- Accueil
- /
- Article
Intégration du service d'annuaire via Webex Common Identity pour instance dédiée
Synchroniser les utilisateurs d'un annuaire cloud (Microsoft Azure AD) ou d'un annuaire local (MS AD) vers des clusters d'instances dédiées (Unified CM & Cisco Unity Connection) via le service d'identité commune Webex à l'aide de l'interface Control Hub.
Aperçu
Synchronisez les utilisateurs du répertoire basé sur le Cloud, tel qu’Azure AD, vers les applications d’instance dédiée telles que Unified CM et Cisco Unity Connection, avec le service de répertoire du Cloud. Au cours de la synchronisation, le système importe une liste d'utilisateurs et les données utilisateur associées dans Azure Active Directory (ou un service d'annuaire sur le Cloud similaire) qui est synchronisé dans le service d'identité Webex. Sélectionnez le cluster Unified CM à partir du Control Hub pour la synchronisation, choisissez le mappage approprié du champ ID utilisateur Unified CM, puis sélectionnez l’accord de synchronisation requis pour terminer la synchronisation.
Prérequis
-
Si vous utilisez Azure Active Directory comme votre répertoire du Cloud, voir Configurer l’assistant Azure AD dans le Control Hub pour plus d’informations.
-
Si vous utilisez Microsoft Active Directory comme répertoire, voir Déployer le Connecteur de répertoire pour plus d’informations.
-
Assurez-vous que les systèmes Active Directory existants intégrés à Unified CM sont également intégrés à Webex Common Identity.
Afficher les informations sur le cluster
Dans la page Gérer du Control Hub, choisissez un cluster avec lequel vous souhaitez synchroniser les données utilisateur.
Cette sélection fournit également les détails du cluster, tels que le nom du cluster, le statut de la synchronisation du cluster, le dernier état de synchronisation et le produit associé.
Détails du groupe |
Description |
---|---|
Nom du cluster |
Le nom du cluster |
Statut |
Statut de la synchronisation |
Dernière synchronisation |
Date de la dernière synchronisation |
Produit |
Détails du produit |
Synchronisation du répertoire
En fonction de vos besoins, vous pouvez soit synchroniser les utilisateurs d’Active Directory sur site vers Control Hub en utilisant Directory Connector, soit directement d’Azure Directory vers Control Hub, puis les synchroniser vers Unified CM.
Effectuez l'une des actions suivantes :
-
Pour synchroniser directement les utilisateurs d’Azure Directory vers Control Hub, suivez la procédure Synchroniser les utilisateurs d’Azure Directory .
-
Pour synchroniser les utilisateurs à partir d’Active Directory sur site vers Control Hub en utilisant Directory Connector, suivez la procédure Synchroniser les utilisateurs à partir d’Active Directory sur site .
Effectuez la synchronisation en dehors des heures de bureau pour minimiser son impact sur les services d’appel.
Synchroniser les utilisateurs à partir d’Azure Directory
La synchronisation du service de répertoire d’instance dédiée vous permet d’importer les données de l’utilisateur final dans le répertoire Azure dans la base de données Unified CM afin qu’elle s’affiche dans la fenêtre Configuration de l’utilisateur final.
Pour synchroniser les utilisateurs en utilisant Azure Directory :
-
Vous devez Synchroniser les utilisateurs Azure Active Directory dans Control Hub.
-
Suivez la procédure Configurer la synchronisation du répertoire pour synchroniser les utilisateurs du Control Hub avec Cisco Unified CM.
Synchroniser les utilisateurs à partir d’Active Directory sur site
Les utilisateurs d’Active Directory sur site peuvent être synchronisés avec Common Identity (CI) en utilisant Directory Connector.
Seul le déploiement SSO est pris en charge pour le service d'annuaire. Voir Intégration de l’authentification unique dans Control Hub et Solution SSO basée sur SAML pour plus d’informations.
Pour synchroniser les utilisateurs à partir d’Active Directory sur site :
-
Synchronisez les utilisateurs Active Directory avec Common Identity (CI) à l'aide de Directory Connector. Vous pouvez télécharger le logiciel du connecteur à partir du Control Hub et l'installer sur votre machine locale. Voir le Guide de déploiement de Directory Connector pour plus d’informations.
