クラウド ディレクトリ (Microsoft Azure AD) またはオンプレミス ディレクトリ (MS AD) から、Control Hub インターフェイスを使用してWebex Common Identity Service 経由で、専用インスタンス クラスター ( CUCMおよびUnity ) にユーザーを同期します。
概要
Azure AD などのクラウドベースのディレクトリから、Cloud Directory Service を使用して、Unified Communications Manager およびCisco Unity Connectionなどの専用インスタンス アプリケーションにユーザーを同期します。 同期中、システムでは Webex アイデンティティ サービスに同期されている Azure Active Directory (または同様の Cloud ディレクトリ サービス) からユーザーと関連するユーザー データのリストをインポートします。 同期が必要な Unified CM クラスタを Control Hub から選択し、適切な Unified CM ユーザー ID フィールド マッピングを選択して、同期を実行するために必要な同期合意を選択します。
前提条件
クラウド ディレクトリとして Azure Active Directoryを使用している場合、以下を参照してください。 Control Hub で Azure AD ウィザードアプリをセットアップするをご覧ください。
ディレクトリとしてMicrosoft Active Directoryを使用している場合は、次を参照してください。ディレクトリ コネクタを展開するをご覧ください。
Cisco Unified Communication Manage がすでに既存のActive Directoryシステムと統合されている場合、これらの Active Directory システムがWebex Common Identity に統合されていることを確認してください。
クラスタの詳細を表示する
Control Hub の [管理] ページから、ユーザー データを同期するクラスタを選択します。
この選択によりクラスタの名前、クラスタ同期のステータス、最後の同期状態、関連する製品など、クラスタの詳細も提供されます。
クラスタの詳細 |
説明 |
|---|---|
クラスタ名 |
クラスタの名前 |
ステータス |
同期のステータス |
最後の同期: |
前回の同期日 |
製品 |
製品の詳細 |
ディレクトリ同期
要件に応じて、Directory Connector を使用してオンプレミスの Active Directory から Control Hub にユーザーを同期するか、Azure Directory から Control Hub に直接ユーザーを同期してから、Cisco Unified Communications Manager に同期できます。
次のいずれかを実行します。
Azure Directory から Control Hub にユーザーを直接同期するには、次に従ってくださいAzure Directory からユーザーを同期する手順。
ディレクトリ コネクタを使用してオンプレミスActive Directoryから Control Hub にユーザーを同期するには、次の手順に従いますオンプレミスActive Directoryからユーザーを同期する手順。
Azure Directory からユーザーを同期する
専用インスタンス ディレクトリ サービスの同期によって、エンドユーザー データを Azure ディレクトリから Unified Communications Manager データベースにインポートし、エンドユーザー構成ウィンドウに表示できるようになります。
Azure Directory を使用してユーザーを同期するには:
「ディレクトリ同期を設定する」の手順に従い、Control Hub のユーザーを Cisco Unified Communications Manager に同期します。
オンプレミスActive Directoryからユーザーを同期する
オンプレミス Active Directory の場合、ユーザーは Common Identity (CI) ディレクトリ コネクタに同期できます。
 |
ディレクトリ サービスでは、 SSO展開のみがサポートされます。 参照先Control Hub のシングル サインオン インテグレーションおよびSAMLベースのSSOソリューションをご覧ください。 |
オンプレミス Active Directory からユーザーを同期するには:
ディレクトリ コネクタを使用して、 Active Directoryユーザを Common Identity (CI) に同期します。 Control Hub からコネクタ ソフトウェアをダウンロードして、ローカル マシンにインストールできます。 詳細については、「ディレクトリ コネクタの導入ガイド」を参照してください。
