija Editar.
Siga estos pasos para cambiar la política a nivel de la máquina:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_LOCAL_MÁQUINA\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Siga estos pasos para cambiar la política a nivel de usuario:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_USUARIO ACTUAL\SOFTWARE\Microsoft\Internet Explorer\Main_.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Los cambios surten efecto después de ejecutar gpupdate /force, de que la máquina se reinicie (para los cambios de máquina) o de que el usuario vuelva a iniciar sesión (para los cambios de usuario).
No se pudo inscribir el conector de servicios DirSync de Cisco
Problema
El inicio de sesión falla y aparece este mensaje: “El conector de servicios de sincronización de directorios de Cisco no se pudo inscribir”.
Solución
El sistema de Windows en el que está instalado el Conector de directorios debe ser miembro de Active Directory.
No aparece la página de inicio de sesión
Problema
Abrió el Conector de directorios y no aparecía la página de inicio de sesión.
Solución
Pruebe los siguientes pasos:
-
En Internet Explorer, vaya a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Pruebe el enlace en otros navegadores como Chrome y Firefox.
-
Si Internet Explorer no puede visitar el enlace, pero otros navegadores sí pueden, marque la configuración de Internet Explorer y marque las casillas de verificación TLS 1.1 y 1.2. (Utilice el procedimiento Habilitar TLS en Internet Explorer .)
Aparece el mensaje de inicio de sesión
Problema
Aparece un mensaje que le solicita que ingrese el nombre de usuario y la contraseña para pasar la autenticación.
Causa posible
El Conector de directorios completa la autenticación de seguridad NTLM silenciosamente con la cuenta de inicio de sesión. Si falla la autenticación, aparece un cuadro de diálogo para solicitar el nombre de usuario y la contraseña de autenticación.
Solución
Cuando vea la ventana emergente de inicio de sesión, necesita proporcionar una cuenta válida con autenticación correcta para pasar la seguridad.
No se puede conectar al servidor remoto
Problema
Durante el funcionamiento normal, aparece el mensaje de error: "No se puede conectar al servidor remoto".
Causa posible
Es posible que tenga problemas de proxy que deban resolverse.
Solución
Consulte Solucionar problemas de inicio de sesión en la cuenta de servicio para obtener más información sobre la solución de problemas.
No se puede inscribir el conector
Problema
Aparece el mensaje de error "No se puede inscribir el conector. Ocurrió una excepción general".
Causa posible
En la mayoría de los casos, el problema se debe a que el Conector de directorios no tiene privilegios para conectarse al contexto raíz de LDAP.
Solución
Intente lo siguiente:
-
Ejecute un símbolo del sistema (cmd) y luego introduzca ldp.exe.
-
Haga clic en , elija Vincular como usuario actualmente conectado y, a continuación, haga clic en Aceptar.
-
Haga clic en , introduzca DC=arbonneintl,DC=ad como BaseDN y, luego, haga clic en Aceptar.
-
Si el problema continúa, abra un caso en el servicio de soporte técnico.
Sincronización
Avatares no sincronizados
Problema
El conector de directorios de Cisco sincronizó los datos de AD del usuario con la nube de Webex. Pero no se sincronizaron correctamente datos de avatar.
Causa posible
Si reutilizó un servidor de avatar existente y los avatares del usuario ya estaban sincronizados, la caché local los captura y evita que se vuelvan a enviar para ahorrar ancho de banda.
Solución
Elimine la caché local siguiendo estos pasos:
-
Vaya a C:\Archivos de programa (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Elimine DirSyncPluginAvatar.dll-cache.bin.
-
Vuelva a ejecutar la sincronización de avatares desde el conector de directorios de Cisco.
Cuentas de correo electrónico de usuarios en conflicto
Problema
Los resultados de la sincronización pueden mostrar cuentas de correo electrónico de usuarios conflictivas.
-
Si los usuarios probaron la versión gratuita de la Aplicación de Webex, sus direcciones de correo electrónico residen en la organización de consumidores sin cargo.
-
Si alguna vez se sincronizaron los correos electrónicos de los usuarios en otra organización.
-
Si los correos electrónicos de los usuarios existen en varios dominios que pertenecen a la organización.
Solución
Intente lo siguiente:
-
Siga estos pasos si está intentando reclamar usuarios:
-
Asegúrese de haber verificado el dominio en Control Hub.
-
Deshabilite temporalmente el Conector de directorios de Cisco.
-
Utilice la opción Reclamar usuario en Control Hub para reclamar las cuentas que puedan existir en la organización de consumidores sin cargo. Consulte Reclamar usuarios a su organización (Convertir usuarios) para obtener más información.
-
Realice una simulación en el Conector de directorios de Cisco y, luego, vuelva a habilitar la sincronización de directorios
-
-
En el último caso, compruebe dos veces los datos de los usuarios en sus fuentes de Active Directory.
Usuario convertido marcado como inactivo
Problema
En su entorno sincronizado de directorios, convirtió a un usuario gratuito (organización de consumidor) en su organización empresarial, pero el usuario convertido no puede iniciar sesión en la Aplicación de Webex.
Causa posible
Cuando el usuario gratuito se convierte en la organización empresarial, se marca al usuario como estado inactivo durante 30 días como medida de cumplimiento de seguridad. Durante este período, el usuario no puede iniciar sesión en la Aplicación de Webex y se marca para su eliminación al final del período de 30 días. Esta situación surge porque la información del usuario gratuito no reside en Active Directory.
Solución
Debe tomar medidas si no desea que se elimine la cuenta de usuario. Para resolver este problema, cree una cuenta de usuario en su Active Directory local que corresponda a la cuenta de usuario gratuita convertida. A continuación, realice una sincronización desde el Conector de directorios de Cisco. Luego, el usuario podrá volver a iniciar sesión en la aplicación de Webex y la cuenta no se eliminará.
Falla la sincronización incremental
Problema
Falla una sincronización incremental.
Este problema puede ocurrir en Windows Server 2008 R2 en las siguientes condiciones:
-
Usted admite las actualizaciones de valor incremental.
-
El filtro que utiliza hace referencia a un atributo de valor vinculado.
-
Los valores de resultado de ese atributo se actualizaron desde la última vez que se realizó una sincronización completa.
Solución
Windows Server 2008 R2 tiene un error relacionado con este problema. El error se corrigió en 2012 R2 y versiones posteriores. Le recomendamos que mejore su Windows Server a al menos 2012 R2.
Valor no válido para el atributo
Problema
Para [ND del usuario (nombre distinguido)], el atributo [nombre del atributo] tiene el siguiente valor no válido: [valor del atributo].
Causa posible
Para CN=b,OU=Employees,OU=C Users,DC=c,DC=com, el atributo [número de teléfono] tiene el siguiente valor no válido: +. Este atributo debe contener al menos un número.
Solución
Un atributo para este usuario no tiene un valor válido. Corrija su valor según la descripción que se indica en el mensaje de advertencia. Luego realice otra operación de sincronización.
Usuarios coincidentes para eliminar
Problema
Los usuarios coincidentes se marcan para ser eliminados.
Al realizar una simulación de sincronización para comprobar los datos entre Active Directory y la nube, es posible que vea la misma dirección de correo electrónico en ambos. Sin embargo, el usuario se marca como un objeto que desea eliminar.
Solución
Elija una solución adecuada:
-
Si no está bien eliminar al usuario y rehacer las licencias después, puede utilizar el Conector de directorios para solucionarlo. Realice una sincronización para eliminar al usuario y, luego, realice otra sincronización para sincronizar al usuario de AD local con la nube.
-
Si no puede eliminar ni volver a crear la cuenta de usuario, abra un caso en el servicio de soporte técnico.
Atributo faltante
Problema
El atributo obligatorio [attribute_name] al agregar una entrada local [DN del usuario (nombre distinguido)]. La entrada no se crea en Control Hub hasta que todos los atributos obligatorios tienen un valor.
Causa posible
Falta el atributo obligatorio de dirección de correo electrónico. Al agregar una entrada local [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], la entrada no se crea en Control Hub hasta que todos los atributos obligatorios tengan un valor.
Solución
Falta uno de los atributos obligatorios para el usuario [user_email_address]. Proporcione los valores obligatorios para ese usuario.
El grupo anidado no se sincronizará
Problema
Los usuarios de un grupo de Active Directory anidado no se sincronizan correctamente con la nube.
Causa posible
Se utiliza un filtro que incluye tanto el grupo secundario como el grupo padre, que no es compatible. Por ejemplo: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Solución
Debe volver a configurar el filtro que sincroniza los grupos. Por ejemplo: |(memberof=CN=testgroup1,CN=Usuarios,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuarios,DC=rktest2008,DC=org)
Conflicto de nomenclatura del usuario
Problema
Hay un conflicto de nomenclatura para [ND del usuario] para un objeto de entrada en la nube existente con el siguiente nombre: [dirección de correo electrónico del usuario] y del tipo de usuario [user_type].
Causa posible
Ya existe un usuario con esa dirección de correo electrónico en Control Hub.
Solución
Cree un usuario en su Active Directory con la misma dirección de correo electrónico que la cuenta que inscribió a través de Control Hub.
Concentrador de control
Falta la lista de usuarios en Control Hub
Problema
Si tiene una organización de Webex con más de 1000 usuarios sincronizados, es posible que no vea la lista de usuarios en Control Hub.
Solución
Puede utilizar la funcionalidad de búsqueda para encontrar una cuenta de usuario. En Control Hub, diríjase a Usuarios, haga clic en Buscar y, luego, introduzca los criterios de búsqueda para encontrar un usuario específico.
Los grupos no se sincronizarán con Control Hub
Problema
Los usuarios de un grupo de directorio no se sincronizarán correctamente con Control Hub.
Causa posible
El grupo no está etiquetado como isCriticalSystemObject en Active Directory.
Solución
Asegúrese de que el atributo isCriticalSystemObject esté definido en TRUE en Active Directory.
Habilitar la solución de problemas para el Conector de directorios
Puede habilitar la solución de problemas para diagnosticar más fácilmente cualquier error que encuentre en el Conector de directorios. La solución de problemas le permite capturar información del tráfico de red y guardarla en un archivo.
Los archivos de registro que son: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Ejecute el archivo |
| 2 |
Reinicie el servicio. Consulte Cómo iniciar servicios para obtener ayuda. |
| 3 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 4 |
Diríjase a Acciones y, luego, haga clic en . |
| 5 |
Con la solución de problemas habilitada, repita las acciones que estaban causando un error; de esta manera, se capturan los datos del tráfico para poder examinarlos. |
| 6 |
Examine los archivos de registro: si el archivo está en blanco, asegúrese de que la cuenta tenga privilegios para acceder a su AD DS o AD LDS. La carpeta de registro solo guarda los archivos de los últimos 3 días. El contenido de los archivos de registro es coherente con la salida del registro de eventos en el sistema. |
| 7 |
Si es necesario, envíe el archivo de registro al servicio de Soporte para obtener ayuda. |
| 8 |
Deshabilite la característica de solución de problemas cuando termine. |
Iniciar el visor de eventos
Para ver los eventos que se produjeron durante una sincronización completa o incremental, inicie el Visor de eventos. Muestra un resumen de los eventos administrativos y los registros de errores.
| 1 |
Desde el Conector de directorios, diríjase al Tablero de mandos y, luego, haga clic en . En el cuadro de diálogo de Propiedades de eventos se indican detalles de los eventos y errores durante la sincronización. |
| 2 |
Desde el Visor de eventos, diríjase a .
|
| 3 |
En Acciones, haga clic en Guardar todos los eventos como para exportar todos los registros como un solo archivo de eventos (*.evtx) u otro formato como xml o csv. |
Qué hacer a continuación
Si necesita abrir un caso, comuníquese con el soporte, describa el problema con el conector y, a continuación, adjunte el archivo de Events a su caso.
Los registros de eventos capturan las acciones de los usuarios. Para obtener ayuda con la administración del tráfico de red, habilite la resolución de problemas en el conector.
Habilitar TLS en Internet Explorer
Si cambió los proveedores de inicio de sesión único (SSO), es posible que vea los siguientes mensajes de error del conector de directorios de Cisco:
-
Se produjo un error al conectarse al servicio
-
Se ha producido un error en el script de esta página
Si ve estos errores, debe habilitar un ajuste de TLS en su navegador.
| 1 |
Abra Internet Explorer y, a continuación, elija Herramientas. Ahora marque las casillas de la versión TLS/SSL que desea habilitar Haga clic en Aceptar Cerrar el navegador y abrirlo de nuevo |
| 2 |
Haga clic en Opciones de Internet , vaya a Opciones avanzadas y desplácese hasta Seguridad. |
| 3 |
Marque las casillas de verificación Usar TLS 1.1 y Usar TLS 1.2 y, luego, haga clic en Aceptar.
|
| 4 |
Reinicie su sistema para que los cambios tengan efecto. |
Solucionar problemas en el inicio de sesión a una cuenta de servicios
Si no puede iniciar sesión en el conector de directorios de Cisco o no puede ejecutar una sincronización, siga estos pasos para intentar resolver el problema antes de comunicarse con el servicio de soporte.
| 1 |
Trate de ingresar a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL en su navegador web. |
| 2 |
Dependiendo de los resultados, elija una opción:
|
| 3 |
Como mínimo, asegúrese de que la cuenta configurada para el servicio Cisco DirSync (que se puede encontrar en los servicios de Windows) tenga un nivel de privilegios que le permita acceder a los datos de avatar y a los datos de AD. De forma predeterminada, el servicio aprovecha las credenciales y la autenticación de la cuenta de inicio de sesión de Windows. |
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
Descripción general del Conector de directorios de Cisco
Descripción general del Conector de directorios
El Conector de directorios es una aplicación local para la sincronización de identidades en la nube. Descargue el software del conector desde Control Hub e instálelo en su máquina local.
Con el Conector de directorios, puede mantener sus cuentas de usuario y sus datos en Active Directory, de modo que Active Directory se convierte en la única fuente fiable. Cuando realiza un cambio en las instalaciones, se replica en la nube.
Consulte todas las características, las descripciones y los beneficios en la tabla:
| Característica | Descripción y ventaja |
|---|---|
| Tablero de mandos fácil de usar | El tablero de mandos proporciona una planificación de sincronizaciones, un resumen y el estado de la sincronización y del Conector de directorios. Puede ver el tablero de mandos cada vez que inicie sesión. |
| Simulacro antes de la sincronización con la nube | Realice una simulación de los cambios en el directorio antes de que se implementen en la nube. Luego, ejecute un informe para ver que los cambios cumplen con sus expectativas. |
| Sincronización completa y gradual | Sincronice el directorio completo. O bien, sincronice los cambios graduales para ahorrar potencia de procesamiento y acortar el tiempo de sincronización. |
|
Sincronizar varios dominios (bosque único o bosques múltiples) |
El Conector de directorios admite varios dominios en un solo bosque o en varios bosques (sin la necesidad de AD LDS). En el caso de empresas con varios dominios de Active Directory, puede instalar un Conector de directorios para cada dominio, vincular cada dominio a su organización y, luego, sincronizar cada base de usuarios en Webex. Control Hub refleja el estado mostrando el estado de sincronización para varios conectores de directorios, le permite desactivar la sincronización para un dominio específico y desactivar un conector de directorios en una implementación de alta disponibilidad. |
| Sincronización programada | Configure una planificación de sincronizaciones por día, hora y minuto. |
| Filtros del Protocolo ligero de acceso a directorios (LDAP) | Defina el criterio de búsqueda de LDAP y proporcione importaciones eficientes. |
| Asignación de atributos de Active Directory | Asigne atributos de Microsoft Active Directory a los atributos de la nube de Webex correspondientes. Puede asignar atributos relevantes para la configuración de su Active Directory y también definir atributos personalizados para asignar a la nube. Los atributos de las instalaciones forman diversos datos en la nube, como información de cuentas de usuario, números de teléfono empresarial en Webex Teams, direcciones SIP de recursos de sala y otros datos de tarjetas de contacto del usuario (cargo, departamento, gerente, etc.). |
|
Directorio corporativo para recursos de salas locales y usuarios de Cisco Webex Calling (PSTN en la nube) y contactos empresariales sin licencias de Webex |
Si parte de su organización utiliza la PSTN en la nube de Cisco Webex Calling para el servicio de llamadas o usted tiene dispositivos de sala locales, esta característica permite a los usuarios buscar contactos empresariales en el directorio desde sus teléfonos o recursos de sala de Cisco Webex Calling (PSTN en la nube).
|
| Visor de eventos | Use el visor de eventos para determinar si hubo problemas con la sincronización. |
| Herramienta de diagnóstico y solución de problemas | Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas de su implementación Conector de directorios Cisco. Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión con Active Directory para que pueda diagnosticar los errores usted mismo antes de comunicarse con el servicio de soporte. Una vez que habilite la solución de problemas en el Conector de directorios, se escriben registros que pueden enviarse al soporte técnico. |
| Mejora automática | Después de que instala Conector de directorios, recibe una notificación cada vez que haya una nueva versión del software disponible. Puede configurar actualizaciones automáticas para que siempre tenga la última versión del software cuando se lanza una nueva versión. |
| Alta disponibilidad | Configure varios conectores para que haya una copia de seguridad, por si el conector principal o la máquina que lo aloja dejan de funcionar. |
El Conector de directorios está dividido en tres áreas:
-
Control Hub es la interfaz única que le permite administrar todos los aspectos de su organización de Webex: ver usuarios, asignar licencias, descargar el Conector de directorios y configurar el inicio de sesión único (SSO) si desea que sus usuarios se autentiquen a través de su proveedor de servicios de identidad empresarial y no desea enviar invitaciones por correo electrónico para la aplicación de Webex.
-
La interfaz de administración del Conector de directorios es el software que se descarga desde Control Hub e instala en un servidor de Windows de confianza. Para varios dominios de Active Directory, puede instalar una porción del software para cada dominio que desea sincronizar. Si utiliza el software, puede ejecutar una sincronización para incorporar sus cuentas de usuario de Active Directory a Webex, ver y supervisar el estado de la sincronización y configurar servicios del Conector de directorios.
-
El servicio de sincronización de directorios solicita a su Active Directory que recupere usuarios y grupos para sincronizarlos con el servicio de conectores y con el Conector de directorios.
Consulte este diagrama para comprender la arquitectura del Conector de directorios:
Preparar su entorno para el Conector de directorios
Requisitos para el Conector de directorios
Requisitos de Windows y Active Directory
Puede instalar el Conector de directorios en estos servidores Windows compatibles:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver un problema con las cookies, le recomendamos que mejore su controlador de dominio a una versión que contenga la solución: Windows Server 2012 R2 o 2016.
El Conector de directorios es compatible con los siguientes servicios de Active Directory:
-
Active Directory 2016
(El Conector de directorios es compatible cuando se utiliza la última versión de Active Directory en Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Tenga en cuenta los siguientes requisitos adicionales:
-
El Conector de directorios requiere TLS1.2. Debe instalar lo siguiente:
-
.NET Framework v3.5 (necesario para la aplicación del Conector de directorios. Si tiene algún problema, utilice las instrucciones de Habilitar .NET Framework 3.5 mediante el asistente para agregar funciones y características).
-
.NET Framework v.4.5 (se requiere para TLS1.2)
-
-
Se requiere el nivel 2 de la funcionalidad de bosque de Active Directory (Windows Server 2003) o posterior (Consulte ¿Qué son los niveles funcionales de Active Directory? para obtener más información).
Requisitos de hardware
Debe instalar el Conector de directorios en una computadora con estos requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de almacenamiento
-
No hay ningún mínimo para la CPU
Requisitos de red
Si su red está detrás de un firewall, asegúrese de que su sistema tenga acceso HTTPS (puerto 443) a Internet.
Requisitos de la organización de Webex
-
Para acceder al software del Conector de directorios desde Control Hub, necesita una organización de Webex con una prueba o cualquier suscripción paga.
-
(Opcional) Si desea que las nuevas cuentas de usuario de la aplicación de Webex estén Activas antes de que inicien sesión por primera vez, le recomendamos que haga lo siguiente:
-
Agregue, verifique y, opcionalmente, reclame dominios que contengan las direcciones de correo electrónico de los usuarios que desea sincronizar en la nube.
-
Realice una integración de inicio de sesión único (SSO) de su proveedor de servicios de identidad (IdP) con su organización de Webex.
-
Suprimir las invitaciones automáticas por correo electrónico, de modo que los usuarios nuevos no reciban la invitación automática por correo electrónico y usted pueda realizar su propia campaña de correo electrónico. (Esta característica requiere la integración de SSO).
-
Para obtener más información, consulte Estados y acciones del usuario en Control Hub.
Requisitos de instalación
-
Para un entorno de varios dominios (ya sea bosque único o bosques múltiples), debe instalar un Conector de directorios por cada dominio de Active Directory. Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de tener un servidor Windows compatible separado para instalar el Conector de directorios para la sincronización del dominio (B).
-
Para iniciar sesión en el conector, no necesitamos una cuenta administrativa en Active Directory. Requerimos una cuenta de usuario local que sea el mismo usuario que una cuenta de administrador completa en Control Hub.
Este usuario local debe tener privilegios en esa máquina de Windows para conectarse al Controlador de dominios y leer los objetos de usuario de Active Directory. La cuenta de inicio de sesión de la máquina debe ser un administrador de la computadora con privilegios para instalar software en la máquina local. (Esta información también se aplica a la conexión de una máquina virtual).
-
Al iniciar sesión en el conector, la cuenta de inicio de sesión debe ser la misma que la cuenta de administrador completa para Control Hub. De forma predeterminada, el conector utiliza la cuenta del sistema local para acceder a Active Directory. Sin embargo, puede utilizar los servicios de Windows para configurar otra cuenta a fin de acceder a Active Directory. (Esta información también se aplica a la conexión de una máquina virtual).
-
Asegúrese de que el modo de búsqueda de biblioteca dinámica de enlaces (DLL) de Windows Safe esté habilitado mediante este procedimiento: Compruebe SafeDllSearchMode en el Registro de Windows.
-
Si utiliza AD LDS para varios dominios en un solo bosque, le recomendamos que instale el Conector de directorios y Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) en máquinas separadas.
Requisitos de varios dominios
Antes de seguir las tareas que se indican en el Flujo de tareas de implementación del conector de directorios de Cisco, tenga en cuenta los siguientes requisitos y recomendaciones si va a sincronizar la información de Active Directory de varios dominios a la nube:
-
Se requiere una instancia independiente del Conector de directorios para cada dominio.
-
El software del Conector de directorios debe ejecutarse en un host que esté en el mismo dominio que sincronizará.
-
Le recomendamos que verifique o reclame sus dominios en Control Hub. (Consulte Agregar, verificar y reclamar dominios).
-
Si desea sincronizar más de 50 dominios, debe abrir un ticket para que su organización se mueva a una lista de organizaciones grande.
-
Si lo desea, puede sincronizar la información de los recursos de la sala junto con las cuentas de usuario. (Consulte Sincronizar la información de la sala local con la nube de Webex).
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
Los grupos de Active Directory se utilizan para recopilar cuentas de usuarios, cuentas informáticas y otros grupos en unidades manejables. Trabajar con grupos en lugar de con usuarios individuales ayuda a simplificar el mantenimiento y la administración de la red.
Hay dos tipos de grupos en Active Directory:
-
Grupos de distribución: se utiliza para crear listas de distribución de correo electrónico.
-
Grupos de seguridad: se utiliza para asignar permisos a recursos compartidos.
Tenga en cuenta las siguientes pautas al crear grupos en Active Directory:
-
Cree un grupo global para cada función, departamento o servicio (como ventas, marketing, gerentes, contables, licencias de Webex, etc.).
-
Utilice convenciones de nomenclatura estándares en toda la organización para facilitar la identificación de información importante sobre un grupo. Los nombres de grupos pueden incluir detalles acerca del grupo, como el nivel de acceso, el tipo de recurso, el nivel de seguridad, el alcance del grupo, la capacidad de correo, etc. Por ejemplo, el nombre de grupo “GSG_Webex_Licensing_EMEAR” se refiere a un grupo de seguridad global para usuarios de licencias de Webex de EMEAR.
-
Organice grupos de una manera fácil de entender, por ejemplo, por geografía o jerarquía gerencial. Utilice las descripciones del grupo para describir completamente el propósito del grupo.
-
Antes de agregar usuarios a los grupos recientemente aprovisionados, defina la plantilla de grupo de licencias automáticas en Control Hub para esos grupos. Consulte Configurar su plantilla de asignación automática de licencias para obtener más información.
Información de dimensionamiento
El Conector de directorios funciona como un puente entre Active Directory en las instalaciones y la nube de Webex. Como tal, el conector no tiene un límite superior para la cantidad de objetos de Active Directory que se pueden sincronizar en la nube. Los límites de los objetos del directorio local están vinculados a la versión y las especificaciones específicas del entorno de Active Directory que se está sincronizando con la nube, no con el propio conector.
Algunos factores pueden afectar la velocidad de la sincronización:
-
El número total de objetos de Active Directory. (Un trabajo de sincronización de 5000 usuarios no demorará tanto como 50000).
-
Velocidad de red y ancho de banda.
-
Carga de trabajo y especificaciones del sistema.
Si está sincronizando más de 50 000 usuarios, le recomendamos con énfasis que utilice un segundo conector para la conmutación por error y la redundancia.
Debido a que hay varios factores involucrados en la sincronización y porque cada implementación varía según los factores anteriores, no podemos proporcionar valores de tiempo específicos para el tiempo que llevará una sincronización de objetos.
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
Integración de proxy web
Integración de proxy web
Si la autenticación con proxy web está habilitada en su entorno, puede seguir usando el Conector de directorios.
Si su organización utiliza un proxy web transparente, no es compatible con la autenticación. El conector conecta y sincroniza usuarios con éxito.
Puede adoptar uno de estos enfoques:
-
Proxy web explícito a través de Internet Explorer (el conector hereda la configuración del proxy web)
-
Proxy web explícito por medio de un archivo .pac (el conector hereda la configuración proxy específica de la empresa)
-
Proxy transparente que funciona con el conector sin ningún cambio
Utilizar un proxy web por medio del navegador
Puede configurar el Conector de directorios para que utilice un proxy web a través de Internet Explorer.
Si el servicio de sincronización de directorios de Cisco se ejecuta desde una cuenta diferente a la que está conectado el usuario en ese momento, también tiene que iniciar sesión con esta cuenta y configurar el proxy web.
| 1 |
Desde Internet Explorer, diríjase a Opciones de Internet, haga clic en Conexiones y luego elija Configuración de LAN. |
| 2 |
Señale la instancia de Windows donde esté instalado el conector en su proxy web. El conector hereda esta configuración de proxy web. |
| 3 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 4 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Configurar el proxy web por medio de un archivo PAC
Puede configurar un navegador cliente para utilizar un archivo .pac. Este archivo proporciona información sobre la dirección y el puerto del proxy web. El Conector de directorios hereda directamente la configuración del proxy web específica de la empresa.
| 1 |
Para que el conector conecte y sincronice con éxito la información de los usuarios con la nube de Webex, asegúrese de que la autenticación con proxy esté deshabilitada para |
| 2 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 3 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Proxy NTLM
El Conector de directorios admite NT LAN Manager (NTLM). NTLM es un enfoque para admitir la autenticación de Windows entre los dispositivos del dominio y garantizar su seguridad.
Diseño NTLM
En la mayoría de los casos, un usuario quiere acceder a los recursos de otra estación de trabajo a través de un PC cliente, lo que puede ser difícil de hacer de una manera segura.
