- Home
- /
- Articolo
Panoramica sul connettore directory
Directory Connector è un'applicazione locale per la sincronizzazione delle identità nel cloud. Scaricare il software del connettore da Control Hub e installarlo sulla macchina locale.
Con Connettore directory, è possibile gestire gli account utente e i dati in Active Directory, in modo che Active Directory diventi la singola fonte di informazioni. Quando si effettua una modifica locale, questa viene replicata nel cloud.
Vedere tutte le caratteristiche, le descrizioni e i vantaggi nella tabella:
Funzione | Descrizione e vantaggi |
---|---|
Dashboard facile da usare | Il dashboard fornisce un programma di sincronizzazione, un riepilogo e lo stato della sincronizzazione nonché lo stato di Connettore directory. È possibile visualizzare il dashboard ogni volta che si esegue l'accesso. |
Esegui a secco prima della sincronizzazione con il cloud | Esegui un'esecuzione di prova delle modifiche alla directory prima che vengano implementate nel cloud. Quindi eseguite un report per vedere che le modifiche che volete apportare sono ciò che vi aspettate. |
Sincronizzazione completa e incrementale | Sincronizzare l'intera rubrica. O semplicemente sincronizzare i cambiamenti incrementali per risparmiare sulla potenza di elaborazione e ridurre il tempo di sincronizzazione. |
Sincronizza più domini (foresta singola o foresta multipla) |
Directory Connector supporta più domini sia in una singola foresta che in più foreste (senza la necessità di AD LDS). Per le imprese con più domini Active Directory, puoi installare un Connettore directory per ciascun dominio, associare ciascun dominio alla tua organizzazione e sincronizzare ciascuna base utente in Webex. Control Hub riflette lo stato mostrando lo stato di sincronizzazione per più connettori directory, consente di disattivare la sincronizzazione per un dominio specifico e disattivare un connettore directory in una distribuzione ad alta disponibilità. |
Sincronizzazione pianificata | Imposta una pianificazione di sincronizzazione per giorno, ora e minuto. |
Filtri LDAP (Lightweight Directory Access Protocol) | Definire i criteri di ricerca LDAP e fornire importazioni efficienti. |
Mappatura attributi Active Directory | Associa gli attributi Microsoft Active Directory agli attributi cloud Webex corrispondenti. È possibile mappare gli attributi pertinenti alla configurazione di Active Directory e definire anche attributi personalizzati da mappare al cloud. Gli attributi della sede formano diversi dati nel cloud, come le informazioni dell'account utente, i numeri di telefono in Webex Teams, gli indirizzi SIP delle risorse Room e altri dati della scheda di contatto dell'utente (titolo del lavoro, reparto, manager e così via). |
Rubrica aziendale per risorse di sala locali e utenti Cisco Webex Calling (PSTN cloud) e contatti aziendali senza licenza Webex |
Se parte della tua organizzazione utilizza la PSTN cloud Cisco Webex Calling per il servizio di chiamata o se disponi di dispositivi Room locali, questa funzione consente agli utenti di cercare nella rubrica i contatti aziendali dai relativi telefoni Cisco Webex Calling (PSTN cloud) o risorse Room.
|
Visualizzatore evento | Utilizzare il visualizzatore eventi per determinare se si sono verificati problemi con la sincronizzazione. |
Strumento diagnostico e risoluzione dei problemi | È possibile utilizzare lo strumento diagnostico integrato per risolvere i problemi della distribuzione di Cisco Directory Connector. Se la sincronizzazione non funziona correttamente, potrebbe essere presente un errore di configurazione o di rete. Questo strumento verifica la connessione a Active Directory in modo da poter diagnosticare gli errori prima di contattare il supporto. Una volta abilitata la risoluzione dei problemi in Connettore directory, vengono scritti i registri che possono essere inviati al supporto tecnico. |
Aggiornamento automatico | Dopo aver installato Connettore directory, viene inviata una notifica ogni volta che è disponibile una nuova versione del software. È possibile impostare gli aggiornamenti automatici in modo da essere sempre all'ultima versione del software quando viene rilasciata una nuova versione. |
Alta disponibilità | Configurare più connettori in modo che sia presente un backup, nel caso in cui il connettore principale o la macchina che lo ospita si abbassi. |
Connettore directory è diviso in tre aree:
Control Hub è la singola interfaccia che consente di gestire tutti gli aspetti dell'organizzazione Webex: visualizza utenti, assegna licenze, scarica Connettore directory e configura Single Sign-On (SSO) se desideri che gli utenti eseguano l'autenticazione attraverso il relativo provider di identità aziendale e non desideri inviare inviti e-mail per l'app Webex.
L'interfaccia di gestione di Directory Connector è il software scaricato da Control Hub e installato su un server Windows affidabile. Per più domini Active Directory, è possibile installare un istante del software per ciascun dominio che si desidera sincronizzare. Utilizzando il software, è possibile eseguire una sincronizzazione per portare gli account utente Active Directory in Webex, visualizzare e monitorare lo stato di sincronizzazione e configurare i servizi Connettore directory.
Il servizio di sincronizzazione rubrica interroga l'Active Directory per recuperare utenti e gruppi da sincronizzare con il servizio connettore e Connettore directory.
Fare riferimento a questo diagramma per comprendere l'architettura di Connettore directory:
Requisiti per Connettore directory
Requisiti di Windows e Active Directory
È possibile installare Connettore directory su questi server Windows supportati:
Windows Server 2012
Windows Server 2019
Windows Server 2016
Per risolvere un problema relativo ai cookie, si consiglia di aggiornare il controller del dominio a una release contenente la correzione: Windows Server 2012 R2 o 2016. |
Connettore directory è supportato con i seguenti servizi Active Directory:
Active Directory 2016
(Connettore directory è supportato quando si utilizza l'ultima versione di Active Directory su Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Tenere presente i seguenti requisiti aggiuntivi:
Connettore directory richiede TLS1.2. È necessario installare quanto segue:
.NET Framework v3.5 (obbligatorio per l'applicazione Connettore directory. In caso di problemi, utilizzare le indicazioni in Abilita .NET Framework 3.5 utilizzando la procedura guidata di aggiunta di ruoli e funzioni).
.NET Framework v.4.5 (obbligatorio per TLS1.2)
È richiesto il livello di funzionalità della foresta Active Directory 2 (Windows Server 2003) o superiore. Per ulteriori informazioni, vedere cosa sono i livelli funzionali di Active Directory.
Requisiti hardware
È necessario installare Connettore directory su un computer con questi requisiti hardware minimi:
8 GB di RAM
50 GB di storage
Nessun minimo per la CPU
Requisiti di rete
Se la rete è dietro un firewall, assicurarsi che il sistema disponga dell'accesso HTTPS (porta 443) a Internet.
Requisiti dell'organizzazione Webex
Per accedere al software Connettore directory da Control Hub, è necessaria un'organizzazione Webex con una versione di prova o qualsiasi abbonamento a pagamento.
(Opzionale) Se si desidera che i nuovi account utente dell'app Webex siano Attivi prima di eseguire l'accesso per la prima volta, si consiglia di effettuare le seguenti operazioni:
Aggiungere, verificare e richiedere opzionalmente domini che contengono gli indirizzi e-mail utente che si desidera sincronizzare nel cloud.
Eseguire un'integrazione Single Sign-On (SSO) del provider di identità (IdP) con l'organizzazione Webex.
Elimina gli inviti e-mail automatici, in modo che i nuovi utenti non ricevano l'invito e-mail automatico ed è possibile effettuare la propria campagna e-mail. (Questa funzione richiede l'integrazione SSO).
Per ulteriori informazioni, vedi Stati utente e azioni in Control Hub. |
Requisiti di installazione
Per un ambiente con più domini (singola foresta o più foreste), è necessario installare un Connettore directory per ciascun dominio Active Directory. Se si desidera sincronizzare un nuovo dominio (B) mantenendo i dati utente sincronizzati su un altro dominio esistente (A), assicurarsi di disporre di un server Windows separato supportato per installare Connettore directory per la sincronizzazione del dominio (B).
Per accedere al connettore, non è necessario un account amministrativo in Active Directory. È richiesto un account utente locale che sia lo stesso utente di un account amministratore completo in Control Hub.
Questo utente locale deve disporre dei privilegi su tale macchina Windows per connettersi al controller del dominio e leggere gli oggetti utente di Active Directory. L'account di accesso della macchina deve essere un amministratore del computer con privilegi per installare il software sulla macchina locale. (Queste informazioni si applicano anche all'accesso a una macchina virtuale).
Durante l'accesso al connettore, l'account di accesso deve essere uguale all'account amministratore completo per Control Hub. Per impostazione predefinita, il connettore utilizza l'account di sistema locale per accedere a Active Directory. Tuttavia, è possibile utilizzare i servizi Windows per configurare un altro account per accedere a Active Directory. (Queste informazioni si applicano anche all'accesso a una macchina virtuale).
Assicurarsi che la modalità di ricerca della libreria di collegamenti dinamici (DLL) di Windows Safe sia abilitata utilizzando questa procedura: Controllare SafeDllSearchMode nel registro di Windows.
Se si utilizza AD LDS per più domini su una singola foresta, si consiglia di installare Connettore directory e Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) su macchine separate.
Più requisiti di dominio
Prima di seguire le attività nel flusso delle attività di distribuzione del connettore directory Cisco, tenere presenti i seguenti requisiti e raccomandazioni se si desidera sincronizzare le informazioni di Active Directory da più domini nel cloud:
Per ciascun dominio è richiesta un'istanza separata di Connettore directory.
Il software Connettore directory deve essere eseguito su un host che si trova nello stesso dominio che sincronizzerà.
Si consiglia di verificare o richiedere i domini in Control Hub. (Vedere Aggiunta, verifica e richiesta di domini).
Se desideri sincronizzare più di 50 domini, devi aprire un ticket per spostare la tua organizzazione in un elenco di organizzazioni di grandi dimensioni.
Se si desidera, è possibile sincronizzare le informazioni sulle risorse del locale con gli account utente. (vedere Sincronizzazione delle informazioni sulla sala riunioni locale con il cloud Webex).
Raccomandazioni del gruppo Active Directory per l'assegnazione automatica delle licenze
I gruppi Active Directory vengono utilizzati per raccogliere account utente, account computer e altri gruppi in unità gestibili. Lavorare con gruppi anziché con singoli utenti semplifica la manutenzione e l'amministrazione della rete.
Esistono due tipi di gruppi in Active Directory:
Gruppi di distribuzione: utilizzati per creare elenchi di distribuzione e-mail.
Gruppi di sicurezza: utilizzati per assegnare le autorizzazioni a risorse condivise.
Quando si creano gruppi in Active Directory, tenere in considerazione le seguenti linee guida:
Crea un gruppo globale per ciascun ruolo, reparto o servizio (come Vendite, Marketing, Manager, Contabili, Licenze Webex e così via).
Usa le convenzioni di denominazione standard in tutta la tua organizzazione per identificare facilmente le informazioni importanti su un gruppo. I nomi dei gruppi possono includere dettagli sul gruppo, come il livello di accesso, il tipo di risorsa, il livello di sicurezza, l'ambito del gruppo, la funzionalità di posta e così via. Ad esempio, il nome del gruppo "GSG_Webex_Licensing_EMEAR" si riferisce a un gruppo di sicurezza globale per gli utenti EMEAR con licenza Webex.
Organizza i gruppi in modo facile da capire, ad esempio in base alla geografia o alla gerarchia manageriale. Utilizzare le descrizioni dei gruppi per descrivere completamente lo scopo del gruppo.
Prima di aggiungere gli utenti ai gruppi predisposti di recente, definisci il modello di gruppo di licenze automatiche in Control Hub per tali gruppi. Per ulteriori informazioni, vedere Impostazione del modello di assegnazione automatica delle licenze.
Informazioni sulle dimensioni
Connettore directory funziona come ponte tra Active Directory locale e il cloud Webex. Come tale, il connettore non dispone di un limite superiore per il numero di oggetti di Active Directory che possono essere sincronizzati con il cloud. Eventuali limiti sugli oggetti di directory locali sono legati alla versione specifica e alle specifiche per l'ambiente Active Directory sincronizzato con il cloud, non con il connettore stesso.
Alcuni fattori possono influenzare la velocità della sincronizzazione:
Numero totale di oggetti Active Directory. Un processo di sincronizzazione utenti 5000 non richiede fino a 50000.
Velocità di rete e larghezza di banda.
Carico di lavoro e specifiche del sistema.
Se stai sincronizzando più di 50000 utenti, ti consigliamo vivamente di utilizzare un secondo connettore per failover e ridondanza. |
Poiché sono coinvolti diversi fattori con la sincronizzazione e poiché ogni distribuzione varia in base ai fattori di cui sopra, non è possibile fornire valori di tempo specifici per quanto tempo richiederà la sincronizzazione di un oggetto. |
Controllare SafeDllSearchMode nel registro di Windows
La modalità di ricerca DLL (Safe Dynamic Link Library) è impostata per impostazione predefinita nel registro di Windows e posiziona la rubrica corrente dell'utente in un secondo tempo nell'ordine di ricerca DLL. Se questa modalità è stata in qualche modo disabilitata, un aggressore potrebbe posizionare una DLL dannosa (denominata lo stesso file DLL di riferimento che si trova nella cartella di sistema) nella directory di lavoro corrente dell'applicazione.
Solitamente, SafeDllSearchMode è abilitato, ma utilizzare questa procedura per controllare le impostazioni del registro di sistema.
Operazioni preliminari
Le modifiche al registro di sistema di Windows devono essere effettuate con estrema cautela. Si consiglia di eseguire un backup del registro prima di utilizzare questi passaggi. |
1 | Nella ricerca Windows o nella finestra Esegui, digitare regedit e premere Invio. |
2 | Andare a HKEY LOCAL__MACHINE\System\CurrentControlSet\Control\Session Manager. |
3 | Scegli un'opzione:
|
Per ulteriori informazioni, vedere Ordine di ricerca libreria collegamento dinamico.
Integrazione proxy Web
Integrazione proxy Web
Se l'autenticazione del proxy Web è abilitata nel proprio ambiente, è comunque possibile utilizzare Connettore directory.
Se l'organizzazione utilizza un proxy Web trasparente, non supporta l'autenticazione. Il connettore si connette e sincronizza correttamente gli utenti.
È possibile adottare uno di questi approcci:
Proxy Web esplicito tramite Internet Explorer (il connettore eredita le impostazioni del proxy Web)
Proxy Web esplicito tramite un file .pac (il connettore eredita le impostazioni proxy specifiche dell'azienda)
Proxy trasparente che funziona con il connettore senza modifiche
Utilizzo di un proxy Web Tramite Il Browser
È possibile impostare Connettore directory per utilizzare un proxy Web tramite Internet Explorer.