-
Suivez la procédure dans Configurer la synchronisation du répertoire pour synchroniser les utilisateurs du Control Hub vers Unified CM.
Configurer la synchronisation du répertoire
Parfois, vous pouvez rencontrer des retards supplémentaires dans le provisionnement d’un cluster. Dans de tels scénarios, le provisionnement se fera quand même bien que cette activité prenne beaucoup de temps.
-
Connectez-vous au Control Hub à l'adresse https://admin.webex.com/login.
-
Allez dans Services > Appel > Instance dédiée > Gérer.
-
Sélectionnez l’application UC et cliquez sur Installer sous Activer la synchronisation du répertoire dans le panneau de droite.
-
Dans la fenêtre de configuration du mappage de champ, assurez-vous que le mappage choisi pour le champ ID utilisateur d’Unified CM identifie de manière unique l’utilisateur au sein du cluster après avoir commencé le provisionnement.
-
Choisissez le mappage approprié du champ ID utilisateur Unified CM pour synchroniser l’utilisateur à partir de Webex :
-
Le champ ID utilisateur dans Unified CM correspond à l’ID de messagerie de l’utilisateur dans Webex.
-
Le champ ID de la messagerie dans Unified CM correspond à l’ID de la messagerie de l’utilisateur dans Webex.
-
Le champ ID utilisateur dans Unified CM correspond à l’ID de messagerie électronique sans la partie domaine de l’utilisateur dans Webex.
Un nouveau compte utilisateur est créé si le mappage ne peut être effectué avec succès pour un compte utilisateur existant dans Unified CM. L'ID de messagerie électronique de l'utilisateur est utilisé comme identifiant unique pour le compte utilisateur nouvellement créé. Cette remarque s’applique aux options 1 et 2.
Options
Unified CM
Control Hub
Option 1
Le champ ID utilisateur dans Unified CM correspond à l’ID de messagerie de l’utilisateur dans Webex
Option 2
Le champ ID de la messagerie dans Unified CM correspond à l’ID de la messagerie de l’utilisateur dans Webex
Option 3
Le champ ID utilisateur dans Unified CM correspond à l’ID de l’adresse électronique sans la partie domaine de l’utilisateur dans Webex
-
-
Cliquez sur Suivant.
-
Sélectionnez un accord dans la liste déroulante pour créer un nouvel accord de synchronisation. Une fois le nouvel accord de synchronisation créé, tous les accords de synchronisation existants pointant vers le répertoire sur site sont supprimés. Vous pouvez modifier le nouvel accord de synchronisation après sa création.
-
Dans la section Aperçu de l’accord, passez en revue la liste des utilisateurs et les détails des contacts (détails de l’annuaire LDAP externe existant disponibles dans Unified Communications Manager) avant de démarrer la synchronisation. Vous pouvez afficher les détails suivants :
-
Informations sur le groupe
Par défaut, tous les utilisateurs sont synchronisés avec le rang d'utilisateur 5. Ceci peut être vérifié dans la fenêtre Informations sur le groupe.
-
Modèle de groupe de fonctionnalités appliqué avec des modèles de lignes et de périphériques universels
-
Détails de la ligne et du masque vers les numéros de téléphone synchronisés pour les utilisateurs insérés
-
Utilisateurs nouvellement provisionnés et leurs extensions
-
Section Champs utilisateur standard à synchroniser.
-
Nom d'hôte ou adresse IP du serveur de répertoire
Cliquez sur Suivant pour sélectionner le filtre du groupe.
La section Informations sur le groupe n'est pas applicable à Cisco Unity Connection et n'est donc pas visible dans la section Aperçu de l'accord.
-
-
Dans la liste déroulante Sélectionner les groupes , sélectionnez un ou plusieurs groupes spécifiques que vous souhaitez synchroniser. Cliquez sur la case à cocher Sélectionner tous les groupes si vous souhaitez sélectionner tous les groupes d’utilisateurs.
Par défaut, tous les utilisateurs sont synchronisés. Si vous ne sélectionnez aucun groupe, tous les utilisateurs et les données utilisateur associées seront synchronisés automatiquement.