En general, el diseño técnico de NTLM se basa en un mecanismo de Desafío
y Respuesta
:
-
Un usuario inicia sesión en la PC de un cliente a través de una cuenta y contraseña de Windows. La contraseña nunca se guarda localmente. En lugar de una contraseña de texto sin formato, se almacena localmente un valor hash de la contraseña. Cuando un usuario inicia sesión a través de la contraseña con el cliente, el sistema operativo Windows compara el valor hash almacenado y el valor hash de la contraseña de entrada. Si ambos son iguales, la autenticación pasa.
Cuando el usuario quiere acceder a cualquier recurso en otro servidor, el cliente envía una solicitud al servidor con el nombre de la cuenta en texto sin formato.
-
Cuando el servidor recibe la solicitud, el servidor genera una clave aleatoria de 16 bits. La clave se llama Desafío (o Nonce). Antes de que el servidor vuelva a enviar al cliente, el desafío se almacena en el servidor. Luego, el servidor envía el desafío al cliente en texto sin formato.
-
Tan pronto como el cliente recibe el desafío enviado desde el servidor, el cliente cifra el desafío por el valor hash que se mencionó en el paso 1. Después del cifrado, el valor se devuelve al servidor.
-
Cuando el servidor recibe el valor cifrado del cliente, el servidor lo envía al controlador de dominio para su verificación. La solicitud incluye: el nombre de la cuenta, el desafío cifrado que envió el cliente y el desafío simple original.
-
El controlador de dominio puede recuperar los valores de hash de la contraseña según el nombre de la cuenta. Y, a continuación, el controlador de dominio puede cifrar en el desafío original. El controlador doman puede entonces comparar con el valor de hash recibido y el valor de hash cifrado. Si son iguales, la verificación se realiza correctamente.
Windows tiene la autenticación de seguridad integrada en el sistema operativo, lo que facilita que las aplicaciones admitan la autenticación de seguridad. En consecuencia, no es necesario completar la configuración adicional.
Configurar un proxy transparente
En esta situación, el navegador no sabe que un proxy web transparente está interceptando solicitudes http [puerto 80/puerto 443] y no se requiere ninguna configuración en el lado del cliente.
| 1 |
Implemente un proxy transparente para que el conector pueda conectar y sincronizar usuarios. |
| 2 |
Confirme que el proxy sea correcto: verá una ventana emergente de autenticación del navegador esperada al iniciar el conector. |
Establecer autenticación de proxy
Agregue la URL cloudconnector.webex.com a su lista de permitidos; para ello, cree una Lista de control de acceso.
En su servidor de firewall empresarial:
| 1 |
Habilite la búsqueda de DNS si todavía no está habilitada. |
| 2 |
Determine un ancho de banda estimado para esta conexión (aproximadamente 2 mb/s o menos para el conector). Es posible que esto no sea obligatorio. |
| 3 |
Cree una Lista de control de acceso para aplicarla al host de conectores y especifique Por ejemplo: access-list 2000 acl-inside extended permit TCP [IP del conector] cloudconnector.webex.com eq https |
| 4 |
Aplique esta ACL a la interfaz de firewall adecuada, que solo se aplica a este host de conectores únicos. |
| 5 |
Asegúrese de que el resto de los hosts de su empresa todavía tengan que utilizar su proxy web; para ello, configure la declaración de denegación implícita que corresponda. |
Implementar el Conector de directorios
Flujo de tareas de implementación del conector de directorios de Cisco
Antes de comenzar
| 1 |
Instalar el Conector de directorios Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito. En el caso de una instalación nueva del Conector de directorios, vaya siempre a Control Hub ( https://admin.webex.com) para obtener la última versión del software, de modo que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 2 |
Iniciar sesión en el Conector de directorios Inicie sesión con sus credenciales de administrador de Webex y realice la configuración inicial. |
| 3 |
Configurar mejoras automáticas Siempre es importante mantener el software del Conector de directorios actualizado con la última versión. Le recomendamos que utilice este procedimiento para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 4 |
Elegir objetos de Active Directory para sincronizar De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios. |
| 5 |
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid. |
| 6 |
Sincronice los avatares de directorios mediante uno de los siguientes procedimientos:
Puede sincronizar los avatares de sus usuarios con la nube para que aparezca el avatar de cada usuario cuando inicie sesión en la aplicación. Puede sincronizar avatares desde un atributo de Active Directory o un servidor de recursos. |
| 7 |
Sincronizar la información de la sala local con la nube de Webex Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube, como un dispositivo de sala de Webex o Cisco Webex Board |
| 8 |
Para Aprovisionar Usuarios De Active Directory En Control Hub, siga estos pasos:
Siga esta secuencia para aprovisionar usuarios de Active Directory para cuentas de la aplicación de Webex. Puede aprovisionar usuarios de una implementación de Active Directory de varios bosques o dominios para el Conector de directorios 3.0 y versiones posteriores. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex. |
Instalar el Conector de directorios
Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito.
Debe instalar un conector por cada dominio de Active Directory que quiera sincronizar. Una única instancia del Conector de directorios solo puede servir a un único dominio. Consulte el siguiente diagrama para comprender el flujo de la sincronización de múltiples dominios:
Antes de comenzar
Si se autentica a través de un servidor proxy, asegúrese de tener sus credenciales de proxy:
-
Para la autenticación básica de proxy, introducirá el nombre de usuario y la contraseña después de instalar una instancia del conector. La configuración del proxy de Internet Explorer también es necesaria para la autenticación básica; consulte Utilizar un proxy web a través del navegador
-
En el caso de NTLM de proxy, es posible que vea un error cuando abra el conector por primera vez. Consulte Utilizar un proxy web a través del navegador.
| 1 |
En Control Hub, diríjase a y elija Siguiente. |
| 2 |
Haga clic en el enlace Descargar e instalar para guardar la última versión del archivo .zip de instalación del conector en su servidor VMware o Windows. Puede obtener el archivo .zip directamente desde este enlace, pero debe tener acceso administrativo total a una organización de Control Hub para que este software funcione. En el caso de una instalación nueva, obtenga la versión más reciente del software para que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 3 |
En el servidor de VMware o Windows, descomprima y ejecute el archivo .msi en la carpeta de configuración para iniciar el asistente de configuración. |
| 4 |
Haga clic en Siguiente, marque la casilla para aceptar el acuerdo de licencia y, luego, haga clic en Siguiente hasta ver la pantalla del tipo de cuenta. |
| 5 |
Elija el tipo de cuenta de servicio que desea utilizar y realice la instalación con una cuenta de administrador:
Para evitar errores, asegúrese de que estén implementados los siguientes privilegios:
|
| 6 |
Haga clic en Instalar. Después de ejecutar la prueba de red y, si se le solicita, introduzca sus credenciales básicas de proxy, haga clic en Aceptar y, a continuación, haga clic en Finalizar. |
Qué hacer a continuación
Le recomendamos que reinicie el servidor después de la instalación. El informe de simulación no puede mostrar el resultado correcto cuando no se liberaron los datos. Al reiniciar la máquina, se actualizan todos los datos para mostrar un resultado exacto en el informe.
Iniciar sesión en el Conector de directorios
Antes de comenzar
Asegúrese de tener sus credenciales de proxy.
-
Para la autenticación básica del proxy, introducirá el nombre de usuario y la contraseña después de abrir el conector por primera vez.
-
En el caso de NTLM proxy, abra Internet Explorer, haga clic en el icono de engranaje, diríjase a Opciones de Internet > Conexiones > configuración de LAN, asegúrese de que se agregue la información del servidor proxy y, luego, haga clic en Aceptar. Consulte Utilizar un proxy web a través del navegador.
| 1 |
Abra el conector y, a continuación, agregue |
| 2 |
Si se le solicita, inicie sesión con sus credenciales de autenticación de proxy y, luego, inicie sesión en Webex con su cuenta de administrador y haga clic en Siguiente. |
| 3 |
Confirme su organización y dominio.
|
| 4 |
Después de que aparezca la pantalla Confirmar organización, haga clic en Confirmar. Si ya vinculó AD DS/AD LDS, aparecerá la pantalla Confirmar organización. |
| 5 |
Haga clic en Confirmar. |
| 6 |
Elija uno, según la cantidad de dominios de Active Directory que quiera vincular al Conector de directorios:
|
Qué hacer a continuación
Después de iniciar sesión, se le pedirá que realice una simulación de sincronización.
Tablero de mandos del Conector de directorios
La primera vez que inicie sesión en el Conector de directorios, aparecerá el tablero de mandos. Aquí puede ver un resumen de todas las actividades de sincronización, ver estadísticas de la nube, realizar una simulación de sincronización, iniciar una sincronización completa o incremental e iniciar la vista de eventos para ver información de errores.
Puede ejecutar fácilmente estas tareas desde la barra de herramientas de acciones o desde el menú de acciones.
|
Componente |
Descripción |
|---|---|
|
Sincronización actual |
Muestra la información de estado de la sincronización en curso. Cuando no se está ejecutando ninguna sincronización, la pantalla de estado está inactiva. |
|
Próxima sincronización |
Muestra las siguientes sincronizaciones completas e incrementales planificadas. Si no se establece ninguna planificación, se muestra No planificada. |
|
Última sincronización |
Muestra el estado de las dos últimas sincronizaciones realizadas. |
|
Estado de sincronización actual |
Muestra el estado general de la sincronización. |
|
Conectores |
Muestra los conectores locales actuales que están disponibles para la nube. |
|
Estadísticas de la nube |
Muestra el estado general de la sincronización. |
|
Planificación de sincronización |
Muestra la planificación de sincronización para la sincronización incremental y completa. |
|
Resumen de configuración |
Enumera los ajustes que ha cambiado en la configuración. Por ejemplo, el resumen podría incluir lo siguiente:
|
| Acción | Descripción |
|---|---|
| Iniciar sincronización incremental |
Iniciar manualmente una sincronización incremental Esta acción se deshabilita cuando pausa o deshabilita la sincronización, si no se ha completado una sincronización completa, o si hay una sincronización en curso. |
|
Simulación de sincronización |
Realice una simulación de sincronización. |
|
Iniciar el visor de eventos |
Inicie el visor de eventos de Microsoft. |
|
Actualizar |
Actualizar el tablero de mandos del conector de directorios de Cisco |
|
Acción |
Descripción |
|---|---|
| Sincronizar ahora |
Inicia una sincronización completa al instante. |
|
Modo de sincronización |
Seleccione el modo de sincronización incremental o completa. |
|
Restablecer secreto de conector |
Establezca una conversación entre el Conector de directorios de Cisco y el servicio de conectores. Si selecciona esta acción, se restablecerá el secreto en la nube y, luego, se guardará el secreto localmente. |
|
Simulacro |
Realice una prueba del proceso de sincronización. Debe realizar una simulación antes de realizar una sincronización completa. |
|
Resolución de problemas |
Active/desactive la solución de problemas. |
|
Actualizar |
Actualice la pantalla principal del conector de directorios de Cisco. |
|
Salir |
Salga del conector de directorios de Cisco. |
|
Combinación de teclas |
Acción |
|---|---|
|
Alt + A |
Mostrar el menú Acciones |
|
|
Sincronización ahora |
|
|
Restablecer secreto de conector |
|
|
Simulacro |
|
|
Sincronización incremental |
|
|
Sincronización completa |
|
|
Mostrar el menú deAyuda |
|
|
Ayuda |
|
|
Acerca del día |
|
|
preguntas frecuentes |
Configurar mejoras automáticas
| 1 |
Desde el Conector de directorios, diríjase a y luego marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco. |
| 2 |
Haga clic en Aplicar para guardar los cambios. |
Las nuevas versiones del conector se instalan automáticamente cuando están disponibles.
Puede administrar las mejoras manualmente, si lo prefiere. Consulte Mejorar a la versión de software más reciente para obtener más información.
Elegir objetos de Active Directory para sincronizar
De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios.
Grupos para la asignación automática de licencias
Control Hub le permite administrar las asignaciones de licencias por grupo. Puede crear plantillas de licencia y asignarlas a grupos de Active Directory que sincronice con la nube. En el momento de la creación del usuario, Webex comprueba la pertenencia del usuario y la asignación automática de plantillas de licencias para ese nuevo usuario.
Le recomendamos que utilice un filtro de LDAP para sincronizar solo los grupos relevantes con la nube. Por ejemplo, puede configurar el filtro en:
(&(cn=Ejemplo)(objectclass=Grupo))*
Este filtro sincroniza todos los grupos dentro del DN base donde el nombre comienza con el ejemplo. A los usuarios que no están asignados a grupos se les asignan licencias de la plantilla de licencia automática predeterminada que configuró en Control Hub.
Grupos para implementaciones de seguridad de datos híbridos
En el Conector de directorios, debe marcar Grupos si está utilizando seguridad de datos híbridos a fin de configurar un grupo de prueba para usuarios piloto. Consulte la Guía de implementación para la seguridad de datos híbridos para obtener instrucciones. Esta configuración del Conector de directorios no afecta a otras sincronizaciones de usuarios en la nube.
Antes de comenzar
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en Selección de objetos. |
| 2 |
En la sección Tipo de objeto, marque Usuarios y considere la posibilidad de limitar la cantidad de contenedores con capacidad de búsqueda para los usuarios. Por ejemplo, si desea sincronizar solo los usuarios de un determinado grupo, debe introducir un filtro de LDAP en el campo Filtros de LDAP Usuarios. Si desea sincronizar a los usuarios que se encuentran en el grupo Administrador de ejemplos, utilice un filtro como este:
|
| 3 |
Marque Identificar sala para separar los datos de la sala de los datos del usuario. Haga clic en Personalizar si desea configurar atributos adicionales para identificar los datos de los usuarios como datos de salas. Utilice esta configuración si desea sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube. Para obtener más información, consulte Sincronizar la información de la sala local con la nube de Webex. |
| 4 |
Marque Grupos si desea sincronizar sus grupos de usuarios de Active Directory con la nube. No agregue un filtro de LDAP de sincronización de usuarios al campo Grupos. Solo debe utilizar el campo Grupos para sincronizar los datos del grupo con la nube. De manera predeterminada, los grupos no se sincronizan para los clientes nuevos. Debe habilitar la sincronización de grupos. También debe sincronizar los grupos de seguridad. |
| 5 |
Marque Contactos si desea sincronizar la información de contacto de los usuarios con la nube. El Conector de directorios solo administra los Contactos sincronizados por el conector. Si ya hay contactos en Control Hub, la sincronización no eliminará los contactos. Si los contactos se eliminan del alcance de la sincronización, la información de contacto de los usuarios también se eliminaría en Control Hub. |
| 6 |
Configure los filtros de LDAP. Puede agregar filtros extendidos si proporciona un filtro de LDAP válido. Consulte este artículo para obtener más información sobre la configuración de filtros de LDAP. |
| 7 |
Especifique los DN base locales para sincronizar al hacer clic en Seleccionar para ver la estructura de árbol de su Active Directory. Desde aquí, puede seleccionar o anular la selección de los contenedores en los que desea buscar. |
| 8 |
Compruebe que los objetos que desea agregar para esta configuración y haga clic en Seleccionar. Puede seleccionar contenedores individuales o principales para la sincronización. Seleccione un contenedor principal para habilitar todos los contenedores secundarios. Si selecciona un contenedor secundario, el contenedor principal muestra una marca de verificación gris que indica que se ha marcado un contenedor secundario. Luego, puede hacer clic en Seleccionar para aceptar los contenedores de Active Directory que marcó. Si su organización coloca a todos los usuarios y grupos en el contenedor Usuarios, no tiene que buscar en otros contenedores. Si su organización está dividida en unidades de la organización, asegúrese de seleccionar Unidades organizativas. |
| 9 |
Haga clic en Aplicar. Elegir una opción:
Para obtener información sobre simulaciones, consulte Realizar una simulación de sincronización en sus usuarios de Active Directory. Para la sincronización de grupos, debe realizar una sincronización completa: Realizar una sincronización completa de los usuarios de Active Directory en la nube. |
Asignar atributos de usuario
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid, un identificador único para cada cuenta de usuario en el servicio de identidad en la nube.
Puede elegir qué atributo de Active Directory asignar a la nube; por ejemplo, puede asignar firstName lastName en Active Directory o una expresión de atributo personalizada a displayName en la nube.
Las cuentas de Active Directory deben tener una dirección de correo electrónico; de manera predeterminada, uid se asigna al campo ad del correo (no sAMAccountName).
Si elige que el idioma preferido provenga de su Active Directory, Active Directory es la única fuente de verdad: los usuarios no podrán cambiar la configuración de idioma en la configuración de Webex y los administradores no podrán cambiar la configuración en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. En esta página se muestran los nombres de atributos de Active Directory (a la izquierda) y la nube de Webex (a la derecha). Todos los atributos obligatorios están marcados con un asterisco de color rojo. |
| 2 |
Desplácese hacia abajo hasta la parte inferior de los Nombres de atributos de Active Directory y, luego, elija uno de estos atributos de Active Directory para asignarlo al atributo uid de la nube:
Puede asignar cualquiera de los otros atributos de Active Directory a uid, pero le recomendamos que utilice mail o userPrincipalName, como se describe en las pautas anteriores. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. Para ver a qué atributos de Active Directory corresponden en la nube, consulte Asignación de atributos de Active Directory en el Conector de directorios. Para que la sincronización funcione, debe asegurarse de que el atributo de Active Directory que elija esté en formato de correo electrónico. El Conector de directorios muestra una ventana emergente para recordarle si no elige uno de los atributos recomendados. |
| 3 |
Si los atributos predefinidos de Active Directory no funcionan para su implementación, haga clic en el menú desplegable de atributos, desplácese hasta la parte inferior y, a continuación, elija Personalizar atributo para abrir una ventana que le permita definir una expresión de atributos. Haga clic en Ayuda para obtener más información acerca de las expresiones y ver ejemplos de cómo funcionan las expresiones. También puede ver Expresiones para atributos personalizados para obtener más información. En este ejemplo, asignemos los atributos de Active Directory
El Conector de directorios verifica el valor del atributo uid en el servicio de identidad y recupera 3 usuarios disponibles en las opciones de filtro de usuarios actuales. Si todos estos 3 usuarios tienen un formato de correo electrónico válido, el Conector de directorios de Cisco muestra el siguiente mensaje:
Si el atributo no se puede verificar, verá la siguiente advertencia y podrá volver a Active Directory para comprobar y corregir los datos del usuario:
|
| 4 |
(Opcional) Elija asignaciones para móvil y telephoneNumber si desea que aparezcan los números de teléfono móvil y de trabajo, por ejemplo, en la tarjeta de contacto del usuario en la aplicación de Webex. Los datos del número de teléfono aparecen en la aplicación Webex cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario. Para obtener más información sobre las llamadas desde la tarjeta de contacto de un usuario, consulte la Guía de implementación de llamadas en Webex (Unified CM) (administradores). |
| 5 |
Elija asignaciones adicionales para que aparezcan más datos en la tarjeta de contacto:
Una vez asignados los atributos, la información aparece cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario:
Para obtener más información acerca de la tarjeta de contacto, consulte Verificar con quién se está comunicando. Después de sincronizar estos atributos con cada cuenta de usuario, también puede activar People Insights en Control Hub. Esta característica permite a los usuarios de la aplicación de Webex compartir más información en sus perfiles y obtener más información acerca de los demás. Para obtener más información sobre la característica y cómo habilitarla, consulte Perfiles de información personal para Webex, Jabber, Webex Meetings y Webex Events (nuevo) en Control Hub |
| 6 |
Después de tomar sus decisiones, haga clic en Aplicar. |
Todos los datos de usuario contenidos en Active Directory sobrescribirán a los de la nube que correspondan a ese usuario. Por ejemplo, si creó un usuario manualmente en Control Hub, la dirección de correo electrónico del usuario debe ser idéntica al correo electrónico de Active Directory. Se elimina cualquier usuario que no tenga una dirección de correo electrónico correspondiente en Active Directory.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Atributos de la nube y Active Directory
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube mediante la ficha Asignación de atributos de usuarios.
En esta tabla se compara la asignación entre los nombres de atributos de Active Directory y los nombres de atributos de la nube de Cisco. Estos valores y asignaciones son la configuración predeterminada en el Conector de directorios. Puede elegir diferentes atributos en los menús desplegables de Active Directory y determinar qué atributo local se sincroniza con qué atributo en la nube.
Piense en los atributos desplegables como ajustes preestablecidos. Como alternativa a los valores de la fila de Active Directory, también puede especificar un atributo personalizado, su propio ajuste preestablecido, en Active Directory (una expresión con varios atributos) para asignar a un único atributo de nube en la fila correspondiente. De esta manera, tiene la flexibilidad de determinar los nombres para mostrar de sus usuarios; por ejemplo, puede agregar una expresión que cree un atributo personalizado basado en el cargo del empleado, el nombre dado y el apellido en Active Directory.
También puede especificar cualquiera de los atributos de Active Directory para asignar a uid en la nube. Sin embargo, debe asegurarse de que el atributo local siga un formato de correo electrónico válido.
También puede utilizar direcciones de correo electrónico alternativas si, por ejemplo, desea utilizar userPrincipalName para iniciar sesión, pero la dirección de correo electrónico de un usuario se utiliza para administrar su calendario. En este caso, asigne otra dirección de correo electrónico al atributo emails;type-work. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario.
|
Nombres de atributos de Active Directory |
Nombres de atributos de la nube de Webex |
Notas |
|---|---|---|
|
— |
nombre del edificio |
— |
|
c |
c |
Este atributo especifica la abreviatura del país del usuario. |
|
NúmeroDepartamento |
NúmeroDepartamento |
Este atributo se utiliza para el número de departamento del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
Nombre para mostrar |
Nombre para mostrar |
Este atributo se utiliza para el nombre para mostrar de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
ControlDeCuentaUsuario |
ds-pwp-account-disabled |
Este atributo se utiliza para la sincronización de usuarios. Asegúrese de que el atributo userAccountControl esté asignado a ds-pwp-account-disabled o los usuarios no se sincronizarán correctamente. |
|
Número de empleado |
Número de empleado |
— |
|
facsímilTelephoneNumber |
facsímilTelephoneNumber |
— |
|
— |
ID de jabber |
Este atributo de nube se relaciona con direcciones de MI (tipo XMPP) que utiliza Jabber. Este valor no es el mismo que sipAddresses. |
|
l |
l |
Este atributo especifica la ciudad del usuario. |
|
— |
región |
— |
|
administrador |
administrador |
Este atributo se utiliza para el nombre de administrador del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
móvil |
móvil |
Este atributo se utiliza como el número de teléfono móvil que aparece para llamar al usuario desde la tarjeta de contacto. |
|
o |
o |
Este atributo especifica el nombre de la empresa u organización y aparece en la tarjeta de contacto. |
|
ou |
ou |
Este atributo especifica el nombre de la unidad de organización. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Este atributo especifica la ubicación de la oficina del usuario. |
|
código postal |
código postal |
Este atributo especifica el código postal del usuario para la entrega física del correo. |
|
Idioma preferido |
Idioma preferido |
Este atributo establece el idioma preferido del usuario y se admiten los siguientes formatos: xx_YY o xx-YY. Estos son algunos ejemplos: en_US, en_GB, fr-CA. Si utiliza un idioma no compatible o un formato no válido, el idioma preferido de los usuarios cambiará al idioma definido para la organización. |
|
MSRTCSIP-PrimaryUserAddress Teléfono ip |
SipAddresses;type=enterprise |
Este atributo se utiliza para sincronizar la información de la sala local de Active Directory en la nube de Cisco Webex. |
|
sn |
sn |
Este atributo se utiliza para el apellido de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
s |
s |
Este atributo especifica el estado o la provincia del usuario. |
|
dirección |
calle |
Este atributo especifica la dirección postal del usuario para la entrega física de correo. |
|
teléfonoNúmero |
teléfonoNúmero |
Este atributo especifica el número de teléfono principal (laboral) del usuario que se utiliza para llamar al usuario desde la tarjeta de contacto. |
|
— |
zona horaria |
Este atributo de nube especifica la zona horaria del usuario. |
|
título |
título |
Este atributo especifica el título del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
tipo |
empresarial |
— |
|
*correo *userPrincipalName |
uid |
Una asignación de atributos obligatoria. Para cada cuenta de usuario, el valor de Active Directory se asigna a un uid único en la nube. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. El usuario puede utilizar cualquiera de estas direcciones de correo electrónico para iniciar sesión, siempre que se encuentre la asignación de atributos de SAML correcta. Consulte la asignación de atributos de ejemplo a continuación para saber cómo puede asignar una dirección de correo electrónico alternativa. |
|
*userPrincipalName *correo <atributo personalizado> |
correos electrónicos;tipo-trabajo |
Esta asignación es opcional; utilícela si desea utilizar direcciones de correo electrónico alternativas. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario. |
|
<Nuevo atributo para el usuario de Azure objectId> |
ID externo |
Cree un nuevo atributo de Active Directory para contener el ID de usuario de Azure, de modo que no choque con uno existente. Este atributo se asigna al atributo externalId, lo que garantiza que cuando los usuarios de Webex creen grupos en Microsoft 365 creen equipos automáticamente en Webex. |
Asignación alternativa de direcciones de correo electrónico
Expresiones para atributos personalizados
|
Operador |
Descripción y ejemplo |
|---|---|
|
% |
Elimina todos los caracteres desde el comienzo de la cadena hasta la posición del caracter o del argumento, si coinciden.
|
|
- |
Elimina la parte posterior de la cadena de entrada desde el final de la cadena especificada.
|
|
+ |
Concatena las cadenas o expresiones de entrada.
|
|
| |
Evalúa las expresiones separadas con la cadena vacía y selecciona el primer resultado no vacío.
|
Sincronizar avatares de directorios desde un atributo de Active Directory a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar los datos brutos de avatar de un atributo de Active Directory.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija el atributo de AD y, luego, elija el atributo de avatar que contenga los datos brutos del avatar que desea sincronizar con la nube. |
| 3 |
Para verificar que se acceda correctamente al avatar, introduzca la dirección de correo electrónico de un usuario y, a continuación, haga clic en Obtener avatar del usuario. El avatar aparece a la derecha. |
| 4 |
Después de verificar que el avatar aparecía correctamente, haga clic en Aplicar para guardar los cambios. |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar avatares de directorios desde un servidor de recursos a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar avatares desde un servidor de recursos.
Antes de comenzar
-
El patrón de URI y el valor de la variable en este procedimiento son ejemplos. Debe utilizar las URL reales donde se encuentran sus avatares de directorio.
-
El patrón de URI del avatar y el servidor donde residen los avatares deben ser accesibles desde la aplicación del Conector de directorios. El conector necesita acceso http o https a las imágenes, pero no es necesario que las imágenes sean accesibles públicamente en Internet.