Se il servizio Cisco DirSync viene eseguito da un account diverso rispetto all'utente attualmente connesso, è necessario eseguire l'accesso con questo account e configurare il proxy Web.
1 | Da Internet Explorer, vai a Opzioni Internet, fai clic su Connessioni, quindi scegli Impostazioni LAN. | ||
2 | Puntare l'istanza Windows in cui è installato il connettore sul proxy Web. Il connettore eredita queste impostazioni del proxy Web. | ||
3 | Se l'ambiente utilizza l'autenticazione proxy, aggiungere questi URL all'elenco consentito:
È possibile eseguire questa operazione a livello di sito (per tutti gli organizzatori) o solo per l'organizzatore che dispone del connettore.
| ||
4 | Se l'ambiente necessita di richiedere gli elenchi di revoca dei certificati alle autorità di certificazione, aggiungere questi URL all'elenco consentito:
Per ulteriori informazioni, vedere questo articolo su domini e URL a cui è necessario accedere per i servizi Webex. |
Configurazione del proxy Web Attraverso un file PAC
È possibile configurare un browser client per utilizzare un file .pac. Questo file fornisce l'indirizzo proxy Web e le informazioni sulla porta. Directory Connector eredita direttamente la configurazione proxy Web specifica dell'azienda.
1 | Per connettere e sincronizzare correttamente le informazioni utente al cloud Webex, assicurarsi che l'autenticazione del proxy sia disabilitata per | ||
2 | Se l'ambiente utilizza l'autenticazione proxy, aggiungere questi URL all'elenco consentito:
È possibile eseguire questa operazione a livello di sito (per tutti gli organizzatori) o solo per l'organizzatore che dispone del connettore.
| ||
3 | Se l'ambiente necessita di richiedere gli elenchi di revoca dei certificati alle autorità di certificazione, aggiungere questi URL all'elenco consentito:
Per ulteriori informazioni, vedere questo articolo su domini e URL a cui è necessario accedere per i servizi Webex. |
Proxy NTLM
Il connettore directory supporta NT LAN Manager (NTLM). NTLM è un approccio per supportare l'autenticazione Windows tra i dispositivi di dominio e garantirne la sicurezza.
Progettazione NTLM
Nella maggior parte dei casi, un utente desidera accedere a un'altra postazione di lavoro tramite un PC client, che può essere difficile da eseguire in modo sicuro.
In generale, la progettazione tecnica di NTLM si basa su un meccanismo di Challenge
e Response
:
Un utente accede a un PC client attraverso un account e una password Windows. La password non viene mai salvata localmente. Anziché una password di testo normale, viene memorizzato localmente un valore hash della password. Quando un utente accede attraverso la password al client, il sistema operativo Windows confronta il valore hash memorizzato e il valore hhashed dalla password di input. Se entrambi sono uguali, l'autenticazione passa.
Quando l'utente desidera accedere a qualsiasi risorsa in un altro server, il client invia una richiesta al server con il nome dell'account in testo normale.
Quando il server riceve la richiesta, genera una chiave casuale a 16 bit. La chiave si chiama Challenge (o Nonce). Prima che il server torni al client, il problema viene memorizzato nel server. E poi il server invia la sfida al client in testo normale.
Non appena il client riceve il challenge inviato dal server, il client lo crittografa in base al valore hash menzionato al punto 1. Dopo la crittografia, il valore viene inviato nuovamente al server.
Quando il server riceve il valore crittografato dal client, il server lo invia al controller del dominio per la verifica. La richiesta comprende: il nome dell'account, la sfida crittografata inviata dal client e la sfida normale originale.
Il controller di dominio può recuperare i valori hash della password in base al nome dell'account. E poi il controller del dominio può crittografare la domanda originale. Il controller doman può quindi confrontare con il valore hash ricevuto e il valore hash crittografato. Se sono uguali, la verifica ha esito positivo.
Windows dispone di autenticazione di sicurezza integrata nel sistema operativo, che rende più facile per le applicazioni supportare l'autenticazione di sicurezza. Di conseguenza, non è necessario completare l'ulteriore configurazione. |
Configurazione del proxy trasparente
In questo scenario, il browser non è a conoscenza del fatto che un proxy Web trasparente stia intercettando le richieste http (porta 80/porta 443) e non è richiesta alcuna configurazione lato client.
1 | Distribuire un proxy trasparente in modo che il connettore possa connettere e sincronizzare gli utenti. |
2 | Verificare che il proxy abbia esito positivo: quando si avvia il connettore, viene visualizzata una finestra popup di autenticazione del browser prevista. |
Imposta autenticazione proxy
Aggiungi URL cloudconnector.webex.com
all'elenco consentito creando un elenco di controllo accessi.
Sul server del firewall aziendale:
1 | Abilita ricerca DNS se non è già abilitato. |
2 | Determinare una larghezza di banda stimata per questa connessione (circa 2 mb/s o meno per il connettore). Potrebbe non essere necessario. |
3 | Creare un elenco di controllo dell'accesso da applicare all'host connettore e specificare Ad esempio: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
4 | Applicare questo ACL all'interfaccia del firewall appropriata, applicabile solo a questo host a connettore singolo. |
5 | Assicurarsi che al resto degli organizzatori nell'azienda venga comunque richiesto di utilizzare il proxy Web configurando la dichiarazione di rifiuto implicita appropriata. |
Flusso delle attività di distribuzione del connettore directory Cisco
Operazioni preliminari
1 |
Control Hub mostra inizialmente la sincronizzazione delle rubriche come disabilitata. Per attivare la sincronizzazione delle rubriche per la tua organizzazione, devi installare e configurare Connettore directory, quindi eseguire correttamente una sincronizzazione completa. Per una nuova installazione di Connettore directory, andare sempre a Control Hub ( https://admin.webex.com) per ottenere l'ultima versione del software in modo da utilizzare le ultime funzioni e correzioni di bug. Dopo aver installato il software, gli aggiornamenti vengono segnalati attraverso il software e installati automaticamente quando disponibili. |
2 |
Accedere con le credenziali dell'amministratore Webex ed eseguire l'impostazione iniziale. |
3 | Impostazione degli aggiornamenti automatici È sempre importante mantenere aggiornato il software Connettore directory all'ultima versione. Si consiglia di utilizzare questa procedura per consentire l'installazione automatica degli aggiornamenti al software in modo invisibile all'utente quando sono disponibili. |
4 | Scelta di oggetti Active Directory da sincronizzare Per impostazione predefinita, Connettore directory sincronizza tutti gli utenti che non sono computer e tutti i gruppi che non sono oggetti di sistema critici per un dominio. Per un maggiore controllo sugli oggetti sincronizzati, è possibile selezionare utenti specifici per sincronizzare e specificare i filtri LDAP utilizzando la pagina di selezione degli oggetti in Connettore directory. |
5 |
È possibile mappare gli attributi dall'Active Directory locale agli attributi corrispondenti nel cloud. L'unico campo obbligatorio è *uid. |
6 | Sincronizzare gli avatar della rubrica utilizzando una delle seguenti procedure:
È possibile sincronizzare gli avatar degli utenti sul cloud in modo che l'avatar di ciascun utente venga visualizzato quando accede all'applicazione. È possibile sincronizzare gli avatar da un attributo Active Directory o da un server risorse. |
7 | Sincronizzazione delle informazioni della sala riunioni locale con il cloud Webex Utilizzare questa procedura per sincronizzare le informazioni della sala riunioni locale da Active Directory nel cloud Webex. Dopo aver sincronizzato le informazioni della sala riunioni, i dispositivi di sala locali con un indirizzo SIP configurato e mappato vengono visualizzati come voci ricercabili sui dispositivi di sala registrati su cloud, come un dispositivo Webex Room o Cisco Webex Board |
8 | Per eseguire il provisioning degli utenti da Active Directory In Control Hub, effettuare le seguenti operazioni:
Segui questa sequenza per eseguire il provisioning degli utenti Active Directory per gli account dell'app Webex. Puoi eseguire il provisioning degli utenti da una distribuzione Active Directory a più aree o più domini per Connettore directory 3.0 e versioni successive. Durante il processo di onboarding degli utenti da diversi domini, è necessario decidere se conservare o eliminare gli oggetti utente che potrebbero già esistere nel cloud Webex, ad esempio gli account di test di una versione di prova. L'obiettivo è avere una corrispondenza esatta tra le Active Directory e il cloud Webex. |
Installa Connettore directory
Control Hub mostra inizialmente la sincronizzazione delle rubriche come disabilitata. Per attivare la sincronizzazione delle rubriche per la tua organizzazione, devi installare e configurare Connettore directory, quindi eseguire correttamente una sincronizzazione completa.
È necessario installare un connettore per ciascun dominio Active Directory che si desidera sincronizzare. Una singola istanza Connettore directory può servire solo un singolo dominio. Vedere il seguente diagramma per comprendere il flusso per la sincronizzazione di più domini:
Operazioni preliminari
Se si esegue l'autenticazione attraverso un server proxy, assicurarsi di disporre delle credenziali proxy:
Per l'autenticazione di base del proxy, inserirai il nome utente e la password dopo aver installato un'istanza del connettore. È richiesta anche la configurazione del proxy Internet Explorer per l'autenticazione di base; vedere Uso di un proxy Web Tramite Il Browser
Per NTLM proxy, è possibile che venga visualizzato un errore quando si apre il connettore per la prima volta. Vedere Utilizzo di un proxy Web Tramite Il Browser.
1 | In Control Hub, vai a e scegli Avanti. | ||
2 | Fare clic sul collegamento Scarica e installa per salvare la versione più recente del file .zip di installazione del connettore sul server VMware o Windows. È possibile ottenere il file .zip direttamente da questo collegamento, ma è necessario disporre dell'accesso amministrativo completo a un'organizzazione Control Hub per il funzionamento di questo software.
| ||
3 | Sul server VMware o Windows, decomprimere ed eseguire il file .msi nella cartella di configurazione per avviare la procedura di installazione guidata. | ||
4 | Fare clic su Avanti, selezionare la casella per accettare il contratto di licenza, quindi fare clic su Avanti fino a visualizzare la schermata del tipo di account. | ||
5 | Scegliere il tipo di account servizio che si desidera utilizzare ed eseguire l'installazione con un account amministratore:
Per evitare errori, verificare che siano presenti i seguenti privilegi:
| ||
6 | Fai clic su Installa. Una volta eseguito il test di rete e se richiesto, immettere le credenziali di base del proxy, fare clic su OK, quindi su Fine. |
Operazioni successive
Si consiglia di riavviare il server dopo l'installazione. Il report di esecuzione di prova non può mostrare il risultato corretto quando i dati non sono stati rilasciati. Durante il riavvio della macchina, tutti i dati vengono aggiornati per mostrare un risultato esatto nel report.
Accedi A Connettore directory
Operazioni preliminari
Assicurarsi di disporre delle credenziali proxy.
Per l'autenticazione base del proxy, inserirai il nome utente e la password dopo aver aperto il connettore per la prima volta.
Per NTLM proxy, aprire Internet Explorer, fare clic sull'icona a forma di ingranaggio, andare a Opzioni Internet > Connessioni > Impostazioni LAN, verificare che le informazioni del server proxy siano state aggiunte, quindi fare clic su OK. Vedere Utilizzo di un proxy Web Tramite Il Browser.
1 | Aprire il connettore, quindi aggiungere | ||||
2 | Se richiesto, eseguire l'accesso con le credenziali di autenticazione del proxy, quindi accedere a Webex utilizzando l'account amministratore e fare clic su Avanti. | ||||
3 | Confermare la propria organizzazione e il dominio.
| ||||
4 | Una volta visualizzata la schermata Confirm Organization (Conferma organizzazione), fare clic su Confirm (Conferma). Se si è già legati ad DS/AD LDS, viene visualizzata la schermata Confirm Organization (Conferma organizzazione). | ||||
5 | Fare clic su Confermare . | ||||
6 | Sceglierne uno, in base al numero di domini Active Directory che si desidera associare a Connettore directory:
|
Operazioni successive
Una volta eseguito l'accesso, viene richiesto di eseguire una sincronizzazione di esecuzione a secco.
Dashboard connettore directory
Quando si accede per la prima volta a Connettore directory, viene visualizzato il dashboard. Qui puoi visualizzare un riepilogo di tutte le attività di sincronizzazione, visualizzare le statistiche sul cloud, eseguire una sincronizzazione di prova, avviare una sincronizzazione completa o incrementale e avviare la vista evento per visualizzare le informazioni sugli errori.
In caso di timeout della sessione, eseguire nuovamente l'accesso. |
È possibile eseguire facilmente queste attività dalla barra degli strumenti Azioni o dal menu Azioni.
Componente | Descrizione |
---|---|
Sincronizzazione corrente |
Visualizza le informazioni sullo stato della sincronizzazione attualmente in corso. Quando non viene eseguita alcuna sincronizzazione, la visualizzazione dello stato è inattiva. |
Sincronizzazione successiva |
Visualizza le successive sincronizzazioni complete e incrementali pianificate. Se non è impostata alcuna pianificazione, viene visualizzato Non pianificato. |
Ultima sincronizzazione |
Visualizza lo stato delle ultime due sincronizzazioni eseguite. |
Stato sincronizzazione corrente |
Visualizza lo stato generale della sincronizzazione. |
Connettori |
Visualizza i connettori locali correnti disponibili per il cloud. |
Statistiche cloud |
Visualizza lo stato generale della sincronizzazione. |
Pianificazione sincronizzazione |
Visualizza la pianificazione della sincronizzazione per la sincronizzazione incrementale e completa. |
Riepilogo configurazione |
Elenca le impostazioni modificate nella configurazione. Ad esempio, il riepilogo potrebbe includere quanto segue:
|
Azione | Descrizione | ||
---|---|---|---|
Avvia sincronizzazione incrementale | Avvia manualmente una sincronizzazione incrementale
|
||
Sincronizza esecuzione di prova |
Eseguire una sincronizzazione di esecuzione a secco. |
||
Avvia visualizzatore evento |
Avviare il Visualizzatore eventi Microsoft. |
||
Aggiorna |
Aggiornare il dashboard del connettore directory Cisco |
Azione | Descrizione |
---|---|
Sincronizza ora | Avvia immediatamente una sincronizzazione completa. |
Modalità di sincronizzazione |
Selezionare la modalità di sincronizzazione incrementale o completa. |
Reimposta segreto connettore |
Stabilire una conversazione tra il connettore directory Cisco e il servizio connettore. Selezionando questa azione viene ripristinato il segreto nel cloud e il segreto viene salvato localmente. |
Esecuzione di prova |
Eseguire un test del processo di sincronizzazione. È necessario eseguire un'esecuzione di prova prima di eseguire una sincronizzazione completa. |
Risoluzione dei problemi |
Attivare/disattivare la risoluzione dei problemi. |
Aggiorna |
Aggiornare la schermata principale del connettore directory Cisco. |
Esci |
Esci dal connettore directory Cisco. |
Combinazione di tasti | Azione |
---|---|
Alt +A |
Mostra il menu Azioni |
|
Sincronizzazione in corso |
|
Reimposta segreto connettore |
|
Funzionamento a secco |
|
Sincronizzazione incrementale |
|
Sincronizzazione completa |
|
Mostra menuGuida |
|
Guida |
|
Informazioni su |
|
FAQ |
Impostazione degli aggiornamenti automatici
1 | Da Connettore directory, vai a Aggiorna automaticamente alla nuova versione di Connettore directory Cisco. , quindi selezionare |
2 | Fare clic su Applica per salvare le modifiche. |
Le nuove versioni del connettore vengono installate automaticamente quando sono disponibili.
