Intégration de services d'annuaire via Webex Common Identity pour instance dédiée

Aperçu

Synchronisez les utilisateurs d'un annuaire basé sur le cloud tel qu'Azure AD avec des applications d'instance dédiée telles que Unified CM et Cisco Unity Connection grâce au service d'annuaire cloud. Lors de la synchronisation, le système importe une liste d'utilisateurs et les données utilisateur associées dans Azure Active Directory (ou un service d'annuaire cloud similaire) qui est synchronisée dans le service d'identité Webex. Sélectionnez le cluster Unified CM depuis Control Hub pour la synchronisation, choisissez le mappage de champ ID utilisateur Unified CM approprié, puis sélectionnez l'accord de synchronisation requis pour terminer la synchronisation.

Prérequis

Si vous utilisez Azure Active Directory comme annuaire cloud, consultez Configurer l'application Assistant Azure AD dans Control Hub pour plus d'informations.
Si vous utilisez Microsoft Active Directory comme annuaire, consultez Déployer Directory Connector pour plus d'informations.
Notes de version sur le connecteur de répertoire
Assurez-vous que les systèmes Active Directory existants intégrés à Unified CM sont également intégrés à Webex Common Identity.

Afficher les détails du cluster

Dans la page Gérer de Control Hub, choisissez le cluster avec lequel vous souhaitez synchroniser les données utilisateur.

Cette sélection fournit également les détails du cluster, tels que le nom du cluster, le statut de la synchronisation du cluster, le dernier état de synchronisation et le produit associé.

Détails du groupe	Description
Nom du cluster	Le nom du cluster
Statut	Statut de la synchronisation
Dernière synchronisation	Date de la dernière synchronisation
Produit	Informations relatives au produit

Synchronisation du répertoire

Selon vos besoins, vous pouvez synchroniser les utilisateurs d'Active Directory local vers Control Hub à l'aide de Directory Connector ou directement d'Azure Directory vers Control Hub, puis les synchroniser avec Unified CM.

Effectuez l’une des opérations suivantes :

Pour synchroniser directement les utilisateurs d'Azure Directory vers Control Hub, suivez la procédure Synchroniser les utilisateurs d'Azure Directory.
Pour synchroniser les utilisateurs d'Active Directory local avec Control Hub à l'aide de Directory Connector, suivez la procédure Synchroniser les utilisateurs d'Active Directory local.

Effectuez la synchronisation en dehors des heures ouvrables afin de minimiser son impact sur les services d'appel.

Synchronisation des utilisateurs à partir d’Azure Directory

La synchronisation du service d'annuaire d'instance dédiée vous permet d'importer les données des utilisateurs finaux de l'annuaire Azure dans la base de données Unified CM afin qu'elles s'affichent dans la fenêtre de configuration de l'utilisateur final.

Pour synchroniser les utilisateurs à l’aide d’Azure Directory :

Vous devez Synchroniser les utilisateurs d'Azure Active Directory dans Control Hub.
Suivez la procédure Configurer la synchronisation d'annuaire pour synchroniser les utilisateurs de Control Hub avec Cisco Unified CM.

Synchroniser les utilisateurs à partir d'Active Directory local

Les utilisateurs d’Active Directory sur site peuvent être synchronisés avec Common Identity (CI) en utilisant Directory Connector.

Seul le déploiement SSO est pris en charge pour le service d'annuaire. Voir Intégration de l'authentification unique dans Control Hub et Solution SSO basée sur SAML pour plus d'informations.

Pour synchroniser les utilisateurs à partir d’Active Directory sur site :

Synchronisez les utilisateurs Active Directory avec Common Identity (CI) à l'aide de Directory Connector. Vous pouvez télécharger le logiciel de connexion depuis Control Hub et l'installer sur votre ordinateur. Voir Guide de déploiement de Directory Connector pour plus d’informations.
Suivez la procédure décrite dans Configurer la synchronisation d'annuaire synchroniser les utilisateurs de Control Hub avec Unified CM.

Configurer la synchronisation des répertoires

Parfois, vous pouvez rencontrer des retards supplémentaires dans le provisionnement d’un cluster. Dans de tels cas, le provisionnement se fera quand même, bien que cette activité prenne beaucoup de temps.