「ディレクトリ同期を設定する」の手順に従い、Control Hub のユーザーを Cisco Unified Communications Manager に同期します。
ディレクトリ同期を設定する
|
クラスタのプロビジョニングでさらなる遅延が発生することがあります。 このようなシナリオでは、このアクティビティにかなりの時間がかかりますが、プロビジョニングは引き続き行われます。 |
https://admin.webex.com/login で、Control Hub にサインインします:。
[サービス] > [Calling] > [専用インスタンス] > [管理] の順に進みます。
UC アプリケーションを選択し、右側のパネルにある [ディレクトリ同期を有効にする] で [設定] をクリックします。
フィールド マッピング設定ウィンドウで、Unified CM ユーザーの ID フィールドに選択したマッピングが、プロビジョニングを開始した後でクラスタ内のユーザーを一意に識別していることを確認します。
Webex からユーザーを同期させるために適切な [Unified CM ユーザー ID] フィールド マッピングを選択します。
Unified CM の [ユーザー ID] フィールドは Webex のユーザーのメール ID に対応しています。
Unified CM の [メール ID] フィールドは Webex のユーザーのメール ID に対応しています。
Unified CM の [ユーザー ID] フィールドは Webex のユーザーのドメイン部分がないメール ID に対応しています。
Unified CM の既存のユーザー アカウントでマッピングできなかった場合、新しいユーザー アカウントが作成されます。 ユーザーの [メール ID] は、新しく作成されるユーザー アカウントの一意の識別子として使用されます。 このメモはオプション 1 と 2 に適用されます。
オプション
CUCM
Webex
オプション 1
Unified CMのユーザー ID フィールドはWebexのユーザーのメール ID にマッピングされています
オプション 2
Unified CMの [メール ID] フィールドはWebexのユーザーのメールIDに対応しています
オプション 3
Unified CMのユーザー ID フィールドはWebexのユーザーのドメイン部分がないメールIDにマッピングされています
[次へ] をクリックします。
新しい同期合意を作成するには、ドロップダウン リストから合意を選択します。 新しい同期合意が作成されると、オンプレミスのディレクトリを指定している既存の同期合意はすべて削除されます。 変更は新しい同期合意が作成された後に加えることができます。
同期を開始する前に、[同意プレビュー] セクションでユーザーのリストと連絡先の詳細 (Unified Communications Manager で利用可能な既存の外部 LDAP ディレクトリの詳細) を確認します。 次の詳細を表示できます。
グループ情報
ユニバーサル回線とデバイス テンプレートを使用して適用した機能グループ テンプレート
挿入されたユーザーの同期された電話番号への回線とマスクの詳細
新しくプロビジョニングされたユーザーと内線
同期される標準ユーザー フィールド セクション
ディレクトリ サーバーのホスト名または IP アドレス
クリック次へをクリックしてグループ フィルターを選択します。
[グループ情報(Group Information)] セクションはCisco Unity Connectionには適用されないため、[契約のプレビュー] セクションには表示されません。
[グループを選択] ドロップダウン メニューから同期する特定のグループを選択します。 すべてのユーザー グループを選択するには、[すべてのグループを選択する] チェックボックスをオンにします。
デフォルトでは、すべてのユーザーが同期されます。 グループを選択しない場合、すべてのユーザーと関連するユーザー データは自動的に同期されます。
ディレクトリ内のネストされたグループの場合、ユーザーは、デフォルトで親グループに含まれていないため、特にプロビジョニング中にサブセット ユーザー グループを選択する必要があります。 プロビジョニング中に必要なユーザーのみが含まれていることを確認するために、反復的なネスト (ある場合) を確認する必要があります。
同期合意への変更 (ターゲット ユーザーまたはグループの削除など) は、定期的な同期中には反映されません。 そのクラスタのディレクトリ サービスをリセットし、新しい同期合意または変更した同期合意でクラスタを再プロビジョニングする必要があります。 Cisco TAC サポートに連絡して、必要なクラスタのディレクトリ サービスをリセットしてください。