-
La sincronización de datos del avatar está separada de los perfiles de usuario de Active Directory. Si ejecuta un proxy, debe asegurarse de que se pueda acceder a los datos de avatar mediante autenticación NTLM o autenticación básica.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija Servidor de recursos y, luego, introduzca el Patrón de URI de avatar; por ejemplo, Veamos cada parte del patrón de URI del avatar y lo que significan:
|
| 3 |
(Opcional) Si su servidor de recursos requiere credenciales, marque Establecer credencial de usuario para avatar y, a continuación, elija Utilizar usuario de conexión del servicio actual o Utilizar este usuario e introduzca la contraseña. |
| 4 |
Introduzca el Valor de la variable; por ejemplo: |
| 5 |
Haga clic en Prueba para asegurarse de que el patrón de URI del avatar funcione correctamente. En este ejemplo, si el valor de correo para una entrada de AD es |
| 6 |
Una vez verificada la información de URI y que se vea correcta, haga clic en Aplicar. Para obtener información detallada sobre el uso de expresiones regulares, consulte la Referencia rápida del lenguaje de expresiones regulares de Microsoft . |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar la información de la sala local con la nube de Webex
Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de Webex registrados en la nube (Room, Desk y Board).
| 1 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 2 |
Marque la opción Sincronizar la información de la sala con la nube para separar los datos de la sala de los datos de los usuarios durante la sincronización. Cuando esta configuración está desactivada, los datos de la sala se tratan de la misma manera que los datos sincronizados del usuario. |
| 3 |
Diríjase a Asignación de atributos y luego cambie la asignación de atributos para el atributo en la nube sipAddresses;type=enterprise. Para utilizar la validación de valor, el valor de la dirección SIP debe ser Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Cree un buzón de recursos de sala en Exchange. Esto agrega el atributo msExchResourceMetaData;ResourceType:Room que el conector utiliza para identificar salas.
|
| 5 |
Desde usuarios y computadoras de Active Directory, diríjase a las propiedades de la sala y editarlas. Agregue la URI de SIP completamente calificada con un prefijo de sip:
|
| 6 |
Realice una simulación de sincronización y luego una sincronización de ejecución completa en el conector. Los nuevos objetos de sala aparecen en la lista Objetos agregados y los objetos de sala coincidentes aparecen en Objetos coincidentes en el informe de simulación. Todos los objetos de sala marcados para su eliminación se encuentran en Salas eliminadas.
Los resultados del simulacro muestran cualquier recurso de sala que coincida.
Esta configuración separa los datos de la sala de Active Directory (incluido el atributo de la sala) de los datos de los usuarios. Una vez finalizada la sincronización, las estadísticas de la nube en el tablero de mandos del conector muestran los datos de salas que se sincronizaron con la nube.
|
Qué hacer a continuación
Ahora que ha completado estos pasos, cuando realice una búsqueda en un dispositivo registrado en la nube de Webex, verá las entradas de salas sincronizadas configuradas con direcciones SIP. Cuando realiza una llamada desde el dispositivo de Webex en esa entrada, se realiza una llamada a la dirección SIP que se configuró para la sala.
Desde Control Hub, puede importar salas automáticamente desde su directorio y crear espacios de trabajo.
El extremo no puede devolver la llamada a la aplicación de Webex. Para los dispositivos de marcado de prueba, estos dispositivos deben registrarse como una URI de SIP en las instalaciones o en otro lugar que no sea la aplicación de Webex. Si el sistema de salas de Active Directory que está buscando está registrado en Webex y la misma dirección de correo electrónico está en el dispositivo Webex Room, el dispositivo Desk o Webex Board para el servicio de calendario, los resultados de la búsqueda no mostrarán la entrada duplicada. El dispositivo Room, Desk o Board se marca directamente en la aplicación de Webex, y no se realiza una llamada SIP.
Enviar informes por correo electrónico sobre los resultados de la sincronización de directorios
De forma predeterminada, los contactos o administradores de la organización siempre reciben notificaciones por correo electrónico. Con esta configuración, puede personalizar quién debe recibir notificaciones por correo electrónico que resumen los informes de sincronización de directorios.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Notificación. |
| 2 |
Desde el Conector de directorios, haga clic en Configuración y, junto a Destinatario de correo electrónico, active Habilitar sincronización del informe. |
| 3 |
Marque Habilitar notificación si desea anular el comportamiento de notificación predeterminado y agregar uno o más destinatarios de correo electrónico. |
| 4 |
Haga clic en Agregar y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 5 |
Haga clic en Agregar correo electrónico y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 6 |
Si necesita editar alguna dirección de correo electrónico que haya introducido, haga doble clic en la entrada de correo electrónico de la columna de la izquierda y, a continuación, realice los cambios que necesite. |
| 7 |
Una vez que haya agregado todas las direcciones de correo electrónico válidas, haga clic en Aplicar. |
| 8 |
Después de agregar todas las direcciones de correo electrónico válidas, haga clic en Guardar. |
Qué hacer a continuación
Si decidió que desea eliminar las direcciones de correo electrónico, puede hacer clic en un correo electrónico para resaltar esa entrada y, luego, haga clic en Eliminar.
Si ha decidido que desea eliminar direcciones de correo electrónico, puede hacer clic en Eliminar junto a entradas específicas de direcciones de correo electrónico.
Aprovisionar usuarios de Active Directory en Control Hub
Siga estos pasos para aprovisionar usuarios de Active Directory y crear las cuentas de usuario correspondientes en Control Hub. Puede aprovisionar usuarios desde una implementación de Active Directory de varios dominios (ya sea con un solo bosque o con varios bosques) después de instalar un Conector de directorios por dominio. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex.
| 1 |
Realizar una simulación de sincronización en sus usuarios de Active Directory Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube. |
| 2 |
Realizar una sincronización completa de los usuarios de Active Directory en la nube Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados. |
| 3 |
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede asignar licencias de servicios de Webex mediante diversos métodos. Le recomendamos que configure una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory. También puede realizar cambios individuales después de este paso inicial. |
Realizar una simulación de sincronización en sus usuarios de Active Directory
Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube.
Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. Con el Conector de directorios, el objetivo es lograr una coincidencia exacta entre sus Active Directories y la nube de Webex.
Si tiene varios dominios en un solo bosque o varios bosques, debe realizar este paso en cada una de las instancias del conector de directorios de Cisco que haya instalado para cada dominio de Active Directory.
Antes de comenzar
Es posible que ya tenga algunos usuarios de la aplicación Webex en Control Hub antes de utilizar el Conector de directorios. Entre los usuarios de la nube, algunos pueden coincidir con el objeto local de Active Directory y tener asignadas licencias para los servicios. Sin embargo, es posible que algunos sean usuarios de prueba que desea eliminar mientras realiza una sincronización. Debe crear una coincidencia exacta entre su Active Directory y Control Hub.
| 1 |
Elija una opción:
Cuando finalice la simulación, verá uno de los siguientes resultados:
El Resumen contiene información sobre la coincidencia de objetos:
La simulación identifica a los usuarios al compararlos con los usuarios del dominio. La aplicación puede identificar a los usuarios si pertenecen al dominio actual. En el siguiente paso, debe decidir si desea eliminar los objetos o conservarlos. Los objetos no coincidentes se identifican como ya existentes en la nube de Webex, pero no en el Active Directory local. |
| 2 |
Revise los resultados del simulacro y, a continuación, elija una opción según si utiliza un solo dominio o varios dominios:
|
| 3 |
En el mensaje Confirmar simulación, haga clic en Sí para rehacer la sincronización de la simulación y ver el tablero de mandos para ver los resultados. Todas las cuentas que se sincronizaron correctamente en la simulación aparecerán en Objetos coincidentes. Si un usuario en la nube no tiene un usuario correspondiente con el mismo correo electrónico en Active Directory, la entrada aparece en Usuarios eliminados. Para evitar este indicador de eliminación, puede agregar un usuario en Active Directory con la misma dirección de correo electrónico. Para ver los detalles de los elementos que se sincronizaron, haga clic en la ficha correspondiente a elementos específicos o en Objetos coincidentes. Para guardar la información del resumen, haga clic en Guardar resultados en archivo. |
| 4 |
Si se esperan los resultados, diríjase a y, luego, haga clic en Habilitar ahora para realizar una sincronización manual y ponerla en modo manual en este punto. Después de realizar una sincronización en el último dominio de Active Directory en su implementación de varios dominios, debe habilitar el modo automático para el Conector de directorios. Puede habilitar el modo automático solo cuando los objetos coinciden completamente entre la nube de Webex y todos los directorios activos locales. |
Qué hacer a continuación
-
Para todos los objetos de usuario no coincidentes que haya conservado, debe agregarlos a Active Directory para que haya una coincidencia exacta entre las instalaciones locales y la nube.
-
Elija un tipo de sincronización:
-
De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa.
-
Si tiene varios dominios, repita estos pasos en cualquier otro Conector de directorios que haya instalado.
Aspectos a tener en cuenta
-
Realice un simulacro antes de habilitar la sincronización completa o cuando cambie los parámetros de sincronización. Si la simulación se inició por un cambio en la configuración, puede guardar los ajustes una vez finalizada la simulación. Si ya agregó usuarios manualmente, llevar a cabo una sincronización de Active Directory puede provocar la eliminación de los usuarios agregados previamente. Puede consultar los Informes de ensayos del Conector de directorios para verificar que todos los usuarios esperados estén presentes antes de sincronizarlos completamente con la nube.
-
Si los usuarios coincidentes están marcados para ser eliminados y no está seguro de cómo continuar, consulte la información de solución de problemas y cómo comunicarse con el soporte en Solución de problemas y correcciones para el Conector de directorios.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Realizar una sincronización completa de los usuarios de Active Directory en la nube
Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados.
Si tiene varios dominios, debe realizar este paso en cada una de las instancias del Conector de directorios que haya instalado para cada dominio de Active Directory.
El Conector de directorios sincroniza el estado de las cuentas de usuario: en Active Directory, todos los usuarios marcados como deshabilitados también aparecen como inactivos en la nube.
Antes de comenzar
-
Si desea que las cuentas de usuario de la aplicación de Webex estén en estado activo después de la sincronización completa y antes de que los usuarios inicien sesión por primera vez, debe seguir estos pasos para omitir la validación de correo electrónico:
-
Integre el inicio de sesión único con su organización de Webex. Ver
Inicio de sesión único con los servicios de Cisco Webex y el proveedor de servicios de identidad de su organización
para obtener más información. -
Utilice Control Hub para verificar y, de manera opcional, reclamar dominios contenidos en las direcciones de correo electrónico. Ver
Agregar, verificar y reclamar dominios
. -
Suprimir invitaciones automáticas por correo electrónico, para que los usuarios nuevos no reciban la invitación automática por correo electrónico a la aplicación de Webex. (Puede realizar su propia campaña de correo electrónico).
Los usuarios activados que no hayan iniciado sesión aparecerán con el estado Verificado en Control Hub. Después de que inician sesión, aparecen como Activos. Para obtener más información acerca de los estados de los usuarios, consulte Estados y acciones de los usuarios en Cisco Webex Control Hub.
-
-
Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. Le recomendamos que realice un simulacro antes de una sincronización completa para detectar cualquier posible error.
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
Si no utiliza plantillas de licencia de asignación automática, los usuarios recién sincronizados obtienen licencias gratuitas automáticamente. Podrán utilizar las mismas características gratuitas que las que tienen cuentas gratuitas.
| 1 |
Elija una opción:
|
| 2 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 3 |
Confirme el inicio de la sincronización. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación de Webex refleja los cambios hasta 72 horas después de realizar la sincronización. Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
|
| 4 |
Haga clic en Actualizar si desea actualizar el estado de la sincronización. (Los elementos sincronizados aparecen en Estadísticas de la nube). |
| 5 |
Para obtener información sobre los errores, seleccione Iniciar visor de eventos en la barra de herramientas de Acciones para ver los registros de errores. |
| 6 |
Para establecer una planificación de sincronización para las sincronizaciones incrementales en curso con la nube, consulte Definir la planificación del conector y Ejecutar una sincronización incremental. |
-
Una vez finalizada la sincronización completa, el estado de la sincronización de directorios se actualiza de Deshabilitado a Operativo en la página Configuración de Control Hub.
-
Cuando todos los datos coinciden en las instalaciones y en la nube, el Conector de directorios cambia del modo manual al modo de sincronización automática.
-
A menos que integre el inicio de sesión único, verifique dominios y, opcionalmente, reclame dominios para las cuentas de correo electrónico que sincronizó, y suprima los correos electrónicos automatizados, las cuentas de usuario de la aplicación de Webex permanecen en estado No verificado hasta que los usuarios inicien sesión en la aplicación de Webex por primera vez para confirmar sus cuentas. Consulte la sección Antes de comenzar para obtener orientación sobre cómo sincronizar las cuentas como Usuarios activos.
-
Si tiene varios dominios, realice este paso en cualquier otro conector de directorios que haya instalado. Después de la sincronización, los usuarios de todos los dominios que agregó aparecerán listados en Control Hub.
-
Si integró el inicio de sesión único con Webex y notificaciones por correo electrónico suprimidas, las invitaciones por correo electrónico no se envían a los usuarios recién sincronizados.
-
No puede agregar usuarios manualmente en Control Hub después de que se habilite el conector de directorios. Una vez habilitada, la administración de usuarios se realiza desde el conector de directorios de Cisco, y Active Directory es la única fuente fiable.
-
Cualquier grupo que sincronice aparecerá en Control Hub y puede asignar una plantilla de licencia para que a los usuarios de ese grupo se les asignen licencias.
Qué hacer a continuación
-
Cuando elimina un usuario de Active Directory, se elimina por software después de la siguiente sincronización. El usuario pasa a estar Inactivo, pero el perfil de identidad en la nube se mantiene durante siete días (para permitir la recuperación de la eliminación accidental).
Cuando selecciona La cuenta está deshabilitada en Active Directory, el usuario pasa a ser Inactivo después de la siguiente sincronización. El perfil de identidad en la nube no se elimina después de siete días, en caso de que desee habilitar nuevamente al usuario.
-
Tenga en cuenta estas excepciones a una sincronización incremental (en su lugar, siga los pasos de sincronización completos anteriores):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Los cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar requieren una sincronización completa.
-
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub
Después de completar una sincronización completa de usuarios desde el conector de directorios de Cisco en Control Hub, puede utilizar Control Hub para asignar las mismas licencias de servicios de Webex a todos sus usuarios a la vez o agregar licencias adicionales a los usuarios nuevos si ya configuró una plantilla de licencia asignada automáticamente. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede utilizar métodos en Control Hub para asignar globalmente licencias de servicios de Webex a todos sus usuarios, usuarios individuales, a través de la plantilla CSV masiva, o automáticamente a los usuarios nuevos si ya configuró una plantilla de licencia de asignación automática. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Cuando asigna una licencia a un usuario de la aplicación de Webex, ese usuario recibe un correo electrónico en el que se confirma la asignación de manera predeterminada. El correo electrónico se envía mediante un servicio de notificación en Control Hub. Si integró el inicio de sesión único (SSO) con su organización de Webex, también puede suprimir estas notificaciones automáticas por correo electrónico si prefiere comunicarse directamente con sus usuarios.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Realice una simulación de sincronización en sus usuarios de Active Directory.
-
Después de confirmar los resultados de la simulación, realice una sincronización completa en sus usuarios de Active Directory.
En el momento de la sincronización completa, el usuario se crea en la nube, no se agregan asignaciones de servicios ni se envía ningún correo electrónico de activación. Si no se eliminan los correos electrónicos, los nuevos usuarios reciben un correo electrónico de activación cuando asigna servicios a los usuarios mediante un método de administración de usuarios estándar en Control Hub, como la importación de archivos CSV, la actualización manual de usuarios o la finalización correcta de la asignación automática.
| 1 |
Desde la vista del cliente en https://admin.webex.com, vaya a , haga clic en Administrar usuarios, elija Modificar todos los usuarios sincronizados y, luego, haga clic en Siguiente. |
| 2 |
Elegir una opción: |
Qué hacer a continuación
-
Si no se eliminan los correos electrónicos, se envía un correo electrónico a cada usuario con una invitación para entrar y descargar Webex.
-
Si seleccionó los mismos servicios de Webex para todos sus usuarios, puede cambiar la licencia asignada individualmente o en forma masiva.
Problemas conocidos con el Conector de directorios
-
Las versiones de Windows Server anteriores a 2012 R2 tienen un problema de cookies que afecta al Conector de directorios. Este problema se corrigió en las versiones 2012 R2 y 2016.
-
Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
-
Cuando un usuario utiliza la aplicación de Webex en el escritorio o en un dispositivo móvil para buscar y llamar a una sala que solo tiene una URI de SIP sincronizada, la llamada suena indefinidamente en este momento.
Administrar usuarios de la aplicación de Webex
Ejecutar una sincronización incremental
Una sincronización incremental consulta su Active Directory y busca cambios que se hayan producido desde la última sincronización. En este paso se agrupan esos cambios y se los envía al servicio de conectores Los cambios incluyen la modificación de la atribución de usuarios y cuándo se agrega o elimina un usuario.
Esta sincronización no carga tanto en los servidores y no toma tanto tiempo como una sincronización completa. Después de realizar la sincronización completa inicial, le recomendamos la opción incremental para las sincronizaciones posteriores.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Tenga en cuenta estas excepciones para las que la sincronización incremental no es compatible (siga Realizar una sincronización completa de usuarios de Active Directory en la nube ):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Para los nuevos cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar, la sincronización incremental no funcionará y estos requieren una sincronización completa.
-
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. |
| 2 |
Desde Acciones, haga clic en Modo de sincronización > Habilitar sincronización si todavía no está habilitado. De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa. Cuando se activa un nuevo intervalo de tiempo incremental, el programa comprueba los cambios en función de la última marca de tiempo. |
| 3 |
Desde Acciones, haga clic en Sincronizar ahora > Incremental. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
|
| 4 |
Para obtener información sobre los errores, haga clic en Iniciar visor de eventos desde la barra de herramientas de Acciones para ver los registros de errores. |
Qué hacer a continuación
Si tiene varios dominios, realice este paso en otras instancias del Conector de directorios que haya instalado.
Recuperar usuarios eliminados accidentalmente
El Conector de directorios tiene controles y contrapesos para evitar la eliminación no intencional de usuarios. Lamentablemente, ocurren accidentes; es posible que haya configurado incorrectamente un filtro LDAP en Active Directory, que eliminó a algunos usuarios cuando se sincronizaban con la nube. La característica de eliminación suave puede ayudarlo a recuperarse de estos accidentes y restablecer las cuentas de los usuarios en Control Hub.
De forma predeterminada, esta función está habilitada para todas las organizaciones. Cuando se eliminan usuarios en la nube, por ejemplo, debido a un problema de objeto no coincidente después de una sincronización desde el Conector de directorios, los usuarios se pueden recuperar. Si vio un aviso de objetos no coincidentes o notó que los usuarios fueron eliminados, es posible que pueda recuperarlos si actúa rápido.
Los usuarios se marcan como Inactivos en Control Hub cuando se eliminan las cuentas correspondientes en Active Directory. El servicio en la nube en segundo plano conserva a los usuarios durante un máximo de 7 días. Durante este período, aún puede utilizar el Conector de directorios de Cisco para recuperar usuarios. Le recomendamos que recupere estos usuarios lo antes posible.
Los usuarios que están deshabilitados en Active Directory también se marcan como inactivos en Control Hub, pero la cuenta de usuario no se elimina después de 7 días.
| 1 | |
| 2 |
Vaya a Usuarios y confirme si una cuenta de usuario específica está en estado inactivo o no está listada. Para obtener más información, consulte Estados y acciones del usuario en Control Hub. |
| 3 |
Si se eliminaron usuarios en Control Hub o si observa que los usuarios están en estado inactivo, vaya a Active Directory, agregue las cuentas de usuario que faltan y, luego, realice una simulación de sincronización en el Conector de directorios. El objetivo del Conector de directorios es crear una coincidencia exacta entre la información de los usuarios en Active Directory y en la nube. |
| 4 |
Realice una sincronización completa para volver a sincronizar las cuentas de usuario eliminadas temporalmente con Control Hub. Los usuarios se recuperan y pasan al estado original, incluido el estado de su cuenta y las asignaciones de servicios. |
Qué hacer a continuación
Regrese a Control Hub, vaya a , y confirme que las cuentas de usuario eliminadas anteriormente aparezcan en la lista de usuarios.
Eliminar usuarios permanentemente después de la eliminación por software
Después de realizar una simulación, puede optar por eliminar de forma permanente los usuarios que fueron eliminados por software en la próxima sincronización.
| 1 |
Una vez finalizada la simulación, seleccione Objetos eliminados por software. |
| 2 |
Marque la casilla de verificación situada junto a los usuarios que desea eliminar. |
| 3 |
Seleccione Listo. |
Qué hacer a continuación
En la próxima sincronización, los usuarios que revisó se eliminarán de forma permanente.
Cambiar una dirección de correo electrónico de la aplicación de Webex
Si quiere cambiar las direcciones de correo electrónico de los usuarios y su organización utiliza el Conector de directorios, puede cambiar esas direcciones de correo electrónico en Active Directory. Este procedimiento cubre cómo cambiar la dirección de correo electrónico de la aplicación de Webex para un único dominio y un proceso para cambiar el dominio.
Si solo quiere cambiar el correo electrónico o algún valor para un usuario, no lo elimine de Active Directory y vuelva a crear uno nuevo con el mismo correo electrónico. La nube interpreta esta acción como una nueva cuenta de usuario y se perderán los espacios del usuario y otros datos en la nube.
El Conector de directorios no limita el cambio de dominio de correo electrónico. Sin embargo, cuando el usuario se vuelve a sincronizar con la nube, el estado del usuario depende de si se verifica el nuevo dominio en su organización. Si el dominio no está verificado en su organización, el estado del usuario cambia a Pendiente después de la sincronización completa. Para obtener más información, consulte Administrar sus dominios.
Si su organización no utiliza el Conector de directorios, puede cambiar las direcciones de correo electrónico de la aplicación de Webex a través de la página de configuración de la cuenta. Consulte Cambiar la dirección de correo electrónico de su cuenta para conocer los pasos que los usuarios pueden seguir para cambiar sus correos electrónicos.
Cambiar el dominio de Active Directory
Puede utilizar este procedimiento para crear nuevos dominios y direcciones de correo electrónico. Se sincronizan con el servicio de identidad en la nube.
| 1 |
Configure un nuevo dominio de Active Directory (AD). |
| 2 |
Deshabilite las sincronizaciones en todos sus conectores. |
| 3 |
Desinstale todos los conectores. |
| 4 |
Abra un caso para cambiar el dominio. En el envío del caso, asegúrese de solicitar la eliminación de la configuración del dominio y de todos los atributos de sincronización de su organización. Antes de abrir un caso para cambiar el dominio, asegúrese de no tener una sincronización en ejecución. No cambie ninguna dirección de correo electrónico del usuario en Active Directory hasta que el caso se resuelva. |
| 5 |
Una vez resuelto el caso: Realice una ejecución de prueba con el Conector de directorios antes de realizar la sincronización real. |
Reclamo de dominios
Un reclamo de dominio se produce si reclama un dominio de correo electrónico para una organización de modo que cualquier cuenta creada con Sideboard se cree en la organización del cliente con suscripción paga y no en la organización del consumidor sin cargo. Solo puede realizar un reclamo de dominio a través de un caso de soporte (consulte el siguiente enlace para obtener más información).
Si el Conector de directorios está activo y se reclama el dominio, las cuentas creadas con Sideboard no se crean ni en la organización del cliente ni en la organización de consumidores sin cargo. Solo el Conector de directorios puede aprovisionar cuentas para la organización desde Active Directory. La información almacenada en Active Directory es la fuente original. Si trató de hacer Sideboard con una cuenta, el usuario invitado recibe un error. La única manera en que se puede agregar un usuario invitado a un espacio de la aplicación de Webex es utilizar primero el Conector de directorios para aprovisionar la cuenta en Control Hub.
Convertir usuarios gratuitos de la aplicación de Webex en una organización con directorios sincronizados
Solo puede utilizar direcciones de correo electrónico únicas en el directorio de la aplicación de Webex. Si sus usuarios se han inscrito en la versión gratuita de la aplicación de Webex, su cuenta existe en la organización de consumidores gratuita. Para administrar a los usuarios de esta organización con el Conector de directorios, mígrelos (conviértalos) a la organización del cliente antes de activar el Conector de directorios. Luego, agrega a los usuarios a active Directory con la dirección de correo electrónico exacta y luego sincroniza a la nube.
Si no convierte las cuentas antes de la activación, desactive el Conector de directorios para convertirlas.
Si intenta convertir un usuario con la sincronización de directorios habilitada, aparece el mensaje de error no se pudo convertir
. Para evitar el problema, puede utilizar estos pasos como solución alternativa.
Es posible que algunos usuarios reclamados aparezcan con el atributo movedfrom al realizar una simulación. Estos usuarios estarán en la lista Objetos eliminados en lugar de ObjetosNo Coincidentes. Tendrá que agregar esos usuarios a su lista de AD si desea moverlos a su organización.
Si no agrega esos usuarios, todos se eliminarán la próxima vez que se sincronice con la nube.
| 1 |
Deshabilite la sincronización de directorios desde el Conector de directorios. |
| 2 |
Siga el procedimiento Convertir usuarios sin licencia en Control Hub para convertir al usuario de la organización de consumidores sin cargo a la organización empresarial. Este paso agrega al usuario a su organización y la cuenta aparece en Control Hub. El Conector de directorios hace que Active Directory sea la única fuente fiable para las cuentas de usuario y el objetivo es lograr una coincidencia exacta entre Active Directory y Control Hub. Asegúrese de que haya usuarios coinciden en la Active Directory para todos los usuarios convertidos recientemente antes de volver a realizar la sincronización. Se puede utilizar una sincronización de la prueba para asegurarse de que no haya usuarios iguales. |
| 3 |
En el Conector de directorios, realice una simulación de sincronización. Una vez que finalice la prueba, revise la ficha Agregar objetos. Verifique que no se hayan eliminado los usuarios que convirtió. Debe realizar una simulación antes de volver a habilitar la sincronización para asegurarse de que las cuentas de usuario convertidas aparezcan en active Directory. Si activa la sincronización y las cuentas solo residen en Control Hub, el conector de directorios distingue entre mayúsculas y minúsculas y elimina a los usuarios convertidos que detecta con direcciones de correo electrónico no coincidentes (por ejemplo, user1@example.com y User1@example.com). Si se elimina algún usuario convertido, perderá todos sus espacios de la aplicación de Webex. |
| 4 |
Cuando tenga la certeza de que la próxima sincronización no eliminará ninguna cuenta, vuelva a habilitar la sincronización de directorios desde el Conector de directorios. |
Las cuentas de usuario convertida no se activan automáticamente si usted no verificó un dominio. Por ejemplo, si activó la plantilla de licencia de asignación automática y luego activó el Conector de directorios sin verificación de dominio, los usuarios convertidos estarán inactivos en el backend en la nube hasta que confirmen sus direcciones de correo electrónico.
Cuentas de usuario de la aplicación Webex creadas con Sideboard
Cuando invita a otro usuario a un espacio en la aplicación de Webex, si el usuario invitado no tiene una cuenta de la aplicación de Webex, se crea una cuenta para él ("sideboard"). De manera predeterminada, las cuentas que se crean de este modo se agregan a la organización de consumidores sin cargo.
Si desea administrar la cuenta creada con Sideboard mediante el Conector de directorios, debe convertirla.
Cambiar el formato de nombre de usuario de la aplicación Webex después de la sincronización de directorios
De manera predeterminada, el Conector de directorios asigna el atributo displayName en Active Directory al atributo displayName en la nube.
Después de realizar una sincronización de directorios, es posible que encuentre que los nombres de usuario se muestran en el formato .
Este nombre de usuario puede aparecer si el atributo displayName en Active Directory está configurado de esa manera. Cuando el atributo se asigna a displayName en la nube, los nombres aparecen en el formato en Control Hub.
Para cambiar el formato, haga lo siguiente en la pantalla para mapear atributos del Conector de directorios: Asigne el atributo de Active Directory givenName sn (o sn givenName) a displayName en los nombres de atributos de la nube de Cisco.