Connectez-vous au Centre de contrôle à https://admin.webex.com/login.
Allez dans Services > Appel > Instance dédiée > Gestion.
Sélectionnez l’application UC et cliquez sur Installer sous Activer la synchronisation du répertoire dans le panneau de droite.
Dans la fenêtre de configuration du mappage de champ, assurez-vous que le mappage choisi pour le champ ID utilisateur Unified CM identifie de manière unique l’utilisateur dans le cluster après le début du provisionnement.

Choisissez le mappage approprié du champ User ID d’Unified CM pour synchroniser l’utilisateur à partir de Webex :

Le champ ID utilisateur dans Unified CM correspond à l'adresse e-mail de l'utilisateur dans Webex.
Le champ « ID de messagerie » dans Unified CM correspond à l’identifiant de messagerie de l’utilisateur dans Webex.
Le champ d'identifiant utilisateur dans Unified CM correspond à l'identifiant de messagerie sans le domaine de l'utilisateur dans Webex.

Un nouveau compte utilisateur est créé si le mappage ne peut pas être effectué avec succès pour un compte utilisateur existant dans Unified CM. L'adresse électronique de l'utilisateur est utilisée comme identifiant unique pour le compte utilisateur nouvellement créé. Cette note s'applique aux options 1 et 2.

Options

Unified CM

Control Hub

Option 1

Le champ d'identifiant utilisateur dans Unified CM correspond à l'adresse e-mail de l'utilisateur dans Webex.

Option 2

Le champ « Adresse e-mail » dans Unified CM correspond à l'adresse e-mail de l'utilisateur dans Webex.

Option 3

Le champ d'identifiant utilisateur dans Unified CM correspond à l'adresse e-mail sans le domaine de l'utilisateur dans Webex.

Cliquez sur Suivant.
Sélectionnez un accord dans la liste déroulante pour créer un nouvel accord de synchronisation. Une fois le nouvel accord de synchronisation créé, tous les accords de synchronisation existants pointant vers l'annuaire local sont supprimés. Vous pouvez modifier le nouvel accord de synchronisation après sa création.
Dans la section Aperçu de l’accord, examinez la liste des utilisateurs et les détails des contacts (détails du répertoire LDAP externe existant disponibles dans Unified Communications Manager) avant de lancer la synchronisation. Vous pouvez afficher les informations suivantes :
- Informations sur le groupe
  
  Par défaut, tous les utilisateurs sont synchronisés avec le niveau utilisateur 5. Cela peut être vérifié dans la fenêtre d'informations du groupe.
- Modèle de groupe de fonctionnalités appliqué avec des modèles de lignes et de périphériques universels
- Informations sur les lignes et les masques vers les numéros de téléphone synchronisés pour les utilisateurs insérés
- Utilisateurs nouvellement provisionnés et leurs extensions
- Section « Champs utilisateur standard à synchroniser ».
- Nom d’hôte ou adresse IP du serveur de répertoire
Cliquez sur Suivant pour sélectionner le filtre de groupe.

La section « Informations sur le groupe » n'est pas applicable à Cisco Unity Connection et n'est donc pas visible dans la section « Aperçu du contrat ».
Dans la liste déroulante Sélectionner les groupes, sélectionnez un ou plusieurs groupes spécifiques que vous souhaitez synchroniser. Cliquez sur la case Sélectionner tous les groupes si vous souhaitez sélectionner tous les groupes d’utilisateurs.

Par défaut, tous les utilisateurs sont synchronisés. Si vous ne sélectionnez aucun groupe, tous les utilisateurs et les données utilisateur associées seront synchronisés automatiquement.

Pour les groupes imbriqués dans un répertoire, les utilisateurs doivent sélectionner spécifiquement le sous-groupe d’utilisateurs lors du provisionnement car ils ne sont pas inclus par défaut dans le groupe parent. Vous devez vérifier toute imbrication répétitive (le cas échéant) afin de vous assurer que seuls les utilisateurs requis sont inclus lors de la mise en service.