Se si preferisce, è possibile gestire manualmente gli aggiornamenti. Per ulteriori informazioni, vedere Aggiornamento all'ultima release software. |
Scelta di oggetti Active Directory da sincronizzare
Per impostazione predefinita, Connettore directory sincronizza tutti gli utenti che non sono computer e tutti i gruppi che non sono oggetti di sistema critici per un dominio. Per un maggiore controllo sugli oggetti sincronizzati, è possibile selezionare utenti specifici per sincronizzare e specificare i filtri LDAP utilizzando la pagina di selezione degli oggetti in Connettore directory.
Gruppi per assegnazione automatica licenze
Control Hub ti consente di gestire le assegnazioni delle licenze per gruppo. È possibile creare modelli di licenza e associarli a gruppi Active Directory sincronizzati con il cloud. Al momento della creazione dell'utente, Webex verifica l'appartenenza dell'utente e la mappatura automatica del modello di licenza per tale nuovo utente.
Si consiglia di utilizzare un filtro LDAP per sincronizzare solo i gruppi pertinenti con il cloud. Ad esempio, è possibile impostare il filtro su:
(&(cn=Example)(objectclass=Group))*
Questo filtro sincronizza tutti i gruppi all'interno del DN di base in cui il nome inizia con l'esempio. Agli utenti che non sono assegnati a gruppi vengono assegnate licenze dal modello di licenza automatico predefinito configurato in Control Hub.
Gruppi per distribuzioni di sicurezza dei dati ibridi
In Connettore directory, è necessario controllare i gruppi se si utilizza Hybrid Data Security per configurare un gruppo di prova per gli utenti pilota. Per istruzioni, vedere la Guida alla distribuzione per la sicurezza dei dati ibridi. Questa impostazione di Connettore directory non incide sulla sincronizzazione degli altri utenti nel cloud.
Operazioni preliminari
Raccomandazioni del gruppo Active Directory per l'assegnazione automatica delle licenze
1 | Da Connettore directory, vai a Configurazione, quindi fai clic su Selezione oggetto. | ||
2 | Nella sezione Tipo di oggetto, selezionare Utenti e considerare di limitare il numero di contenitori ricercabili per gli utenti. Se si desidera sincronizzare solo gli utenti in un determinato gruppo, ad esempio, è necessario immettere un filtro LDAP nel campo filtri LDAP Utenti. Se si desidera sincronizzare gli utenti nel gruppo Gestione esempi, utilizzare un filtro come questo:
| ||
3 | Selezionare Identifica sala per separare i dati della sala dai dati utente. Fare clic su Personalizza se si desidera impostare attributi aggiuntivi per identificare i dati utente come dati di sala. Utilizzare questa impostazione se si desidera sincronizzare le informazioni della sala riunioni locale da Active Directory nel cloud Webex. Dopo aver sincronizzato le informazioni della sala riunioni, i dispositivi di sala locali con un indirizzo SIP configurato e mappato vengono visualizzati come voci ricercabili sui dispositivi di sala registrati su cloud. Per ulteriori informazioni, vedi Sincronizzazione delle informazioni sulla sala riunioni locale con il cloud Webex. | ||
4 | Selezionare Gruppi se si desidera sincronizzare i gruppi utenti Active Directory sul cloud. Non aggiungere un filtro LDAP di sincronizzazione utente al campo Gruppi. È necessario utilizzare il campo Gruppi solo per sincronizzare i dati di gruppo nel cloud.
| ||
5 | Controlla Contatti se desideri sincronizzare le informazioni di contatto degli utenti sul cloud.
| ||
6 | Configurare i filtri LDAP. È possibile aggiungere filtri estesi fornendo un filtro LDAP valido. Vedere questo articolo per ulteriori informazioni sulla configurazione dei filtri LDAP. | ||
7 | Specificare i DN di base locali da sincronizzare facendo clic su Seleziona per visualizzare la struttura ad albero di Active Directory. Da qui, è possibile selezionare o deselezionare i contenitori su cui effettuare la ricerca. | ||
8 | Verificare che gli oggetti da aggiungere per questa configurazione e fare clic su Seleziona. È possibile selezionare i contenitori singoli o iniziali da utilizzare per la sincronizzazione. Selezionare un contenitore padre per abilitare tutti i contenitori per bambini. Se si seleziona un contenitore per bambini, il contenitore principale mostra un segno di spunta grigio che indica che è stato selezionato un bambino. È possibile quindi fare clic su Seleziona per accettare i contenitori Active Directory selezionati. Se la propria organizzazione posiziona tutti gli utenti e i gruppi nel contenitore Utenti, non è necessario cercare altri contenitori. Se la propria organizzazione è divisa in unità di organizzazione, assicurarsi di selezionare OU. | ||
9 | Fare clic su Applica. Scegli un'opzione:
Per informazioni sulle esecuzioni di prova, vedere Esecuzione di una sincronizzazione di prova sugli utenti Active Directory. Per la sincronizzazione di gruppo, è necessario eseguire una sincronizzazione completa: Eseguire una sincronizzazione completa degli utenti Active Directory nel cloud. |
Mappa attributi utente
È possibile mappare gli attributi dall'Active Directory locale agli attributi corrispondenti nel cloud. L'unico campo richiesto è *uid, un identificativo univoco per ogni account utente nel servizio di identità cloud.
È possibile scegliere quale attributo Active Directory associare al cloud; ad esempio, è possibile mappare firstName lastName
in Active Directory o un'espressione di attributo personalizzato per displayName
nel cloud.
Gli account in Active Directory devono disporre di un indirizzo e-mail; l'uid viene associato per impostazione predefinita al |
Se si sceglie che la lingua preferita provenga da Active Directory, Active Directory è la singola fonte della verità: gli utenti non potranno modificare le impostazioni della lingua in Impostazioni Webex e gli amministratori non potranno modificare l'impostazione in Control Hub.
1 | Da Connettore directory, fare clic su Configurazione, quindi scegliere Mappatura attributi utente. Questa pagina mostra i nomi degli attributi per Active Directory (a sinistra) e il cloud Webex (a destra). Tutti gli attributi richiesti sono contrassegnati da un asterisco rosso. | ||||
2 | Scorrere fino alla fine di Active Directory Attribute Names, quindi scegliere uno di questi attributi Active Directory da mappare all'attributo cloud uid:
È possibile associare uno qualsiasi degli altri attributi di Active Directory a uid, ma si consiglia di utilizzare la posta o userPrincipalName, come descritto nelle linee guida precedenti. In alcuni casi, viene utilizzato userPrincipalName per l'accesso, ma l'indirizzo e-mail di un utente viene utilizzato per gestire il calendario. Devi assicurarti che l'indirizzo e-mail per la gestione del calendario sia associato al campo dell'indirizzo e-mail principale in Webex. Aggiungere userPrincipalName come indirizzo e-mail alternativo. Per visualizzare a cosa corrispondono gli attributi in Active Directory nel cloud, vedere Mappatura degli attributi Active Directory in Connettore directory.
| ||||
3 | Se gli attributi Active Directory predefiniti non funzionano per la distribuzione, fare clic sull'elenco a discesa degli attributi, scorrere in basso, quindi scegliere Personalizza attributo per aprire una finestra che consente di definire un'espressione di attributo.
In questo esempio, mappare gli attributi di Active Directory
| ||||
4 | (Opzionale) Scegli mappature per cellulare e numero di telefono se desideri che i numeri di cellulare e di lavoro vengano visualizzati, ad esempio, nella scheda contatto dell'utente nell'app Webex. I dati del numero di telefono vengono visualizzati nell'app Webex quando un utente passa il mouse sull'immagine del profilo di un altro utente. Per ulteriori informazioni sulla chiamata dalla scheda di contatto di un utente, vedi Chiamata nella Guida alla distribuzione (amministratori) Webex (Unified CM). | ||||
5 | Scegliere mappature aggiuntive per la visualizzazione di altri dati nella scheda contatto:
Una volta mappati gli attributi, le informazioni vengono visualizzate quando un utente passa il mouse sull'immagine del profilo di un altro utente: Per ulteriori informazioni sulla scheda contatto, vedere Verifica delle persone con cui si è in contatto. Una volta sincronizzati questi attributi con ciascun account utente, puoi anche attivare Dettagli persone in Control Hub. Questa funzione consente agli utenti dell'app Webex di condividere maggiori informazioni nei relativi profili e di conoscersi meglio. Per ulteriori informazioni sulla funzione e su come abilitarla, vedi profili Dettagli persone per Webex, Jabber, Webex Meetings e Webex Events (nuovo) in Control Hub | ||||
6 | Dopo aver fatto le scelte, fare clic su Apply (Applica). |
Qualsiasi dato utente contenuto in Active Directory sovrascrive i dati nel cloud corrispondenti a tale utente. Ad esempio, se è stato creato manualmente un utente in Control Hub, l'indirizzo e-mail dell'utente deve essere identico all'e-mail in Active Directory. Viene eliminato qualsiasi utente senza un indirizzo e-mail corrispondente in Active Directory.
Gli utenti eliminati vengono mantenuti nel servizio di identità cloud per 7 giorni prima di essere eliminati in modo permanente. |
Attributi di Active Directory e cloud
È possibile mappare gli attributi dall'Active Directory locale agli attributi corrispondenti nel cloud utilizzando la scheda Mappatura attributi utente.
Questa tabella confronta la mappatura tra i nomi degli attributi Active Directory e i nomi degli attributi Cisco Cloud. Questi valori e mappature sono l'impostazione predefinita in Connettore directory. È possibile scegliere diversi attributi nelle caselle a discesa di Active Directory e determinare quale attributo locale sincronizza con quale attributo cloud.
Considera gli attributi dell'elenco a discesa come preimpostazioni. In alternativa ai valori nella riga di Active Directory, è possibile anche specificare un attributo personalizzato, la propria preimpostazione, in Active Directory (un'espressione con più attributi) per mappare a un singolo attributo cloud nella riga corrispondente. In questo modo, è possibile determinare i nomi visualizzati degli utenti, ad esempio, è possibile aggiungere un'espressione che crea un attributo personalizzato in base al titolo del dipendente, al nome e al cognome in Active Directory.
È inoltre possibile specificare uno qualsiasi degli attributi di Active Directory da mappare a uid nel cloud. Tuttavia, è necessario accertarsi che l'attributo locale segua un formato e-mail valido.
È inoltre possibile utilizzare indirizzi e-mail alternativi, se ad esempio si desidera utilizzare userPrincipalName per l'accesso, ma l'indirizzo e-mail di un utente viene utilizzato per gestire il relativo calendario. In questo caso, associa un altro indirizzo e-mail all'attributo e-mail;tipo di lavoro. Questo è l'indirizzo e-mail utilizzato per l'autenticazione; non viene utilizzato per gestire il calendario. L'indirizzo e-mail mappato da AD deve essere di un dominio verificato all'interno della propria organizzazione e deve essere univoco e non assegnato a un altro utente. |
Nomi attributi Active Directory | Nomi di attributi cloud Webex | Note |
---|---|---|
— |
nome edificio |
— |
c |
c |
Questo attributo specifica l'abbreviazione del paese dell'utente. |
numero reparto |
numero reparto |
Questo attributo viene utilizzato per il numero del reparto dell'utente visualizzato nella scheda contatto e nel dettagli persone. |
displayName |
displayName |
Questo attributo viene utilizzato per il nome visualizzato dell'account utente visualizzato in Control Hub, la scheda contatto e dettagli persone. |
controllo account utente |
ds-pwp-account-disabilitato |
Questo attributo viene utilizzato per la sincronizzazione degli utenti. Assicurati che l'attributo userAccountControl sia associato a ds-pwp-account-disabled o che gli utenti non vengano sincronizzati correttamente. |
numero dipendente |
numero dipendente |
— |
fac faqileTelephoneNumber |
fac faqileTelephoneNumber |
— |
— |
ID jabber |
Questo attributo cloud si riferisce agli indirizzi IM (tipo XMPP) utilizzati da Jabber. Questo valore non è uguale agli indirizzi sip. |
l |
l |
Questo attributo specifica la città dell'utente. |
— |
locale |
— |
manager |
manager |
Questo attributo viene utilizzato per il nome del manager dell'utente visualizzato nella scheda contatto e in Dettagli persone. |
cellulare |
cellulare |
Questo attributo viene utilizzato come numero di cellulare visualizzato per chiamare l'utente dalla scheda contatto. |
o |
o |
Questo attributo specifica il nome dell'azienda o dell'organizzazione e viene visualizzato nella scheda contatto. |
ou |
ou |
Questo attributo specifica il nome dell'unità organizzativa. |
Nome ufficio consegna fisica |
Nome ufficio consegna fisica |
Questo attributo specifica la posizione dell'ufficio dell'utente. |
Postalcode |
Postalcode |
Questo attributo indica il codice postale o il CAP dell'utente per la consegna fisica della posta. |
lingua preferita |
lingua preferita |
Questo attributo imposta la lingua preferita dell'utente e sono supportati i seguenti formati: xx_YY o xx-YY. Di seguito alcuni esempi: en_USA, en_GB, fr-CA. Se utilizzi una lingua non supportata o un formato non valido, la lingua preferita degli utenti verrà modificata nella lingua impostata per l'organizzazione. |
MSRTCSIP-PrimaryUserAddress Telefono ip |
SipAddresses;type=enterprise |
Questo attributo viene utilizzato per la sincronizzazione delle informazioni della sala riunioni locale da Active Directory nel cloud Cisco Webex. |
sn |
sn |
Questo attributo viene utilizzato per il cognome dell'account utente visualizzato in Control Hub, la scheda contatto e dettagli persone. |
st |
st |
Questo attributo specifica lo stato o la provincia dell'utente. |
indirizzo |
strada |
Questo attributo specifica l'indirizzo postale dell'utente per la consegna fisica della posta. |
numero di telefono |
numero di telefono |
Questo attributo specifica il numero di telefono principale (di lavoro) dell'utente utilizzato per chiamare l'utente dalla scheda contatto. |
— |
fuso orario |
Questo attributo cloud specifica il fuso orario dell'utente. |
title |
title |
Questo attributo specifica il titolo dell'utente visualizzato nella scheda contatto e dettagli persone. |
tipo |
aziendale |
— |
*userPrincipalName |
UID |
Una mappatura obbligatoria degli attributi. Per ciascun account utente, il valore di Active Directory viene associato a un uid univoco nel cloud. In alcuni casi, viene utilizzato userPrincipalName per l'accesso, ma l'indirizzo e-mail di un utente viene utilizzato per gestire il calendario. Devi assicurarti che l'indirizzo e-mail per la gestione del calendario sia associato al campo dell'indirizzo e-mail principale in Webex. Aggiungere userPrincipalName come indirizzo e-mail alternativo. L'utente può quindi utilizzare uno di questi indirizzi e-mail per accedere, a condizione che sia stata implementata la mappatura degli attributi SAML corretta. Vedere di seguito la mappatura degli attributi campione per sapere come associare un indirizzo e-mail alternativo. |
*userPrincipalName <custom attribute=""> |
e-mail;lavoro di tipo |
Questa mappatura è opzionale, utilizzarla se si desidera utilizzare indirizzi e-mail alternativi. Questo è l'indirizzo e-mail utilizzato per l'autenticazione; non viene utilizzato per gestire il calendario. L'indirizzo e-mail mappato da AD deve essere di un dominio verificato all'interno della propria organizzazione e deve essere univoco e non assegnato a un altro utente. |
<New attribute="" for="" Azure="" user="" objectId=""> |
ID esterno |
Creare un nuovo attributo Active Directory per tenere l'Azure user objectId, in modo che non sia in conflitto con uno esistente. Questo attributo viene quindi associato all'attributo externalId, assicurando che quando gli utenti Webex creano gruppi in Microsoft 365, creano automaticamente team in Webex. |
Mappatura alternativa dell'indirizzo e-mail
Espressioni per attributi personalizzati
Operatore | Descrizione ed esempio |
---|---|
% | Rimuove tutti i caratteri dall'inizio della stringa alla posizione del carattere o dell'argomento stringa, se corrispondente.