Como alternativa, asigne el atributo sn givenName a displayName:
También puede utilizar la opción Personalizar atributo, si desea asignar su propia expresión de atributo personalizada a displayName.
Por ejemplo, introduzca givenName + "" + sn (nombre, espacio, apellido) como la expresión. Esto asigna los dos atributos de Active Directory a displayName en la nube.
Permitir que los usuarios cambien los nombres para mostrar en Webex Meetings
Puede desasignar el atributo displayName de la sincronización a la nube en el Conector de directorios si desea permitir que los usuarios editen sus nombres para mostrar preferidos. Los usuarios pueden introducir un nombre para mostrar durante las reuniones de Webex en lugar de su nombre y apellido. Los administradores también pueden cambiar el nombre para mostrar de un usuario manualmente en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. |
| 2 |
Seleccione displayName en Nombre de atributo de la nube de Cisco. |
| 3 |
Seleccione No sincronizar este atributo. |
Qué hacer a continuación
Los usuarios ahora pueden editar sus nombres en pantalla desde su sitio de Webex.
Resolución de problemas en el Conector de directorios
Mejorar a la versión de software más reciente
Para que su implementación cumpla las normas y obtenga las últimas características, funcionalidades, correcciones de errores y mejoras de seguridad, siempre debe mejorar a la versión más reciente del Conector de directorios. Si no realiza una mejora a la última versión disponible, es posible que experimente problemas, como que el Conector de directorios ya no se sincronice correctamente o que tenga una versión que no admita el requisito obligatorio de TLS 1.2.
El Conector de directorios le notifica automáticamente cuando hay una nueva versión disponible. Siempre mejore a la versión más reciente para evitar problemas. También verá una notificación en la barra de tareas de Windows.
Aunque puede instalar manualmente las actualizaciones de software de conectores, le recomendamos que siga los pasos de Configurar mejoras automáticas para permitir que la aplicación administre las mejoras automáticamente.
| 1 |
Haga clic en la notificación en la barra de tareas de Windows o haga clic con el botón derecho en el icono del Conector de directorios en la barra de tareas de Windows para iniciar el proceso de mejora. |
| 2 |
Siga las instrucciones para completar la mejora. |
| 3 |
Reinicie el conector e inicie sesión con sus credenciales de administrador. |
| 4 |
Verifique el número de versión del software en . |
Qué hacer a continuación
Para una nueva instalación del Conector de directorios, puede descargar el archivo zip y, a continuación, seguir los pasos de instalación de esta guía.
Configurar ajustes generales para el Conector de directorios
Utilice este procedimiento para configurar ajustes generales, como el nombre del servidor que ejecuta el Conector de directorios, los niveles de registro, las actualizaciones automáticas y los ajustes preferidos para los controladores de dominio. El nombre del conector aparece en el tablero de mandos de la sección de conectores, junto con cualquier otro conector que se esté ejecutando.
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en General. |
| 2 |
En el campo Nombre del conector, introduzca el nombre del conector. Este campo solo muestra el nombre de la computadora que está ejecutando el conector en este momento. |
| 3 |
Elija el nivel de registro desde el menú desplegable. De manera predeterminada, el nivel de registro está definido en Información. Los niveles de registro disponibles son los siguientes:
Esta configuración afecta al informe de sincronización que se envía por correo electrónico. Si establece el nivel de registro en Error, solo se informan errores en el informe de sincronización; si no existen errores, el informe de sincronización no se envía. Cambie la configuración a Información; luego, recibirá informes de sincronización después de la sincronización completa. (Tenga en cuenta que para una sincronización incremental, no se envía ningún informe cuando no se reportan errores). |
| 4 |
Seleccione los Controladores de dominio preferidos para definir el orden de los controladores de dominio para sincronizar identidades. A los controladores de dominio se accede desde arriba hacia abajo. Si el primer controlador desde arriba no está disponible, elija el segundo controlador de la lista. Si no hay ningún controlador en la lista, puede acceder al controlador primario. |
| 5 |
Marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco si desea que se realicen mejoras automáticas. Siempre es importante mantener el software del Conector de directorios de Cisco actualizado a la versión más reciente. Le recomendamos que marque esta configuración para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 6 |
Marque LDAP sobre SSL para utilizar el LDAP seguro (LDAPS) como protocolo de conexión. Si no marca LDAP sobre SSL, el Conector de directorios sigue utilizando el protocolo de conexión de LDAP. LDAP (Lightweight Directory Application Protocol) y LDAP seguro (LDAPS) son los protocolos de conexión que se utilizan entre una aplicación y el controlador de dominio dentro de la infraestructura. La comunicación LDAPS está cifrada y es segura. |
Configurar la política del conector
Puede definir la cantidad máxima de operaciones de eliminación que pueden tener lugar durante la sincronización. La sincronización en ejecución no elimina objetos de su Active Directory local. Todos los objetos se eliminan solo de la nube.
Por ejemplo, establece 1 como el valor de activación del umbral de eliminación. Cuando ejecuta una sincronización completa o incremental, si la cantidad de usuarios que quiere eliminar es superior al ajuste configurado, el conector de directorios exhibirá una advertencia. Si hace clic en Anular umbral, puede iniciar una sincronización completa o incremental sin inconveniente, pero seguirá viendo este aviso de anulación la próxima vez que ejecute la política.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Política. |
| 2 |
Marque la casilla Habilitar activador de umbral de eliminación si quiere agregar un activador de umbral. Si elige esta opción, se activa una alerta si la cantidad de operaciones de eliminación excede el umbral. Cuando la cantidad de operaciones de eliminación excede la cifra que definió, la sincronización falla.
|
| 3 |
Introduzca la cantidad máxima de operaciones de eliminación que quiera. El valor predeterminado es 20. Le recomendamos que no aumente el valor predeterminado. |
| 4 |
Haga clic en Aplicar. |
Definir la programación del conector
Defina la sincronización en Active Directory. La conmutación por falla se utiliza para proporcionar alta disponibilidad (HA). Si un conector está fuera de servicio, pasamos a otro conector de reserva después del intervalo predefinido.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Planificar. |
| 2 |
Especifique el Intervalo de sincronización incremental en minutos. De manera predeterminada, el intervalo para la sincronización incremental está definido en 30 minutos. No habrá ninguna sincronización incremental completa hasta que usted no realice inicialmente una sincronización completa. |
| 3 |
Cambie el valor de Enviar informes por… tiempo si quiere cambiar la frecuencia con la que se envían los informes. |
| 4 |
Marque Habilitar planificación de sincronización completa para especificar los días y horarios en los que quiera ejecutar una sincronización completa. |
| 5 |
Especifique el Intervalo de conmutación por falla en minutos. |
| 6 |
Haga clic en Aplicar. |
Situaciones de varios dominios
Los dominios múltiples se basan en la prioridad del dominio. En el caso de objetos que tengan el mismo valor de clave en diferentes dominios, después de la sincronización, los datos del dominio de mayor prioridad sobrescriben a los del dominio de menor prioridad.
Los objetos que tengan el mismo valor de clave se enlazan a un registro en la base de datos.
El valor de clave correspondiente a "Usuario" es Dirección de correo electrónico; y el correspondiente a "Grupo" es Nombre del grupo.
Caso práctico modelo para varios dominios
En este ejemplo se asume que una organización tiene dos dominios: ejemplo1.com y ejemplo2.com, en orden de prioridad.
-
Agregue usuario1(correo electrónico: Usuario@ejemplo1.com) al Active Directory de ejemplo1.com.
-
Agregue grupo1(Nombre del grupo: Prueba) al Active Directory de ejemplo1.com.
-
Agregue usuario2(correo electrónico: Usuario@ejemplo2.com) al Active Directory de ejemplo2.com.
-
Agregue grupo2(Nombre del grupo: Prueba) al Active Directory de ejemplo2.com.
- Sincronización en ejemplo1.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Si ejecuta una sincronización completa o incremental para ejemplo1.com. se sincronizan usuario1 y grupo1. Además, los valores de usuario2 y grupo2 se sobrescribirán con la información de usuario1 y grupo1.
usuario1 se enlaza a usuario2 como el mismo registro en la base de datos; grupo1 se enlaza a grupo2 como el mismo registro en la base de datos.
- Sincronización en ejemplo1.com y ejemplo2.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Tenga presentes estos pasos:
- Elimine usuario1 y grupo1 en el Active Directory correspondiente a ejemplo1.com.
- Ejecute una sincronización completa o incremental para ejemplo1.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com. usuario2 no se enlaza a usuario1; y grupo2 tampoco se enlaza a grupo1.
- Ejecute una sincronización incremental para ejemplo2.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com.
- Ejecute una sincronización completa para ejemplo2.com.
Resultado: la información de usuario2 y grupo2 se indica en https://admin.webex.com.
Sincronizar un nuevo dominio y conservar un dominio existente
Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de instalar el Conector de directorios para el dominio (B) en un servidor de Windows compatible. El conector se vincula al nuevo dominio después de la configuración inicial, y la información del usuario del dominio (A) no se ve afectada.
Cada dominio debe tener su propio conector activo. Considere dos dominios con la siguiente configuración: dominio A con conectores (ca1) y (ca2) para Alta disponibilidad (HA) local; dominio B con conector (cb1). (ca1) y(ca2) sirven al dominio A. En esta situación, un conector está activo y el otro en modo de espera (HA). Este diseño mantiene al dominio sincronizado debido a que siempre hay un conector activo. Por lo tanto, cb1 es el conector activo para el dominio B, ya que el dominio A ya tiene un conector activo (ca1 o ca2).
Establecer la prioridad de los dominios
Utilice este procedimiento para cambiar la prioridad de los dominios de Active Directory. La prioridad de los dominios le permite determinar el dominio primario, el secundario, y así sucesivamente. Esto resulta útil cuando dos usuarios de dos dominios diferentes tienen el mismo valor de correo electrónico sincronizado a una organización.
No utilice este procedimiento si tiene un solo dominio en el Conector de directorios. Si lo intenta, el conector le exhibirá un mensaje en el que se indica que no es necesario establecer ninguna prioridad de directorios.
Antes de comenzar
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde https://admin.webex.com.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Definir prioridad de dominios. |
| 3 |
Resalte un dominio de la lista, haga clic en Subir o Bajar para cambiar la prioridad de este dominio; luego, haga clic en Guardar para guardar este cambio. Los dominios se ordenan por prioridad de arriba hacia abajo. |
Cambiar dominios
Utilice este procedimiento para volver a vincular el conector de directorios de Cisco a un dominio diferente.
Antes de comenzar
-
Asegúrese de que no se esté ejecutando ninguna tarea de sincronización antes de cambiar dominios.
-
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde Control Hub.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Cambiar dominio. |
| 3 |
Después de leer el mensaje de precaución, si comprende el efecto de este cambio en su implementación y todavía está seguro, haga clic en Sí. Si cambia un dominio, se cierra la sesión del conector de directorios actual de Cisco, se cancelan los registros de otros dominios del conector y se elimina la información del conector de esa computadora. |
| 4 |
Vuelva a iniciar sesión en el conector de directorios de Cisco y vuelva a vincular el dominio. |
Desactivar la sincronización de directorios
Si necesita detener la sincronización desde el Conector de directorios, puede desactivarla temporalmente desde Control Hub.
| 1 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios y, luego, elija una opción:
|
| 2 |
Después de leer el mensaje, haga clic en Desactivar. La sincronización se detiene hasta que la vuelva a habilitar desde el Conector de directorios. |
Eliminar asignación de atributos de usuarios
Utilice el Conector de directorios para eliminar la asignación de atributos de Active Directory previamente asignados a la nube y sincronizados con Webex. Después de eliminar la asignación de atributos, los valores de los atributos se eliminan de la nube y ya no se sincronizan con Webex. Estos valores se pueden editar manualmente.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
Seleccione la asignación que desea eliminar de la lista Nombre de atributo . |
| 4 |
En Alcance del usuario afectado, seleccione una de las siguientes opciones:
|
| 5 |
Haga clic en Aplicar. |
Administrar imágenes de perfil
Utilice el Conector de directorios para actualizar las imágenes de perfil de usuario o para eliminar las imágenes de perfil de usuario en blanco.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
En Acciones, seleccione una de las siguientes opciones:
|
| 4 |
Haga clic en Aplicar. |
Desinstalar y desactivar el Conector de directorios
Después de desinstalar una instancia del Conector de directorios, deberá desinscribirlo. Elimine completamente un Conector de directorios en cualquiera de estas situaciones:
-
Ya no quiere utilizar la sincronización de directorios.
-
No quiere utilizar uno de los varios conectores de directorio (alta disponibilidad).
-
Quiere cambiar el dominio e instalar otro conector.
Antes de comenzar
-
Puede tener varias instancias del Conector de directorios configuradas para alta disponibilidad (HA) o sincronización de varios dominios. Deshabilite la sincronización si está desinstalando la única o última instancia del Conector de directorios.
-
Guarde y cierre cualquier trabajo importante antes de desinstalar el Conector de directorios.
| 1 |
En su máquina con Windows, diríjase al Panel de control y luego haga clic en Programas y características. |
| 2 |
En la lista de programas, haga clic en Conector de directorios, elija Desinstalar y, a continuación, siga las indicaciones. Es posible que tenga que reiniciar su sistema para completar la desinstalación. |
| 3 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios, haga clic en Más |
| 4 |
Después de leer el mensaje, haga clic en Desactivar. Si no hay ningún otro Conector de directorios en una implementación de alta disponibilidad (HA), ya no se sincronizan las cuentas de usuario. |
Ejecutar la herramienta de diagnóstico
Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas en la implementación del Conector de directorios. Esta herramienta se instala como parte del Conector de directorios 3.4 en adelante.
Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión a LDAP para poder diagnosticar errores usted mismo antes de comunicarse con el soporte. Si la herramienta devuelve algún error, puede enviar los resultados detallados del registro a soporte técnico.
-
Para ejecutar pruebas para los servicios de dominio de Active Directory:
-
Para ejecutar pruebas de los servicios de directorio ligero de Active Directory:
-
Para ejecutar pruebas del Lightweight Directory Access Protocol (Protocolo ligero de acceso a directorios, LDAP):
Solucionar problemas en el Conector de directorios de Ciso
Solución de problemas y correcciones para el Conector de directorios
Es posible que encuentre un mensaje de error u otro problema en el Conector de directorios. Además, una vez que el Conector de directorios sincroniza la información de los usuarios, es posible que el conector le envíe un informe por correo electrónico en el que se enumeren los problemas con la sincronización. Consulte las siguientes secciones para conocer los problemas que pueden surgir, las posibles causas y las soluciones propuestas que puede probar antes de comunicarse con el soporte.
Instalar
El Conector de directorios dejó de funcionar
Recibió alertas por correo electrónico en las que se le notifica que su Conector de directorios no está funcionando.
-
Es posible que el Conector de directorios no se instale correctamente.
-
Es posible que el Conector de directorios no se esté ejecutando.
-
Es posible que la red no esté disponible.
Intente lo siguiente:
-
Abra . Localice el Conector de directorios. Si no está allí, descargue la versión más reciente de Control Hub e instálela.
-
Abra Servicio y busque el Servicio de sincronización de directorios de Cisco. Asegúrese de que muestre el estado como Iniciado. Si el servicio está detenido, hágale clic derecho y seleccione Iniciar para reiniciarlo.
-
Asegúrese de que el servidor en el que instaló el Conector de directorios tenga acceso a Internet.
Error de reinstalación
Problema: si instala inmediatamente un nuevo conector después de desinstalar uno anterior, es posible que vea un mensaje de error.
Causa posible: en Windows Server 2012, el cliente de desinstalación necesita tiempo para eliminar la cuenta de servicio de la lista de servicios.
Solución: después de que haya pasado un tiempo, intente la instalación nuevamente.
Iniciar sesión
El conector de directorios se bloquea durante el inicio de sesión con SSO
Problema
El Conector de directorios puede bloquearse después de que usted introduzca una dirección de correo electrónico desde una página de inicio de sesión de SSO.
Solución
Intente lo siguiente:
Siga estos pasos para configurar una nueva política de grupo:
-
Vaya al controlador de dominio y abra Group Policy Management (gpedit.msc).
-
Haga clic con el botón derecho en una unidad organizativa o un dominio específicos, seleccione Crear un GPO en este dominio y Vincule aquí…
-
Asigne un nombre a la política y, a continuación, haga clic con el botón derecho y elija Editar.
Siga estos pasos para cambiar la política a nivel de la máquina:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_LOCAL_MÁQUINA\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Siga estos pasos para cambiar la política a nivel de usuario:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_USUARIO ACTUAL\SOFTWARE\Microsoft\Internet Explorer\Main_.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Los cambios surten efecto después de ejecutar gpupdate /force, de que la máquina se reinicie (para los cambios de máquina) o de que el usuario vuelva a iniciar sesión (para los cambios de usuario).
No se pudo inscribir el conector de servicios DirSync de Cisco
Problema
El inicio de sesión falla y aparece este mensaje: “El conector de servicios de sincronización de directorios de Cisco no se pudo inscribir”.
Solución
El sistema de Windows en el que está instalado el Conector de directorios debe ser miembro de Active Directory.
No aparece la página de inicio de sesión
Problema
Abrió el Conector de directorios y no aparecía la página de inicio de sesión.
Solución
Pruebe los siguientes pasos:
-
En Internet Explorer, vaya a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Pruebe el enlace en otros navegadores como Chrome y Firefox.
-
Si Internet Explorer no puede visitar el enlace, pero otros navegadores sí pueden, marque la configuración de Internet Explorer y marque las casillas de verificación TLS 1.1 y 1.2. (Utilice el procedimiento Habilitar TLS en Internet Explorer .)
Aparece el mensaje de inicio de sesión
Problema
Aparece un mensaje que le solicita que ingrese el nombre de usuario y la contraseña para pasar la autenticación.
Causa posible
El Conector de directorios completa la autenticación de seguridad NTLM silenciosamente con la cuenta de inicio de sesión. Si falla la autenticación, aparece un cuadro de diálogo para solicitar el nombre de usuario y la contraseña de autenticación.
Solución
Cuando vea la ventana emergente de inicio de sesión, necesita proporcionar una cuenta válida con autenticación correcta para pasar la seguridad.
No se puede conectar al servidor remoto
Problema
Durante el funcionamiento normal, aparece el mensaje de error: "No se puede conectar al servidor remoto".
Causa posible
Es posible que tenga problemas de proxy que deban resolverse.
Solución
Consulte Solucionar problemas de inicio de sesión en la cuenta de servicio para obtener más información sobre la solución de problemas.
No se puede inscribir el conector
Problema
Aparece el mensaje de error "No se puede inscribir el conector. Ocurrió una excepción general".
Causa posible
En la mayoría de los casos, el problema se debe a que el Conector de directorios no tiene privilegios para conectarse al contexto raíz de LDAP.
Solución
Intente lo siguiente:
-
Ejecute un símbolo del sistema (cmd) y luego introduzca ldp.exe.
-
Haga clic en , elija Vincular como usuario actualmente conectado y, a continuación, haga clic en Aceptar.
-
Haga clic en , introduzca DC=arbonneintl,DC=ad como BaseDN y, luego, haga clic en Aceptar.
-
Si el problema continúa, abra un caso en el servicio de soporte técnico.
Sincronización
Avatares no sincronizados
Problema
El conector de directorios de Cisco sincronizó los datos de AD del usuario con la nube de Webex. Pero no se sincronizaron correctamente datos de avatar.
Causa posible
Si reutilizó un servidor de avatar existente y los avatares del usuario ya estaban sincronizados, la caché local los captura y evita que se vuelvan a enviar para ahorrar ancho de banda.
Solución
Elimine la caché local siguiendo estos pasos:
-
Vaya a C:\Archivos de programa (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Elimine DirSyncPluginAvatar.dll-cache.bin.
-
Vuelva a ejecutar la sincronización de avatares desde el conector de directorios de Cisco.
Cuentas de correo electrónico de usuarios en conflicto
Problema
Los resultados de la sincronización pueden mostrar cuentas de correo electrónico de usuarios conflictivas.
-
Si los usuarios probaron la versión gratuita de la Aplicación de Webex, sus direcciones de correo electrónico residen en la organización de consumidores sin cargo.
-
Si alguna vez se sincronizaron los correos electrónicos de los usuarios en otra organización.
-
Si los correos electrónicos de los usuarios existen en varios dominios que pertenecen a la organización.
Solución
Intente lo siguiente:
-
Siga estos pasos si está intentando reclamar usuarios:
-
Asegúrese de haber verificado el dominio en Control Hub.
-
Deshabilite temporalmente el Conector de directorios de Cisco.
-
Utilice la opción Reclamar usuario en Control Hub para reclamar las cuentas que puedan existir en la organización de consumidores sin cargo. Consulte Reclamar usuarios a su organización (Convertir usuarios) para obtener más información.
-
Realice una simulación en el Conector de directorios de Cisco y, luego, vuelva a habilitar la sincronización de directorios
-
-
En el último caso, compruebe dos veces los datos de los usuarios en sus fuentes de Active Directory.
Usuario convertido marcado como inactivo
Problema
En su entorno sincronizado de directorios, convirtió a un usuario gratuito (organización de consumidor) en su organización empresarial, pero el usuario convertido no puede iniciar sesión en la Aplicación de Webex.
Causa posible
Cuando el usuario gratuito se convierte en la organización empresarial, se marca al usuario como estado inactivo durante 30 días como medida de cumplimiento de seguridad. Durante este período, el usuario no puede iniciar sesión en la Aplicación de Webex y se marca para su eliminación al final del período de 30 días. Esta situación surge porque la información del usuario gratuito no reside en Active Directory.
Solución
Debe tomar medidas si no desea que se elimine la cuenta de usuario. Para resolver este problema, cree una cuenta de usuario en su Active Directory local que corresponda a la cuenta de usuario gratuita convertida. A continuación, realice una sincronización desde el Conector de directorios de Cisco. Luego, el usuario podrá volver a iniciar sesión en la aplicación de Webex y la cuenta no se eliminará.
Falla la sincronización incremental
Problema
Falla una sincronización incremental.
Este problema puede ocurrir en Windows Server 2008 R2 en las siguientes condiciones:
-
Usted admite las actualizaciones de valor incremental.
-
El filtro que utiliza hace referencia a un atributo de valor vinculado.
-
Los valores de resultado de ese atributo se actualizaron desde la última vez que se realizó una sincronización completa.
Solución
Windows Server 2008 R2 tiene un error relacionado con este problema. El error se corrigió en 2012 R2 y versiones posteriores. Le recomendamos que mejore su Windows Server a al menos 2012 R2.
Valor no válido para el atributo
Problema
Para [ND del usuario (nombre distinguido)], el atributo [nombre del atributo] tiene el siguiente valor no válido: [valor del atributo].
Causa posible
Para CN=b,OU=Employees,OU=C Users,DC=c,DC=com, el atributo [número de teléfono] tiene el siguiente valor no válido: +. Este atributo debe contener al menos un número.
Solución
Un atributo para este usuario no tiene un valor válido. Corrija su valor según la descripción que se indica en el mensaje de advertencia. Luego realice otra operación de sincronización.
Usuarios coincidentes para eliminar
Problema
Los usuarios coincidentes se marcan para ser eliminados.
Al realizar una simulación de sincronización para comprobar los datos entre Active Directory y la nube, es posible que vea la misma dirección de correo electrónico en ambos. Sin embargo, el usuario se marca como un objeto que desea eliminar.
Solución
Elija una solución adecuada:
-
Si no está bien eliminar al usuario y rehacer las licencias después, puede utilizar el Conector de directorios para solucionarlo. Realice una sincronización para eliminar al usuario y, luego, realice otra sincronización para sincronizar al usuario de AD local con la nube.
-
Si no puede eliminar ni volver a crear la cuenta de usuario, abra un caso en el servicio de soporte técnico.
Atributo faltante
Problema
El atributo obligatorio [attribute_name] al agregar una entrada local [DN del usuario (nombre distinguido)]. La entrada no se crea en Control Hub hasta que todos los atributos obligatorios tienen un valor.
Causa posible
Falta el atributo obligatorio de dirección de correo electrónico. Al agregar una entrada local [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], la entrada no se crea en Control Hub hasta que todos los atributos obligatorios tengan un valor.
Solución
Falta uno de los atributos obligatorios para el usuario [user_email_address]. Proporcione los valores obligatorios para ese usuario.
El grupo anidado no se sincronizará
Problema
Los usuarios de un grupo de Active Directory anidado no se sincronizan correctamente con la nube.
Causa posible
Se utiliza un filtro que incluye tanto el grupo secundario como el grupo padre, que no es compatible. Por ejemplo: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Solución
Debe volver a configurar el filtro que sincroniza los grupos. Por ejemplo: |(memberof=CN=testgroup1,CN=Usuarios,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuarios,DC=rktest2008,DC=org)
Conflicto de nomenclatura del usuario
Problema
Hay un conflicto de nomenclatura para [ND del usuario] para un objeto de entrada en la nube existente con el siguiente nombre: [dirección de correo electrónico del usuario] y del tipo de usuario [user_type].
Causa posible
Ya existe un usuario con esa dirección de correo electrónico en Control Hub.
Solución
Cree un usuario en su Active Directory con la misma dirección de correo electrónico que la cuenta que inscribió a través de Control Hub.
Concentrador de control
Falta la lista de usuarios en Control Hub
Problema
Si tiene una organización de Webex con más de 1000 usuarios sincronizados, es posible que no vea la lista de usuarios en Control Hub.
Solución
Puede utilizar la funcionalidad de búsqueda para encontrar una cuenta de usuario. En Control Hub, diríjase a Usuarios, haga clic en Buscar y, luego, introduzca los criterios de búsqueda para encontrar un usuario específico.
Los grupos no se sincronizarán con Control Hub
Problema
Los usuarios de un grupo de directorio no se sincronizarán correctamente con Control Hub.
Causa posible
El grupo no está etiquetado como isCriticalSystemObject en Active Directory.
Solución
Asegúrese de que el atributo isCriticalSystemObject esté definido en TRUE en Active Directory.
Habilitar la solución de problemas para el Conector de directorios
Puede habilitar la solución de problemas para diagnosticar más fácilmente cualquier error que encuentre en el Conector de directorios. La solución de problemas le permite capturar información del tráfico de red y guardarla en un archivo.
Los archivos de registro que son: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Ejecute el archivo |
| 2 |
Reinicie el servicio. Consulte Cómo iniciar servicios para obtener ayuda. |
| 3 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 4 |
Diríjase a Acciones y, luego, haga clic en . |
| 5 |
Con la solución de problemas habilitada, repita las acciones que estaban causando un error; de esta manera, se capturan los datos del tráfico para poder examinarlos. |
| 6 |
Examine los archivos de registro: si el archivo está en blanco, asegúrese de que la cuenta tenga privilegios para acceder a su AD DS o AD LDS. La carpeta de registro solo guarda los archivos de los últimos 3 días. El contenido de los archivos de registro es coherente con la salida del registro de eventos en el sistema. |
| 7 |
Si es necesario, envíe el archivo de registro al servicio de Soporte para obtener ayuda. |
| 8 |
Deshabilite la característica de solución de problemas cuando termine. |
Iniciar el visor de eventos
Para ver los eventos que se produjeron durante una sincronización completa o incremental, inicie el Visor de eventos. Muestra un resumen de los eventos administrativos y los registros de errores.
| 1 |
Desde el Conector de directorios, diríjase al Tablero de mandos y, luego, haga clic en . En el cuadro de diálogo de Propiedades de eventos se indican detalles de los eventos y errores durante la sincronización. |
| 2 |
Desde el Visor de eventos, diríjase a .
|
| 3 |
En Acciones, haga clic en Guardar todos los eventos como para exportar todos los registros como un solo archivo de eventos (*.evtx) u otro formato como xml o csv. |
Qué hacer a continuación
Si necesita abrir un caso, comuníquese con el soporte, describa el problema con el conector y, a continuación, adjunte el archivo de Events a su caso.