Toute modification de l’accord de synchronisation, par exemple la suppression d’un utilisateur ou d’un groupe cible, ne sera pas répercutée lors de la synchronisation périodique. Il est nécessaire de réinitialiser le service d'annuaire pour ce cluster, puis de le reconfigurer avec un accord de synchronisation nouveau ou modifié. Contactez le service d’assistance technique de Cisco pour réinitialiser le service de répertoire pour le cluster requis.
Cliquez sur Suivant pour préparer le processus de synchronisation.
Dans la fenêtre Activer la synchronisation, activez la synchronisation une fois que le système a copié avec succès les données utilisateur dans un espace de stockage temporaire dans Unified CM et qu'un nouvel accord de synchronisation a été créé (après les étapes 1 et 2 comme indiqué dans la capture d'écran suivante).
L’option Télécharger le rapport vous permet de visualiser partiellement les résultats. Pour récupérer les rapports complets pour le cluster Unified CM, exécutez la commande CLI suivante : file get activelog /cm/trace/CIService/log4j/DryRunResults.csv

Si vous n'y avez pas accès, contactez le support technique Cisco (TAC) pour télécharger le rapport.

Voici le résultat de l'essai à blanc :
- Nouveaux utilisateurs— Les utilisateurs ne sont pas présents dans Unified CM mais présents dans Webex Identity Service. Les utilisateurs sont créés dans Unified CM après avoir activé la synchronisation.
- Utilisateurs correspondants— Les utilisateurs sont présents dans Unified CM et Webex Identity Service. Ces utilisateurs resteront actifs dans Unified CM une fois la synchronisation terminée.
- Utilisateurs incompatibles— Des utilisateurs sont présents dans Unified CM et Webex Identity Service. Les utilisateurs non concordants sont marqués comme inactifs dans Unified CM une fois la synchronisation terminée et seront supprimés après 24 heures d'inactivité.
Vous pouvez examiner le rapport et décider si vous souhaitez conserver la même liste d’utilisateurs et ajouter ou supprimer des utilisateurs. En fonction de la décision, cliquez sur Abandonner pour arrêter le processus et annuler les modifications du provisionnement.
Après la vérification de l'accord de synchronisation, cliquez sur Aperçu dans Unified CM pour vous connecter à votre infrastructure et modifier l'accord de synchronisation nouvellement créé.

Vous pouvez uniquement modifier les informations du groupe. Vous ne pouvez pas renommer l’accord ou modifier les informations.
Cliquez sur Activer la synchronisation pour procéder à la synchronisation.

Pendant la synchronisation, vous ne pourrez effectuer aucune action jusqu’à ce qu’elle soit terminée. Une fois que la synchronisation est terminée pour un cluster particulier, la page Directory Service liste ce cluster avec l’état provisionné. À ce stade, vous avez autorisé Azure AD à approvisionner et à synchroniser les utilisateurs Webex dans l’infrastructure UC et vous avez terminé les étapes pour configurer la synchronisation.

Vous devez activer la synchronisation dans les 18 heures suivant la création du nouvel accord. Les utilisateurs synchronisés par LDAP deviennent inactifs et sont supprimés après 24 heures d’inactivité. Les utilisateurs ne seront pas en mesure de se connecter et d’utiliser les services Unified CM.

Une fois le provisionnement d’Azure AD terminé pour un certain cluster, vous ne pouvez pas créer de nouveaux accords de synchronisation ni modifier les paramètres de configuration pour le même cluster, à l’exception des paramètres de groupe. Contactez le service d’assistance technique de Cisco pour réinitialiser le service de répertoire. Vous pouvez ensuite créer un nouvel accord pour le provisionnement.

Si vous utilisez Azure IdP pendant l’authentification SSO après un provisionnement réussi, assurez-vous que vous configurez les bonnes revendications dans Azure IdP. Par exemple, pendant le provisionnement, si l’option 1 est sélectionnée pour le mappage de l’identifiant d’utilisateur, assurez-vous que user.userprincipalname est configuré comme UID dans la section Additional Claims.

Synchronisation périodique

Une fois le cluster provisionné avec succès, une synchronisation périodique s'exécute quotidiennement, assurant la synchronisation de toute modification des données utilisateur entre Webex Common Identity et Unified CM et Cisco Unity Connection. Votre intervention n'est pas nécessaire pour la synchronisation périodique. Vous pouvez toutefois vérifier si une synchronisation périodique a eu lieu pour la journée en observant la colonne Dernière synchronisation à dans la page Détails du cluster sur le Control Hub. L'horodatage est mis à jour pour refléter l'heure à laquelle la synchronisation périodique a eu lieu pour le cluster.

Unified CM

Connexion Cisco Unity

Annuaire LDAP dans Unified CM ou Cisco Unity Connection

Un répertoire LDAP par défaut est créé par le processus de synchronisation.