[次へ] をクリックして、同期プロセスの準備をします。
[同期を有効化ウィンドウで、システムがユーザー データをUnified CMの一時ストレージ スペースに正常にコピーされ、新しい同期合意が作成されたら、同期を有効にします (下のスクリーン ショットに示されている手順 1 と 2 の後)。
同期を有効にする前に、ユーザー ランクを 5 に変更する TAC ケースを作成します。
[レポートをダウンロード] オプションを使用すると、結果の一部を表示できます。 Unified CM クラスタの完全なレポートを取得するには、次の CLI コマンドを実行します。 file get activelog /cm/trace/CIService/log4j/DryRunResults.csv
アクセス権がない場合は、 Cisco TACサポートに連絡してレポートをダウンロードしてください。
ドライ ランの結果は、以下を示します。
新規ユーザー ‐ ユーザーは Unified CM では表示されませんが、Webex アイデンティティ サービスに表示されます。 ユーザーは同期を有効にした後、Unified CM で作成されます。
一致するユーザー ‐ ユーザーは Unified CM と Webex アイデンティティ サービスで表示されます。 これらのユーザーは、同期が完了した後も Unified CM でアクティブのままになります。
一致しないユーザー ‐ ユーザーは Unified CM と Webex アイデンティティ サービスで表示されます。 一致しないユーザーは、同期が完了した後にUnified CMで非アクティブとしてマークされ、24 時間非アクティブ状態になった後にゴミ箱に捨てられます。
レポートをチェックして、同じユーザー リストを保持するか、ユーザーを追加または削除するか決定できます。 決定に基づいて、[放棄] をクリックしてプロセスを停止し、プロビジョニングの変更を元に戻します。
同期合意の検証後、[Unified CM をプレビュー] をクリックしてインフラストラクチャにサインインし、新しく作成された同期合意に変更を加えます。
グループ情報の編集のみできます。 合意の名前を変更したり、詳細を変更したりすることはできません。
チェックボックスをオンにして、Unified CM で同期合意が見直され、確認されるという条件に同意します。
デフォルトでは、ユーザーはランク 1 で同期され、パートナー管理者はランク 3 の権限を持っているため、ユーザーを変更することはできません。
パートナー管理者は、ユーザーがランク 1 で同期されている場合、デバイスと回線をエンド ユーザーに関連付けたり、エンドユーザーをグループに追加することはできません。 Cisco TAC サポートに連絡してユーザー ランクを変更してください。
[同期を有効にする] をクリックして同期を続行します。
同期中は、完了するまでアクションを実行できません。 特定のクラスタに対する同期が完了すると、ディレクトリ サービス ページではプロビジョニング状態のこのクラスタを一覧表示します。 この時点で、Webex ユーザーを UC インフラストラクチャにプロビジョニングおよび同期する権限を Azure AD に与え、同期のセットアップ手順が完了しました。
新しい合意が作成されてから 18 時間以内に同期を有効にする必要があります。 LDAP 同期ユーザーは非アクティブになり、非アクティブ状態が 24 時間続いた後に削除されます。 ユーザーは Unified CM サービスにログインして使用することはできません。
特定のクラスタに対する Azure AD プロビジョニングが完了した後は、新しい同期合意を作成したり、同じクラスタの構成設定を変更したりすることはできません (グループ設定を除く)。 Cisco TAC サポートに連絡してディレクトリ サービスをリセットしてください。 その後、プロビジョニングのための新しい合意を作成できます。
プロビジョニング完了後、SSO 認証中に Azure IdP を使用している場合は、Azure IdP で正しいクレームを設定するようにしてください。 たとえば、プロビジョニング中にユーザー ID マッピングにオプション 1 が選択されている場合、user.userprincipalname が [追加クレーム] セクションで UID として設定されていることを確認します。
定期的な同期
クラスタが正常にプロビジョニングされると、定期同期が毎日実行され、ユーザー データへの変更がWebex Common Identity からCisco Unified Communications Managerに同期されます。 定期的な同期には、管理者の介入は必要ありません。 ただし、管理者は最終同期日:カラムで [クラスタの詳細] を選択します。 タイム スタンプは、クラスタの定期的な同期が発生した時間を反映するように更新されます。