Los registros de eventos capturan las acciones de los usuarios. Para obtener ayuda con la administración del tráfico de red, habilite la resolución de problemas en el conector.
Habilitar TLS en Internet Explorer
Si cambió los proveedores de inicio de sesión único (SSO), es posible que vea los siguientes mensajes de error del conector de directorios de Cisco:
-
Se produjo un error al conectarse al servicio
-
Se ha producido un error en el script de esta página
Si ve estos errores, debe habilitar un ajuste de TLS en su navegador.
| 1 |
Abra Internet Explorer y, a continuación, elija Herramientas. Ahora marque las casillas de la versión TLS/SSL que desea habilitar Haga clic en Aceptar Cerrar el navegador y abrirlo de nuevo |
| 2 |
Haga clic en Opciones de Internet , vaya a Opciones avanzadas y desplácese hasta Seguridad. |
| 3 |
Marque las casillas de verificación Usar TLS 1.1 y Usar TLS 1.2 y, luego, haga clic en Aceptar.
|
| 4 |
Reinicie su sistema para que los cambios tengan efecto. |
Solucionar problemas en el inicio de sesión a una cuenta de servicios
Si no puede iniciar sesión en el conector de directorios de Cisco o no puede ejecutar una sincronización, siga estos pasos para intentar resolver el problema antes de comunicarse con el servicio de soporte.
| 1 |
Trate de ingresar a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL en su navegador web. |
| 2 |
Dependiendo de los resultados, elija una opción:
|
| 3 |
Como mínimo, asegúrese de que la cuenta configurada para el servicio Cisco DirSync (que se puede encontrar en los servicios de Windows) tenga un nivel de privilegios que le permita acceder a los datos de avatar y a los datos de AD. De forma predeterminada, el servicio aprovecha las credenciales y la autenticación de la cuenta de inicio de sesión de Windows. |
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
Descripción general del Conector de directorios de Cisco
Descripción general del Conector de directorios
El Conector de directorios es una aplicación local para la sincronización de identidades en la nube. Descargue el software del conector desde Control Hub e instálelo en su máquina local.
Con el Conector de directorios, puede mantener sus cuentas de usuario y sus datos en Active Directory, de modo que Active Directory se convierte en la única fuente fiable. Cuando realiza un cambio en las instalaciones, se replica en la nube.
Consulte todas las características, las descripciones y los beneficios en la tabla:
| Característica | Descripción y ventaja |
|---|---|
| Tablero de mandos fácil de usar | El tablero de mandos proporciona una planificación de sincronizaciones, un resumen y el estado de la sincronización y del Conector de directorios. Puede ver el tablero de mandos cada vez que inicie sesión. |
| Simulacro antes de la sincronización con la nube | Realice una simulación de los cambios en el directorio antes de que se implementen en la nube. Luego, ejecute un informe para ver que los cambios cumplen con sus expectativas. |
| Sincronización completa y gradual | Sincronice el directorio completo. O bien, sincronice los cambios graduales para ahorrar potencia de procesamiento y acortar el tiempo de sincronización. |
|
Sincronizar varios dominios (bosque único o bosques múltiples) |
El Conector de directorios admite varios dominios en un solo bosque o en varios bosques (sin la necesidad de AD LDS). En el caso de empresas con varios dominios de Active Directory, puede instalar un Conector de directorios para cada dominio, vincular cada dominio a su organización y, luego, sincronizar cada base de usuarios en Webex. Control Hub refleja el estado mostrando el estado de sincronización para varios conectores de directorios, le permite desactivar la sincronización para un dominio específico y desactivar un conector de directorios en una implementación de alta disponibilidad. |
| Sincronización programada | Configure una planificación de sincronizaciones por día, hora y minuto. |
| Filtros del Protocolo ligero de acceso a directorios (LDAP) | Defina el criterio de búsqueda de LDAP y proporcione importaciones eficientes. |
| Asignación de atributos de Active Directory | Asigne atributos de Microsoft Active Directory a los atributos de la nube de Webex correspondientes. Puede asignar atributos relevantes para la configuración de su Active Directory y también definir atributos personalizados para asignar a la nube. Los atributos de las instalaciones forman diversos datos en la nube, como información de cuentas de usuario, números de teléfono empresarial en Webex Teams, direcciones SIP de recursos de sala y otros datos de tarjetas de contacto del usuario (cargo, departamento, gerente, etc.). |
|
Directorio corporativo para recursos de salas locales y usuarios de Cisco Webex Calling (PSTN en la nube) y contactos empresariales sin licencias de Webex |
Si parte de su organización utiliza la PSTN en la nube de Cisco Webex Calling para el servicio de llamadas o usted tiene dispositivos de sala locales, esta característica permite a los usuarios buscar contactos empresariales en el directorio desde sus teléfonos o recursos de sala de Cisco Webex Calling (PSTN en la nube).
|
| Visor de eventos | Use el visor de eventos para determinar si hubo problemas con la sincronización. |
| Herramienta de diagnóstico y solución de problemas | Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas de su implementación Conector de directorios Cisco. Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión con Active Directory para que pueda diagnosticar los errores usted mismo antes de comunicarse con el servicio de soporte. Una vez que habilite la solución de problemas en el Conector de directorios, se escriben registros que pueden enviarse al soporte técnico. |
| Mejora automática | Después de que instala Conector de directorios, recibe una notificación cada vez que haya una nueva versión del software disponible. Puede configurar actualizaciones automáticas para que siempre tenga la última versión del software cuando se lanza una nueva versión. |
| Alta disponibilidad | Configure varios conectores para que haya una copia de seguridad, por si el conector principal o la máquina que lo aloja dejan de funcionar. |
El Conector de directorios está dividido en tres áreas:
-
Control Hub es la interfaz única que le permite administrar todos los aspectos de su organización de Webex: ver usuarios, asignar licencias, descargar el Conector de directorios y configurar el inicio de sesión único (SSO) si desea que sus usuarios se autentiquen a través de su proveedor de servicios de identidad empresarial y no desea enviar invitaciones por correo electrónico para la aplicación de Webex.
-
La interfaz de administración del Conector de directorios es el software que se descarga desde Control Hub e instala en un servidor de Windows de confianza. Para varios dominios de Active Directory, puede instalar una porción del software para cada dominio que desea sincronizar. Si utiliza el software, puede ejecutar una sincronización para incorporar sus cuentas de usuario de Active Directory a Webex, ver y supervisar el estado de la sincronización y configurar servicios del Conector de directorios.
-
El servicio de sincronización de directorios solicita a su Active Directory que recupere usuarios y grupos para sincronizarlos con el servicio de conectores y con el Conector de directorios.
Consulte este diagrama para comprender la arquitectura del Conector de directorios:
Preparar su entorno para el Conector de directorios
Requisitos para el Conector de directorios
Requisitos de Windows y Active Directory
Puede instalar el Conector de directorios en estos servidores Windows compatibles:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver un problema con las cookies, le recomendamos que mejore su controlador de dominio a una versión que contenga la solución: Windows Server 2012 R2 o 2016.
El Conector de directorios es compatible con los siguientes servicios de Active Directory:
-
Active Directory 2016
(El Conector de directorios es compatible cuando se utiliza la última versión de Active Directory en Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Tenga en cuenta los siguientes requisitos adicionales:
-
El Conector de directorios requiere TLS1.2. Debe instalar lo siguiente:
-
.NET Framework v3.5 (necesario para la aplicación del Conector de directorios. Si tiene algún problema, utilice las instrucciones de Habilitar .NET Framework 3.5 mediante el asistente para agregar funciones y características).
-
.NET Framework v.4.5 (se requiere para TLS1.2)
-
-
Se requiere el nivel 2 de la funcionalidad de bosque de Active Directory (Windows Server 2003) o posterior (Consulte ¿Qué son los niveles funcionales de Active Directory? para obtener más información).
Requisitos de hardware
Debe instalar el Conector de directorios en una computadora con estos requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de almacenamiento
-
No hay ningún mínimo para la CPU
Requisitos de red
Si su red está detrás de un firewall, asegúrese de que su sistema tenga acceso HTTPS (puerto 443) a Internet.
Requisitos de la organización de Webex
-
Para acceder al software del Conector de directorios desde Control Hub, necesita una organización de Webex con una prueba o cualquier suscripción paga.
-
(Opcional) Si desea que las nuevas cuentas de usuario de la aplicación de Webex estén Activas antes de que inicien sesión por primera vez, le recomendamos que haga lo siguiente:
-
Agregue, verifique y, opcionalmente, reclame dominios que contengan las direcciones de correo electrónico de los usuarios que desea sincronizar en la nube.
-
Realice una integración de inicio de sesión único (SSO) de su proveedor de servicios de identidad (IdP) con su organización de Webex.
-
Suprimir las invitaciones automáticas por correo electrónico, de modo que los usuarios nuevos no reciban la invitación automática por correo electrónico y usted pueda realizar su propia campaña de correo electrónico. (Esta característica requiere la integración de SSO).
-
Para obtener más información, consulte Estados y acciones del usuario en Control Hub.
Requisitos de instalación
-
Para un entorno de varios dominios (ya sea bosque único o bosques múltiples), debe instalar un Conector de directorios por cada dominio de Active Directory. Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de tener un servidor Windows compatible separado para instalar el Conector de directorios para la sincronización del dominio (B).
-
Para iniciar sesión en el conector, no necesitamos una cuenta administrativa en Active Directory. Requerimos una cuenta de usuario local que sea el mismo usuario que una cuenta de administrador completa en Control Hub.
Este usuario local debe tener privilegios en esa máquina de Windows para conectarse al Controlador de dominios y leer los objetos de usuario de Active Directory. La cuenta de inicio de sesión de la máquina debe ser un administrador de la computadora con privilegios para instalar software en la máquina local. (Esta información también se aplica a la conexión de una máquina virtual).
-
Al iniciar sesión en el conector, la cuenta de inicio de sesión debe ser la misma que la cuenta de administrador completa para Control Hub. De forma predeterminada, el conector utiliza la cuenta del sistema local para acceder a Active Directory. Sin embargo, puede utilizar los servicios de Windows para configurar otra cuenta a fin de acceder a Active Directory. (Esta información también se aplica a la conexión de una máquina virtual).
-
Asegúrese de que el modo de búsqueda de biblioteca dinámica de enlaces (DLL) de Windows Safe esté habilitado mediante este procedimiento: Compruebe SafeDllSearchMode en el Registro de Windows.
-
Si utiliza AD LDS para varios dominios en un solo bosque, le recomendamos que instale el Conector de directorios y Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) en máquinas separadas.
Requisitos de varios dominios
Antes de seguir las tareas que se indican en el Flujo de tareas de implementación del conector de directorios de Cisco, tenga en cuenta los siguientes requisitos y recomendaciones si va a sincronizar la información de Active Directory de varios dominios a la nube:
-
Se requiere una instancia independiente del Conector de directorios para cada dominio.
-
El software del Conector de directorios debe ejecutarse en un host que esté en el mismo dominio que sincronizará.
-
Le recomendamos que verifique o reclame sus dominios en Control Hub. (Consulte Agregar, verificar y reclamar dominios).
-
Si desea sincronizar más de 50 dominios, debe abrir un ticket para que su organización se mueva a una lista de organizaciones grande.
-
Si lo desea, puede sincronizar la información de los recursos de la sala junto con las cuentas de usuario. (Consulte Sincronizar la información de la sala local con la nube de Webex).
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
Los grupos de Active Directory se utilizan para recopilar cuentas de usuarios, cuentas informáticas y otros grupos en unidades manejables. Trabajar con grupos en lugar de con usuarios individuales ayuda a simplificar el mantenimiento y la administración de la red.
Hay dos tipos de grupos en Active Directory:
-
Grupos de distribución: se utiliza para crear listas de distribución de correo electrónico.
-
Grupos de seguridad: se utiliza para asignar permisos a recursos compartidos.
Tenga en cuenta las siguientes pautas al crear grupos en Active Directory:
-
Cree un grupo global para cada función, departamento o servicio (como ventas, marketing, gerentes, contables, licencias de Webex, etc.).
-
Utilice convenciones de nomenclatura estándares en toda la organización para facilitar la identificación de información importante sobre un grupo. Los nombres de grupos pueden incluir detalles acerca del grupo, como el nivel de acceso, el tipo de recurso, el nivel de seguridad, el alcance del grupo, la capacidad de correo, etc. Por ejemplo, el nombre de grupo “GSG_Webex_Licensing_EMEAR” se refiere a un grupo de seguridad global para usuarios de licencias de Webex de EMEAR.
-
Organice grupos de una manera fácil de entender, por ejemplo, por geografía o jerarquía gerencial. Utilice las descripciones del grupo para describir completamente el propósito del grupo.
-
Antes de agregar usuarios a los grupos recientemente aprovisionados, defina la plantilla de grupo de licencias automáticas en Control Hub para esos grupos. Consulte Configurar su plantilla de asignación automática de licencias para obtener más información.
Información de dimensionamiento
El Conector de directorios funciona como un puente entre Active Directory en las instalaciones y la nube de Webex. Como tal, el conector no tiene un límite superior para la cantidad de objetos de Active Directory que se pueden sincronizar en la nube. Los límites de los objetos del directorio local están vinculados a la versión y las especificaciones específicas del entorno de Active Directory que se está sincronizando con la nube, no con el propio conector.
Algunos factores pueden afectar la velocidad de la sincronización:
-
El número total de objetos de Active Directory. (Un trabajo de sincronización de 5000 usuarios no demorará tanto como 50000).
-
Velocidad de red y ancho de banda.
-
Carga de trabajo y especificaciones del sistema.
Si está sincronizando más de 50 000 usuarios, le recomendamos con énfasis que utilice un segundo conector para la conmutación por error y la redundancia.
Debido a que hay varios factores involucrados en la sincronización y porque cada implementación varía según los factores anteriores, no podemos proporcionar valores de tiempo específicos para el tiempo que llevará una sincronización de objetos.
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
Integración de proxy web
Integración de proxy web
Si la autenticación con proxy web está habilitada en su entorno, puede seguir usando el Conector de directorios.
Si su organización utiliza un proxy web transparente, no es compatible con la autenticación. El conector conecta y sincroniza usuarios con éxito.
Puede adoptar uno de estos enfoques:
-
Proxy web explícito a través de Internet Explorer (el conector hereda la configuración del proxy web)
-
Proxy web explícito por medio de un archivo .pac (el conector hereda la configuración proxy específica de la empresa)
-
Proxy transparente que funciona con el conector sin ningún cambio
Utilizar un proxy web por medio del navegador
Puede configurar el Conector de directorios para que utilice un proxy web a través de Internet Explorer.
Si el servicio de sincronización de directorios de Cisco se ejecuta desde una cuenta diferente a la que está conectado el usuario en ese momento, también tiene que iniciar sesión con esta cuenta y configurar el proxy web.
| 1 |
Desde Internet Explorer, diríjase a Opciones de Internet, haga clic en Conexiones y luego elija Configuración de LAN. |
| 2 |
Señale la instancia de Windows donde esté instalado el conector en su proxy web. El conector hereda esta configuración de proxy web. |
| 3 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 4 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Configurar el proxy web por medio de un archivo PAC
Puede configurar un navegador cliente para utilizar un archivo .pac. Este archivo proporciona información sobre la dirección y el puerto del proxy web. El Conector de directorios hereda directamente la configuración del proxy web específica de la empresa.
| 1 |
Para que el conector conecte y sincronice con éxito la información de los usuarios con la nube de Webex, asegúrese de que la autenticación con proxy esté deshabilitada para |
| 2 |
Si su entorno utiliza autenticación con proxy, agregue estas direcciones URL a su lista de permitidas:
Puede hacerlo en todo el sitio (para todos los hosts) o solo para el host que tiene el conector. Si agrega estas URL a una lista de permitidos para omitir por completo su proxy web, asegúrese de que la tabla ACL de su firewall esté actualizada para permitir que el host de conectores acceda directamente a las URL. |
| 3 |
Si su entorno necesita solicitar listas de revocación de certificados a las autoridades de emisión de certificados, agregue estas URL a su lista de permitidos:
Para obtener más información, consulte este artículo sobre los dominios y las URL a los que se debe acceder para los servicios de Webex. |
Proxy NTLM
El Conector de directorios admite NT LAN Manager (NTLM). NTLM es un enfoque para admitir la autenticación de Windows entre los dispositivos del dominio y garantizar su seguridad.
Diseño NTLM
En la mayoría de los casos, un usuario quiere acceder a los recursos de otra estación de trabajo a través de un PC cliente, lo que puede ser difícil de hacer de una manera segura.
En general, el diseño técnico de NTLM se basa en un mecanismo de Desafío
y Respuesta
:
-
Un usuario inicia sesión en la PC de un cliente a través de una cuenta y contraseña de Windows. La contraseña nunca se guarda localmente. En lugar de una contraseña de texto sin formato, se almacena localmente un valor hash de la contraseña. Cuando un usuario inicia sesión a través de la contraseña con el cliente, el sistema operativo Windows compara el valor hash almacenado y el valor hash de la contraseña de entrada. Si ambos son iguales, la autenticación pasa.
Cuando el usuario quiere acceder a cualquier recurso en otro servidor, el cliente envía una solicitud al servidor con el nombre de la cuenta en texto sin formato.
-
Cuando el servidor recibe la solicitud, el servidor genera una clave aleatoria de 16 bits. La clave se llama Desafío (o Nonce). Antes de que el servidor vuelva a enviar al cliente, el desafío se almacena en el servidor. Luego, el servidor envía el desafío al cliente en texto sin formato.
-
Tan pronto como el cliente recibe el desafío enviado desde el servidor, el cliente cifra el desafío por el valor hash que se mencionó en el paso 1. Después del cifrado, el valor se devuelve al servidor.
-
Cuando el servidor recibe el valor cifrado del cliente, el servidor lo envía al controlador de dominio para su verificación. La solicitud incluye: el nombre de la cuenta, el desafío cifrado que envió el cliente y el desafío simple original.
-
El controlador de dominio puede recuperar los valores de hash de la contraseña según el nombre de la cuenta. Y, a continuación, el controlador de dominio puede cifrar en el desafío original. El controlador doman puede entonces comparar con el valor de hash recibido y el valor de hash cifrado. Si son iguales, la verificación se realiza correctamente.
Windows tiene la autenticación de seguridad integrada en el sistema operativo, lo que facilita que las aplicaciones admitan la autenticación de seguridad. En consecuencia, no es necesario completar la configuración adicional.
Configurar un proxy transparente
En esta situación, el navegador no sabe que un proxy web transparente está interceptando solicitudes http [puerto 80/puerto 443] y no se requiere ninguna configuración en el lado del cliente.
| 1 |
Implemente un proxy transparente para que el conector pueda conectar y sincronizar usuarios. |
| 2 |
Confirme que el proxy sea correcto: verá una ventana emergente de autenticación del navegador esperada al iniciar el conector. |
Establecer autenticación de proxy
Agregue la URL cloudconnector.webex.com a su lista de permitidos; para ello, cree una Lista de control de acceso.
En su servidor de firewall empresarial:
| 1 |
Habilite la búsqueda de DNS si todavía no está habilitada. |
| 2 |
Determine un ancho de banda estimado para esta conexión (aproximadamente 2 mb/s o menos para el conector). Es posible que esto no sea obligatorio. |
| 3 |
Cree una Lista de control de acceso para aplicarla al host de conectores y especifique Por ejemplo: access-list 2000 acl-inside extended permit TCP [IP del conector] cloudconnector.webex.com eq https |
| 4 |
Aplique esta ACL a la interfaz de firewall adecuada, que solo se aplica a este host de conectores únicos. |
| 5 |
Asegúrese de que el resto de los hosts de su empresa todavía tengan que utilizar su proxy web; para ello, configure la declaración de denegación implícita que corresponda. |
Implementar el Conector de directorios
Flujo de tareas de implementación del conector de directorios de Cisco
Antes de comenzar
| 1 |
Instalar el Conector de directorios Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito. En el caso de una instalación nueva del Conector de directorios, vaya siempre a Control Hub ( https://admin.webex.com) para obtener la última versión del software, de modo que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 2 |
Iniciar sesión en el Conector de directorios Inicie sesión con sus credenciales de administrador de Webex y realice la configuración inicial. |
| 3 |
Configurar mejoras automáticas Siempre es importante mantener el software del Conector de directorios actualizado con la última versión. Le recomendamos que utilice este procedimiento para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 4 |
Elegir objetos de Active Directory para sincronizar De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios. |
| 5 |
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid. |
| 6 |
Sincronice los avatares de directorios mediante uno de los siguientes procedimientos:
Puede sincronizar los avatares de sus usuarios con la nube para que aparezca el avatar de cada usuario cuando inicie sesión en la aplicación. Puede sincronizar avatares desde un atributo de Active Directory o un servidor de recursos. |
| 7 |
Sincronizar la información de la sala local con la nube de Webex Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube, como un dispositivo de sala de Webex o Cisco Webex Board |
| 8 |
Para Aprovisionar Usuarios De Active Directory En Control Hub, siga estos pasos:
Siga esta secuencia para aprovisionar usuarios de Active Directory para cuentas de la aplicación de Webex. Puede aprovisionar usuarios de una implementación de Active Directory de varios bosques o dominios para el Conector de directorios 3.0 y versiones posteriores. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex. |
Instalar el Conector de directorios
Control Hub muestra inicialmente la sincronización de directorios como deshabilitada. Para activar la sincronización de directorios para su organización, debe instalar y configurar el Conector de directorios y, luego, realizar una sincronización completa con éxito.
Debe instalar un conector por cada dominio de Active Directory que quiera sincronizar. Una única instancia del Conector de directorios solo puede servir a un único dominio. Consulte el siguiente diagrama para comprender el flujo de la sincronización de múltiples dominios:
Antes de comenzar
Si se autentica a través de un servidor proxy, asegúrese de tener sus credenciales de proxy:
-
Para la autenticación básica de proxy, introducirá el nombre de usuario y la contraseña después de instalar una instancia del conector. La configuración del proxy de Internet Explorer también es necesaria para la autenticación básica; consulte Utilizar un proxy web a través del navegador
-
En el caso de NTLM de proxy, es posible que vea un error cuando abra el conector por primera vez. Consulte Utilizar un proxy web a través del navegador.
| 1 |
En Control Hub, diríjase a y elija Siguiente. |
| 2 |
Haga clic en el enlace Descargar e instalar para guardar la última versión del archivo .zip de instalación del conector en su servidor VMware o Windows. Puede obtener el archivo .zip directamente desde este enlace, pero debe tener acceso administrativo total a una organización de Control Hub para que este software funcione. En el caso de una instalación nueva, obtenga la versión más reciente del software para que esté utilizando las últimas características y correcciones de errores. Después de instalar el software, las mejoras se informan a través del software y se instalan automáticamente cuando están disponibles. |
| 3 |
En el servidor de VMware o Windows, descomprima y ejecute el archivo .msi en la carpeta de configuración para iniciar el asistente de configuración. |
| 4 |
Haga clic en Siguiente, marque la casilla para aceptar el acuerdo de licencia y, luego, haga clic en Siguiente hasta ver la pantalla del tipo de cuenta. |
| 5 |
Elija el tipo de cuenta de servicio que desea utilizar y realice la instalación con una cuenta de administrador:
Para evitar errores, asegúrese de que estén implementados los siguientes privilegios:
|
| 6 |
Haga clic en Instalar. Después de ejecutar la prueba de red y, si se le solicita, introduzca sus credenciales básicas de proxy, haga clic en Aceptar y, a continuación, haga clic en Finalizar. |
Qué hacer a continuación
Le recomendamos que reinicie el servidor después de la instalación. El informe de simulación no puede mostrar el resultado correcto cuando no se liberaron los datos. Al reiniciar la máquina, se actualizan todos los datos para mostrar un resultado exacto en el informe.
Iniciar sesión en el Conector de directorios
Antes de comenzar
Asegúrese de tener sus credenciales de proxy.
-
Para la autenticación básica del proxy, introducirá el nombre de usuario y la contraseña después de abrir el conector por primera vez.
-
En el caso de NTLM proxy, abra Internet Explorer, haga clic en el icono de engranaje, diríjase a Opciones de Internet > Conexiones > configuración de LAN, asegúrese de que se agregue la información del servidor proxy y, luego, haga clic en Aceptar. Consulte Utilizar un proxy web a través del navegador.
| 1 |
Abra el conector y, a continuación, agregue |
| 2 |
Si se le solicita, inicie sesión con sus credenciales de autenticación de proxy y, luego, inicie sesión en Webex con su cuenta de administrador y haga clic en Siguiente. |
| 3 |
Confirme su organización y dominio.
|
| 4 |
Después de que aparezca la pantalla Confirmar organización, haga clic en Confirmar. Si ya vinculó AD DS/AD LDS, aparecerá la pantalla Confirmar organización. |
| 5 |
Haga clic en Confirmar. |
| 6 |
Elija uno, según la cantidad de dominios de Active Directory que quiera vincular al Conector de directorios:
|
Qué hacer a continuación
Después de iniciar sesión, se le pedirá que realice una simulación de sincronización.
Tablero de mandos del Conector de directorios
La primera vez que inicie sesión en el Conector de directorios, aparecerá el tablero de mandos. Aquí puede ver un resumen de todas las actividades de sincronización, ver estadísticas de la nube, realizar una simulación de sincronización, iniciar una sincronización completa o incremental e iniciar la vista de eventos para ver información de errores.
Puede ejecutar fácilmente estas tareas desde la barra de herramientas de acciones o desde el menú de acciones.
|
Componente |
Descripción |
|---|---|
|
Sincronización actual |
Muestra la información de estado de la sincronización en curso. Cuando no se está ejecutando ninguna sincronización, la pantalla de estado está inactiva. |
|
Próxima sincronización |
Muestra las siguientes sincronizaciones completas e incrementales planificadas. Si no se establece ninguna planificación, se muestra No planificada. |
|
Última sincronización |
Muestra el estado de las dos últimas sincronizaciones realizadas. |
|
Estado de sincronización actual |
Muestra el estado general de la sincronización. |
|
Conectores |
Muestra los conectores locales actuales que están disponibles para la nube. |
|
Estadísticas de la nube |
Muestra el estado general de la sincronización. |
|
Planificación de sincronización |
Muestra la planificación de sincronización para la sincronización incremental y completa. |
|
Resumen de configuración |
Enumera los ajustes que ha cambiado en la configuración. Por ejemplo, el resumen podría incluir lo siguiente:
|
| Acción | Descripción |
|---|---|
| Iniciar sincronización incremental |
Iniciar manualmente una sincronización incremental Esta acción se deshabilita cuando pausa o deshabilita la sincronización, si no se ha completado una sincronización completa, o si hay una sincronización en curso. |
|
Simulación de sincronización |
Realice una simulación de sincronización. |
|
Iniciar el visor de eventos |
Inicie el visor de eventos de Microsoft. |
|
Actualizar |
Actualizar el tablero de mandos del conector de directorios de Cisco |
|
Acción |
Descripción |
|---|---|
| Sincronizar ahora |
Inicia una sincronización completa al instante. |
|
Modo de sincronización |
Seleccione el modo de sincronización incremental o completa. |
|
Restablecer secreto de conector |
Establezca una conversación entre el Conector de directorios de Cisco y el servicio de conectores. Si selecciona esta acción, se restablecerá el secreto en la nube y, luego, se guardará el secreto localmente. |
|
Simulacro |
Realice una prueba del proceso de sincronización. Debe realizar una simulación antes de realizar una sincronización completa. |
|
Resolución de problemas |
Active/desactive la solución de problemas. |
|
Actualizar |
Actualice la pantalla principal del conector de directorios de Cisco. |
|
Salir |
Salga del conector de directorios de Cisco. |
|
Combinación de teclas |
Acción |
|---|---|
|
Alt + A |
Mostrar el menú Acciones |
|
|
Sincronización ahora |
|
|
Restablecer secreto de conector |
|
|
Simulacro |
|
|
Sincronización incremental |
|
|
Sincronización completa |
|
|
Mostrar el menú deAyuda |
|
|
Ayuda |
|
|
Acerca del día |
|
|
preguntas frecuentes |
Configurar mejoras automáticas
| 1 |
Desde el Conector de directorios, diríjase a y luego marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco. |
| 2 |
Haga clic en Aplicar para guardar los cambios. |
Las nuevas versiones del conector se instalan automáticamente cuando están disponibles.