|
- | Strisce la parte posteriore della stringa di ingresso dalla fine della stringa specificata.
|
+ | Consente di concatenare stringhe o espressioni di input.
|
| | Valuta le espressioni separate rispetto alla stringa vuota e seleziona il primo risultato non vuoto.
|
Sincronizzazione degli avatar della rubrica da un attributo Active Directory al cloud
Puoi sincronizzare gli avatar della rubrica dei tuoi utenti sul cloud in modo che ogni avatar venga visualizzato quando accedono all'app Webex. Utilizzare questa procedura per sincronizzare i dati avatar grezzi da un attributo Active Directory.
1 | Da Connettore directory, vai a Configurazione, fai clic su Avatar, quindi seleziona Abilita. |
2 | Per Get avatar from, scegliere l'attributo AD, quindi scegliere l'attributo Avatar che contiene i dati avatar grezzi che si desidera sincronizzare con il cloud. |
3 | Per verificare che l'avatar sia stato eseguito correttamente, immettere l'indirizzo e-mail di un utente, quindi fare clic su Ottieni avatar dell'utente. L'avatar appare a destra. |
4 | Dopo aver verificato che l'avatar apparisse correttamente, fare clic su Applica per salvare le modifiche. |
Le immagini sincronizzate diventano l'avatar predefinito per gli utenti nell'app Webex. Gli utenti non possono impostare il proprio avatar una volta abilitata questa funzione da Connettore directory.
Gli avatar utente si sincronizzano sia con l'app Webex che con qualsiasi account corrispondente sul sito Webex.
Operazioni successive
Eseguire una sincronizzazione di prova; se non si verificano problemi, eseguire una sincronizzazione completa per ottenere la sincronizzazione degli account utente e degli avatar di Active Directory nel cloud e apparire in Control Hub.
Sincronizzazione degli avatar della rubrica da un server risorse al cloud
Puoi sincronizzare gli avatar della rubrica dei tuoi utenti sul cloud in modo che ogni avatar venga visualizzato quando accedono all'app Webex. Utilizzare questa procedura per sincronizzare gli avatar da un server risorse.
Operazioni preliminari
Lo schema URI e il valore variabile in questa procedura sono esempi. È necessario utilizzare gli URL effettivi in cui si trovano gli avatar della rubrica.
Lo schema URI avatar e il server in cui risiedono gli avatar devono essere raggiungibili dall'applicazione Connettore directory. Il connettore richiede l'accesso http o https alle immagini, ma le immagini non devono essere accessibili pubblicamente su Internet.
La sincronizzazione dei dati avatar viene separata dai profili utente Active Directory. Se si esegue un proxy, è necessario assicurarsi che i dati avatar siano accessibili tramite autenticazione NTLM o autenticazione di base.
1 | Da Connettore directory, vai a Configurazione, fai clic su Avatar, quindi seleziona Abilita. |
2 | Per Ottieni avatar da, scegliere Server risorse, quindi immettere lo schema URI avatar: ad esempio, Esaminiamo ogni parte dello schema URI avatar e cosa significano:
|
3 | (Opzionale) Se il server delle risorse richiede credenziali, selezionare Imposta credenziali utente per avatar, quindi scegliere Usa utente di accesso al servizio corrente oppure Usa questo utente e inserire la password. |
4 | Immettere il valore variabile, ad esempio: |
5 | Fare clic su Test per verificare che lo schema URI avatar funzioni correttamente. In questo esempio, se il valore di posta per una voce AD è |
6 | Dopo aver verificato le informazioni sull'URI e averle visualizzate corrette, fare clic su Applica. Per informazioni dettagliate sull'uso di espressioni regolari, vedere il riferimento rapido della lingua dell'espressione regolare di Microsoft . |
Le immagini sincronizzate diventano l'avatar predefinito per gli utenti nell'app Webex. Gli utenti non possono impostare il proprio avatar una volta abilitata questa funzione da Connettore directory.
Gli avatar utente si sincronizzano sia con l'app Webex che con qualsiasi account corrispondente sul sito Webex.
Operazioni successive
Eseguire una sincronizzazione di prova; se non si verificano problemi, eseguire una sincronizzazione completa per ottenere la sincronizzazione degli account utente e degli avatar di Active Directory nel cloud e apparire in Control Hub.
Sincronizzazione delle informazioni della sala riunioni locale con il cloud Webex
Utilizzare questa procedura per sincronizzare le informazioni della sala riunioni locale da Active Directory nel cloud Webex. Dopo aver sincronizzato le informazioni della sala riunioni, i dispositivi di sala locali con un indirizzo SIP configurato e mappato vengono visualizzati come voci ricercabili sui dispositivi Webex registrati su cloud (Room, Desk e Board).
1 | Da Connettore directory, vai a Sincronizza, fai clic su altro | ||
2 | Controllare le informazioni della sala di sincronizzazione al cloud per separare i dati della sala dai dati utente durante la sincronizzazione. Quando questa impostazione è disabilitata, i dati di sala vengono trattati allo stesso modo dei dati sincronizzati dall'utente. | ||
3 | Andare a Mappatura attributi, quindi modificare la mappatura attributo per l'attributo cloud sipAddresses;type=enterprise.
| ||
4 | Creare una cassetta postale delle risorse di sala in Exchange. In questo modo viene aggiunto l'attributo msExchResourceMetaData;ResourceType:Room che il connettore utilizza per identificare le sale. | ||
5 | Da utenti e computer Active Directory, navigare e modificare le proprietà della sala. Aggiungere l'URI SIP completo con un prefisso SIP: | ||
6 | Eseguire una sincronizzazione di funzionamento a secco e quindi una sincronizzazione di esecuzione completa nel connettore. I nuovi oggetti di sala sono elencati in Oggetti aggiunti e gli oggetti di sala corrispondenti vengono visualizzati in Oggetti accoppiati nel report di esecuzione di prova. Tutti gli oggetti della sala contrassegnati per l'eliminazione sono in Sale eliminate. I risultati dell'esecuzione di prova mostrano eventuali risorse di sala corrispondenti. Questa impostazione separa i dati della sala Active Directory (incluso l'attributo della sala) dai dati utente. Al termine della sincronizzazione, le statistiche cloud sul dashboard del connettore mostrano i dati della sala riunioni sincronizzati con il cloud. |
Operazioni successive
Ora che hai effettuato questa procedura, quando esegui una ricerca su un dispositivo registrato su cloud Webex, vedrai le voci di sala sincronizzate configurate con gli indirizzi SIP. Quando si effettua una chiamata dal dispositivo Webex su tale voce, viene effettuata una chiamata all'indirizzo SIP configurato per la sala.
Da Control Hub, puoi importare automaticamente le sale dalla tua rubrica e creare spazi di lavoro.
L'endpoint non può richiamare l'app Webex. Per i dispositivi di chiamata di prova, questi dispositivi devono essere registrati come URI SIP in locale o in un luogo diverso dall'app Webex. Se il sistema di sale Active Directory ricercato è registrato in Webex e lo stesso indirizzo e-mail si trova sul dispositivo Webex Room, sul dispositivo Desk o sulla Webex Board per il servizio di calendario, i risultati della ricerca non visualizzeranno la voce duplicata. Il dispositivo Room, Desk o Board viene composto direttamente nell'app Webex e non viene effettuata una chiamata SIP. |
Invio di report e-mail sui risultati della sincronizzazione delle rubriche
Per impostazione predefinita, i contatti dell'organizzazione o gli amministratori ricevono sempre notifiche e-mail. Con questa impostazione, è possibile personalizzare chi deve ricevere notifiche e-mail che riassumono i report di sincronizzazione delle rubriche.
1 | Da Connettore directory, fare clic su Configurazione, quindi scegliere Notifica. |
2 | Da Connettore directory, fai clic su Impostazioni e accanto a Destinatario e-mail, attiva Abilita sincronizzazione report. |
3 | Selezionare Abilita notifica se si desidera ignorare il comportamento di notifica predefinito e aggiungere uno o più destinatari e-mail. |
4 | Fare clic su Aggiungi, quindi inserire un indirizzo e-mail. Se si immette un indirizzo e-mail con un formato non valido, viene visualizzato un messaggio che richiede di correggere il problema prima di salvare e applicare le modifiche. |
5 | Fare clic su Aggiungi e-mail, quindi inserire un indirizzo e-mail. Se si immette un indirizzo e-mail con un formato non valido, viene visualizzato un messaggio che richiede di correggere il problema prima di salvare e applicare le modifiche. |
6 | Se è necessario modificare gli indirizzi e-mail inseriti, fare doppio clic sulla voce e-mail nella colonna a sinistra e apportare le modifiche necessarie. |
7 | Dopo aver aggiunto tutti gli indirizzi e-mail validi, fare clic su Applica. |
8 | Dopo aver aggiunto tutti gli indirizzi e-mail validi, fare clic su Salva. |
Operazioni successive
Se si è deciso di rimuovere gli indirizzi e-mail, è possibile fare clic su un messaggio e-mail per evidenziare tale voce, quindi fare clic su Rimuovi.
Se si è deciso di rimuovere gli indirizzi e-mail, è possibile fare clic su Rimuovi accanto alle voci specifiche degli indirizzi e-mail.
Provisioning degli utenti da Active Directory In Control Hub
Effettuare le seguenti operazioni per eseguire il provisioning degli utenti Active Directory e creare gli account utente corrispondenti in Control Hub. È possibile eseguire il provisioning degli utenti da una distribuzione Active Directory a più domini (con una singola foresta o più foreste) dopo aver installato un Connettore directory per dominio. Durante il processo di onboarding degli utenti da diversi domini, è necessario decidere se conservare o eliminare gli oggetti utente che potrebbero già esistere nel cloud Webex, ad esempio gli account di test di una versione di prova. L'obiettivo è avere una corrispondenza esatta tra le Active Directory e il cloud Webex.
1 | Esecuzione di una sincronizzazione a secco sugli utenti Active Directory Eseguire una prova per confrontare gli oggetti nell'Active Directory locale e gli oggetti nel cloud Webex. Un'esecuzione di prova consente di vedere quali oggetti verranno aggiunti, modificati o eliminati prima di eseguire una sincronizzazione completa o incrementale e di eseguire le modifiche nel cloud. |
2 | Sincronizzazione completa degli utenti Active Directory nel cloud Quando si esegue una sincronizzazione completa, il servizio connettore invia tutti gli oggetti filtrati da Active Directory (AD) al cloud. Il servizio connettore aggiorna quindi l'archivio delle identità con le voci AD. Se è stato creato un modello di licenza di assegnazione automatica, è possibile assegnarlo ai nuovi utenti sincronizzati. |
3 | Assegnazione dei servizi Webex agli utenti sincronizzati nella rubrica in Control Hub Una volta completata la sincronizzazione utente completa da Connettore directory a Control Hub, puoi assegnare licenze di servizio Webex utilizzando diversi metodi. Si consiglia di impostare un modello di licenza di assegnazione automatica prima di utilizzarlo sui nuovi utenti dell'app Webex sincronizzati da Active Directory. È inoltre possibile apportare modifiche individuali dopo questa fase iniziale. |
Esecuzione di una sincronizzazione a secco sugli utenti Active Directory
Eseguire una prova per confrontare gli oggetti nell'Active Directory locale e gli oggetti nel cloud Webex. Un'esecuzione di prova consente di vedere quali oggetti verranno aggiunti, modificati o eliminati prima di eseguire una sincronizzazione completa o incrementale e di eseguire le modifiche nel cloud.
Durante il processo di onboarding degli utenti da diversi domini, è necessario decidere se conservare o eliminare gli oggetti utente che potrebbero già esistere nel cloud Webex, ad esempio gli account di test di una versione di prova. Con Connettore directory, l'obiettivo è avere una corrispondenza esatta tra le Active Directory e il cloud Webex.
Se si dispone di più domini in una singola foresta o in più foreste, è necessario eseguire questa operazione in ciascuna delle istanze del connettore directory Cisco installate per ciascun dominio Active Directory.
Operazioni preliminari
Potresti già avere alcuni utenti dell'app Webex in Control Hub prima di utilizzare Connettore directory. Tra gli utenti nel cloud, alcuni potrebbero corrispondere all'oggetto Active Directory locale e ricevere licenze per i servizi. Tuttavia, alcuni potrebbero essere utenti di test che si desidera eliminare mentre si esegue una sincronizzazione. È necessario creare una corrispondenza esatta tra Active Directory e Control Hub.
