- ホーム
- /
- 投稿記事
専用インスタンスの Webex Common Identity 経由のディレクトリ サービスの統合
Control Hub インターフェイスを使用して、Webex Common Identity Service 経由でクラウド ディレクトリ (Microsoft Azure AD) またはオンプレミス ディレクトリ (MS AD) から専用インスタンス クラスタ (Unified CM および Cisco Unity Connection) にユーザーを同期します。
概要
Azure AD などのクラウドベースのディレクトリから、Unified CM や Cisco Unity Connection などの専用インスタンス アプリケーションに、クラウド ディレクトリ サービスでユーザーを同期します。同期中、システムでは Webex アイデンティティ サービスに同期されている Azure Active Directory (または同様の Cloud ディレクトリ サービス) からユーザーと関連するユーザー データのリストをインポートします。同期が必要な Unified CM クラスタを Control Hub から選択し、適切な Unified CM ユーザー ID フィールド マッピングを選択して、同期を実行するために必要な同期合意を選択します。
前提条件
-
クラウド ディレクトリとして Azure Active Directory を使用している場合は、詳細については、「Control Hub で Azure AD ウィザード アプリをセットアッ プ」を参照してください。
-
ディレクトリとして Microsoft Active Directory を使用している場合は、詳細については、「Directory Connector の展 開」を参照してください。
-
Unified CM が既存の Active Directory システムとすでに統合されている場合は、これらの Active Directory が Webex Common Identity と統合されていることを確認してください。
クラスタの詳細を表示する
Control Hub の [管理] ページから、ユーザー データを同期するクラスタを選択します。
この選択によりクラスタの名前、クラスタ同期のステータス、最後の同期状態、関連する製品など、クラスタの詳細も提供されます。
クラスタの詳細 |
説明 |
---|---|
クラスタ名 |
クラスタの名前 |
ステータス |
同期のステータス |
最後の同期: |
前回の同期日 |
製品 |
製品の詳細 |
ディレクトリ同期
要件に応じて、Directory Connector を使用して On-prem Active Directory から Control Hub にユーザーを同期するか、Azure Directory から Control Hub に直接ユーザーを同期してから、Unified CM に同期できます。
次のいずれかを実行します。
-
Azure Directory から Control Hub にユーザーを直接同期するには、「Azure Directory からユーザーを同 期」の手順に従ってください。
-
Directory Connector を使用してオンプレミス Active Directory から Control Hub にユーザーを同期するには、「オンプレミス Active Directory からユーザーを同 期」の手順に従ってください。
Azure Directory からユーザーを同期する
専用インスタンス ディレクトリ サービスの同期により、Azure ディレクトリからエンドユーザー データを Unified CM データベースにインポートして、[エンドユーザーの設定(End-User Configuration)] ウィンドウに表示できます。
Azure Directory を使用してユーザーを同期するには:
-
Control Hub のユーザーを Cisco Unified CM に同期するには、「ディレクトリ同期を設定す る」の手順に従います。
オンプレミス Active Directory からユーザーを同期する
オンプレミス Active Directory の場合、ユーザーは Common Identity (CI) ディレクトリ コネクタに同期できます。
ディレクトリ サービスでは、SSO 展開のみがサポートされています。詳細については、「Control Hub でのシングル サインオン インテグレーション 」および「SAML ベースの SSO ソリューション 」を参照してください。
オンプレミス Active Directory からユーザーを同期するには:
-
Directory Connector を使用して Active Directory ユーザーを Common Identity (CI) に同期します。Control Hub からコネクタ ソフトウェアをダウンロードし、ローカル マシンにインストールできます。詳細については、「ディレクトリ コネクタの導入ガイド」を参照してください。
-
[ディレクトリ同期の設 定] の手順に従って、Control Hub のユーザーを Unified CM に同期します。
ディレクトリ同期を設定する
クラスタのプロビジョニングでさらなる遅延が発生することがあります。このようなシナリオでは、このアクティビティにかなりの時間がかかりますが、プロビジョニングは引き続き行われます。
-
https://admin.webex.com/login で、Control Hub にサインインします:。