Bien que les paramètres indiquent une synchronisation unique, Control Hub se synchronise toutes les 24 heures lors des modifications apportées à Common Identity avec Unified CM ou Cisco Unity Connection.

Afficher l'état de la synchronisation

Afficher le statut de la synchronisation dans la colonne Statut de la synchronisation du répertoire. Cliquez sur l’application UC pour obtenir le panneau de droite qui montre l’état du provisionnement, le dernier état de synchronisation et la raison de l’échec, le cas échéant. Vous pouvez également sélectionner le fuseau horaire local. Le fuseau horaire par défaut du navigateur est sélectionné.

Statut du provisionnement

Statut du provisionnement	Description
Traitement en cours	Le provisionnement est en cours
Action requise	Prenez les mesures nécessaires si une intervention manuelle est requise pour un cluster particulier. Si vous souhaitez poursuivre ou abandonner la synchronisation après l’essai. Après la création du nouvel accord, vérifiez s’il y a des notifications, et prenez les mesures nécessaires selon les besoins.
Erreur	Si une action est requise dans l’assistant Activer la synchronisation, vérifiez-la et, le cas échéant, prenez les mesures nécessaires.
Actif	Le provisionnement du cluster est terminé.
Non provisionné	Le provisionnement du cluster n’a pas encore démarré.

Importer des utilisateurs pour Unity Connection

Vous pouvez importer manuellement des utilisateurs Azure AD à partir de la fonction Importer des utilisateurs dans Cisco Unity Connection après que le provisionnement du cluster ait été effectué à partir du Control Hub.

Les deux façons d’importer des utilisateurs sont les suivantes :

Créez des utilisateurs Unity Connection à partir des données d'un annuaire LDAP à l'aide de l'outil Importer des utilisateurs

Dans l'administration de Cisco Unity Connection, développez Utilisateurs et sélectionnez Importer les utilisateurs.

Sur la page Importer des utilisateurs, importez les comptes utilisateur du répertoire LDAP pour créer des utilisateurs Unity Connection.

Sélectionnez Répertoire LDAP dans le champ Rechercher les utilisateurs finaux dans.
Sélectionnez le modèle sur lequel le nouvel utilisateur est basé.
Spécifiez les champs Alias, Prénom ou Nom de famille des comptes utilisateur du répertoire LDAP que vous souhaitez importer.
Cochez les cases correspondant aux comptes utilisateur que vous souhaitez importer et sélectionnez Importer la sélection.

Créer des utilisateurs Unity Connection à partir des données d'un annuaire LDAP à l'aide de l'outil d'administration en masse

Dans le menu Administration de Cisco Unity Connection, développez Outils et sélectionnez Outil d’administration en lot.

Pour ajouter des utilisateurs de Unity Connection, effectuez les étapes suivantes sur la page Outil d’administration en lot :

Dans le menu Sélectionner l’opération, sélectionnez Exportation.
Dans le champ Sélectionner le type d’objet, sélectionnez Utilisateurs du répertoire LDAP.
Saisissez les valeurs dans tous les champs obligatoires.
Sélectionnez Soumettre.

Ceci crée un fichier CSV avec les données utilisateur du répertoire LDAP. Ouvrez le fichier CSV dans un tableur ou dans un éditeur de texte et modifiez les données si nécessaire. Importez ensuite les données du fichier CSV.
Dans Sélectionner l’opération, sélectionnez Créer.
Dans le champ Sélectionner le type d’objet, sélectionnez Utilisateurs avec boîte aux lettres.
Saisissez les valeurs dans tous les champs obligatoires.
Sélectionnez Soumettre.

Une fois l’importation terminée, consultez le fichier spécifié dans le champ Nom de fichier des objets ayant échoué pour vérifier que tous les utilisateurs ont été créés avec succès.

Résoudre les problèmes de synchronisation

Cette section fournit les informations et les solutions nécessaires pour résoudre certains des problèmes courants que vous pouvez rencontrer au cours des différentes étapes de la synchronisation des utilisateurs du Control Hub vers la base de données Unified Communications Manager.

Utilisateurs non correspondants

Activez la synchronisation dans les 18 heures suivant la création du nouvel accord. Les utilisateurs existants sont marqués comme inactifs et sont supprimés de Unified CM après 24 heures d’inactivité.