Pour les groupes imbriqués dans un répertoire, les utilisateurs doivent sélectionner le sous-groupe d’utilisateurs spécifiquement lors du provisionnement car ils ne sont pas inclus par défaut avec le groupe parent. Vous devez vérifier toute imbrication répétitive (le cas échéant) pour vous assurer que seuls les utilisateurs requis sont inclus lors du provisionnement.
Toute modification de l’accord de synchronisation, par exemple la suppression d’un utilisateur ou d’un groupe cible, ne sera pas répercutée pendant la synchronisation périodique. Il est nécessaire de réinitialiser le service de répertoire pour ce cluster, puis de provisionner à nouveau le cluster avec un accord de synchronisation nouveau ou modifié. Contactez le service d’assistance technique de Cisco pour réinitialiser le service de répertoire pour le cluster requis.
-
Cliquez sur Suivant pour préparer le processus de synchronisation.
-
Dans la fenêtre Activer la synchronisation , activez la synchronisation lorsque le système copie avec succès les données utilisateur dans un espace de stockage temporaire dans Unified CM et qu'un nouvel accord de synchronisation est créé (après les étapes 1 et 2, comme indiqué dans la capture d'écran suivante).
-
L'option Télécharger le rapport vous permet de visualiser partiellement les résultats. Pour récupérer les rapports complets pour le cluster Unified CM, exécutez la commande CLI suivante : obtenir activelog /cm/trace/CIService/log4j/DryRunResults.csv
Si vous n’avez pas d’accès, contactez le service d’assistance technique Cisco pour télécharger le rapport.
Ici, le résultat de l'essai à vide montre ce qui suit :
-
Nouveaux utilisateurs—Les utilisateurs ne sont pas présents dans Unified CM mais présents dans le service d'identité Webex. Les utilisateurs sont créés dans Unified CM après avoir activé la synchronisation.
-
Utilisateurs correspondants—Les utilisateurs sont présents dans Unified CM et le service d'identité Webex. Ces utilisateurs resteront actifs dans Unified CM une fois la synchronisation terminée.
-
Utilisateurs non concernés—Les utilisateurs sont présents dans Unified CM et le service d'identité Webex. Les utilisateurs qui ne correspondent pas sont marqués comme inactifs dans Unified CM une fois la synchronisation terminée et seront bloqués après 24 heures d’inactivité.
Vous pouvez vérifier le rapport et décider si vous souhaitez conserver la même liste d'utilisateurs et ajouter ou supprimer des utilisateurs. En fonction de la décision, cliquez sur Abandonner pour arrêter le processus et annuler les modifications du provisionnement.
-
-
Après la vérification de l’accord de synchronisation, cliquez sur Aperçu dans Unified CM pour vous connecter à votre infrastructure et modifier l’accord de synchronisation nouvellement créé.
Vous ne pouvez modifier que les informations du groupe. Vous ne pouvez pas renommer l’accord ou modifier les informations.
-
Cliquez sur Activer la synchronisation pour procéder à la synchronisation.
Pendant la synchronisation, vous ne pourrez effectuer aucune action tant que vous n’êtes pas terminé. Une fois la synchronisation terminée pour un cluster particulier, la page Service de répertoire répertorie ce cluster avec l’état Provisionné. À ce stade, vous avez autorisé Azure AD à provisionner et à synchroniser les utilisateurs Webex dans l’infrastructure UC et vous avez terminé les étapes pour configurer la synchronisation.
Vous devez activer la synchronisation dans les 18 heures suivant la création du nouvel accord. les utilisateurs synchronisés par LDAP deviennent inactifs et sont supprimés après 24 heures d’inactivité. Les utilisateurs ne pourront pas se connecter et utiliser les services Unified CM.
Une fois le provisionnement d’Azure AD terminé pour un certain cluster, vous ne pouvez pas créer de nouveaux accords de synchronisation ni modifier les paramètres de configuration pour le même cluster à l’exception des paramètres de groupe. Contactez le service d’assistance technique de Cisco pour réinitialiser le service de répertoire. Vous pouvez ensuite créer un nouvel accord pour le provisionnement.