Puede administrar las mejoras manualmente, si lo prefiere. Consulte Mejorar a la versión de software más reciente para obtener más información.
Elegir objetos de Active Directory para sincronizar
De manera predeterminada, el Conector de directorios sincroniza todos los usuarios que no son computadoras y todos los grupos que no son objetos críticos del sistema para un dominio. Para obtener más control sobre los objetos que se sincronizan, puede seleccionar usuarios específicos para sincronizar y especificar filtros LDAP mediante la página Selección de objetos en el Conector de directorios.
Grupos para la asignación automática de licencias
Control Hub le permite administrar las asignaciones de licencias por grupo. Puede crear plantillas de licencia y asignarlas a grupos de Active Directory que sincronice con la nube. En el momento de la creación del usuario, Webex comprueba la pertenencia del usuario y la asignación automática de plantillas de licencias para ese nuevo usuario.
Le recomendamos que utilice un filtro de LDAP para sincronizar solo los grupos relevantes con la nube. Por ejemplo, puede configurar el filtro en:
(&(cn=Ejemplo)(objectclass=Grupo))*
Este filtro sincroniza todos los grupos dentro del DN base donde el nombre comienza con el ejemplo. A los usuarios que no están asignados a grupos se les asignan licencias de la plantilla de licencia automática predeterminada que configuró en Control Hub.
Grupos para implementaciones de seguridad de datos híbridos
En el Conector de directorios, debe marcar Grupos si está utilizando seguridad de datos híbridos a fin de configurar un grupo de prueba para usuarios piloto. Consulte la Guía de implementación para la seguridad de datos híbridos para obtener instrucciones. Esta configuración del Conector de directorios no afecta a otras sincronizaciones de usuarios en la nube.
Antes de comenzar
Recomendaciones del grupo de Active Directory para la asignación automática de licencias
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en Selección de objetos. |
| 2 |
En la sección Tipo de objeto, marque Usuarios y considere la posibilidad de limitar la cantidad de contenedores con capacidad de búsqueda para los usuarios. Por ejemplo, si desea sincronizar solo los usuarios de un determinado grupo, debe introducir un filtro de LDAP en el campo Filtros de LDAP Usuarios. Si desea sincronizar a los usuarios que se encuentran en el grupo Administrador de ejemplos, utilice un filtro como este:
|
| 3 |
Marque Identificar sala para separar los datos de la sala de los datos del usuario. Haga clic en Personalizar si desea configurar atributos adicionales para identificar los datos de los usuarios como datos de salas. Utilice esta configuración si desea sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de salas registrados en la nube. Para obtener más información, consulte Sincronizar la información de la sala local con la nube de Webex. |
| 4 |
Marque Grupos si desea sincronizar sus grupos de usuarios de Active Directory con la nube. No agregue un filtro de LDAP de sincronización de usuarios al campo Grupos. Solo debe utilizar el campo Grupos para sincronizar los datos del grupo con la nube. De manera predeterminada, los grupos no se sincronizan para los clientes nuevos. Debe habilitar la sincronización de grupos. También debe sincronizar los grupos de seguridad. |
| 5 |
Marque Contactos si desea sincronizar la información de contacto de los usuarios con la nube. El Conector de directorios solo administra los Contactos sincronizados por el conector. Si ya hay contactos en Control Hub, la sincronización no eliminará los contactos. Si los contactos se eliminan del alcance de la sincronización, la información de contacto de los usuarios también se eliminaría en Control Hub. |
| 6 |
Configure los filtros de LDAP. Puede agregar filtros extendidos si proporciona un filtro de LDAP válido. Consulte este artículo para obtener más información sobre la configuración de filtros de LDAP. |
| 7 |
Especifique los DN base locales para sincronizar al hacer clic en Seleccionar para ver la estructura de árbol de su Active Directory. Desde aquí, puede seleccionar o anular la selección de los contenedores en los que desea buscar. |
| 8 |
Compruebe que los objetos que desea agregar para esta configuración y haga clic en Seleccionar. Puede seleccionar contenedores individuales o principales para la sincronización. Seleccione un contenedor principal para habilitar todos los contenedores secundarios. Si selecciona un contenedor secundario, el contenedor principal muestra una marca de verificación gris que indica que se ha marcado un contenedor secundario. Luego, puede hacer clic en Seleccionar para aceptar los contenedores de Active Directory que marcó. Si su organización coloca a todos los usuarios y grupos en el contenedor Usuarios, no tiene que buscar en otros contenedores. Si su organización está dividida en unidades de la organización, asegúrese de seleccionar Unidades organizativas. |
| 9 |
Haga clic en Aplicar. Elegir una opción:
Para obtener información sobre simulaciones, consulte Realizar una simulación de sincronización en sus usuarios de Active Directory. Para la sincronización de grupos, debe realizar una sincronización completa: Realizar una sincronización completa de los usuarios de Active Directory en la nube. |
Asignar atributos de usuario
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube. El único campo obligatorio es *uid, un identificador único para cada cuenta de usuario en el servicio de identidad en la nube.
Puede elegir qué atributo de Active Directory asignar a la nube; por ejemplo, puede asignar firstName lastName en Active Directory o una expresión de atributo personalizada a displayName en la nube.
Las cuentas de Active Directory deben tener una dirección de correo electrónico; de manera predeterminada, uid se asigna al campo ad del correo (no sAMAccountName).
Si elige que el idioma preferido provenga de su Active Directory, Active Directory es la única fuente de verdad: los usuarios no podrán cambiar la configuración de idioma en la configuración de Webex y los administradores no podrán cambiar la configuración en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. En esta página se muestran los nombres de atributos de Active Directory (a la izquierda) y la nube de Webex (a la derecha). Todos los atributos obligatorios están marcados con un asterisco de color rojo. |
| 2 |
Desplácese hacia abajo hasta la parte inferior de los Nombres de atributos de Active Directory y, luego, elija uno de estos atributos de Active Directory para asignarlo al atributo uid de la nube:
Puede asignar cualquiera de los otros atributos de Active Directory a uid, pero le recomendamos que utilice mail o userPrincipalName, como se describe en las pautas anteriores. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. Para ver a qué atributos de Active Directory corresponden en la nube, consulte Asignación de atributos de Active Directory en el Conector de directorios. Para que la sincronización funcione, debe asegurarse de que el atributo de Active Directory que elija esté en formato de correo electrónico. El Conector de directorios muestra una ventana emergente para recordarle si no elige uno de los atributos recomendados. |
| 3 |
Si los atributos predefinidos de Active Directory no funcionan para su implementación, haga clic en el menú desplegable de atributos, desplácese hasta la parte inferior y, a continuación, elija Personalizar atributo para abrir una ventana que le permita definir una expresión de atributos. Haga clic en Ayuda para obtener más información acerca de las expresiones y ver ejemplos de cómo funcionan las expresiones. También puede ver Expresiones para atributos personalizados para obtener más información. En este ejemplo, asignemos los atributos de Active Directory
El Conector de directorios verifica el valor del atributo uid en el servicio de identidad y recupera 3 usuarios disponibles en las opciones de filtro de usuarios actuales. Si todos estos 3 usuarios tienen un formato de correo electrónico válido, el Conector de directorios de Cisco muestra el siguiente mensaje:
Si el atributo no se puede verificar, verá la siguiente advertencia y podrá volver a Active Directory para comprobar y corregir los datos del usuario:
|
| 4 |
(Opcional) Elija asignaciones para móvil y telephoneNumber si desea que aparezcan los números de teléfono móvil y de trabajo, por ejemplo, en la tarjeta de contacto del usuario en la aplicación de Webex. Los datos del número de teléfono aparecen en la aplicación Webex cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario. Para obtener más información sobre las llamadas desde la tarjeta de contacto de un usuario, consulte la Guía de implementación de llamadas en Webex (Unified CM) (administradores). |
| 5 |
Elija asignaciones adicionales para que aparezcan más datos en la tarjeta de contacto:
Una vez asignados los atributos, la información aparece cuando un usuario pasa el cursor sobre la imagen de perfil de otro usuario:
Para obtener más información acerca de la tarjeta de contacto, consulte Verificar con quién se está comunicando. Después de sincronizar estos atributos con cada cuenta de usuario, también puede activar People Insights en Control Hub. Esta característica permite a los usuarios de la aplicación de Webex compartir más información en sus perfiles y obtener más información acerca de los demás. Para obtener más información sobre la característica y cómo habilitarla, consulte Perfiles de información personal para Webex, Jabber, Webex Meetings y Webex Events (nuevo) en Control Hub |
| 6 |
Después de tomar sus decisiones, haga clic en Aplicar. |
Todos los datos de usuario contenidos en Active Directory sobrescribirán a los de la nube que correspondan a ese usuario. Por ejemplo, si creó un usuario manualmente en Control Hub, la dirección de correo electrónico del usuario debe ser idéntica al correo electrónico de Active Directory. Se elimina cualquier usuario que no tenga una dirección de correo electrónico correspondiente en Active Directory.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Atributos de la nube y Active Directory
Puede asignar atributos de su Active Directory local a los atributos correspondientes en la nube mediante la ficha Asignación de atributos de usuarios.
En esta tabla se compara la asignación entre los nombres de atributos de Active Directory y los nombres de atributos de la nube de Cisco. Estos valores y asignaciones son la configuración predeterminada en el Conector de directorios. Puede elegir diferentes atributos en los menús desplegables de Active Directory y determinar qué atributo local se sincroniza con qué atributo en la nube.
Piense en los atributos desplegables como ajustes preestablecidos. Como alternativa a los valores de la fila de Active Directory, también puede especificar un atributo personalizado, su propio ajuste preestablecido, en Active Directory (una expresión con varios atributos) para asignar a un único atributo de nube en la fila correspondiente. De esta manera, tiene la flexibilidad de determinar los nombres para mostrar de sus usuarios; por ejemplo, puede agregar una expresión que cree un atributo personalizado basado en el cargo del empleado, el nombre dado y el apellido en Active Directory.
También puede especificar cualquiera de los atributos de Active Directory para asignar a uid en la nube. Sin embargo, debe asegurarse de que el atributo local siga un formato de correo electrónico válido.
También puede utilizar direcciones de correo electrónico alternativas si, por ejemplo, desea utilizar userPrincipalName para iniciar sesión, pero la dirección de correo electrónico de un usuario se utiliza para administrar su calendario. En este caso, asigne otra dirección de correo electrónico al atributo emails;type-work. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario.
|
Nombres de atributos de Active Directory |
Nombres de atributos de la nube de Webex |
Notas |
|---|---|---|
|
— |
nombre del edificio |
— |
|
c |
c |
Este atributo especifica la abreviatura del país del usuario. |
|
NúmeroDepartamento |
NúmeroDepartamento |
Este atributo se utiliza para el número de departamento del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
Nombre para mostrar |
Nombre para mostrar |
Este atributo se utiliza para el nombre para mostrar de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
ControlDeCuentaUsuario |
ds-pwp-account-disabled |
Este atributo se utiliza para la sincronización de usuarios. Asegúrese de que el atributo userAccountControl esté asignado a ds-pwp-account-disabled o los usuarios no se sincronizarán correctamente. |
|
Número de empleado |
Número de empleado |
— |
|
facsímilTelephoneNumber |
facsímilTelephoneNumber |
— |
|
— |
ID de jabber |
Este atributo de nube se relaciona con direcciones de MI (tipo XMPP) que utiliza Jabber. Este valor no es el mismo que sipAddresses. |
|
l |
l |
Este atributo especifica la ciudad del usuario. |
|
— |
región |
— |
|
administrador |
administrador |
Este atributo se utiliza para el nombre de administrador del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
móvil |
móvil |
Este atributo se utiliza como el número de teléfono móvil que aparece para llamar al usuario desde la tarjeta de contacto. |
|
o |
o |
Este atributo especifica el nombre de la empresa u organización y aparece en la tarjeta de contacto. |
|
ou |
ou |
Este atributo especifica el nombre de la unidad de organización. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Este atributo especifica la ubicación de la oficina del usuario. |
|
código postal |
código postal |
Este atributo especifica el código postal del usuario para la entrega física del correo. |
|
Idioma preferido |
Idioma preferido |
Este atributo establece el idioma preferido del usuario y se admiten los siguientes formatos: xx_YY o xx-YY. Estos son algunos ejemplos: en_US, en_GB, fr-CA. Si utiliza un idioma no compatible o un formato no válido, el idioma preferido de los usuarios cambiará al idioma definido para la organización. |
|
MSRTCSIP-PrimaryUserAddress Teléfono ip |
SipAddresses;type=enterprise |
Este atributo se utiliza para sincronizar la información de la sala local de Active Directory en la nube de Cisco Webex. |
|
sn |
sn |
Este atributo se utiliza para el apellido de la cuenta de usuario que aparece en Control Hub, la tarjeta de contacto y People Insights. |
|
s |
s |
Este atributo especifica el estado o la provincia del usuario. |
|
dirección |
calle |
Este atributo especifica la dirección postal del usuario para la entrega física de correo. |
|
teléfonoNúmero |
teléfonoNúmero |
Este atributo especifica el número de teléfono principal (laboral) del usuario que se utiliza para llamar al usuario desde la tarjeta de contacto. |
|
— |
zona horaria |
Este atributo de nube especifica la zona horaria del usuario. |
|
título |
título |
Este atributo especifica el título del usuario que aparece en la tarjeta de contacto y en la información personal. |
|
tipo |
empresarial |
— |
|
*correo *userPrincipalName |
uid |
Una asignación de atributos obligatoria. Para cada cuenta de usuario, el valor de Active Directory se asigna a un uid único en la nube. En algunos casos, el userPrincipalName se utiliza para iniciar sesión, pero la dirección de correo electrónico del usuario se utiliza para administrar su calendario. Debe asegurarse de que la dirección de correo electrónico para la administración de calendarios se asigne al campo de dirección de correo electrónico principal en Webex. Agregue el userPrincipalName como dirección de correo electrónico alternativa. El usuario puede utilizar cualquiera de estas direcciones de correo electrónico para iniciar sesión, siempre que se encuentre la asignación de atributos de SAML correcta. Consulte la asignación de atributos de ejemplo a continuación para saber cómo puede asignar una dirección de correo electrónico alternativa. |
|
*userPrincipalName *correo <atributo personalizado> |
correos electrónicos;tipo-trabajo |
Esta asignación es opcional; utilícela si desea utilizar direcciones de correo electrónico alternativas. Este es el correo electrónico que se utiliza para la autenticación; no se utiliza para administrar su calendario. La dirección de correo electrónico que asigne de AD debe ser de un dominio verificado dentro de su organización, y debe ser única y no debe estar asignada a otro usuario. |
|
<Nuevo atributo para el usuario de Azure objectId> |
ID externo |
Cree un nuevo atributo de Active Directory para contener el ID de usuario de Azure, de modo que no choque con uno existente. Este atributo se asigna al atributo externalId, lo que garantiza que cuando los usuarios de Webex creen grupos en Microsoft 365 creen equipos automáticamente en Webex. |
Asignación alternativa de direcciones de correo electrónico
Expresiones para atributos personalizados
|
Operador |
Descripción y ejemplo |
|---|---|
|
% |
Elimina todos los caracteres desde el comienzo de la cadena hasta la posición del caracter o del argumento, si coinciden.
|
|
- |
Elimina la parte posterior de la cadena de entrada desde el final de la cadena especificada.
|
|
+ |
Concatena las cadenas o expresiones de entrada.
|
|
| |
Evalúa las expresiones separadas con la cadena vacía y selecciona el primer resultado no vacío.
|
Sincronizar avatares de directorios desde un atributo de Active Directory a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar los datos brutos de avatar de un atributo de Active Directory.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija el atributo de AD y, luego, elija el atributo de avatar que contenga los datos brutos del avatar que desea sincronizar con la nube. |
| 3 |
Para verificar que se acceda correctamente al avatar, introduzca la dirección de correo electrónico de un usuario y, a continuación, haga clic en Obtener avatar del usuario. El avatar aparece a la derecha. |
| 4 |
Después de verificar que el avatar aparecía correctamente, haga clic en Aplicar para guardar los cambios. |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar avatares de directorios desde un servidor de recursos a la nube
Puede sincronizar los avatares del directorio de sus usuarios con la nube para que cada avatar aparezca cuando inician sesión en la aplicación de Webex. Utilice este procedimiento para sincronizar avatares desde un servidor de recursos.
Antes de comenzar
-
El patrón de URI y el valor de la variable en este procedimiento son ejemplos. Debe utilizar las URL reales donde se encuentran sus avatares de directorio.
-
El patrón de URI del avatar y el servidor donde residen los avatares deben ser accesibles desde la aplicación del Conector de directorios. El conector necesita acceso http o https a las imágenes, pero no es necesario que las imágenes sean accesibles públicamente en Internet.
-
La sincronización de datos del avatar está separada de los perfiles de usuario de Active Directory. Si ejecuta un proxy, debe asegurarse de que se pueda acceder a los datos de avatar mediante autenticación NTLM o autenticación básica.
| 1 |
Desde el Conector de directorios, diríjase a Configuración, haga clic en Avatar y luego marque Habilitar. |
| 2 |
En Obtener avatar de, elija Servidor de recursos y, luego, introduzca el Patrón de URI de avatar; por ejemplo, Veamos cada parte del patrón de URI del avatar y lo que significan:
|
| 3 |
(Opcional) Si su servidor de recursos requiere credenciales, marque Establecer credencial de usuario para avatar y, a continuación, elija Utilizar usuario de conexión del servicio actual o Utilizar este usuario e introduzca la contraseña. |
| 4 |
Introduzca el Valor de la variable; por ejemplo: |
| 5 |
Haga clic en Prueba para asegurarse de que el patrón de URI del avatar funcione correctamente. En este ejemplo, si el valor de correo para una entrada de AD es |
| 6 |
Una vez verificada la información de URI y que se vea correcta, haga clic en Aplicar. Para obtener información detallada sobre el uso de expresiones regulares, consulte la Referencia rápida del lenguaje de expresiones regulares de Microsoft . |
-
Las imágenes que se sincronizan se convierten en el avatar predeterminado para los usuarios en la aplicación de Webex. Los usuarios no pueden establecer su propio avatar después de que esta característica se habilite desde el Conector de directorios.
-
Los avatares del usuario se sincronizan tanto con la aplicación de Webex como con cualquier cuenta coincidente en el sitio de Webex.
Qué hacer a continuación
Realice una simulación de sincronización; si no hay ningún problema, realice una sincronización completa para que sus avatares y cuentas de usuario de Active Directory se sincronicen en la nube y aparezcan en Control Hub.
Sincronizar la información de la sala local con la nube de Webex
Utilice este procedimiento para sincronizar la información de la sala local de Active Directory a la nube de Webex. Después de sincronizar la información de la sala, los dispositivos de salas locales con una dirección SIP configurada y asignada aparecen como entradas con capacidad de búsqueda en los dispositivos de Webex registrados en la nube (Room, Desk y Board).
| 1 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 2 |
Marque la opción Sincronizar la información de la sala con la nube para separar los datos de la sala de los datos de los usuarios durante la sincronización. Cuando esta configuración está desactivada, los datos de la sala se tratan de la misma manera que los datos sincronizados del usuario. |
| 3 |
Diríjase a Asignación de atributos y luego cambie la asignación de atributos para el atributo en la nube sipAddresses;type=enterprise. Para utilizar la validación de valor, el valor de la dirección SIP debe ser Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Cree un buzón de recursos de sala en Exchange. Esto agrega el atributo msExchResourceMetaData;ResourceType:Room que el conector utiliza para identificar salas.
|
| 5 |
Desde usuarios y computadoras de Active Directory, diríjase a las propiedades de la sala y editarlas. Agregue la URI de SIP completamente calificada con un prefijo de sip:
|
| 6 |
Realice una simulación de sincronización y luego una sincronización de ejecución completa en el conector. Los nuevos objetos de sala aparecen en la lista Objetos agregados y los objetos de sala coincidentes aparecen en Objetos coincidentes en el informe de simulación. Todos los objetos de sala marcados para su eliminación se encuentran en Salas eliminadas.
Los resultados del simulacro muestran cualquier recurso de sala que coincida.
Esta configuración separa los datos de la sala de Active Directory (incluido el atributo de la sala) de los datos de los usuarios. Una vez finalizada la sincronización, las estadísticas de la nube en el tablero de mandos del conector muestran los datos de salas que se sincronizaron con la nube.
|
Qué hacer a continuación
Ahora que ha completado estos pasos, cuando realice una búsqueda en un dispositivo registrado en la nube de Webex, verá las entradas de salas sincronizadas configuradas con direcciones SIP. Cuando realiza una llamada desde el dispositivo de Webex en esa entrada, se realiza una llamada a la dirección SIP que se configuró para la sala.
Desde Control Hub, puede importar salas automáticamente desde su directorio y crear espacios de trabajo.
El extremo no puede devolver la llamada a la aplicación de Webex. Para los dispositivos de marcado de prueba, estos dispositivos deben registrarse como una URI de SIP en las instalaciones o en otro lugar que no sea la aplicación de Webex. Si el sistema de salas de Active Directory que está buscando está registrado en Webex y la misma dirección de correo electrónico está en el dispositivo Webex Room, el dispositivo Desk o Webex Board para el servicio de calendario, los resultados de la búsqueda no mostrarán la entrada duplicada. El dispositivo Room, Desk o Board se marca directamente en la aplicación de Webex, y no se realiza una llamada SIP.
Enviar informes por correo electrónico sobre los resultados de la sincronización de directorios
De forma predeterminada, los contactos o administradores de la organización siempre reciben notificaciones por correo electrónico. Con esta configuración, puede personalizar quién debe recibir notificaciones por correo electrónico que resumen los informes de sincronización de directorios.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Notificación. |
| 2 |
Desde el Conector de directorios, haga clic en Configuración y, junto a Destinatario de correo electrónico, active Habilitar sincronización del informe. |
| 3 |
Marque Habilitar notificación si desea anular el comportamiento de notificación predeterminado y agregar uno o más destinatarios de correo electrónico. |
| 4 |
Haga clic en Agregar y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 5 |
Haga clic en Agregar correo electrónico y, luego, introduzca una dirección de correo electrónico. Si introduce una dirección de correo electrónico con un formato no válido, aparece un mensaje que le indica que corrija el problema antes de poder guardar y aplicar los cambios. |
| 6 |
Si necesita editar alguna dirección de correo electrónico que haya introducido, haga doble clic en la entrada de correo electrónico de la columna de la izquierda y, a continuación, realice los cambios que necesite. |
| 7 |
Una vez que haya agregado todas las direcciones de correo electrónico válidas, haga clic en Aplicar. |
| 8 |
Después de agregar todas las direcciones de correo electrónico válidas, haga clic en Guardar. |
Qué hacer a continuación
Si decidió que desea eliminar las direcciones de correo electrónico, puede hacer clic en un correo electrónico para resaltar esa entrada y, luego, haga clic en Eliminar.
Si ha decidido que desea eliminar direcciones de correo electrónico, puede hacer clic en Eliminar junto a entradas específicas de direcciones de correo electrónico.
Aprovisionar usuarios de Active Directory en Control Hub
Siga estos pasos para aprovisionar usuarios de Active Directory y crear las cuentas de usuario correspondientes en Control Hub. Puede aprovisionar usuarios desde una implementación de Active Directory de varios dominios (ya sea con un solo bosque o con varios bosques) después de instalar un Conector de directorios por dominio. Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. El objetivo es lograr una coincidencia exacta entre sus directorios activos y la nube de Webex.
| 1 |
Realizar una simulación de sincronización en sus usuarios de Active Directory Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube. |
| 2 |
Realizar una sincronización completa de los usuarios de Active Directory en la nube Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados. |
| 3 |
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede asignar licencias de servicios de Webex mediante diversos métodos. Le recomendamos que configure una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory. También puede realizar cambios individuales después de este paso inicial. |
Realizar una simulación de sincronización en sus usuarios de Active Directory
Realice un simulacro para comparar objetos de Active Directory en las instalaciones con objetos de la nube de Webex. Una simulación le permite ver qué objetos se agregarán, modificarán o eliminarán antes de ejecutar una sincronización completa o incremental y consignar los cambios en la nube.
Durante el proceso de incorporación de usuarios de diferentes dominios, debe decidir si desea conservar o eliminar los objetos del usuario que podrían ya existir en la nube de Webex; por ejemplo, cuentas de prueba de una prueba. Con el Conector de directorios, el objetivo es lograr una coincidencia exacta entre sus Active Directories y la nube de Webex.
Si tiene varios dominios en un solo bosque o varios bosques, debe realizar este paso en cada una de las instancias del conector de directorios de Cisco que haya instalado para cada dominio de Active Directory.
Antes de comenzar
Es posible que ya tenga algunos usuarios de la aplicación Webex en Control Hub antes de utilizar el Conector de directorios. Entre los usuarios de la nube, algunos pueden coincidir con el objeto local de Active Directory y tener asignadas licencias para los servicios. Sin embargo, es posible que algunos sean usuarios de prueba que desea eliminar mientras realiza una sincronización. Debe crear una coincidencia exacta entre su Active Directory y Control Hub.
| 1 |
Elija una opción:
Cuando finalice la simulación, verá uno de los siguientes resultados:
El Resumen contiene información sobre la coincidencia de objetos:
La simulación identifica a los usuarios al compararlos con los usuarios del dominio. La aplicación puede identificar a los usuarios si pertenecen al dominio actual. En el siguiente paso, debe decidir si desea eliminar los objetos o conservarlos. Los objetos no coincidentes se identifican como ya existentes en la nube de Webex, pero no en el Active Directory local. |
| 2 |
Revise los resultados del simulacro y, a continuación, elija una opción según si utiliza un solo dominio o varios dominios:
|
| 3 |
En el mensaje Confirmar simulación, haga clic en Sí para rehacer la sincronización de la simulación y ver el tablero de mandos para ver los resultados. Todas las cuentas que se sincronizaron correctamente en la simulación aparecerán en Objetos coincidentes. Si un usuario en la nube no tiene un usuario correspondiente con el mismo correo electrónico en Active Directory, la entrada aparece en Usuarios eliminados. Para evitar este indicador de eliminación, puede agregar un usuario en Active Directory con la misma dirección de correo electrónico. Para ver los detalles de los elementos que se sincronizaron, haga clic en la ficha correspondiente a elementos específicos o en Objetos coincidentes. Para guardar la información del resumen, haga clic en Guardar resultados en archivo. |
| 4 |
Si se esperan los resultados, diríjase a y, luego, haga clic en Habilitar ahora para realizar una sincronización manual y ponerla en modo manual en este punto. Después de realizar una sincronización en el último dominio de Active Directory en su implementación de varios dominios, debe habilitar el modo automático para el Conector de directorios. Puede habilitar el modo automático solo cuando los objetos coinciden completamente entre la nube de Webex y todos los directorios activos locales. |
Qué hacer a continuación
-
Para todos los objetos de usuario no coincidentes que haya conservado, debe agregarlos a Active Directory para que haya una coincidencia exacta entre las instalaciones locales y la nube.