-
[サービス] > [Calling] > [専用インスタンス] > [管理] の順に進みます。
UC アプリケーションを選択し、右側のパネルにある [ディレクトリ同期を有効にする] で [設定] をクリックします。
-
フィールド マッピング設定ウィンドウで、Unified CM ユーザーの ID フィールドに選択したマッピングが、プロビジョニングを開始した後でクラスタ内のユーザーを一意に識別していることを確認します。
Webex からユーザーを同期させるために適切な [Unified CM ユーザー ID] フィールド マッピングを選択します。
-
Unified CM の [ユーザー ID] フィールドは Webex のユーザーのメール ID に対応しています。
-
Unified CM の [メール ID] フィールドは Webex のユーザーのメール ID に対応しています。
-
Unified CM の [ユーザー ID] フィールドは Webex のユーザーのドメイン部分がないメール ID に対応しています。
Unified CM の既存のユーザー アカウントに対するマッピングが正常に完了しない場合、新しいユーザー アカウントが作成されます。ユーザーのメール ID は、新しく作成されたユーザー アカウントの一意の識別子として使用されます。このメモはオプション 1 と 2 に適用されます。
オプション
Unified CM
Control Hub
オプション1
Unified CM のユーザー ID フィールドは、Webex のユーザーのメール ID にマップされます
オプション 2
Unified CM のメール ID フィールドは、Webex のユーザーのメール ID にマップされます
オプション 3
Unified CM のユーザー ID フィールドは、Webex のユーザーのドメイン部分のないメール ID にマップされます
-
-
[次へ] をクリックします。
新しい同期合意を作成するには、ドロップダウン リストから合意を選択します。新しい同期合意が作成されると、オンプレミスのディレクトリを指定している既存の同期合意はすべて削除されます。変更は新しい同期合意が作成された後に加えることができます。
同期を開始する前に、[同意プレビュー] セクションでユーザーのリストと連絡先の詳細 (Unified Communications Manager で利用可能な既存の外部 LDAP ディレクトリの詳細) を確認します。次の詳細を表示できます。
-
グループ情報
デフォルトでは、すべてのユーザーは User Rank 5 と同期されます。これは [グループ情報] ウィンドウで確認できます。
-
ユニバーサル回線とデバイス テンプレートを使用して適用した機能グループ テンプレート
-
挿入されたユーザーの同期された電話番号への回線とマスクの詳細
-
新しくプロビジョニングされたユーザーと内線
-
同期される標準ユーザー フィールド セクション
-
ディレクトリ サーバーのホスト名または IP アドレス
[次へ]をクリ ックしてグループフィルタを選択します。
[グループ情報(Group Information)] セクションは Cisco Unity Connection には適用されないため、[契約プレビュー(Agreement Preview)] セクションには表示されません。
-
[グループを選択] ドロップダウン メニューから同期する特定のグループを選択します。すべてのユーザー グループを選択するには、[すべてのグループを選択する] チェックボックスをオンにします。
デフォルトでは、すべてのユーザーが同期されます。グループを選択しない場合、すべてのユーザーと関連するユーザー データは自動的に同期されます。
ディレクトリ内のネストされたグループの場合、ユーザーは、デフォルトで親グループに含まれていないため、特にプロビジョニング中にサブセット ユーザー グループを選択する必要があります。プロビジョニング中に必要なユーザーのみが含まれていることを確認するために、反復的なネスト (ある場合) を確認する必要があります。
同期合意への変更 (ターゲット ユーザーまたはグループの削除など) は、定期的な同期中には反映されません。そのクラスタのディレクトリ サービスをリセットし、新しい同期合意または変更した同期合意でクラスタを再プロビジョニングする必要があります。Cisco TAC サポートに連絡して、必要なクラスタのディレクトリ サービスをリセットしてください。
-
[次へ] をクリックして、同期プロセスの準備をします。
[同期を有効にする] ウィンドウで、システムがユーザーデータを Unified CM の一時ストレージスペースに正常にコピーし、新しい同期合意が作成されると、同期を有効にします (以下のスクリーンショットで示すように、手順 1 と 2 の後)。
-
[レポートをダウンロード] オプションを使用すると、結果の一部を表示できます。Unified CM クラスタの完全なレポートを取得するには、次の CLI コマンドを実行します。file get activelog /cm/trace/CIService/log4j/DryRunResults.csv
アクセスできない場合は、Cisco TAC サポートに連絡してレポートをダウンロードしてください。
ドライ ランの結果は、以下を示します。
-
新規ユーザー—ユーザーは Unified CM に存在せず、Webex アイデンティティ サービスに存在します。ユーザーは同期を有効にした後、Unified CM で作成されます。