Si vous utilisez Azure IdP au cours de l’authentification SSO après un provisionnement réussi, assurez-vous que vous configurez les bonnes revendications dans l’IdP Azure. Par exemple, pendant le provisionnement, si l’option 1 est sélectionnée pour le mappage de l’identifiant utilisateur, vérifiez que user.userprincipalname est configuré en tant qu’UID dans la section Réclamations supplémentaires .
Synchronisation périodique
Une fois qu’un cluster est provisionné avec succès, la synchronisation périodique s’exécute quotidiennement et se charge de synchroniser toute modification apportée aux données utilisateur de Webex Common Identity avec Unified CM et Cisco Unity Connection. Votre intervention n’est pas nécessaire pour la synchronisation périodique. Cependant, vous pouvez vérifier si la synchronisation périodique a eu lieu pour la journée en observant la colonne Dernière synchronisation à dans la page Détails du cluster sur le Control Hub. L'horodatage est mis à jour pour refléter l'heure à laquelle la synchronisation périodique s'est produite pour le cluster.
Unified CM
Connexion Cisco Unity
Répertoire LDAP dans Unified CM ou Cisco Unity Connection
Un répertoire LDAP par défaut est créé par le processus de synchronisation.
Bien que les paramètres affichent la synchronisation une fois, le Control Hub se synchronise au cycle de 24 heures sur les modifications de Common Identity vers Unified CM ou Cisco Unity Connection.
Afficher le statut de la synchronisation
Afficher le statut de la synchronisation dans la colonne Statut de la synchronisation du répertoire. Cliquez sur l’application UC pour obtenir le panneau de droite qui indique l’état du provisionnement, le dernier état de synchronisation et la raison de l’échec, le cas échéant. Vous pouvez également sélectionner le fuseau horaire local. Le fuseau horaire par défaut du navigateur est sélectionné.
Statut de l’approvisionnement
Statut de l’approvisionnement |
Description |
---|---|
Traitement en cours |
Le provisionnement est en cours |
Action requise |
Prenez les mesures nécessaires si une intervention manuelle est requise pour un cluster particulier.
|
Erreur |
Si une action est requise dans l’assistant Activer la synchronisation , vérifiez-les et, le cas échéant, prenez les mesures nécessaires. |
Actif(s) |
Le provisionnement du cluster est terminé. |
Non provisionné |
Le provisionnement du cluster n’a pas encore commencé. |
Importer des utilisateurs pour Unity Connection
Vous pouvez importer manuellement des utilisateurs Azure AD à partir de la fonction Importer des utilisateurs dans Cisco Unity Connection après que le provisionnement du cluster ait été effectué à partir du Control Hub.
Les deux façons d'importer des utilisateurs sont les suivantes :
1 |
Dans l'administration de Cisco Unity Connection, développez Utilisateurs et sélectionnez Importer les utilisateurs. |
2 |
Sur la page Importer des utilisateurs, importez les comptes utilisateur du répertoire LDAP pour créer des utilisateurs Unity Connection. |
1 |
Dans Cisco Unity Connection Administration, développez Outils et sélectionnez Outil d'administration en bloc. |
2 |
Pour ajouter des utilisateurs Unity Connection, procédez comme suit sur la page Outil d'administration en bloc : |
3 |
Lorsque l'importation est terminée, vérifiez le fichier spécifié dans le champ Nom de fichier des objets ayant échoué pour vérifier que tous les utilisateurs ont été créés avec succès. |
Dépannage des problèmes de synchronisation
Cette section fournit les informations et les solutions nécessaires pour résoudre certains des problèmes courants que vous pourriez rencontrer lors des différentes étapes de la synchronisation des utilisateurs du Control Hub dans la base de données Unified Communications Manager.
Utilisateurs non concernés
Activez la synchronisation dans les 18 heures suivant la création du nouvel accord. Les utilisateurs existants sont marqués comme inactifs et sont supprimés d’Unified CM après 24 heures d’inactivité.
Erreur : la copie des données a échoué. Veuillez réessayer
-
La communication entre Instance dédiée et le Cloud Webex est interrompue ou incapable de récupérer les données utilisateur à partir du Cloud Webex.
-
La communication entre Instance dédiée et Unified CM est interrompue ou incapable de pousser les données utilisateur vers la base de données Unified CM.