1 | Scegli un'opzione:
Al termine dell'esecuzione di prova, viene visualizzato uno dei seguenti risultati: Il riepilogo contiene informazioni sull'abbinamento degli oggetti:
L'esecuzione di prova identifica gli utenti confrontandoli con gli utenti del dominio. L'applicazione può identificare gli utenti se appartengono al dominio corrente. Nella fase successiva, è necessario decidere se eliminare gli oggetti o conservarli. Gli oggetti non corrispondenti vengono identificati come già esistenti nel cloud Webex ma non esistenti in Active Directory locale. | ||
2 | Esaminare i risultati dell'esecuzione di prova e scegliere un'opzione a seconda che si utilizzi un singolo dominio o più domini:
| ||
3 | Nel prompt Conferma esecuzione di prova, fare clic su Sì per ripetere la sincronizzazione dell'esecuzione di prova e visualizzare il dashboard per visualizzare i risultati. Tutti gli account sincronizzati correttamente nell'esecuzione di prova vengono visualizzati sotto Oggetti abbinati. Se un utente nel cloud non dispone di un utente corrispondente con la stessa e-mail in Active Directory, la voce viene elencata in Utenti eliminati. Per evitare questo flag di eliminazione, è possibile aggiungere un utente in Active Directory con lo stesso indirizzo e-mail. Per visualizzare i dettagli degli elementi sincronizzati, fare clic sulla scheda corrispondente per gli elementi specifici o Oggetti corrispondenti. Per salvare le informazioni di riepilogo, fare clic su Salva risultati in file. | ||
4 | Se i risultati sono attesi, andare a Abilita ora per eseguire una sincronizzazione manuale e attivare la modalità manuale a questo punto. , quindi fare clic su
|
Operazioni successive
Per qualsiasi oggetto utente non corrispondente conservato, è necessario aggiungerlo ad Active Directory in modo che vi sia una corrispondenza esatta tra on-premises e cloud.
Scegliere un tipo di sincronizzazione:
Eseguire una sincronizzazione completa degli utenti Active Directory nel cloud quando si sincronizzano per la prima volta nuovi utenti nel cloud. Lo fa da , quindi gli utenti dal dominio corrente vengono sincronizzati.
Impostare la pianificazione del connettore ed eseguire una sincronizzazione incrementale dopo aver eseguito una sincronizzazione completa e se si desidera raccogliere le modifiche dopo la sincronizzazione iniziale. Questo tipo di sincronizzazione è consigliato per rispondere a piccole modifiche apportate all'origine utente di Active Directory.
Per impostazione predefinita, viene impostata una sincronizzazione incrementale ogni 30 minuti (sulle versioni 3.4 e precedenti) o ogni 4 ore (sulle versioni 3.5 e successive), ma è possibile modificare questo valore. La sincronizzazione incrementale non viene eseguita finché non viene eseguita inizialmente una sincronizzazione completa.
Se si dispone di più domini, ripetere questa procedura su qualsiasi altro connettore directory installato.
Aspetti da tenere presenti
Eseguire un'esecuzione di prova prima di abilitare la sincronizzazione completa o quando si modificano i parametri di sincronizzazione. Se l'esecuzione di prova è stata avviata da una modifica di configurazione, è possibile salvare le impostazioni al termine dell'esecuzione di prova. Se sono già stati aggiunti manualmente gli utenti, l'esecuzione di una sincronizzazione Active Directory potrebbe provocare la rimozione degli utenti aggiunti in precedenza. È possibile controllare i report di esecuzione di prova di Connettore directory per verificare che tutti gli utenti previsti siano presenti prima di eseguire la sincronizzazione completa al cloud.
Se gli utenti corrispondenti vengono contrassegnati per essere eliminati e non si è sicuri di come procedere, vedere le informazioni sulla risoluzione dei problemi e come contattare il supporto in Risoluzione dei problemi e correzioni per Connettore directory.
Gli utenti eliminati vengono mantenuti nel servizio di identità cloud per 7 giorni prima di essere eliminati in modo permanente.
Sincronizzazione completa degli utenti Active Directory nel cloud
Quando si esegue una sincronizzazione completa, il servizio connettore invia tutti gli oggetti filtrati da Active Directory (AD) al cloud. Il servizio connettore aggiorna quindi l'archivio delle identità con le voci AD. Se è stato creato un modello di licenza di assegnazione automatica, è possibile assegnarlo ai nuovi utenti sincronizzati.
Se si dispone di più domini, è necessario eseguire questa operazione in ciascuna delle istanze di Connettore directory installate per ciascun dominio Active Directory.
Connettore directory sincronizza lo stato dell'account utente: in Active Directory, qualsiasi utente contrassegnato come disabilitato viene visualizzato anche come inattivo nel cloud.
Operazioni preliminari
Se si desidera che gli account utente dell'app Webex siano in stato Attivo dopo la sincronizzazione completa e prima che gli utenti accedano per la prima volta, è necessario effettuare queste operazioni per ignorare la convalida e-mail:
Integra Single Sign-On con la tua organizzazione Webex. Per ulteriori informazioni, vedere
Single Sign-On con i servizi Cisco Webex e il provider di identità della propria organizzazione
.Usa Control Hub per verificare e richiedere opzionalmente i domini contenuti negli indirizzi e-mail. Vedere
Aggiunta, verifica e richiesta di domini
.Elimina gli inviti e-mail automatici, in modo che i nuovi utenti non ricevano l'invito e-mail automatico all'app Webex. (Puoi effettuare la tua campagna e-mail).
Gli utenti attivati che non hanno eseguito l'accesso vengono visualizzati con uno stato Verificato in Control Hub. Una volta eseguire l'accesso, vengono visualizzati come Attivi. Per ulteriori informazioni sugli stati degli utenti, vedi Stati utente e azioni in Cisco Webex Control Hub.
Quando si abilita la sincronizzazione, Connettore directory richiede di eseguire prima un'esecuzione di prova. Si consiglia di eseguire un'esecuzione di prova prima di una sincronizzazione completa per individuare eventuali errori potenziali.
Devi impostare un modello di licenza di assegnazione automatica prima di utilizzarlo sui nuovi utenti dell'app Webex sincronizzati da Active Directory.
Se non utilizzi l'assegnazione automatica dei modelli di licenza, i nuovi utenti sincronizzati ottengono automaticamente licenze gratuite. Potranno utilizzare le stesse funzioni gratuite di quelle con account gratuiti.
1 | Scegli un'opzione:
| ||
2 | Da Connettore directory, vai a Sincronizza, fai clic su altro | ||
3 | Confermare l'inizio della sincronizzazione. Per qualsiasi modifica apportata agli utenti in Active Directory (ad esempio, nome visualizzato), Control Hub riflette la modifica immediatamente quando si aggiorna la vista utente, ma l'app Webex riflette le modifiche fino a 72 ore dopo l'esecuzione della sincronizzazione.
| ||
4 | Fai clic su Aggiorna se desideri aggiornare lo stato della sincronizzazione. (Le voci sincronizzate vengono visualizzate in Statistiche cloud.) | ||
5 | Per informazioni sugli errori, selezionare Launch Event Viewer dalla barra degli strumenti Azioni per visualizzare i registri degli errori. | ||
6 | Per impostare una pianificazione di sincronizzazione per sincronizzazioni incrementali continue sul cloud, vedere Impostazione della pianificazione connettore ed Esecuzione di una sincronizzazione incrementale. |
Una volta completata la sincronizzazione completa, lo stato per gli aggiornamenti della sincronizzazione delle rubriche da Disabilitato a Operativo nella pagina Impostazioni in Control Hub.
Quando tutti i dati vengono associati tra locale e cloud, Connettore directory passa dalla modalità manuale alla modalità di sincronizzazione automatica.
A meno che tu non integri il Single Sign-On, verifichi i domini e, opzionalmente, richieda i domini per gli account e-mail sincronizzati e elimini i messaggi e-mail automatici, gli account utente dell'app Webex rimangono nello stato Non verificato fino a quando gli utenti non accedono all'app Webex per la prima volta per confermare i relativi account. Vedere la sezione Prima di iniziare per informazioni su come sincronizzare gli account come utenti Attivi.
Se si dispone di più domini, effettuare questa operazione su qualsiasi altro connettore directory installato. Dopo la sincronizzazione, gli utenti su tutti i domini aggiunti sono elencati in Control Hub.
Se è stato integrato il Single Sign-On con Webex e sono state eliminate le notifiche e-mail, gli inviti e-mail non vengono inviati agli utenti sincronizzati di recente.
Non è possibile aggiungere manualmente gli utenti in Control Hub una volta abilitato Connettore directory. Una volta abilitata, la gestione degli utenti viene eseguita dal connettore directory Cisco e Active Directory è la singola fonte di informazioni.
Qualsiasi gruppo sincronizzato viene visualizzato in Control Hub ed è possibile assegnare un modello di licenza in modo che agli utenti di tale gruppo vengano assegnate licenze.
Operazioni successive
Quando si rimuove un utente da Active Directory, l'utente viene eliminato automaticamente dopo la successiva sincronizzazione. L'utente diventa
Inactive
ma il profilo di identità del cloud viene mantenuto per sette giorni (per consentire il recupero dall'eliminazione accidentale).Quando si verifica che l' account sia disabilitato in Active Directory, l'utente diventa
Inactive
dopo la successiva sincronizzazione. Il profilo di identità cloud non viene eliminato dopo sette giorni, nel caso in cui si desideri abilitare nuovamente l'utente.Tieni presenti queste eccezioni a una sincronizzazione incrementale (segui la procedura di sincronizzazione completa precedente):
In caso di un avatar aggiornato ma nessun'altra modifica dell'attributo, la sincronizzazione incrementale non aggiornerà l'avatar dell'utente al cloud.
Le modifiche di configurazione su mappatura degli attributi, DN di base, filtro e impostazione avatar richiedono una sincronizzazione completa.
Assegnazione dei servizi Webex agli utenti sincronizzati nella rubrica in Control Hub
Dopo aver completato una sincronizzazione utente completa dal connettore directory Cisco in Control Hub, puoi utilizzare Control Hub per assegnare le stesse licenze di servizio Webex a tutti gli utenti contemporaneamente o aggiungere licenze aggiuntive a nuovi utenti se hai già configurato un modello di licenza assegnato automaticamente. È possibile apportare modifiche al singolo account utente dopo questa fase iniziale.
Dopo aver completato una sincronizzazione utente completa da Connettore directory a Control Hub, puoi utilizzare i metodi in Control Hub per assegnare globalmente licenze di servizio Webex a tutti i tuoi utenti, singoli utenti, attraverso il modello CSV in blocco o automaticamente ai nuovi utenti, se hai già configurato un modello di licenza di assegnazione automatica. È possibile apportare modifiche al singolo account utente dopo questa fase iniziale.
Quando si assegna una licenza a un utente dell'app Webex, tale utente riceve un messaggio e-mail di conferma dell'assegnazione, per impostazione predefinita. Il messaggio e-mail viene inviato da un servizio di notifica in Control Hub. Se hai integrato il Single Sign-On (SSO) con la tua organizzazione Webex, puoi anche eliminare queste notifiche e-mail automatiche se preferisci contattare direttamente i tuoi utenti.
Operazioni preliminari
Devi impostare un modello di licenza di assegnazione automatica prima di utilizzarlo sui nuovi utenti dell'app Webex sincronizzati da Active Directory.
Eseguire una sincronizzazione di esecuzione a secco sugli utenti Active Directory.
Dopo aver confermato i risultati dell'esecuzione di prova, effettuare una sincronizzazione completa sugli utenti Active Directory.
Al momento della sincronizzazione completa, l'utente viene creato nel cloud, non vengono aggiunte assegnazioni di servizio e non viene inviato alcun messaggio e-mail di attivazione. Se i messaggi e-mail non vengono eliminati, i nuovi utenti ricevono un messaggio e-mail di attivazione quando si assegnano servizi agli utenti con un metodo di gestione utenti standard in Control Hub, come l'importazione CSV, l'aggiornamento utente manuale o il completamento dell'assegnazione automatica riuscito. |
1 | Dalla vista cliente in https://admin.webex.com, andare a , fai clic su Gestisci utenti, scegli Modifica tutti gli utenti sincronizzati, quindi fai clic su Avanti. |
2 | Scegli un'opzione:
|
Operazioni successive
Se i messaggi e-mail non vengono eliminati, a ciascun utente viene inviato un messaggio e-mail con un invito ad accedere e scaricare Webex.
Se sono stati selezionati gli stessi servizi Webex per tutti gli utenti, successivamente è possibile modificare la licenza assegnata singolarmente o in massa.
Problemi noti di Directory Connector
Le versioni di Windows Server precedenti alla R2 2012 presentano un problema relativo ai cookie che incide su Connettore directory. Questo problema è stato risolto nelle versioni 2012 R2 e 2016.
Per qualsiasi modifica apportata agli utenti in Active Directory (ad esempio, nome visualizzato), Control Hub riflette la modifica immediatamente quando si aggiorna la vista utente, ma l'app Webex riflette le modifiche a 72 ore dal momento in cui si esegue la sincronizzazione.
Puoi provare a cancellare la cache locale per l'app Webex seguendo queste istruzioni: Windows o Mac.
Quando un utente utilizza l'app Webex su desktop o dispositivo mobile per ricercare e chiamare una sala con solo un URI SIP sincronizzato, la chiamata squilla a tempo indefinito in questo momento.
Esecuzione di una sincronizzazione incrementale
Una sincronizzazione incrementale interroga l'Active Directory e cerca le modifiche intervenute dall'ultima sincronizzazione. Questo passaggio raggruppa tali modifiche e le invia al servizio del connettore. Le modifiche includono la modifica dell'attribuzione degli utenti e quando un utente viene aggiunto o eliminato.
Questa sincronizzazione non carica più i server e non richiede più tempo della sincronizzazione completa. Dopo aver eseguito la sincronizzazione completa iniziale, si consiglia l'opzione incrementale per le sincronizzazioni successive.
Operazioni preliminari
Devi impostare un modello di licenza di assegnazione automatica prima di utilizzarlo sui nuovi utenti dell'app Webex sincronizzati da Active Directory.
Tenere presente queste eccezioni che la sincronizzazione incrementale non supporta (seguire Esegui una sincronizzazione completa degli utenti Active Directory nel cloud):
In caso di un avatar aggiornato ma nessun'altra modifica dell'attributo, la sincronizzazione incrementale non aggiornerà l'avatar dell'utente al cloud.
Per le nuove modifiche di configurazione sulla mappatura degli attributi, DN di base, filtro e impostazione avatar, la sincronizzazione incrementale non funziona e queste richiedono una sincronizzazione completa.