-
一致したユーザー—ユーザーは Unified CM および Webex アイデンティティ サービスに存在しています。これらのユーザーは、同期が完了した後も Unified CM でアクティブのままになります。
-
一致しないユーザー—ユーザーは Unified CM および Webex アイデンティティ サービスに存在しています。一致しないユーザは、同期が完了した後に Unified CM で非アクティブとマークされ、24 時間の非アクティブ後に破棄されます。
レポートをチェックして、同じユーザー リストを保持するか、ユーザーを追加または削除するか決定できます。決定に基づいて、[放棄] をクリックしてプロセスを停止し、プロビジョニングの変更を元に戻します。
-
同期合意の検証後、[Unified CM をプレビュー] をクリックしてインフラストラクチャにサインインし、新しく作成された同期合意に変更を加えます。
グループ情報の編集のみできます。合意の名前を変更したり、詳細を変更したりすることはできません。
-
[同期を有効にする] をクリックして同期を続行します。
同期中は、完了するまでアクションを実行できません。特定のクラスタに対する同期が完了すると、ディレクトリ サービス ページではプロビジョニング状態のこのクラスタを一覧表示します。この時点で、Webex ユーザーを UC インフラストラクチャにプロビジョニングおよび同期する権限を Azure AD に与え、同期のセットアップ手順が完了しました。
新しい合意が作成されてから 18 時間以内に同期を有効にする必要があります。LDAP 同期ユーザーは非アクティブになり、非アクティブ状態が 24 時間続いた後に削除されます。ユーザーは Unified CM サービスにログインして使用することはできません。
特定のクラスタに対する Azure AD プロビジョニングが完了した後は、新しい同期合意を作成したり、同じクラスタの構成設定を変更したりすることはできません (グループ設定を除く)。Cisco TAC サポートに連絡してディレクトリ サービスをリセットしてください。その後、プロビジョニングのための新しい合意を作成できます。
プロビジョニング完了後、SSO 認証中に Azure IdP を使用している場合は、Azure IdP で正しいクレームを設定するようにしてください。たとえば、プロビジョニング中にユーザー ID マッピングにオプション 1 が選択されている場合、user.userprincipalname が [追加クレーム] セクションで UID として設定されていることを確認します。
定期的な同期
クラスタが正常にプロビジョニングされると、定期的な同期が毎日実行され、Webex Common Identity から Unified CM および Cisco Unity Connection へのユーザーデータへの変更が同期されます。定期的な同期には介入は必要ありません。ただし、Control Hub の [クラスタの詳細] ページの [最後に同 期] 列を参照して、その日に定期的な同期が行われたかどうかを確認できます。タイム スタンプは、クラスタの定期的な同期が行われた時間を反映するように更新されます。
Unified CM
Cisco Unity Connection
Unified CM または Cisco Unity Connection の LDAP ディレクトリ
デフォルトの LDAP ディレクトリは、同期プロセスによって作成されます。
設定は 1 回同期を示しますが、Control Hub は 24 時間サイクルで Common Identity を Unified CM または Cisco Unity Connection に同期します。
同期の状況を表示する
[ディレクトリ同期ステータス] 列に同期のステータスを表示します。UC アプリケーションをクリックし、プロビジョニングのステータス、最後に同期した状態、失敗の理由 (ある場合) を示す右側パネルを表示します。ローカル タイムゾーンも選択できます。デフォルトのブラウザ タイムゾーンは選択されています。
プロビジョニングのステータス
プロビジョニングのステータス |
説明 |
---|---|
処理中です |
プロビジョニング中です |
求められるアクション |
特定のクラスタで手動による介入が必要な場合は、必要な手順を実行します。
|
エラー |
同期の有効化ウィザードでアクションが必要な場合、必要なアクションを確認し、必要に応じて実行してください。 |
アクティブ |
クラスタのプロビジョニングが完了しました。 |
プロビジョニングされていません |
クラスタのプロビジョニングはまだ開始されていません。 |
Unity Connection のためにユーザーをインポートする
Control Hub からクラスタをプロビジョニングした後、Cisco Unity Connection の [ユーザーをインポート] から Azure AD ユーザーを手動でインポートできます。
ユーザーのインポート方法は 2 つあります。
1 |
Cisco Unity Connection の管理で、[ユーザー] を展開し、[ユーザーをインポート] を選択します。 |
2 |
[ユーザーをインポート] ページで、LDAP ディレクトリ ユーザー アカウントをインポートし、Unity Connection ユーザーを作成します。 |
1 |
Cisco Unity Connection の管理で、[ツール] を展開し、[一括管理ツール] を選択します。 |
2 |