-
Elija un tipo de sincronización:
-
De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa.
-
Si tiene varios dominios, repita estos pasos en cualquier otro Conector de directorios que haya instalado.
Aspectos a tener en cuenta
-
Realice un simulacro antes de habilitar la sincronización completa o cuando cambie los parámetros de sincronización. Si la simulación se inició por un cambio en la configuración, puede guardar los ajustes una vez finalizada la simulación. Si ya agregó usuarios manualmente, llevar a cabo una sincronización de Active Directory puede provocar la eliminación de los usuarios agregados previamente. Puede consultar los Informes de ensayos del Conector de directorios para verificar que todos los usuarios esperados estén presentes antes de sincronizarlos completamente con la nube.
-
Si los usuarios coincidentes están marcados para ser eliminados y no está seguro de cómo continuar, consulte la información de solución de problemas y cómo comunicarse con el soporte en Solución de problemas y correcciones para el Conector de directorios.
Los usuarios eliminados se mantienen en el servicio de identidad en la nube durante 7 días antes de que se eliminen de forma permanente.
Realizar una sincronización completa de los usuarios de Active Directory en la nube
Cuando ejecuta una sincronización completa, el servicio de conectores envía todos los objetos filtrados de su Active Directory (AD) a la nube. Luego, el servicio de conectores actualiza el almacén de identidades con sus entradas de AD. Si creó una plantilla de licencia de asignación automática, puede asignarla a los usuarios recién sincronizados.
Si tiene varios dominios, debe realizar este paso en cada una de las instancias del Conector de directorios que haya instalado para cada dominio de Active Directory.
El Conector de directorios sincroniza el estado de las cuentas de usuario: en Active Directory, todos los usuarios marcados como deshabilitados también aparecen como inactivos en la nube.
Antes de comenzar
-
Si desea que las cuentas de usuario de la aplicación de Webex estén en estado activo después de la sincronización completa y antes de que los usuarios inicien sesión por primera vez, debe seguir estos pasos para omitir la validación de correo electrónico:
-
Integre el inicio de sesión único con su organización de Webex. Ver
Inicio de sesión único con los servicios de Cisco Webex y el proveedor de servicios de identidad de su organización
para obtener más información. -
Utilice Control Hub para verificar y, de manera opcional, reclamar dominios contenidos en las direcciones de correo electrónico. Ver
Agregar, verificar y reclamar dominios
. -
Suprimir invitaciones automáticas por correo electrónico, para que los usuarios nuevos no reciban la invitación automática por correo electrónico a la aplicación de Webex. (Puede realizar su propia campaña de correo electrónico).
Los usuarios activados que no hayan iniciado sesión aparecerán con el estado Verificado en Control Hub. Después de que inician sesión, aparecen como Activos. Para obtener más información acerca de los estados de los usuarios, consulte Estados y acciones de los usuarios en Cisco Webex Control Hub.
-
-
Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. Le recomendamos que realice un simulacro antes de una sincronización completa para detectar cualquier posible error.
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
Si no utiliza plantillas de licencia de asignación automática, los usuarios recién sincronizados obtienen licencias gratuitas automáticamente. Podrán utilizar las mismas características gratuitas que las que tienen cuentas gratuitas.
| 1 |
Elija una opción:
|
| 2 |
Desde el Conector de directorios, diríjase a Sincronizar, haga clic en más |
| 3 |
Confirme el inicio de la sincronización. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación de Webex refleja los cambios hasta 72 horas después de realizar la sincronización. Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
|
| 4 |
Haga clic en Actualizar si desea actualizar el estado de la sincronización. (Los elementos sincronizados aparecen en Estadísticas de la nube). |
| 5 |
Para obtener información sobre los errores, seleccione Iniciar visor de eventos en la barra de herramientas de Acciones para ver los registros de errores. |
| 6 |
Para establecer una planificación de sincronización para las sincronizaciones incrementales en curso con la nube, consulte Definir la planificación del conector y Ejecutar una sincronización incremental. |
-
Una vez finalizada la sincronización completa, el estado de la sincronización de directorios se actualiza de Deshabilitado a Operativo en la página Configuración de Control Hub.
-
Cuando todos los datos coinciden en las instalaciones y en la nube, el Conector de directorios cambia del modo manual al modo de sincronización automática.
-
A menos que integre el inicio de sesión único, verifique dominios y, opcionalmente, reclame dominios para las cuentas de correo electrónico que sincronizó, y suprima los correos electrónicos automatizados, las cuentas de usuario de la aplicación de Webex permanecen en estado No verificado hasta que los usuarios inicien sesión en la aplicación de Webex por primera vez para confirmar sus cuentas. Consulte la sección Antes de comenzar para obtener orientación sobre cómo sincronizar las cuentas como Usuarios activos.
-
Si tiene varios dominios, realice este paso en cualquier otro conector de directorios que haya instalado. Después de la sincronización, los usuarios de todos los dominios que agregó aparecerán listados en Control Hub.
-
Si integró el inicio de sesión único con Webex y notificaciones por correo electrónico suprimidas, las invitaciones por correo electrónico no se envían a los usuarios recién sincronizados.
-
No puede agregar usuarios manualmente en Control Hub después de que se habilite el conector de directorios. Una vez habilitada, la administración de usuarios se realiza desde el conector de directorios de Cisco, y Active Directory es la única fuente fiable.
-
Cualquier grupo que sincronice aparecerá en Control Hub y puede asignar una plantilla de licencia para que a los usuarios de ese grupo se les asignen licencias.
Qué hacer a continuación
-
Cuando elimina un usuario de Active Directory, se elimina por software después de la siguiente sincronización. El usuario pasa a estar Inactivo, pero el perfil de identidad en la nube se mantiene durante siete días (para permitir la recuperación de la eliminación accidental).
Cuando selecciona La cuenta está deshabilitada en Active Directory, el usuario pasa a ser Inactivo después de la siguiente sincronización. El perfil de identidad en la nube no se elimina después de siete días, en caso de que desee habilitar nuevamente al usuario.
-
Tenga en cuenta estas excepciones a una sincronización incremental (en su lugar, siga los pasos de sincronización completos anteriores):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Los cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar requieren una sincronización completa.
-
Asignar servicios de Webex a usuarios con sincronización de directorios en Control Hub
Después de completar una sincronización completa de usuarios desde el conector de directorios de Cisco en Control Hub, puede utilizar Control Hub para asignar las mismas licencias de servicios de Webex a todos sus usuarios a la vez o agregar licencias adicionales a los usuarios nuevos si ya configuró una plantilla de licencia asignada automáticamente. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Después de completar una sincronización completa de usuarios desde el Conector de directorios en Control Hub, puede utilizar métodos en Control Hub para asignar globalmente licencias de servicios de Webex a todos sus usuarios, usuarios individuales, a través de la plantilla CSV masiva, o automáticamente a los usuarios nuevos si ya configuró una plantilla de licencia de asignación automática. Puede realizar cambios en las cuentas de usuario individuales después de este paso inicial.
Cuando asigna una licencia a un usuario de la aplicación de Webex, ese usuario recibe un correo electrónico en el que se confirma la asignación de manera predeterminada. El correo electrónico se envía mediante un servicio de notificación en Control Hub. Si integró el inicio de sesión único (SSO) con su organización de Webex, también puede suprimir estas notificaciones automáticas por correo electrónico si prefiere comunicarse directamente con sus usuarios.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Realice una simulación de sincronización en sus usuarios de Active Directory.
-
Después de confirmar los resultados de la simulación, realice una sincronización completa en sus usuarios de Active Directory.
En el momento de la sincronización completa, el usuario se crea en la nube, no se agregan asignaciones de servicios ni se envía ningún correo electrónico de activación. Si no se eliminan los correos electrónicos, los nuevos usuarios reciben un correo electrónico de activación cuando asigna servicios a los usuarios mediante un método de administración de usuarios estándar en Control Hub, como la importación de archivos CSV, la actualización manual de usuarios o la finalización correcta de la asignación automática.
| 1 |
Desde la vista del cliente en https://admin.webex.com, vaya a , haga clic en Administrar usuarios, elija Modificar todos los usuarios sincronizados y, luego, haga clic en Siguiente. |
| 2 |
Elegir una opción: |
Qué hacer a continuación
-
Si no se eliminan los correos electrónicos, se envía un correo electrónico a cada usuario con una invitación para entrar y descargar Webex.
-
Si seleccionó los mismos servicios de Webex para todos sus usuarios, puede cambiar la licencia asignada individualmente o en forma masiva.
Problemas conocidos con el Conector de directorios
-
Las versiones de Windows Server anteriores a 2012 R2 tienen un problema de cookies que afecta al Conector de directorios. Este problema se corrigió en las versiones 2012 R2 y 2016.
-
Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
Puede intentar borrar el caché local para la aplicación de Webex siguiendo estas instrucciones: Windows o Mac.
-
Cuando un usuario utiliza la aplicación de Webex en el escritorio o en un dispositivo móvil para buscar y llamar a una sala que solo tiene una URI de SIP sincronizada, la llamada suena indefinidamente en este momento.
Administrar usuarios de la aplicación de Webex
Ejecutar una sincronización incremental
Una sincronización incremental consulta su Active Directory y busca cambios que se hayan producido desde la última sincronización. En este paso se agrupan esos cambios y se los envía al servicio de conectores Los cambios incluyen la modificación de la atribución de usuarios y cuándo se agrega o elimina un usuario.
Esta sincronización no carga tanto en los servidores y no toma tanto tiempo como una sincronización completa. Después de realizar la sincronización completa inicial, le recomendamos la opción incremental para las sincronizaciones posteriores.
Antes de comenzar
-
Debe configurar una plantilla de licencia de asignación automática antes de utilizarla en los nuevos usuarios de la aplicación de Webex que sincronizó desde Active Directory.
-
Tenga en cuenta estas excepciones para las que la sincronización incremental no es compatible (siga Realizar una sincronización completa de usuarios de Active Directory en la nube ):
-
En el caso de un avatar actualizado pero sin ningún otro cambio de atributo, la sincronización incremental no actualizará el avatar del usuario a la nube.
-
Para los nuevos cambios de configuración en la asignación de atributos, el DN base, el filtro y la configuración del avatar, la sincronización incremental no funcionará y estos requieren una sincronización completa.
-
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. Cuando habilite la sincronización, el Conector de directorios le solicitará que realice una simulación primero. |
| 2 |
Desde Acciones, haga clic en Modo de sincronización > Habilitar sincronización si todavía no está habilitado. De forma predeterminada, se establece una sincronización incremental cada 30 minutos (en las versiones 3.4 y anteriores) o cada 4 horas (en las versiones 3.5 y posteriores), pero puede cambiar este valor. La sincronización incremental no ocurre hasta que inicialmente realice una sincronización completa. Cuando se activa un nuevo intervalo de tiempo incremental, el programa comprueba los cambios en función de la última marca de tiempo. |
| 3 |
Desde Acciones, haga clic en Sincronizar ahora > Incremental. Para cualquier cambio que realice a los usuarios en Active Directory (por ejemplo, nombre para mostrar), Control Hub refleja el cambio inmediatamente cuando actualiza la vista del usuario, pero la aplicación Webex refleja los cambios en 72 horas desde el momento en que realiza la sincronización.
|
| 4 |
Para obtener información sobre los errores, haga clic en Iniciar visor de eventos desde la barra de herramientas de Acciones para ver los registros de errores. |
Qué hacer a continuación
Si tiene varios dominios, realice este paso en otras instancias del Conector de directorios que haya instalado.
Recuperar usuarios eliminados accidentalmente
El Conector de directorios tiene controles y contrapesos para evitar la eliminación no intencional de usuarios. Lamentablemente, ocurren accidentes; es posible que haya configurado incorrectamente un filtro LDAP en Active Directory, que eliminó a algunos usuarios cuando se sincronizaban con la nube. La característica de eliminación suave puede ayudarlo a recuperarse de estos accidentes y restablecer las cuentas de los usuarios en Control Hub.
De forma predeterminada, esta función está habilitada para todas las organizaciones. Cuando se eliminan usuarios en la nube, por ejemplo, debido a un problema de objeto no coincidente después de una sincronización desde el Conector de directorios, los usuarios se pueden recuperar. Si vio un aviso de objetos no coincidentes o notó que los usuarios fueron eliminados, es posible que pueda recuperarlos si actúa rápido.
Los usuarios se marcan como Inactivos en Control Hub cuando se eliminan las cuentas correspondientes en Active Directory. El servicio en la nube en segundo plano conserva a los usuarios durante un máximo de 7 días. Durante este período, aún puede utilizar el Conector de directorios de Cisco para recuperar usuarios. Le recomendamos que recupere estos usuarios lo antes posible.
Los usuarios que están deshabilitados en Active Directory también se marcan como inactivos en Control Hub, pero la cuenta de usuario no se elimina después de 7 días.
| 1 | |
| 2 |
Vaya a Usuarios y confirme si una cuenta de usuario específica está en estado inactivo o no está listada. Para obtener más información, consulte Estados y acciones del usuario en Control Hub. |
| 3 |
Si se eliminaron usuarios en Control Hub o si observa que los usuarios están en estado inactivo, vaya a Active Directory, agregue las cuentas de usuario que faltan y, luego, realice una simulación de sincronización en el Conector de directorios. El objetivo del Conector de directorios es crear una coincidencia exacta entre la información de los usuarios en Active Directory y en la nube. |
| 4 |
Realice una sincronización completa para volver a sincronizar las cuentas de usuario eliminadas temporalmente con Control Hub. Los usuarios se recuperan y pasan al estado original, incluido el estado de su cuenta y las asignaciones de servicios. |
Qué hacer a continuación
Regrese a Control Hub, vaya a , y confirme que las cuentas de usuario eliminadas anteriormente aparezcan en la lista de usuarios.
Eliminar usuarios permanentemente después de la eliminación por software
Después de realizar una simulación, puede optar por eliminar de forma permanente los usuarios que fueron eliminados por software en la próxima sincronización.
| 1 |
Una vez finalizada la simulación, seleccione Objetos eliminados por software. |
| 2 |
Marque la casilla de verificación situada junto a los usuarios que desea eliminar. |
| 3 |
Seleccione Listo. |
Qué hacer a continuación
En la próxima sincronización, los usuarios que revisó se eliminarán de forma permanente.
Cambiar una dirección de correo electrónico de la aplicación de Webex
Si quiere cambiar las direcciones de correo electrónico de los usuarios y su organización utiliza el Conector de directorios, puede cambiar esas direcciones de correo electrónico en Active Directory. Este procedimiento cubre cómo cambiar la dirección de correo electrónico de la aplicación de Webex para un único dominio y un proceso para cambiar el dominio.
Si solo quiere cambiar el correo electrónico o algún valor para un usuario, no lo elimine de Active Directory y vuelva a crear uno nuevo con el mismo correo electrónico. La nube interpreta esta acción como una nueva cuenta de usuario y se perderán los espacios del usuario y otros datos en la nube.
El Conector de directorios no limita el cambio de dominio de correo electrónico. Sin embargo, cuando el usuario se vuelve a sincronizar con la nube, el estado del usuario depende de si se verifica el nuevo dominio en su organización. Si el dominio no está verificado en su organización, el estado del usuario cambia a Pendiente después de la sincronización completa. Para obtener más información, consulte Administrar sus dominios.
Si su organización no utiliza el Conector de directorios, puede cambiar las direcciones de correo electrónico de la aplicación de Webex a través de la página de configuración de la cuenta. Consulte Cambiar la dirección de correo electrónico de su cuenta para conocer los pasos que los usuarios pueden seguir para cambiar sus correos electrónicos.
Cambiar el dominio de Active Directory
Puede utilizar este procedimiento para crear nuevos dominios y direcciones de correo electrónico. Se sincronizan con el servicio de identidad en la nube.
| 1 |
Configure un nuevo dominio de Active Directory (AD). |
| 2 |
Deshabilite las sincronizaciones en todos sus conectores. |
| 3 |
Desinstale todos los conectores. |
| 4 |
Abra un caso para cambiar el dominio. En el envío del caso, asegúrese de solicitar la eliminación de la configuración del dominio y de todos los atributos de sincronización de su organización. Antes de abrir un caso para cambiar el dominio, asegúrese de no tener una sincronización en ejecución. No cambie ninguna dirección de correo electrónico del usuario en Active Directory hasta que el caso se resuelva. |
| 5 |
Una vez resuelto el caso: Realice una ejecución de prueba con el Conector de directorios antes de realizar la sincronización real. |
Reclamo de dominios
Un reclamo de dominio se produce si reclama un dominio de correo electrónico para una organización de modo que cualquier cuenta creada con Sideboard se cree en la organización del cliente con suscripción paga y no en la organización del consumidor sin cargo. Solo puede realizar un reclamo de dominio a través de un caso de soporte (consulte el siguiente enlace para obtener más información).
Si el Conector de directorios está activo y se reclama el dominio, las cuentas creadas con Sideboard no se crean ni en la organización del cliente ni en la organización de consumidores sin cargo. Solo el Conector de directorios puede aprovisionar cuentas para la organización desde Active Directory. La información almacenada en Active Directory es la fuente original. Si trató de hacer Sideboard con una cuenta, el usuario invitado recibe un error. La única manera en que se puede agregar un usuario invitado a un espacio de la aplicación de Webex es utilizar primero el Conector de directorios para aprovisionar la cuenta en Control Hub.
Convertir usuarios gratuitos de la aplicación de Webex en una organización con directorios sincronizados
Solo puede utilizar direcciones de correo electrónico únicas en el directorio de la aplicación de Webex. Si sus usuarios se han inscrito en la versión gratuita de la aplicación de Webex, su cuenta existe en la organización de consumidores gratuita. Para administrar a los usuarios de esta organización con el Conector de directorios, mígrelos (conviértalos) a la organización del cliente antes de activar el Conector de directorios. Luego, agrega a los usuarios a active Directory con la dirección de correo electrónico exacta y luego sincroniza a la nube.
Si no convierte las cuentas antes de la activación, desactive el Conector de directorios para convertirlas.
Si intenta convertir un usuario con la sincronización de directorios habilitada, aparece el mensaje de error no se pudo convertir
. Para evitar el problema, puede utilizar estos pasos como solución alternativa.
Es posible que algunos usuarios reclamados aparezcan con el atributo movedfrom al realizar una simulación. Estos usuarios estarán en la lista Objetos eliminados en lugar de ObjetosNo Coincidentes. Tendrá que agregar esos usuarios a su lista de AD si desea moverlos a su organización.
Si no agrega esos usuarios, todos se eliminarán la próxima vez que se sincronice con la nube.
| 1 |
Deshabilite la sincronización de directorios desde el Conector de directorios. |
| 2 |
Siga el procedimiento Convertir usuarios sin licencia en Control Hub para convertir al usuario de la organización de consumidores sin cargo a la organización empresarial. Este paso agrega al usuario a su organización y la cuenta aparece en Control Hub. El Conector de directorios hace que Active Directory sea la única fuente fiable para las cuentas de usuario y el objetivo es lograr una coincidencia exacta entre Active Directory y Control Hub. Asegúrese de que haya usuarios coinciden en la Active Directory para todos los usuarios convertidos recientemente antes de volver a realizar la sincronización. Se puede utilizar una sincronización de la prueba para asegurarse de que no haya usuarios iguales. |
| 3 |
En el Conector de directorios, realice una simulación de sincronización. Una vez que finalice la prueba, revise la ficha Agregar objetos. Verifique que no se hayan eliminado los usuarios que convirtió. Debe realizar una simulación antes de volver a habilitar la sincronización para asegurarse de que las cuentas de usuario convertidas aparezcan en active Directory. Si activa la sincronización y las cuentas solo residen en Control Hub, el conector de directorios distingue entre mayúsculas y minúsculas y elimina a los usuarios convertidos que detecta con direcciones de correo electrónico no coincidentes (por ejemplo, user1@example.com y User1@example.com). Si se elimina algún usuario convertido, perderá todos sus espacios de la aplicación de Webex. |
| 4 |
Cuando tenga la certeza de que la próxima sincronización no eliminará ninguna cuenta, vuelva a habilitar la sincronización de directorios desde el Conector de directorios. |
Las cuentas de usuario convertida no se activan automáticamente si usted no verificó un dominio. Por ejemplo, si activó la plantilla de licencia de asignación automática y luego activó el Conector de directorios sin verificación de dominio, los usuarios convertidos estarán inactivos en el backend en la nube hasta que confirmen sus direcciones de correo electrónico.
Cuentas de usuario de la aplicación Webex creadas con Sideboard
Cuando invita a otro usuario a un espacio en la aplicación de Webex, si el usuario invitado no tiene una cuenta de la aplicación de Webex, se crea una cuenta para él ("sideboard"). De manera predeterminada, las cuentas que se crean de este modo se agregan a la organización de consumidores sin cargo.
Si desea administrar la cuenta creada con Sideboard mediante el Conector de directorios, debe convertirla.
Cambiar el formato de nombre de usuario de la aplicación Webex después de la sincronización de directorios
De manera predeterminada, el Conector de directorios asigna el atributo displayName en Active Directory al atributo displayName en la nube.
Después de realizar una sincronización de directorios, es posible que encuentre que los nombres de usuario se muestran en el formato .
Este nombre de usuario puede aparecer si el atributo displayName en Active Directory está configurado de esa manera. Cuando el atributo se asigna a displayName en la nube, los nombres aparecen en el formato en Control Hub.
Para cambiar el formato, haga lo siguiente en la pantalla para mapear atributos del Conector de directorios: Asigne el atributo de Active Directory givenName sn (o sn givenName) a displayName en los nombres de atributos de la nube de Cisco.
Como alternativa, asigne el atributo sn givenName a displayName:
También puede utilizar la opción Personalizar atributo, si desea asignar su propia expresión de atributo personalizada a displayName.
Por ejemplo, introduzca givenName + "" + sn (nombre, espacio, apellido) como la expresión. Esto asigna los dos atributos de Active Directory a displayName en la nube.
Permitir que los usuarios cambien los nombres para mostrar en Webex Meetings
Puede desasignar el atributo displayName de la sincronización a la nube en el Conector de directorios si desea permitir que los usuarios editen sus nombres para mostrar preferidos. Los usuarios pueden introducir un nombre para mostrar durante las reuniones de Webex en lugar de su nombre y apellido. Los administradores también pueden cambiar el nombre para mostrar de un usuario manualmente en Control Hub.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Asignación de atributos de usuarios. |
| 2 |
Seleccione displayName en Nombre de atributo de la nube de Cisco. |
| 3 |
Seleccione No sincronizar este atributo. |
Qué hacer a continuación
Los usuarios ahora pueden editar sus nombres en pantalla desde su sitio de Webex.
Resolución de problemas en el Conector de directorios
Mejorar a la versión de software más reciente
Para que su implementación cumpla las normas y obtenga las últimas características, funcionalidades, correcciones de errores y mejoras de seguridad, siempre debe mejorar a la versión más reciente del Conector de directorios. Si no realiza una mejora a la última versión disponible, es posible que experimente problemas, como que el Conector de directorios ya no se sincronice correctamente o que tenga una versión que no admita el requisito obligatorio de TLS 1.2.
El Conector de directorios le notifica automáticamente cuando hay una nueva versión disponible. Siempre mejore a la versión más reciente para evitar problemas. También verá una notificación en la barra de tareas de Windows.
Aunque puede instalar manualmente las actualizaciones de software de conectores, le recomendamos que siga los pasos de Configurar mejoras automáticas para permitir que la aplicación administre las mejoras automáticamente.
| 1 |
Haga clic en la notificación en la barra de tareas de Windows o haga clic con el botón derecho en el icono del Conector de directorios en la barra de tareas de Windows para iniciar el proceso de mejora. |
| 2 |
Siga las instrucciones para completar la mejora. |
| 3 |
Reinicie el conector e inicie sesión con sus credenciales de administrador. |
| 4 |
Verifique el número de versión del software en . |
Qué hacer a continuación
Para una nueva instalación del Conector de directorios, puede descargar el archivo zip y, a continuación, seguir los pasos de instalación de esta guía.
Configurar ajustes generales para el Conector de directorios
Utilice este procedimiento para configurar ajustes generales, como el nombre del servidor que ejecuta el Conector de directorios, los niveles de registro, las actualizaciones automáticas y los ajustes preferidos para los controladores de dominio. El nombre del conector aparece en el tablero de mandos de la sección de conectores, junto con cualquier otro conector que se esté ejecutando.
| 1 |
Desde el Conector de directorios, diríjase a Configuración y, luego, haga clic en General. |
| 2 |
En el campo Nombre del conector, introduzca el nombre del conector. Este campo solo muestra el nombre de la computadora que está ejecutando el conector en este momento. |
| 3 |
Elija el nivel de registro desde el menú desplegable. De manera predeterminada, el nivel de registro está definido en Información. Los niveles de registro disponibles son los siguientes:
Esta configuración afecta al informe de sincronización que se envía por correo electrónico. Si establece el nivel de registro en Error, solo se informan errores en el informe de sincronización; si no existen errores, el informe de sincronización no se envía. Cambie la configuración a Información; luego, recibirá informes de sincronización después de la sincronización completa. (Tenga en cuenta que para una sincronización incremental, no se envía ningún informe cuando no se reportan errores). |
| 4 |
Seleccione los Controladores de dominio preferidos para definir el orden de los controladores de dominio para sincronizar identidades. A los controladores de dominio se accede desde arriba hacia abajo. Si el primer controlador desde arriba no está disponible, elija el segundo controlador de la lista. Si no hay ningún controlador en la lista, puede acceder al controlador primario. |
| 5 |
Marque Mejorar automáticamente a la nueva versión del Conector de directorios de Cisco si desea que se realicen mejoras automáticas. Siempre es importante mantener el software del Conector de directorios de Cisco actualizado a la versión más reciente. Le recomendamos que marque esta configuración para permitir que las mejoras automáticas del software se instalen silenciosamente cuando estén disponibles. |
| 6 |
Marque LDAP sobre SSL para utilizar el LDAP seguro (LDAPS) como protocolo de conexión. Si no marca LDAP sobre SSL, el Conector de directorios sigue utilizando el protocolo de conexión de LDAP. LDAP (Lightweight Directory Application Protocol) y LDAP seguro (LDAPS) son los protocolos de conexión que se utilizan entre una aplicación y el controlador de dominio dentro de la infraestructura. La comunicación LDAPS está cifrada y es segura. |
Configurar la política del conector
Puede definir la cantidad máxima de operaciones de eliminación que pueden tener lugar durante la sincronización. La sincronización en ejecución no elimina objetos de su Active Directory local. Todos los objetos se eliminan solo de la nube.