1 | Da Connettore directory, fare clic su Dashboard.
| ||
2 | Da Azioni, fare clic su Modalità di sincronizzazione > Abilita sincronizzazione se non è già abilitato. Per impostazione predefinita, viene impostata una sincronizzazione incrementale ogni 30 minuti (sulle versioni 3.4 e precedenti) o ogni 4 ore (sulle versioni 3.5 e successive), ma è possibile modificare questo valore. La sincronizzazione incrementale non viene eseguita finché non viene eseguita inizialmente una sincronizzazione completa. Quando un nuovo intervallo di tempo incrementale è superiore, il programma controlla le modifiche in base all'ultima indicazione di data e ora. | ||
3 | Da Azioni, fare clic su Sincronizza ora > Incrementale. Per qualsiasi modifica apportata agli utenti in Active Directory (ad esempio, nome visualizzato), Control Hub riflette la modifica immediatamente quando si aggiorna la vista utente, ma l'app Webex riflette le modifiche a 72 ore dal momento in cui si esegue la sincronizzazione.
| ||
4 | Per informazioni sugli errori, fare clic su Avvia visualizzatore eventi dalla barra degli strumenti Azioni per visualizzare i registri degli errori. |
Operazioni successive
Se disponi di più domini, esegui questa operazione in altre istanze di Connettore directory che hai installato.
Recupera utenti eliminati accidentalmente
Connettore directory dispone di controlli e contrappesi per impedire l'eliminazione non intenzionale degli utenti. Sfortunatamente, gli incidenti accadono; è possibile che sia stato configurato in modo errato un filtro LDAP in Active Directory, che eliminava alcuni utenti durante la sincronizzazione con il cloud. La funzione di eliminazione morbida può aiutarti a recuperare questi incidenti e a ristabilire gli account utente in Control Hub.
Per impostazione predefinita, questa funzione è abilitata per tutte le organizzazioni. Quando gli utenti vengono eliminati nel cloud, ad esempio, a causa di un problema oggetto non corrispondente dopo una sincronizzazione da Connettore directory, è possibile recuperare gli utenti. Se si notano oggetti non corrispondenti o si nota che gli utenti sono stati eliminati, è possibile recuperarli se si agisce rapidamente.
Gli utenti vengono contrassegnati come inattivi in Control Hub quando gli account corrispondenti vengono eliminati in Active Directory. Il servizio cloud di sfondo mantiene gli utenti per un massimo di 7 giorni. Durante questo periodo, è comunque possibile utilizzare Connettore directory Cisco per recuperare gli utenti. Si consiglia di recuperare questi utenti il prima possibile. Anche gli utenti disabilitati in Active Directory vengono contrassegnati come inattivi in Control Hub, ma l'account utente non viene eliminato dopo 7 giorni. |
1 | |
2 | Andare a Utenti e verificare se un account utente specifico è in stato Inattivo o non in elenco. Per ulteriori informazioni, vedi Stati utente e azioni in Control Hub. |
3 | Se gli utenti sono stati eliminati in Control Hub o si notano utenti in stato Inattivo, andare ad Active Directory, aggiungere gli account utente mancanti, quindi eseguire una sincronizzazione di esecuzione a secco in Connettore directory. L'obiettivo con Connettore directory è creare una corrispondenza esatta tra le informazioni utente in Active Directory e nel cloud. |
4 | Eseguire una sincronizzazione completa per risincronizzare gli account utente temporaneamente eliminati in Control Hub. Gli utenti vengono recuperati e passano allo stato originale, inclusi lo stato dell'account e le assegnazioni del servizio. |
Operazioni successive
Torna a Control Hub, vai a
e verificare che gli account utente eliminati in precedenza vengano visualizzati nell'elenco degli utenti.Elimina utenti in modo permanente dopo eliminazione soft
Dopo aver eseguito un'esecuzione di prova, puoi scegliere di eliminare in modo permanente gli utenti che sono stati eliminati in modo morbido nella successiva sincronizzazione.
1 | Al termine di un'esecuzione di prova, selezionare Oggetti eliminati morbidi. |
2 | Selezionare la casella di controllo accanto agli utenti che si desidera eliminare. |
3 | Scegliere Chiudi. |
Operazioni successive
Nella successiva sincronizzazione, gli utenti selezionati verranno eliminati in modo permanente.
Modifica di un indirizzo e-mail dell'app Webex
Se si desidera modificare gli indirizzi e-mail degli utenti e la propria organizzazione utilizza Connettore directory, tali indirizzi e-mail verranno modificati in Active Directory. Questa procedura riguarda la modifica di un indirizzo e-mail dell'app Webex per un singolo dominio e un processo per la modifica del dominio.
Se si desidera modificare solo l'e-mail o un determinato valore per un utente, non eliminare l'utente da Active Directory e ricrearne uno nuovo con lo stesso indirizzo e-mail. Il cloud interpreta questa azione come un nuovo account utente e gli spazi dell'utente e altri dati nel cloud andranno persi. |
Connettore directory non limita la modifica del dominio e-mail. Tuttavia, quando l'utente si risincronizza al cloud, lo stato utente dipende se il nuovo dominio viene verificato nella propria organizzazione. Se il dominio non è verificato nella tua organizzazione, lo stato dell'utente cambia in In sospeso dopo la sincronizzazione completa. Per ulteriori informazioni, vedere Gestione dei domini.
Se la propria organizzazione non utilizza Connettore directory, è possibile modificare gli indirizzi e-mail dell'app Webex attraverso la pagina delle impostazioni dell'account. Vedere Modifica dell'indirizzo e-mail per l'account per le operazioni che gli utenti possono seguire per modificare le e-mail.
Modifica del dominio Active Directory
È possibile utilizzare questa procedura per creare nuovi domini e indirizzi e-mail. Si sincronizzano con il servizio di identità nel cloud.
1 | Impostare un nuovo dominio Active Directory (AD). | ||
2 | Disabilitare le sincronizzazioni su tutti i connettori. | ||
3 | Disinstallare tutti i connettori. | ||
4 | Apri un caso per modificare il dominio. Nell'invio del caso, accertarsi di richiedere la rimozione della configurazione del dominio e di tutti gli attributi di sincronizzazione nella propria organizzazione.
| ||
5 | Una volta risolto il caso: Eseguire un test con Connettore directory prima di eseguire la sincronizzazione effettiva. |
Richiesta dominio
Una richiesta di dominio si verifica se si richiede un dominio e-mail per un'organizzazione in modo che qualsiasi account in rilievo venga creato nell'organizzazione cliente a pagamento e non nell'organizzazione cliente gratuita. È possibile effettuare una richiesta di dominio solo tramite un caso di supporto (vedere il collegamento seguente per ulteriori informazioni).
Se Connettore directory è attivo e il dominio viene richiesto, gli account in rilievo non vengono creati né nell'organizzazione cliente né nell'organizzazione consumer gratuita. Solo Connettore directory può fornire account per l'organizzazione da Active Directory. Le informazioni memorizzate in Active Directory sono l'origine originale. Se si tenta di trasferire un account, l'utente invitato riceve un errore. L'unico modo per aggiungere un utente invitato a uno spazio app Webex è innanzitutto utilizzare Connettore directory per eseguire il provisioning dell'account in Control Hub.
Conversione degli utenti gratuiti dell'app Webex in un'organizzazione sincronizzata nella rubrica
Puoi utilizzare solo indirizzi e-mail univoci nella directory dell'app Webex. Se i tuoi utenti hanno eseguito l'iscrizione alla versione gratuita dell'app Webex, il relativo account esiste nell'organizzazione consumer gratuita. Per gestire gli utenti in questa organizzazione utilizzando Connettore directory, esegui la migrazione (conversione) degli utenti nell'organizzazione del cliente prima di attivare Connettore directory. Quindi, aggiungere gli utenti ad Active Directory con l'indirizzo e-mail esatto e sincronizzarli con il cloud.
Se non si convertono gli account prima dell'attivazione, disattivare Connettore directory per convertirli.
Se si tenta di convertire un utente mentre è abilitata la sincronizzazione delle rubriche, il messaggio di errore <email address=""> non può essere convertito
viene visualizzato. Per evitare il problema, è possibile utilizzare questa procedura come soluzione.
Alcuni utenti richiesti possono visualizzarsi con il Se non aggiungi tali utenti, verranno tutti eliminati il accanto al cloud sincronizzato. |
1 | Disabilita la sincronizzazione delle rubriche da Connettore directory. | ||
2 | Segui la procedura Converti utenti senza licenza in Control Hub per convertire l'utente dall'organizzazione consumer gratuita all'organizzazione aziendale. Questo passaggio aggiunge l'utente alla tua organizzazione e l'account viene visualizzato in Control Hub. Connettore directory rende Active Directory la singola fonte di informazioni per gli account utente e l'obiettivo è avere una corrispondenza esatta tra Active Directory e Control Hub. Assicurarsi che siano presenti utenti corrispondenti Active Directory utenti convertiti di recente prima di ristabilire la sincronizzazione. È possibile utilizzare una sincronizzazione di esecuzione di verifica per accertarsi che non vi siano utenti restanti non corrispondenti. | ||
3 | In Connettore directory, eseguire una sincronizzazione di esecuzione a secco. Al termine dell'esecuzione di test, selezionare la scheda Aggiungi oggetti. Verificare che gli utenti convertiti non siano eliminati.
| ||
4 | Quando si è certi che la successiva sincronizzazione non rimuoverà alcun account, abilitare nuovamente la sincronizzazione delle rubriche dal Connettore directory. |
Gli account utente convertiti non vengono attivati automaticamente se non è stato verificato un dominio. Ad esempio, se è stato attivato il modello di licenza di assegnazione automatica e successivamente è stato attivato Connettore directory senza verifica del dominio, gli utenti convertiti sono inattivi nel backend cloud fino a quando non confermano i relativi indirizzi e-mail.
Account utente dell'app Webex in rilievo
Quando si invita un altro utente in uno spazio nell'app Webex, se l'utente invitato non dispone di un account dell'app Webex, viene creato un account ("in rilievo"). Per impostazione predefinita, gli account creati in questo modo vengono aggiunti all'organizzazione consumer gratuita.
Se si desidera gestire l'account in rilievo utilizzando Connettore directory, è necessario convertire l'account.
Modifica del formato del nome utente dell'app Webex dopo la sincronizzazione della rubrica
Per impostazione predefinita, Connettore directory associa l'attributo displayName in Active Directory all'attributo displayName nel cloud.
Dopo aver eseguito una sincronizzazione delle rubriche, è possibile che i nomi utente vengano visualizzati nel formato <lastName, firstName="">.
Questo nome utente può essere visualizzato se il displayName
l'attributo in Active Directory è configurato in questo modo. Quando l'attributo è associato a displayName
nel cloud, i nomi vengono visualizzati nel formato <lastName, firstName=""> in Control Hub.
Per modificare il formato, nella schermata di mappatura degli attributi di Directory Connector: mappare l'attributo Active Directory givenName sn
(oppure sn givenName
) a displayName
nei nomi degli attributi di Cisco Cloud.
In alternativa, mappare l'attributo sn givenName
a displayName
:
È inoltre possibile utilizzare l'opzione Personalizza attributo, se si desidera mappare l'espressione personalizzata dell'attributo displayName
.
Ad esempio, Invio givenName + "" + sn
(nome, spazio, cognome) come espressione. Questa opzione associa i due attributi in Active Directory a displayName
nel cloud.
Come consentire agli utenti di modificare i nomi visualizzati in Webex Meetings
È possibile annullare la mappa displayName
attributo dalla sincronizzazione al cloud in Directory Connector se si desidera consentire agli utenti di modificare i nomi visualizzati preferiti. Gli utenti possono immettere un nome visualizzato da mostrare durante le riunioni Webex anziché il nome e il cognome. Gli amministratori possono anche modificare manualmente il nome visualizzato per un utente in Control Hub.
1 | Da Connettore directory, fare clic su Configurazione, quindi scegliere Mappatura attributi utente. |
2 | Selezionare displayName in Cisco Cloud Attribute Name. |
3 | Selezionare Non sincronizzare questo attributo. |
Operazioni successive
Gli utenti ora possono modificare i propri nomi visualizzati dal sito Webex.
Aggiornamento all'ultima release software
Per mantenere la distribuzione conforme e ottenere le ultime funzioni, funzionalità, correzioni di bug e miglioramenti della sicurezza, è necessario eseguire sempre l'aggiornamento all'ultima versione di Connettore directory. Se non si esegue l'aggiornamento all'ultima versione disponibile, potrebbero verificarsi problemi, ad esempio se Connettore directory non esegue più la sincronizzazione corretta o se si trova su una versione che non supporta il requisito TLS 1.2 obbligatorio.
Connettore directory notifica automaticamente quando è disponibile una nuova versione. Eseguire sempre l'aggiornamento all'ultima versione per evitare problemi. Viene inoltre visualizzata una notifica nella barra delle applicazioni di Windows.
Sebbene sia possibile installare manualmente gli aggiornamenti software del connettore, si consiglia di seguire la procedura in Imposta aggiornamenti automatici per consentire all'app di gestire automaticamente gli aggiornamenti. |
1 | Fare clic sulla notifica nella barra delle applicazioni di Windows o fare clic con il pulsante destro del mouse sull'icona Connettore directory nella barra delle applicazioni di Windows per avviare il processo di aggiornamento. |
2 | Seguire le istruzioni per completare l'aggiornamento. |
3 | Riavviare il connettore e accedere con le credenziali di amministrazione. |
4 | Verificare il numero di versione del software sotto . |
Operazioni successive
Per una nuova installazione di Connettore directory, è possibile scaricare il file zip e seguire la procedura di installazione in questa guida.
Configurazione delle impostazioni generali per Connettore directory
Utilizzare questa procedura per configurare le impostazioni generali, ad esempio il nome del server che esegue Directory Connector, i livelli di registro, gli aggiornamenti automatici e le impostazioni preferite per i controller di dominio. Il nome del connettore viene visualizzato sul cruscotto nella sezione dei connettori, insieme ad altri connettori in esecuzione.