Unity Connection ユーザーを追加するには、一括管理ツール ページで以下の手順を実行します。 |
3 |
インポートが完了したら、[失敗したオブジェクトのファイル名] フィールドで指定したファイルを確認し、すべてのユーザーが正常に作成されたことを確認します。 |
同期に関する問題のトラブルシューティング
このセクションでは、Control Hub から Unified Communications Manager データベースへのユーザーの同期のさまざまな段階で直面する可能性がある一般的な問題を解決するために必要な情報とソリューションについて説明します。
一致しないユーザー
新しい合意が作成されてから 18 時間以内に同期を有効にします。既存のユーザーは非アクティブとして表示され、非アクティブ状態が 24 時間続いた後、Unified CM から削除されます。
エラー ‐ データのコピーに失敗しました。再試行してください
-
専用インスタンスと Webex クラウド間の通信が中断したか、Webex クラウドからユーザー データを取得できません。
-
専用インスタンスと Unified CM の間の通信が中断したか、ユーザー データを Unified CM データベースにプッシュできません。
-
ユーザー データは一時ストレージの場所にコピーされません。
エラー ‐ 同期合意の作成に失敗しました。再試行してください
-
専用インスタンスと Unified CM の間の通信が中断したか、同期合意データを Unified CM データベースにプッシュできません。
-
同期合意が正常に作成されませんでした。
同期合意の詳細を取得できません。しばらくしてからお試しください。
専用インスタンスと Unified CM の間の通信が中断しています。
Webex Calling 専用インスタンス ディレクトリ サービスの同期の既知の問題と制限
この機能に問題がある場合、既知の問題や推奨される回避策があるかを確認します。
-
Webex Calling 専用インスタンス ディレクトリ サービスのプロビジョニングは、ユーザー データだけが同期され、Unified CM サーバーのパスワードは同期されないため、LDAP 認証では機能しません。
回避策: サインインにはシングルサインオン (SSO) を使用する必要があります。本書はシングル サインオン(SSO)統合のみを取り上げています。
ユーザーがエンタープライズ ID プロバイダーを通じて認証するようにする場合は、シングル サインオン (SSO) を設定します。詳細については、「Control Hub でのシングル サインオン インテグレーション 」および「SAML ベースの SSO ソリューション 」を参照してください。
-
Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。1 分待ってから、再度ディレクトリ サービスのセットアップを開始します。
-
削除後、同じ Unified CM クラスタを組織に再びオンボードする場合は、まずディレクトリ サービスを無効にしてから同じクラスタを再プロビジョニングする必要があります。
Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。
-
同期合意ページで、[同期を実行する間隔] と [次回の再同期時間] フィールドがアクティブと表示されますが、[同期を 1 回のみ実行] オプションが有効になっていると、Unified CM サーバーでこれらのフィールドはグレー表示されます。現在のところこれは Webex Calling 専用インスタンス ディレクトリ サービスのプロビジョニング機能の制限であり、今後のリリースで修正される予定です。
-
Azure ポータルで削除されたユーザーは Webex アイデンティティ サービスで非アクティブになりますが、Unified CM ではアクティブと表示されます。
回避策:[管理] > [ユーザー] の順に移動して、Control Hub からユーザーを削除します。Unified CM ではユーザーは非アクティブと表示されます。
-
大規模な組織 (80,000 人以上のユーザー) のために新しいクラスターをプロビジョニングすると、現在タイムアウトが発生します。この問題はまもなく解決されます。
-
プロビジョニング中、[同期を有効にする] ページの [放棄]、[続行]、および [同期を有効にする ] ボタンをクリックしても、ユーザー インターフェイスでクラスターのステータスはすぐに変更されません。バックエンドでアクションが実行されるため、この制限は混乱を招きます。
回避策: ボタンを 2 回クリックせず、数秒後にクラスタのステータスを確認します。クラスタ ステータスが [アクションが必要] から [処理] に変更されることがわかります。この問題はまもなく解決されます。
-
現在、Unified Communications Manager ネットワークがダウンすると、[同期を有効にする] 機能が応答しなくなります。
回避策: Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。1 分待ってから、再度ディレクトリ サービスのセットアップを開始します。この問題は今後のリリースで修正される予定です。
-
プロビジョニング中、Webex Common Identity サービスの同期に関する問題のためグループ詳細リストに情報が入力されません。ユーザーはプロビジョニングを放棄し、しばらくしてから再試行することをお勧めします。