Erreur - La copie des données a échoué. Veuillez réessayer

La communication entre Instance dédiée et le Cloud Webex est perturbée ou incapable de récupérer les données de l’utilisateur depuis le Cloud Webex.
La communication entre Instance dédiée et Unified CM est interrompue ou incapable de pousser les données utilisateur vers la base de données Unified CM.
Les données utilisateur ne sont pas copiées vers l’emplacement de stockage temporaire.

Erreur - Échec de la création de l’accord de synchronisation. Veuillez réessayer

La communication entre Instance dédiée et Unified CM est interrompue ou incapable de pousser les données de l’accord de synchronisation dans la base de données Unified CM.
Aucun accord de synchronisation n'a pu être créé.

Impossible d’obtenir les détails de l’accord de synchronisation. Veuillez essayer dans un moment.

La communication entre Instance dédiée et Unified CM est interrompue.

Problèmes et limites connus

Si vous rencontrez un problème avec cette fonctionnalité, vérifiez s’il s’agit d’un problème que nous connaissons déjà et pour lequel nous recommandons une solution de remplacement.

Webex Calling - Le provisionnement du service d'annuaire d'instance dédiée ne fonctionne pas avec l'authentification LDAP car seules les données utilisateur sont synchronisées et non les mots de passe du serveur Unified CM ; par conséquent, l'authentification LDAP ne fonctionne pas.

Solution de contournement: L'authentification unique (SSO) doit être utilisée pour les connexions. Ce document ne couvre que l’intégration de l’authentification unique (SSO).

Configurez une authentification unique (SSO) si vous souhaitez que vos utilisateurs s'authentifient via leur fournisseur d'identité d'entreprise. Voir Intégration de l'authentification unique dans Control Hub et Solution SSO basée sur SAML pour plus d'informations.
Contactez le service technique de Cisco pour désactiver le service de répertoire. Patientez une minute, puis relancez la configuration du service d'annuaire.
Après suppression, si vous souhaitez réintégrer le même cluster Unified CM à l'organisation, vous devez d'abord désactiver le service d'annuaire, puis reconfigurer le même cluster.

Contactez le service technique de Cisco pour désactiver le service de répertoire.
Dans la page d’accord de synchronisation, les champs Synchroniser tous les et Synchroniser la prochaine fois sont actifs. Mais ces champs sont grisés dans le serveur CM unifié lorsque l’option Effectuer une synchronisation une seule fois est activée. Il s'agit actuellement d'une limitation de la fonctionnalité de provisionnement du service d'annuaire d'instance dédiée de Webex Calling, qui sera corrigée dans la prochaine version.
Les utilisateurs supprimés dans le portail Azure deviennent inactifs dans Webex Identity Service, mais apparaissent comme actifs dans Unified CM.

Solution de contournement: Allez dans Gestion > Utilisateurs et supprimez l’utilisateur du Control Hub. L'utilisateur est marqué Inactif dans Unified CM.
Lors de la mise en service de nouveaux clusters pour les grandes organisations (comptant plus de 80 000 utilisateurs), vous rencontrerez actuellement des problèmes de délai d'attente. Ce problème sera bientôt résolu.
Lors de la configuration, lorsque vous cliquez sur les boutons Abandonner, Continueret Activer la synchronisation sur la page Activer la synchronisation, l'état du cluster ne change pas immédiatement dans l'interface utilisateur. Cette limite est trompeuse puisque les actions ont lieu dans le backend.

Solution de contournement: Évitez de cliquer deux fois sur les boutons et vérifiez l'état du cluster après quelques secondes. Vous constaterez que l'état du cluster passe de Action requise à Traitement. Ce problème sera bientôt résolu.
Actuellement, la fonctionnalité Activer la synchronisation cesse de répondre lorsque le réseau Unified Communications Manager est hors service.

Solution de contournement: Contactez le service technique de Cisco pour désactiver le service de répertoire. Patientez une minute, puis relancez la configuration du service d'annuaire. Ce problème sera résolu dans la prochaine version.
Pendant le provisionnement, la liste des informations sur le groupe ne s’affiche pas en raison de problèmes de synchronisation avec le service Webex Common Identity. Il est recommandé aux utilisateurs d'abandonner la procédure de provisionnement et de réessayer après un certain temps.
Si vous configurez à nouveau la synchronisation d'annuaire sur un cluster provisionné, il est conseillé d'impliquer l'unité commerciale Webex Calling - Instance dédiée dans le processus.

Merci pour votre commentaire.