Por ejemplo, establece 1 como el valor de activación del umbral de eliminación. Cuando ejecuta una sincronización completa o incremental, si la cantidad de usuarios que quiere eliminar es superior al ajuste configurado, el conector de directorios exhibirá una advertencia. Si hace clic en Anular umbral, puede iniciar una sincronización completa o incremental sin inconveniente, pero seguirá viendo este aviso de anulación la próxima vez que ejecute la política.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Política. |
| 2 |
Marque la casilla Habilitar activador de umbral de eliminación si quiere agregar un activador de umbral. Si elige esta opción, se activa una alerta si la cantidad de operaciones de eliminación excede el umbral. Cuando la cantidad de operaciones de eliminación excede la cifra que definió, la sincronización falla.
|
| 3 |
Introduzca la cantidad máxima de operaciones de eliminación que quiera. El valor predeterminado es 20. Le recomendamos que no aumente el valor predeterminado. |
| 4 |
Haga clic en Aplicar. |
Definir la programación del conector
Defina la sincronización en Active Directory. La conmutación por falla se utiliza para proporcionar alta disponibilidad (HA). Si un conector está fuera de servicio, pasamos a otro conector de reserva después del intervalo predefinido.
| 1 |
Desde el Conector de directorios, haga clic en Configuración y, luego, elija Planificar. |
| 2 |
Especifique el Intervalo de sincronización incremental en minutos. De manera predeterminada, el intervalo para la sincronización incremental está definido en 30 minutos. No habrá ninguna sincronización incremental completa hasta que usted no realice inicialmente una sincronización completa. |
| 3 |
Cambie el valor de Enviar informes por… tiempo si quiere cambiar la frecuencia con la que se envían los informes. |
| 4 |
Marque Habilitar planificación de sincronización completa para especificar los días y horarios en los que quiera ejecutar una sincronización completa. |
| 5 |
Especifique el Intervalo de conmutación por falla en minutos. |
| 6 |
Haga clic en Aplicar. |
Situaciones de varios dominios
Los dominios múltiples se basan en la prioridad del dominio. En el caso de objetos que tengan el mismo valor de clave en diferentes dominios, después de la sincronización, los datos del dominio de mayor prioridad sobrescriben a los del dominio de menor prioridad.
Los objetos que tengan el mismo valor de clave se enlazan a un registro en la base de datos.
El valor de clave correspondiente a "Usuario" es Dirección de correo electrónico; y el correspondiente a "Grupo" es Nombre del grupo.
Caso práctico modelo para varios dominios
En este ejemplo se asume que una organización tiene dos dominios: ejemplo1.com y ejemplo2.com, en orden de prioridad.
-
Agregue usuario1(correo electrónico: Usuario@ejemplo1.com) al Active Directory de ejemplo1.com.
-
Agregue grupo1(Nombre del grupo: Prueba) al Active Directory de ejemplo1.com.
-
Agregue usuario2(correo electrónico: Usuario@ejemplo2.com) al Active Directory de ejemplo2.com.
-
Agregue grupo2(Nombre del grupo: Prueba) al Active Directory de ejemplo2.com.
- Sincronización en ejemplo1.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Si ejecuta una sincronización completa o incremental para ejemplo1.com. se sincronizan usuario1 y grupo1. Además, los valores de usuario2 y grupo2 se sobrescribirán con la información de usuario1 y grupo1.
usuario1 se enlaza a usuario2 como el mismo registro en la base de datos; grupo1 se enlaza a grupo2 como el mismo registro en la base de datos.
- Sincronización en ejemplo1.com y ejemplo2.com
-
A modo de caso práctico, usuario2 y grupo2 se sincronizan a la nube y aparecen en https://admin.webex.com, mientras que eso no sucede con usuario1 ni con grupo1.
Tenga presentes estos pasos:
- Elimine usuario1 y grupo1 en el Active Directory correspondiente a ejemplo1.com.
- Ejecute una sincronización completa o incremental para ejemplo1.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com. usuario2 no se enlaza a usuario1; y grupo2 tampoco se enlaza a grupo1.
- Ejecute una sincronización incremental para ejemplo2.com.
Resultado: no se modifica la información del usuario en https://admin.webex.com.
- Ejecute una sincronización completa para ejemplo2.com.
Resultado: la información de usuario2 y grupo2 se indica en https://admin.webex.com.
Sincronizar un nuevo dominio y conservar un dominio existente
Si desea sincronizar un nuevo dominio (B) y conservar los datos del usuario sincronizado en otro dominio existente (A), asegúrese de instalar el Conector de directorios para el dominio (B) en un servidor de Windows compatible. El conector se vincula al nuevo dominio después de la configuración inicial, y la información del usuario del dominio (A) no se ve afectada.
Cada dominio debe tener su propio conector activo. Considere dos dominios con la siguiente configuración: dominio A con conectores (ca1) y (ca2) para Alta disponibilidad (HA) local; dominio B con conector (cb1). (ca1) y(ca2) sirven al dominio A. En esta situación, un conector está activo y el otro en modo de espera (HA). Este diseño mantiene al dominio sincronizado debido a que siempre hay un conector activo. Por lo tanto, cb1 es el conector activo para el dominio B, ya que el dominio A ya tiene un conector activo (ca1 o ca2).
Establecer la prioridad de los dominios
Utilice este procedimiento para cambiar la prioridad de los dominios de Active Directory. La prioridad de los dominios le permite determinar el dominio primario, el secundario, y así sucesivamente. Esto resulta útil cuando dos usuarios de dos dominios diferentes tienen el mismo valor de correo electrónico sincronizado a una organización.
No utilice este procedimiento si tiene un solo dominio en el Conector de directorios. Si lo intenta, el conector le exhibirá un mensaje en el que se indica que no es necesario establecer ninguna prioridad de directorios.
Antes de comenzar
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde https://admin.webex.com.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Definir prioridad de dominios. |
| 3 |
Resalte un dominio de la lista, haga clic en Subir o Bajar para cambiar la prioridad de este dominio; luego, haga clic en Guardar para guardar este cambio. Los dominios se ordenan por prioridad de arriba hacia abajo. |
Cambiar dominios
Utilice este procedimiento para volver a vincular el conector de directorios de Cisco a un dominio diferente.
Antes de comenzar
-
Asegúrese de que no se esté ejecutando ninguna tarea de sincronización antes de cambiar dominios.
-
Para evitar errores, instale el conector de directorios de Cisco o actualícelo a la versión más reciente. Debe descargarla desde Control Hub.
| 1 |
En el conector de directorios de Cisco, haga clic en Tablero de mandos. |
| 2 |
Diríjase a Acciones y luego haga clic en Cambiar dominio. |
| 3 |
Después de leer el mensaje de precaución, si comprende el efecto de este cambio en su implementación y todavía está seguro, haga clic en Sí. Si cambia un dominio, se cierra la sesión del conector de directorios actual de Cisco, se cancelan los registros de otros dominios del conector y se elimina la información del conector de esa computadora. |
| 4 |
Vuelva a iniciar sesión en el conector de directorios de Cisco y vuelva a vincular el dominio. |
Desactivar la sincronización de directorios
Si necesita detener la sincronización desde el Conector de directorios, puede desactivarla temporalmente desde Control Hub.
| 1 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios y, luego, elija una opción:
|
| 2 |
Después de leer el mensaje, haga clic en Desactivar. La sincronización se detiene hasta que la vuelva a habilitar desde el Conector de directorios. |
Eliminar asignación de atributos de usuarios
Utilice el Conector de directorios para eliminar la asignación de atributos de Active Directory previamente asignados a la nube y sincronizados con Webex. Después de eliminar la asignación de atributos, los valores de los atributos se eliminan de la nube y ya no se sincronizan con Webex. Estos valores se pueden editar manualmente.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
Seleccione la asignación que desea eliminar de la lista Nombre de atributo . |
| 4 |
En Alcance del usuario afectado, seleccione una de las siguientes opciones:
|
| 5 |
Haga clic en Aplicar. |
Administrar imágenes de perfil
Utilice el Conector de directorios para actualizar las imágenes de perfil de usuario o para eliminar las imágenes de perfil de usuario en blanco.
| 1 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 2 |
Vaya a Acciones y, luego, haga clic en . |
| 3 |
En Acciones, seleccione una de las siguientes opciones:
|
| 4 |
Haga clic en Aplicar. |
Desinstalar y desactivar el Conector de directorios
Después de desinstalar una instancia del Conector de directorios, deberá desinscribirlo. Elimine completamente un Conector de directorios en cualquiera de estas situaciones:
-
Ya no quiere utilizar la sincronización de directorios.
-
No quiere utilizar uno de los varios conectores de directorio (alta disponibilidad).
-
Quiere cambiar el dominio e instalar otro conector.
Antes de comenzar
-
Puede tener varias instancias del Conector de directorios configuradas para alta disponibilidad (HA) o sincronización de varios dominios. Deshabilite la sincronización si está desinstalando la única o última instancia del Conector de directorios.
-
Guarde y cierre cualquier trabajo importante antes de desinstalar el Conector de directorios.
| 1 |
En su máquina con Windows, diríjase al Panel de control y luego haga clic en Programas y características. |
| 2 |
En la lista de programas, haga clic en Conector de directorios, elija Desinstalar y, a continuación, siga las indicaciones. Es posible que tenga que reiniciar su sistema para completar la desinstalación. |
| 3 |
Desde la vista del cliente en https://admin.webex.com, diríjase a , desplácese hasta Sincronización de directorios, haga clic en Más |
| 4 |
Después de leer el mensaje, haga clic en Desactivar. Si no hay ningún otro Conector de directorios en una implementación de alta disponibilidad (HA), ya no se sincronizan las cuentas de usuario. |
Ejecutar la herramienta de diagnóstico
Puede utilizar la herramienta de diagnóstico incorporada para solucionar problemas en la implementación del Conector de directorios. Esta herramienta se instala como parte del Conector de directorios 3.4 en adelante.
Si la sincronización no funcionó correctamente, es posible que tenga un error de configuración o de red. Esta herramienta prueba su conexión a LDAP para poder diagnosticar errores usted mismo antes de comunicarse con el soporte. Si la herramienta devuelve algún error, puede enviar los resultados detallados del registro a soporte técnico.
-
Para ejecutar pruebas para los servicios de dominio de Active Directory:
-
Para ejecutar pruebas de los servicios de directorio ligero de Active Directory:
-
Para ejecutar pruebas del Lightweight Directory Access Protocol (Protocolo ligero de acceso a directorios, LDAP):
Solucionar problemas en el Conector de directorios de Ciso
Solución de problemas y correcciones para el Conector de directorios
Es posible que encuentre un mensaje de error u otro problema en el Conector de directorios. Además, una vez que el Conector de directorios sincroniza la información de los usuarios, es posible que el conector le envíe un informe por correo electrónico en el que se enumeren los problemas con la sincronización. Consulte las siguientes secciones para conocer los problemas que pueden surgir, las posibles causas y las soluciones propuestas que puede probar antes de comunicarse con el soporte.
Instalar
El Conector de directorios dejó de funcionar
Recibió alertas por correo electrónico en las que se le notifica que su Conector de directorios no está funcionando.
-
Es posible que el Conector de directorios no se instale correctamente.
-
Es posible que el Conector de directorios no se esté ejecutando.
-
Es posible que la red no esté disponible.
Intente lo siguiente:
-
Abra . Localice el Conector de directorios. Si no está allí, descargue la versión más reciente de Control Hub e instálela.
-
Abra Servicio y busque el Servicio de sincronización de directorios de Cisco. Asegúrese de que muestre el estado como Iniciado. Si el servicio está detenido, hágale clic derecho y seleccione Iniciar para reiniciarlo.
-
Asegúrese de que el servidor en el que instaló el Conector de directorios tenga acceso a Internet.
Error de reinstalación
Problema: si instala inmediatamente un nuevo conector después de desinstalar uno anterior, es posible que vea un mensaje de error.
Causa posible: en Windows Server 2012, el cliente de desinstalación necesita tiempo para eliminar la cuenta de servicio de la lista de servicios.
Solución: después de que haya pasado un tiempo, intente la instalación nuevamente.
Iniciar sesión
El conector de directorios se bloquea durante el inicio de sesión con SSO
Problema
El Conector de directorios puede bloquearse después de que usted introduzca una dirección de correo electrónico desde una página de inicio de sesión de SSO.
Solución
Intente lo siguiente:
Siga estos pasos para configurar una nueva política de grupo:
-
Vaya al controlador de dominio y abra Group Policy Management (gpedit.msc).
-
Haga clic con el botón derecho en una unidad organizativa o un dominio específicos, seleccione Crear un GPO en este dominio y Vincule aquí…
-
Asigne un nombre a la política y, a continuación, haga clic con el botón derecho y elija Editar.
Siga estos pasos para cambiar la política a nivel de la máquina:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_LOCAL_MÁQUINA\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Siga estos pasos para cambiar la política a nivel de usuario:
-
Vaya a , haga clic con el botón derecho en Registro, elija Nuevo y, luego, en Elemento del registro.
-
En Ruta de claves, introduzca o navegue hasta HKEY_USUARIO ACTUAL\SOFTWARE\Microsoft\Internet Explorer\Main_.
-
Introduzca
Deshabilitar depurador de secuencias de comandospara Valor e introduzcanopara Datos de valor.La configuración debe coincidir con esta captura de pantalla:
Los cambios surten efecto después de ejecutar gpupdate /force, de que la máquina se reinicie (para los cambios de máquina) o de que el usuario vuelva a iniciar sesión (para los cambios de usuario).
No se pudo inscribir el conector de servicios DirSync de Cisco
Problema
El inicio de sesión falla y aparece este mensaje: “El conector de servicios de sincronización de directorios de Cisco no se pudo inscribir”.
Solución
El sistema de Windows en el que está instalado el Conector de directorios debe ser miembro de Active Directory.
No aparece la página de inicio de sesión
Problema
Abrió el Conector de directorios y no aparecía la página de inicio de sesión.
Solución
Pruebe los siguientes pasos:
-
En Internet Explorer, vaya a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Pruebe el enlace en otros navegadores como Chrome y Firefox.
-
Si Internet Explorer no puede visitar el enlace, pero otros navegadores sí pueden, marque la configuración de Internet Explorer y marque las casillas de verificación TLS 1.1 y 1.2. (Utilice el procedimiento Habilitar TLS en Internet Explorer .)
Aparece el mensaje de inicio de sesión
Problema
Aparece un mensaje que le solicita que ingrese el nombre de usuario y la contraseña para pasar la autenticación.
Causa posible
El Conector de directorios completa la autenticación de seguridad NTLM silenciosamente con la cuenta de inicio de sesión. Si falla la autenticación, aparece un cuadro de diálogo para solicitar el nombre de usuario y la contraseña de autenticación.
Solución
Cuando vea la ventana emergente de inicio de sesión, necesita proporcionar una cuenta válida con autenticación correcta para pasar la seguridad.
No se puede conectar al servidor remoto
Problema
Durante el funcionamiento normal, aparece el mensaje de error: "No se puede conectar al servidor remoto".
Causa posible
Es posible que tenga problemas de proxy que deban resolverse.
Solución
Consulte Solucionar problemas de inicio de sesión en la cuenta de servicio para obtener más información sobre la solución de problemas.
No se puede inscribir el conector
Problema
Aparece el mensaje de error "No se puede inscribir el conector. Ocurrió una excepción general".
Causa posible
En la mayoría de los casos, el problema se debe a que el Conector de directorios no tiene privilegios para conectarse al contexto raíz de LDAP.
Solución
Intente lo siguiente:
-
Ejecute un símbolo del sistema (cmd) y luego introduzca ldp.exe.
-
Haga clic en , elija Vincular como usuario actualmente conectado y, a continuación, haga clic en Aceptar.
-
Haga clic en , introduzca DC=arbonneintl,DC=ad como BaseDN y, luego, haga clic en Aceptar.
-
Si el problema continúa, abra un caso en el servicio de soporte técnico.
Sincronización
Avatares no sincronizados
Problema
El conector de directorios de Cisco sincronizó los datos de AD del usuario con la nube de Webex. Pero no se sincronizaron correctamente datos de avatar.
Causa posible
Si reutilizó un servidor de avatar existente y los avatares del usuario ya estaban sincronizados, la caché local los captura y evita que se vuelvan a enviar para ahorrar ancho de banda.
Solución
Elimine la caché local siguiendo estos pasos:
-
Vaya a C:\Archivos de programa (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Elimine DirSyncPluginAvatar.dll-cache.bin.
-
Vuelva a ejecutar la sincronización de avatares desde el conector de directorios de Cisco.
Cuentas de correo electrónico de usuarios en conflicto
Problema
Los resultados de la sincronización pueden mostrar cuentas de correo electrónico de usuarios conflictivas.
-
Si los usuarios probaron la versión gratuita de la Aplicación de Webex, sus direcciones de correo electrónico residen en la organización de consumidores sin cargo.
-
Si alguna vez se sincronizaron los correos electrónicos de los usuarios en otra organización.
-
Si los correos electrónicos de los usuarios existen en varios dominios que pertenecen a la organización.
Solución
Intente lo siguiente:
-
Siga estos pasos si está intentando reclamar usuarios:
-
Asegúrese de haber verificado el dominio en Control Hub.
-
Deshabilite temporalmente el Conector de directorios de Cisco.
-
Utilice la opción Reclamar usuario en Control Hub para reclamar las cuentas que puedan existir en la organización de consumidores sin cargo. Consulte Reclamar usuarios a su organización (Convertir usuarios) para obtener más información.
-
Realice una simulación en el Conector de directorios de Cisco y, luego, vuelva a habilitar la sincronización de directorios
-
-
En el último caso, compruebe dos veces los datos de los usuarios en sus fuentes de Active Directory.
Usuario convertido marcado como inactivo
Problema
En su entorno sincronizado de directorios, convirtió a un usuario gratuito (organización de consumidor) en su organización empresarial, pero el usuario convertido no puede iniciar sesión en la Aplicación de Webex.
Causa posible
Cuando el usuario gratuito se convierte en la organización empresarial, se marca al usuario como estado inactivo durante 30 días como medida de cumplimiento de seguridad. Durante este período, el usuario no puede iniciar sesión en la Aplicación de Webex y se marca para su eliminación al final del período de 30 días. Esta situación surge porque la información del usuario gratuito no reside en Active Directory.
Solución
Debe tomar medidas si no desea que se elimine la cuenta de usuario. Para resolver este problema, cree una cuenta de usuario en su Active Directory local que corresponda a la cuenta de usuario gratuita convertida. A continuación, realice una sincronización desde el Conector de directorios de Cisco. Luego, el usuario podrá volver a iniciar sesión en la aplicación de Webex y la cuenta no se eliminará.
Falla la sincronización incremental
Problema
Falla una sincronización incremental.
Este problema puede ocurrir en Windows Server 2008 R2 en las siguientes condiciones:
-
Usted admite las actualizaciones de valor incremental.
-
El filtro que utiliza hace referencia a un atributo de valor vinculado.
-
Los valores de resultado de ese atributo se actualizaron desde la última vez que se realizó una sincronización completa.
Solución
Windows Server 2008 R2 tiene un error relacionado con este problema. El error se corrigió en 2012 R2 y versiones posteriores. Le recomendamos que mejore su Windows Server a al menos 2012 R2.
Valor no válido para el atributo
Problema
Para [ND del usuario (nombre distinguido)], el atributo [nombre del atributo] tiene el siguiente valor no válido: [valor del atributo].
Causa posible
Para CN=b,OU=Employees,OU=C Users,DC=c,DC=com, el atributo [número de teléfono] tiene el siguiente valor no válido: +. Este atributo debe contener al menos un número.
Solución
Un atributo para este usuario no tiene un valor válido. Corrija su valor según la descripción que se indica en el mensaje de advertencia. Luego realice otra operación de sincronización.
Usuarios coincidentes para eliminar
Problema
Los usuarios coincidentes se marcan para ser eliminados.
Al realizar una simulación de sincronización para comprobar los datos entre Active Directory y la nube, es posible que vea la misma dirección de correo electrónico en ambos. Sin embargo, el usuario se marca como un objeto que desea eliminar.
Solución
Elija una solución adecuada:
-
Si no está bien eliminar al usuario y rehacer las licencias después, puede utilizar el Conector de directorios para solucionarlo. Realice una sincronización para eliminar al usuario y, luego, realice otra sincronización para sincronizar al usuario de AD local con la nube.
-
Si no puede eliminar ni volver a crear la cuenta de usuario, abra un caso en el servicio de soporte técnico.
Atributo faltante
Problema
El atributo obligatorio [attribute_name] al agregar una entrada local [DN del usuario (nombre distinguido)]. La entrada no se crea en Control Hub hasta que todos los atributos obligatorios tienen un valor.
Causa posible
Falta el atributo obligatorio de dirección de correo electrónico. Al agregar una entrada local [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], la entrada no se crea en Control Hub hasta que todos los atributos obligatorios tengan un valor.
Solución
Falta uno de los atributos obligatorios para el usuario [user_email_address]. Proporcione los valores obligatorios para ese usuario.
El grupo anidado no se sincronizará
Problema
Los usuarios de un grupo de Active Directory anidado no se sincronizan correctamente con la nube.
Causa posible
Se utiliza un filtro que incluye tanto el grupo secundario como el grupo padre, que no es compatible. Por ejemplo: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Solución
Debe volver a configurar el filtro que sincroniza los grupos. Por ejemplo: |(memberof=CN=testgroup1,CN=Usuarios,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuarios,DC=rktest2008,DC=org)
Conflicto de nomenclatura del usuario
Problema
Hay un conflicto de nomenclatura para [ND del usuario] para un objeto de entrada en la nube existente con el siguiente nombre: [dirección de correo electrónico del usuario] y del tipo de usuario [user_type].
Causa posible
Ya existe un usuario con esa dirección de correo electrónico en Control Hub.
Solución
Cree un usuario en su Active Directory con la misma dirección de correo electrónico que la cuenta que inscribió a través de Control Hub.
Concentrador de control
Falta la lista de usuarios en Control Hub
Problema
Si tiene una organización de Webex con más de 1000 usuarios sincronizados, es posible que no vea la lista de usuarios en Control Hub.
Solución
Puede utilizar la funcionalidad de búsqueda para encontrar una cuenta de usuario. En Control Hub, diríjase a Usuarios, haga clic en Buscar y, luego, introduzca los criterios de búsqueda para encontrar un usuario específico.
Los grupos no se sincronizarán con Control Hub
Problema
Los usuarios de un grupo de directorio no se sincronizarán correctamente con Control Hub.
Causa posible
El grupo no está etiquetado como isCriticalSystemObject en Active Directory.
Solución
Asegúrese de que el atributo isCriticalSystemObject esté definido en TRUE en Active Directory.
Habilitar la solución de problemas para el Conector de directorios
Puede habilitar la solución de problemas para diagnosticar más fácilmente cualquier error que encuentre en el Conector de directorios. La solución de problemas le permite capturar información del tráfico de red y guardarla en un archivo.
Los archivos de registro que son: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Ejecute el archivo |
| 2 |
Reinicie el servicio. Consulte Cómo iniciar servicios para obtener ayuda. |
| 3 |
En el Conector de directorios, haga clic en Tablero de mandos. |
| 4 |
Diríjase a Acciones y, luego, haga clic en . |
| 5 |
Con la solución de problemas habilitada, repita las acciones que estaban causando un error; de esta manera, se capturan los datos del tráfico para poder examinarlos. |
| 6 |
Examine los archivos de registro: si el archivo está en blanco, asegúrese de que la cuenta tenga privilegios para acceder a su AD DS o AD LDS. La carpeta de registro solo guarda los archivos de los últimos 3 días. El contenido de los archivos de registro es coherente con la salida del registro de eventos en el sistema. |
| 7 |
Si es necesario, envíe el archivo de registro al servicio de Soporte para obtener ayuda. |
| 8 |
Deshabilite la característica de solución de problemas cuando termine. |
Iniciar el visor de eventos
Para ver los eventos que se produjeron durante una sincronización completa o incremental, inicie el Visor de eventos. Muestra un resumen de los eventos administrativos y los registros de errores.
| 1 |
Desde el Conector de directorios, diríjase al Tablero de mandos y, luego, haga clic en . En el cuadro de diálogo de Propiedades de eventos se indican detalles de los eventos y errores durante la sincronización. |
| 2 |
Desde el Visor de eventos, diríjase a .
|
| 3 |
En Acciones, haga clic en Guardar todos los eventos como para exportar todos los registros como un solo archivo de eventos (*.evtx) u otro formato como xml o csv. |
Qué hacer a continuación
Si necesita abrir un caso, comuníquese con el soporte, describa el problema con el conector y, a continuación, adjunte el archivo de Events a su caso.
Los registros de eventos capturan las acciones de los usuarios. Para obtener ayuda con la administración del tráfico de red, habilite la resolución de problemas en el conector.
Habilitar TLS en Internet Explorer
Si cambió los proveedores de inicio de sesión único (SSO), es posible que vea los siguientes mensajes de error del conector de directorios de Cisco:
-
Se produjo un error al conectarse al servicio
-
Se ha producido un error en el script de esta página
Si ve estos errores, debe habilitar un ajuste de TLS en su navegador.
| 1 |
Abra Internet Explorer y, a continuación, elija Herramientas. Ahora marque las casillas de la versión TLS/SSL que desea habilitar Haga clic en Aceptar Cerrar el navegador y abrirlo de nuevo |
| 2 |
Haga clic en Opciones de Internet , vaya a Opciones avanzadas y desplácese hasta Seguridad. |
| 3 |
Marque las casillas de verificación Usar TLS 1.1 y Usar TLS 1.2 y, luego, haga clic en Aceptar.
|
| 4 |
Reinicie su sistema para que los cambios tengan efecto. |
Solucionar problemas en el inicio de sesión a una cuenta de servicios
Si no puede iniciar sesión en el conector de directorios de Cisco o no puede ejecutar una sincronización, siga estos pasos para intentar resolver el problema antes de comunicarse con el servicio de soporte.
| 1 |
Trate de ingresar a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL en su navegador web. |
| 2 |
Dependiendo de los resultados, elija una opción:
|
| 3 |
Como mínimo, asegúrese de que la cuenta configurada para el servicio Cisco DirSync (que se puede encontrar en los servicios de Windows) tenga un nivel de privilegios que le permita acceder a los datos de avatar y a los datos de AD. De forma predeterminada, el servicio aprovecha las credenciales y la autenticación de la cuenta de inicio de sesión de Windows. |
Comprobar SafeDllSearchMode en el Registro de Windows
El modo de búsqueda de bibliotecas de enlaces dinámicos seguros (DLL) se establece de manera predeterminada en el registro de Windows y coloca el directorio actual del usuario más adelante en el orden de búsqueda de DLL. Si este modo se deshabilitó de alguna manera, un atacante podría colocar un DLL malicioso (llamado igual que un archivo DLL referenciado que se encuentra en la carpeta del sistema) en el directorio de trabajo actual de la aplicación.
Por lo general, SafeDllSearchMode está habilitado, pero utilice este procedimiento para comprobar la configuración del registro.
Antes de comenzar
Los cambios en el registro de Windows deben realizarse con extrema precaución. Le recomendamos que realice una copia de seguridad de su registro antes de seguir estos pasos.
| 1 |
En la ventana de búsqueda de Windows o Ejecutar, escriba regedit y, a continuación, presione Intro. |
| 2 |
Diríjase a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Elija una opción:
|
Para obtener más información, consulte Orden de búsqueda de biblioteca de enlaces dinámicos.