1 | Da Connettore directory, vai a Configurazione, quindi fai clic su Generale. | ||
2 | Nel campo Nome connettore, immettere il nome del connettore. Questo campo mostra solo il nome del computer che attualmente utilizza il connettore. | ||
3 | Scegliere il livello di registro dall'elenco a discesa. Per impostazione predefinita, il livello di registro è impostato su info. I livelli di registro disponibili sono:
| ||
4 | Scegliere i controller di dominio preferiti per impostare l'ordine dei controller di dominio per la sincronizzazione delle identità. Si accede ai controller di dominio dall'alto in basso. Se il controller superiore non è disponibile, selezionare il secondo controller nell'elenco. Se non è riportato alcun controller, è possibile accedere al controller principale. | ||
5 | Selezionare Aggiorna automaticamente alla nuova versione di Cisco Directory Connector se si desidera eseguire gli aggiornamenti automatici. È sempre importante mantenere aggiornato il software Cisco Directory Connector all'ultima versione. Si consiglia di controllare questa impostazione per consentire l'installazione automatica degli aggiornamenti al software in modo invisibile all'utente quando sono disponibili. | ||
6 | Selezionare LDAP su SSL per utilizzare il protocollo LDAP (LDAPS) protetto come protocollo di connessione.
LDAP (Lightweight Directory Application Protocol) e Secure LDAP (LDAPS) sono i protocolli di connessione utilizzati tra un'applicazione e il controller di dominio all'interno dell'infrastruttura. La comunicazione LDAPS è crittografata e sicura. |
Configurazione dei criteri del connettore
È possibile impostare il numero massimo di eliminazioni che possono verificarsi durante la sincronizzazione. L'esecuzione della sincronizzazione non elimina gli oggetti da Active Directory locale. Tutti gli oggetti vengono eliminati solo dal cloud.
Ad esempio, hai impostato 1
come valore di soglia di eliminazione. Quando si esegue la sincronizzazione completa o incrementale, se il numero di utenti che si desidera eliminare è maggiore dell'impostazione, il connettore directory visualizza un avviso. Se fai clic su Ignora soglia, puoi avviare la sincronizzazione completa o incrementale correttamente, ma vedrai questo avviso di sostituzione la prossima volta che esegui i criteri.
1 | Da Connettore directory, fare clic su Configurazione, quindi scegliere Criteri. | ||
2 | Selezionare la casella Abilita soglia di attivazione se si desidera aggiungere un soglia di attivazione. La scelta di questa opzione attiva un avviso se il numero di eliminazioni supera la soglia. Quando l'account di eliminazione supera quello definito, la sincronizzazione non riesce.
| ||
3 | Immettere il numero massimo di eliminazioni desiderate. L'impostazione predefinita è 20.
| ||
4 | Fare clic su Applica. |
Impostazione della pianificazione del connettore
Impostare i tempi di sincronizzazione in Active Directory. Il failover viene utilizzato per l'alta disponibilità (HA). Se un connettore è inattivo, si passa a un altro connettore di standby dopo l'intervallo predefinito.
1 | Da Connettore directory, fare clic su Configurazione, quindi scegliere Pianifica. |
2 | Specificare l'intervallo di sincronizzazione incrementale in minuti. Per impostazione predefinita, viene impostata una sincronizzazione incrementale ogni 30 minuti. La sincronizzazione incrementale completa non viene eseguita finché non viene eseguita inizialmente una sincronizzazione completa. |
3 | Modificare il valore Send Reports per… time (Invia report per… ora) se si desidera modificare la frequenza di invio dei report. |
4 | Seleziona Abilita pianificazione sincronizzazione completa per specificare i giorni e gli orari in cui desideri eseguire una sincronizzazione completa. |
5 | Specificare l'intervallo di failover in minuti. |
6 | Fare clic su Applica. |
Scenari a più domini
Più domini si basano sulla priorità del dominio. Per gli oggetti che hanno lo stesso valore chiave in domini diversi, dopo la sincronizzazione, i dati del dominio con priorità più alta riscrivono i dati del dominio con priorità più bassa.
Gli oggetti con lo stesso valore chiave sono collegati a un record nel database.
Il valore chiave per "Utente" è l'Indirizzo e-mail; il valore chiave per "Gruppo" è il nome del gruppo.
Esempio di caso d'uso per più domini
Questo esempio presuppone un'organizzazione con due domini: esempio1.com e esempio2.com, in ordine di priorità.
Aggiungi utente1(e-mail: user@example1.com) all'Active Directory di example1.com.
Aggiungi gruppo1(Nome gruppo: Test) all'Active Directory di esempio1.com.
Aggiungi utente2(e-mail: user@example2.com) all'Active Directory di example2.com.
Aggiungi gruppo2(Nome gruppo: Test) all'Active Directory di esempio2.com.
- Sincronizzazione su esempio1.com
-
Come caso d'uso, gli utenti2 e group2 vengono sincronizzati al cloud e vengono visualizzati in https://admin.webex.com, mentre gli utenti1 e group1 non lo sono.
Se si esegue una sincronizzazione completa o incrementale, ad esempio1.com, gli utenti1 e group1 vengono sincronizzati. Inoltre, user2 e group2 vengono sovrascritti dalle informazioni di user1 e group1.
Collegamenti utente1 a utente2 dello stesso record nel database; collegamenti gruppo1 gruppo2 dello stesso record nel database.
- Sincronizzazione su esempio1.com e esempio2.com
-
Come caso d'uso, gli utenti2 e group2 vengono sincronizzati al cloud e vengono visualizzati in https://admin.webex.com, mentre gli utenti1 e group1 non lo sono.
Considerate queste fasi:
- Eliminare user1 e group1 su Active Directory, ad esempio1.com.
- Eseguire una sincronizzazione completa o incrementale per esempio1.com.
Risultato: le informazioni dell'utente non vengono modificate in https://admin.webex.com. Utente2 non è collegato all'utente1 e gruppo2 non è collegato al gruppo1.
- Eseguire una sincronizzazione incrementale per esempio2.com.
Risultato: le informazioni dell'utente non vengono modificate in https://admin.webex.com.
- Esegui una sincronizzazione completa per esempio2.com.
Risultato: le informazioni sull'utente2 e sul gruppo2 sono elencate nella https://admin.webex.com.
Sincronizzazione di un nuovo dominio e conservazione di un dominio esistente
Se si desidera sincronizzare un nuovo dominio (B) mantenendo i dati utente sincronizzati su un altro dominio esistente (A), assicurarsi di installare Connettore directory per la sincronizzazione del dominio (B) su un server Windows supportato. Il connettore si collega al nuovo dominio dopo l'impostazione iniziale e le informazioni utente sotto il dominio (A) rimangono invariate.
Ogni dominio deve avere il proprio connettore attivo. Considera due domini con la seguente impostazione: dominio A con connettori (ca1) e (ca2) per alta disponibilità locale (HA); dominio B con connettore (cb1). (ca1) e (ca2) servono il dominio A. In questo scenario, un connettore è attivo e l'altro è standby (HA). Questo design mantiene sincronizzato il dominio poiché un connettore è sempre attivo. Pertanto, cb1 è il connettore attivo per il dominio B, perché il dominio A dispone già di un connettore attivo (ca1 o ca2).
Impostazione della priorità di dominio
Utilizzare questa procedura per modificare la priorità dei domini Active Directory. La priorità di dominio consente di determinare il dominio principale, il dominio secondario e così via. Ciò si verifica quando due utenti di due domini diversi hanno lo stesso valore e-mail sincronizzato con un'organizzazione.
Non utilizzare questa procedura se si dispone di un singolo dominio elencato in Connettore directory. Se si tenta, il connettore visualizza un messaggio a indicare che la priorità del dominio non è richiesta.
Operazioni preliminari
Per evitare errori, installare o eseguire l'aggiornamento all'ultima versione del Connettore directory Cisco. È necessario scaricarlo da https://admin.webex.com.
1 | Dal connettore directory Cisco, fare clic su Dashboard. | ||
2 | Andare ad Azioni, quindi fare clic su Imposta priorità di dominio. | ||
3 | Evidenziare un dominio nell'elenco, fare clic su Su o Giù per modificare la priorità di questo dominio, quindi fare clic su Salva per salvare questa modifica.
|
Cambia domini
Utilizzare questa procedura per reindirizzare il connettore directory Cisco in un dominio diverso.
Operazioni preliminari
Assicurati che nessuna attività di sincronizzazione sia in esecuzione prima di cambiare i domini.
Per evitare errori, installare o eseguire l'aggiornamento all'ultima versione del Connettore directory Cisco. È necessario scaricarlo da Control Hub.
1 | Dal connettore directory Cisco, fare clic su Dashboard. |
2 | Vai ad Azioni, quindi fai clic su Cambia dominio. |
3 | Dopo aver letto l'avvertenza, se si comprendono gli effetti di questa modifica sulla distribuzione e si è ancora sicuri, fare clic su Sì. Se si cambia dominio, si viene disconnessi dal connettore directory Cisco corrente, gli altri domini del connettore non sono registrati e le informazioni sul connettore su tale computer vengono eliminate. |
4 | Accedere nuovamente al connettore directory Cisco e riattivare il dominio. |
Disattiva sincronizzazione rubriche
Se devi interrompere la sincronizzazione da Connettore directory, puoi disattivarla temporaneamente da Control Hub.
1 | Dalla vista cliente in https://admin.webex.com, andare a , scorrere fino a Sincronizzazione rubriche, quindi scegliere una delle opzioni seguenti:
|
2 | Dopo aver letto il prompt, fare clic su Disattiva. La sincronizzazione si interrompe fino a quando non viene riabilitata da Connettore directory. |
Rimuovere la mappatura degli attributi utente
Utilizzare Connettore directory per rimuovere la mappatura degli attributi Active Directory precedentemente mappati al cloud e sincronizzati con Webex. Una volta rimossa la mappatura degli attributi, i valori degli attributi vengono rimossi dal cloud e non vengono più sincronizzati con Webex. Tali valori possono quindi essere modificati manualmente.
1 | Da Connettore directory, fare clic su Dashboard. |
2 | Andare ad Azioni, quindi fare clic su . |
3 | Selezionare la mappatura da rimuovere dall'elenco Nome attributo. |
4 | In Ambito utente interessato, selezionare una delle seguenti opzioni:
|
5 | Fare clic su Applica. |
Gestisci immagini di profilo
Utilizzare Connettore directory per aggiornare le immagini dei profili utente o per rimuovere le immagini dei profili utente vuote.
1 | Da Connettore directory, fare clic su Dashboard. |
2 | Andare ad Azioni, quindi fare clic su . |
3 | In Actions, selezionare una delle seguenti opzioni:
|
4 | Fare clic su Applica. |
Disinstallazione e disattivazione di Connettore directory
Dopo aver disinstallato un'istanza di Connettore directory, è necessario annullarne la registrazione. Rimuovere completamente un connettore directory per uno qualsiasi di questi scenari:
Non desideri più utilizzare la sincronizzazione delle rubriche.
Non si desidera utilizzare uno dei più connettori della rubrica (alta disponibilità).
Si desidera modificare il dominio e installare un altro connettore.
Operazioni preliminari
È possibile che siano state impostate più istanze di Connettore directory per l'alta disponibilità (HA) o per la sincronizzazione di più domini. Disabilita la sincronizzazione se stai disinstallando la sola o ultima istanza rimanente di Connettore directory.
Salvare e chiudere qualsiasi operazione importante prima di disinstallare Connettore directory.
1 | Dalla macchina Windows, andare al Pannello di controllo, quindi fare clic su Programmi e funzioni. |
2 | Dall'elenco dei programmi, fare clic su Connettore directory, scegliere Disinstalla, quindi seguire le indicazioni. Potrebbe essere necessario riavviare il sistema per completare la disinstallazione. |
3 | Dalla vista cliente in https://admin.webex.com, andare a , scorri fino a Sincronizzazione rubrica, fai clic su Altro |
4 | Dopo aver letto il prompt, fare clic su Disattiva. A meno che non sia presente un altro Connettore directory in una distribuzione ad alta disponibilità (HA), gli account utente non vengono più sincronizzati. |
Esecuzione dello strumento diagnostico
È possibile utilizzare lo strumento diagnostico integrato per risolvere i problemi di distribuzione di Connettore directory. Questo strumento è installato come parte di Connettore directory da 3.4 in poi.
Se la sincronizzazione non funziona correttamente, potrebbe essere presente un errore di configurazione o di rete. Questo strumento verifica la connessione a LDAP in modo che tu possa diagnosticare personalmente gli errori prima di contattare il supporto. Se lo strumento restituisce un errore, è possibile inviare i risultati dettagliati del registro a supporto.
Risoluzione dei problemi e correzioni di Connettore directory
È possibile riscontrare un messaggio di errore o un altro problema in Connettore directory. Inoltre, dopo che Connettore directory sincronizza le informazioni utente, il connettore può inviare un report e-mail che elenca eventuali problemi con la sincronizzazione. Fai riferimento alle sezioni seguenti per i problemi che possono insorgere, le possibili cause e le soluzioni proposte che puoi provare prima di contattare il supporto.
Installa
Connettore directory smesso di funzionare
Sono stati ricevuti messaggi e-mail di avviso che informavano che il Connettore directory non funziona.
Connettore directory potrebbe non essere installato correttamente.
Connettore directory potrebbe non essere in esecuzione.
La rete potrebbe non essere disponibile.
Provare a effettuare le seguenti operazioni:
Apri
. Individuare il connettore directory. In caso contrario, scarica l'ultima versione da Control Hub e installala.Aprire Service e individuare Cisco DirSync Service. Accertarsi che venga visualizzato lo stato Avviato. Se il servizio viene interrotto, fare clic con il pulsante destro del mouse e selezionare Avvia per riavviare il servizio.
Accertarsi che il server su cui è stato installato Connettore directory abbia accesso a Internet.
Errore di reinstallazione
Problema: se si installa immediatamente un nuovo connettore dopo aver disinstallato quello precedente, potrebbe essere visualizzato un messaggio di errore.
Possibile causa: in Windows Server 2012, il client di disinstallazione ha bisogno di tempo per eliminare l'account del servizio dall'elenco dei servizi.
Soluzione: trascorso un po' di tempo, provare di nuovo l'installazione.
Accedi
Arresto anomalo del connettore directory durante l'accesso SSO
Problema
Il Connettore directory può bloccarsi in seguito all'inserimento di un indirizzo e-mail da una pagina di accesso SSO.
Soluzione
Provare a effettuare le seguenti operazioni:
Effettuare queste operazioni per configurare un nuovo criterio di gruppo:
Andare al controller di dominio e aprire Group Policy Management (gpedit.msc).
Fare clic con il pulsante destro del mouse su una OU o un dominio specifici e selezionare Crea un GPO in questo dominio, quindi collegarlo qui…
Assegnare un nome alla politica, quindi fare clic con il pulsante destro del mouse e scegliere Modifica.
Effettuare queste operazioni per modificare i criteri a livello di macchina:
Vai a Registro, scegliere Nuovo, quindi Voce di registro.
, fare clic con il pulsante destro del mouse suPer Percorso chiave, immettere o passare a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Invio
Disable Script Debugger
per Value (Valore) e immettereno
per i dati Value.Le impostazioni devono corrispondere a questa schermata:
Effettuare queste operazioni per modificare i criteri a livello di utente:
Vai a Registro, scegliere Nuovo, quindi Voce di registro.