-
Les données utilisateur ne sont pas copiées vers l'emplacement de stockage temporaire.
Erreur : échec de la création de l’accord de synchronisation. Veuillez réessayer
-
La communication entre Instance dédiée et Unified CM est interrompue ou incapable de pousser les données de l’accord de synchronisation dans la base de données Unified CM.
-
Un accord de synchronisation n’a pas été créé avec succès.
Impossible d’obtenir les détails de l’accord de synchronisation. Veuillez réessayer dans un moment.
La communication entre Instance dédiée et Unified CM est interrompue.
Problèmes connus et limites
Si vous rencontrez un problème avec cette fonctionnalité, vérifiez s’il s’agit d’un problème que nous connaissons déjà et pour lequel nous recommandons une autre solution.
-
Le provisionnement du service d’annuaire Webex Calling - Instance dédiée ne fonctionne pas avec l’authentification LDAP car seules les données utilisateur sont synchronisées et non les mots de passe du serveur Unified CM et donc l’authentification LDAP ne fonctionne pas.
Solution : L'authentification unique (SSO) doit être utilisée pour les connexions. Ce document ne couvre que l’intégration de l’authentification unique (SSO).
Configurez une authentification unique (SSO) si vous souhaitez que vos utilisateurs s’authentifient via leur fournisseur d’identité d’entreprise. Voir Intégration de l’authentification unique dans Control Hub et Solution SSO basée sur SAML pour plus d’informations.
-
Contactez le service d’assistance technique de Cisco pour désactiver le service de répertoire. Attendez une minute, puis redémarrez l’installation du service de répertoire.
-
Après la suppression, au cas où vous souhaitez réintégrer le même cluster Unified CM dans l’organisation, vous devez d’abord désactiver le service de répertoire, puis reprovisionner le même cluster.
Contactez le service d’assistance technique de Cisco pour désactiver le service de répertoire.
-
Dans la page d’accord de synchronisation, les champs Effectuer une synchronisation tous les et Prochaine resynchronisation s’affichent actifs. Mais ces champs sont grisés dans le serveur Unified CM lorsque l'option Effectuer la synchronisation une seule fois est activée. Actuellement, il s’agit d’une limite dans la fonction de provisionnement du service de répertoire de Webex Calling - Instance dédiée qui sera corrigée dans la prochaine version.
-
Les utilisateurs qui sont supprimés dans le portail Azure deviennent inactifs dans le service d’identité Webex mais semblent être actifs dans Unified CM.
Solution : Allez dans Gestion > Utilisateurs et supprimez l’utilisateur du Control Hub. L’utilisateur est marqué Inactif dans Unified CM.
-
Lors du provisionnement de nouveaux clusters pour les grandes organisations (ayant plus de 80 000 utilisateurs), vous rencontrerez actuellement des délais d’attente. Ce problème sera bientôt résolu.
-
Pendant le provisionnement, lorsque vous cliquez sur les boutons Abandonner, Continuer et Activer la synchronisation sur la page Activer la synchronisation, le statut du cluster ne change pas immédiatement dans l’interface utilisateur. Cette limitation est trompeuse puisque les actions ont lieu dans le backend.
Solution : Évitez de cliquer deux fois sur les boutons et vérifiez l'état du cluster après quelques secondes. Vous verrez que le statut du cluster passe de Action requise à Traitement. Ce problème sera bientôt résolu.
-
Actuellement, la fonctionnalité Activer la synchronisation ne répond plus lorsque le réseau Unified Communications Manager est hors service.
Solution : Contactez le service d’assistance technique de Cisco pour désactiver le service de répertoire. Attendez une minute, puis redémarrez l’installation du service de répertoire. Ce problème sera résolu dans la prochaine version.
-
Pendant le provisionnement, la liste des informations sur le groupe ne s’affiche pas en raison de problèmes de synchronisation avec le service d’identité commune Webex. Il est recommandé aux utilisateurs d’abandonner le provisionnement et de réessayer après un certain temps.
-
Si vous configurez à nouveau la synchronisation du répertoire sur un cluster provisionné, il est recommandé d’impliquer l’unité commerciale Webex Calling - Instance dédiée dans le processus.