, fare clic con il pulsante destro del mouse suPer Percorso chiave, immettere o passare a HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Invio
Disable Script Debugger
per Value (Valore) e immettereno
per i dati Value.Le impostazioni devono corrispondere a questa schermata:
Le modifiche hanno effetto dopo l'esecuzione |
Impossibile registrare il connettore del servizio Cisco DirSync
Problema
L'accesso non riesce e viene visualizzato questo messaggio: "Impossibile registrare il connettore del servizio Cisco DirSync."
Soluzione
Il sistema Windows su cui è installato Connettore directory deve essere un membro di Active Directory.
Nessuna pagina di accesso visualizzata
Problema
È stato aperto Connettore directory e la pagina di accesso non viene visualizzata.
Soluzione
Provare a effettuare le seguenti operazioni:
In Internet Explorer, andare a https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Provare il collegamento in altri browser come Chrome e Firefox.
Se Internet Explorer non può visitare il collegamento ma altri browser possono, selezionare le impostazioni di Internet Explorer e selezionare le caselle di controllo TLS 1.1 e 1.2. Utilizzare la procedura Abilita TLS nella procedura Internet Explorer.
Viene visualizzata la richiesta di accesso
Problema
Viene visualizzato un prompt che richiede di immettere il nome utente e la password per passare l'autenticazione.
Causa possibile
Il Connettore directory completa l'autenticazione di sicurezza NTLM in modo invisibile all'utente con l'account di accesso. In caso di mancata autenticazione, viene visualizzata una finestra di dialogo per richiedere il nome utente e la password di autenticazione.
Soluzione
Quando viene visualizzata la finestra popup di accesso, è necessario fornire un account valido con l'autenticazione corretta per passare la sicurezza.
Impossibile connettersi al server remoto
Problema
Durante il normale funzionamento, viene visualizzato il messaggio di errore: "Impossibile connettersi al server remoto."
Causa possibile
Potrebbero verificarsi problemi di proxy che devono essere risolti.
Soluzione
Vedere Risoluzione dei problemi di accesso all'account di servizio per ulteriori informazioni sulla risoluzione dei problemi.
Impossibile registrare il connettore
Problema
Viene visualizzato il messaggio di errore "Impossibile registrare il connettore. Si è verificata un'eccezione generale."
Causa possibile
Nella maggior parte dei casi, il problema è dovuto al fatto che Connettore directory non dispone di privilegi per la connessione al contesto radice LDAP.
Soluzione
Provare a effettuare le seguenti operazioni:
Eseguire un prompt dei comandi (cmd), quindi immettere ldp.exe.
Fare clic su Bind come attualmente connesso all'utente, quindi fare clic su OK.
, scegliereFare clic su OK.
, inserisci DC=arbonneintl,DC=ad come BaseDN, quindi fai clic suSe il problema continua, aprire un caso con il supporto.
Sincronizzazione
Avatar non sincronizzati
Problema
Il connettore directory Cisco ha sincronizzato i dati AD utente con il cloud Webex. Tuttavia, nessun dato avatar è stato sincronizzato correttamente.
Causa possibile
Se è stato riutilizzato un server avatar esistente e gli avatar dell'utente sono già stati sincronizzati, la cache locale li acquisisce ed evita di nuovo per risparmiare larghezza di banda.
Soluzione
Eliminare la cache locale seguendo questa procedura:
Andare a C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Elimina DirSyncPluginAvatar.dll-cache.bin.
Eseguire di nuovo la sincronizzazione degli avatar dal connettore directory Cisco.
Account e-mail utente in conflitto
Problema
I risultati della sincronizzazione possono mostrare account e-mail utente in conflitto.
Se gli utenti hanno provato la versione gratuita dell'app Webex, i relativi indirizzi e-mail risiedono nell'organizzazione consumer gratuita.
Se i messaggi e-mail utente sono stati sincronizzati in un'altra organizzazione.
Se i messaggi e-mail utente esistono in più domini appartenenti all'organizzazione.
Soluzione
Provare a effettuare le seguenti operazioni:
Attenersi alla procedura seguente se si sta tentando di richiedere gli utenti:
Assicurati di aver verificato il dominio in Control Hub.
Temporaily disabilita Connettore directory Cisco.
Utilizzare l'opzione Richiedi utente in Control Hub per richiedere gli account che potrebbero esistere nell'organizzazione consumer gratuita. Per ulteriori informazioni, vedere Richiesta di utenti nella propria organizzazione (Converti utenti).
Esegui un'esecuzione di prova in Cisco Directory Connector, quindi riabilita la sincronizzazione delle rubriche
Per l'ultimo caso, verificare i dati utente nelle origini di Active Directory.
Utente convertito contrassegnato come inattivo
Problema
Nell'ambiente sincronizzato della rubrica, è stato convertito un utente gratuito (organizzazione consumer) nella propria organizzazione aziendale, ma l'utente convertito non può accedere all'app Webex.
Causa possibile
Quando l'utente gratuito viene convertito nell'organizzazione aziendale, l'utente viene contrassegnato come stato inattivo per 30 giorni come misura di conformità della sicurezza. Durante questo periodo, l'utente non può accedere all'app Webex ed è contrassegnato per l'eliminazione alla fine del periodo di 30 giorni. Questa situazione si verifica perché le informazioni utente gratuite non risiedono in Active Directory.
Soluzione
È necessario agire se non si desidera eliminare l'account utente. Per risolvere questo problema, creare un account utente nell'Active Directory locale corrispondente all'account utente gratuito convertito. Quindi, eseguire una sincronizzazione da Connettore directory Cisco. Quindi, l'utente può accedere nuovamente all'app Webex e l'account non verrà eliminato.
Sincronizzazione incrementale non riuscita
Problema
Una sincronizzazione incrementale non riesce.
Questo problema può verificarsi su Windows Server 2008 R2 alle seguenti condizioni:
Supportate gli aggiornamenti di valore incrementale.
Il filtro utilizzato fa riferimento a un attributo di valore collegato.
I valori dei risultati di tale attributo sono stati aggiornati dall'ultima volta che è stata eseguita una sincronizzazione completa.
Soluzione
Windows Server 2008 R2 presenta un bug correlato a questo problema. Il bug è stato risolto nel 2012 R2 e successivamente. Si consiglia di eseguire l'aggiornamento di Windows Server almeno alla R2 2012.
Valore non valido per attributo
Problema
Per [user dn (distinguished name)], l'attributo [attribute name] ha il seguente valore non valido [attribute value].
Causa possibile
Per CN=b,OU=Dipendenti,OU=C Utenti,DC=c,DC=com, l'attributo [numero di telefono] ha il seguente valore non valido: +. Questo attributo deve contenere almeno un numero.
Soluzione
Un attributo per questo utente non dispone di un valore valido. Fissare il valore in base alla descrizione contenuta nel messaggio di avvertenza. Quindi eseguire un'altra sincronizzazione.
Utenti corrispondenti da eliminare
Problema
Gli utenti corrispondenti vengono contrassegnati per essere eliminati.
Quando si esegue una sincronizzazione di esecuzione a secco per controllare i dati tra Active Directory e il cloud, è possibile che venga visualizzato lo stesso indirizzo e-mail in entrambi. Tuttavia, l'utente viene contrassegnato come oggetto da eliminare.
Soluzione
Scegliere una soluzione appropriata:
Se è possibile eliminare l'utente ed eseguire nuovamente le licenze, è possibile utilizzare Connettore directory per la correzione. Eseguire una sincronizzazione per eliminare l'utente, quindi eseguire un'altra sincronizzazione per sincronizzare l'utente da AD locale al cloud.
Se non è possibile eliminare e ricreare l'account utente, aprire un caso con il supporto.
Attributo mancante
Problema
Attributo richiesto [attribute_name] quando si aggiunge una voce in sede [nome utente distinto]. La voce non viene creata in Control Hub finché tutti gli attributi richiesti non hanno un valore.
Causa possibile
Indirizzo e-mail attributo richiesto mancante. Quando si aggiunge una voce in sede [CN=Utente di vendita,OU=Ingegneri,OU=K,DC=k,DC=locale], la voce non viene creata in Control Hub finché tutti gli attributi richiesti non hanno un valore.
Soluzione
Uno degli attributi richiesti risulta mancante per l'utente [user_email_address]. Fornire i valori richiesti per tale utente.
Gruppo nidificato non sincronizzato
Problema
Gli utenti in un gruppo Active Directory annidato non vengono sincronizzati correttamente con il cloud.
Causa possibile
Viene utilizzato un filtro che include sia il gruppo figlio che il gruppo padre, che non è supportato. Ad esempio: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Soluzione
È necessario riconfigurare il filtro che sincronizza i gruppi. Ad esempio: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Conflitto nome utente
Problema
Esiste un conflitto di nomi per [user dn] per un oggetto di accesso cloud esistente con il nome: [indirizzo e-mail utente] e del tipo di utente [user_type].
Causa possibile
Un utente con tale indirizzo e-mail già esiste in Control Hub.
Soluzione
Creare un utente nell'Active Directory con lo stesso indirizzo e-mail dell'account registrato attraverso Control Hub.
Control Hub
Elenco utenti mancante in Control Hub
Problema
Se disponi di un'organizzazione Webex con più di 1000 utenti sincronizzati, potresti non visualizzare l'elenco degli utenti in Control Hub.
Soluzione
È possibile utilizzare la funzionalità di ricerca per trovare un account utente. In Control Hub, vai a Utenti, fai clic su Cerca , quindi inserisci i criteri di ricerca per individuare un utente specifico.
I gruppi non verranno sincronizzati con Control Hub
Problema
Gli utenti in un gruppo in rubrica non verranno sincronizzati correttamente con Control Hub.
Causa possibile
Il gruppo non è contrassegnato come isCriticalSystemObject
in Active Directory.
Soluzione
Accertati che l'attributo isCriticalSystemObject
è impostato su TRUE
in Active Directory.
Abilitazione della risoluzione dei problemi per Connettore directory
È possibile abilitare la risoluzione dei problemi per diagnosticare eventuali errori riscontrati in Connettore directory. La risoluzione dei problemi consente di acquisire le informazioni sul traffico di rete e salvarle in un file.
I file di registro che sono: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 | Esegui il file di installazione | ||
2 | Riavviare il servizio. Per indicazioni, vedere Come avviare i servizi. | ||
3 | In Connettore directory, fare clic su Dashboard. | ||
4 | Andare ad Azioni, quindi fare clic su . | ||
5 | Con la risoluzione dei problemi abilitata, ripetere le azioni che hanno causato un errore; in questo modo vengono acquisiti i dati di traffico in modo che possano essere esaminati. | ||
6 | Esaminare i file di registro: se il file è vuoto, accertarsi che l'account disponga dei privilegi per accedere a AD DS o AD LDS.
| ||
7 | Se necessario, inviare il file di registro al supporto per assistenza. | ||
8 | Al termine, disabilitare la funzione di risoluzione dei problemi. |
Avvio del visualizzatore eventi
Per visualizzare gli eventi che si sono verificati durante una sincronizzazione completa o incrementale, avvia il Visualizzatore eventi. Visualizza un riepilogo degli eventi amministrativi e dei registri degli errori.
1 | Da Connettore directory, vai a Dashboard, quindi fai clic su .La finestra di dialogo Proprietà evento mostra i dettagli dell'evento di sincronizzazione e i dettagli dell'errore. |
2 | Dal visualizzatore eventi, andare a . |
3 | In Azioni, fare clic su Salva tutti gli eventi come per esportare tutti i registri come un singolo file Events (*.evtx) o un altro formato come xml o csv. |
Operazioni successive
Se è necessario aprire un caso, contattare il supporto, descrivere il problema con il connettore, quindi allegare il file Events al caso.
I registri degli eventi acquisiscono le azioni utente. Per informazioni sulla gestione del traffico di rete, abilitare la risoluzione dei problemi sul connettore. |
Abilitazione di TLS in Internet Explorer
Se sono stati attivati i provider Single Sign-On (SSO), è possibile che vengano visualizzati i seguenti messaggi di errore dal connettore directory Cisco:
Errore durante l'accesso al servizio
Si è verificato un errore nello script in questa pagina
Se vengono visualizzati questi errori, è necessario abilitare un'impostazione TLS nel browser.
1 | Aprire Internet Explorer, quindi scegliere Strumenti. Ora selezionare le caselle per la versione TLS/SSL che si desidera abilitare Fare clic su OK Chiudere il browser e aprirlo di nuovo |
2 | Fare clic su Opzioni Internet , andare a Avanzate , scorrere fino a Sicurezza. |
3 | Selezionare le caselle di controllo Usa TLS 1.1 e Usa TLS 1.2, quindi fare clic su OK. |
4 | Riavviare il sistema per rendere effettive le modifiche. |
Risoluzione dei problemi di accesso dell'account di servizio
Se non è possibile accedere al connettore directory Cisco o non è possibile eseguire una sincronizzazione, utilizzare questa procedura per tentare di risolvere il problema prima di contattare il supporto.
1 | Provare a visitare https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL nel browser Web. | ||
2 | Sceglierne uno, a seconda dei risultati:
| ||
3 | Come minimo, accertarsi che l'account configurato per il servizio Cisco DirSync (disponibile nei servizi Windows) disponga di un livello di privilegio che consente di accedere ai dati avatar e ai dati AD. Per impostazione predefinita, il servizio utilizza le credenziali dell'account di accesso e l'autenticazione di Windows. |
Controllare SafeDllSearchMode nel registro di Windows
La modalità di ricerca DLL (Safe Dynamic Link Library) è impostata per impostazione predefinita nel registro di Windows e posiziona la rubrica corrente dell'utente in un secondo tempo nell'ordine di ricerca DLL. Se questa modalità è stata in qualche modo disabilitata, un aggressore potrebbe posizionare una DLL dannosa (denominata lo stesso file DLL di riferimento che si trova nella cartella di sistema) nella directory di lavoro corrente dell'applicazione.
Solitamente, SafeDllSearchMode è abilitato, ma utilizzare questa procedura per controllare le impostazioni del registro di sistema.
Operazioni preliminari
Le modifiche al registro di sistema di Windows devono essere effettuate con estrema cautela. Si consiglia di eseguire un backup del registro prima di utilizzare questi passaggi. |
1 | Nella ricerca Windows o nella finestra Esegui, digitare regedit e premere Invio. |
2 | Andare a HKEY LOCAL__MACHINE\System\CurrentControlSet\Control\Session Manager. |
3 | Scegli un'opzione:
|
Per ulteriori informazioni, vedere Ordine di ricerca libreria collegamento dinamico.