同期の状況を表示する
[ディレクトリ同期ステータス] 列に同期のステータスを表示します。 UC アプリケーションをクリックし、プロビジョニングのステータス、最後に同期した状態、失敗の理由 (ある場合) を示す右側パネルを表示します。 ローカル タイムゾーンも選択できます。 デフォルトのブラウザ タイムゾーンは選択されています。
プロビジョニングのステータス
プロビジョニングのステータス |
説明 |
|---|---|
処理中です |
プロビジョニング中です |
求められるアクション |
特定のクラスタで手動による介入が必要な場合は、必要な手順を実行します。
|
エラー |
同期の有効化ウィザードでアクションが必要な場合、必要なアクションを確認し、必要に応じて実行してください。 |
アクティブ |
クラスタのプロビジョニングが完了しました。 |
プロビジョニングされていません |
クラスタのプロビジョニングはまだ開始されていません。 |
Unity Connection のためにユーザーをインポートする
Control Hub からクラスタをプロビジョニングした後、Cisco Unity Connection の [ユーザーをインポート] から Azure AD ユーザーを手動でインポートできます。
ユーザーのインポート方法は 2 つあります。
| 1 | Cisco Unity Connection の管理で、[ユーザー] を展開し、[ユーザーをインポート] を選択します。 |
| 2 | [ユーザーをインポート] ページで、LDAP ディレクトリ ユーザー アカウントをインポートし、Unity Connection ユーザーを作成します。
|
| 1 | Cisco Unity Connection の管理で、[ツール] を展開し、[一括管理ツール] を選択します。 |
| 2 | Unity Connection ユーザーを追加するには、一括管理ツール ページで以下の手順を実行します。 |
| 3 | インポートが完了したら、[失敗したオブジェクトのファイル名] フィールドで指定したファイルを確認し、すべてのユーザーが正常に作成されたことを確認します。 |
同期に関する問題のトラブルシューティング
このセクションでは、Control Hub から Unified Communications Manager データベースへのユーザーの同期のさまざまな段階で直面する可能性がある一般的な問題を解決するために必要な情報とソリューションについて説明します。
一致しないユーザー
新しい合意が作成された後 20 時間以内に同期を有効にしてください。 既存のユーザーは非アクティブとして表示され、非アクティブ状態が 24 時間続いた後、Unified CM から削除されます。
エラー ‐ データのコピーに失敗しました。 再試行してください
専用インスタンスと Webex クラウド間の通信が中断したか、Webex クラウドからユーザー データを取得できません。
専用インスタンスと Unified CM の間の通信が中断したか、ユーザー データを Unified CM データベースにプッシュできません。
ユーザー データは一時ストレージの場所にコピーされません。
エラー ‐ 同期合意の作成に失敗しました。 再試行してください
専用インスタンスと Unified CM の間の通信が中断したか、同期合意データを Unified CM データベースにプッシュできません。
同期合意が正常に作成されませんでした。
同期合意の詳細を取得できません。 しばらくしてからお試しください。
専用インスタンスと Unified CM の間の通信が中断しています。
Webex Calling 専用インスタンス ディレクトリ サービスの同期の問題と制限
この機能に問題がある場合、既知の問題や推奨される回避策があるかを確認します。
Webex Calling 専用インスタンス ディレクトリ サービスのプロビジョニングが LDAP 認証で機能しません。ユーザー データだけが同期され、Unified CM サーバーのパスワードは同期されないため、LDAP 認証が機能しません。
回避策: ログインにはシングル サイン オン (SSO) を使用する必要があります。 本書はシングル サインオン(SSO)統合のみを取り上げています。
ユーザーがエンタープライズ ID プロバイダーを介して認証されるようにするには、シングル サインオン (SSO) を設定します。 詳細については「Control Hub でのシングル サインオン インテグレーション」と「SAML ベースの SSO ソリューション」を参照してください。
Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。 しばらく待ってから、もう一度ディレクトリ サービスのセットアップを開始します。
削除後に同じ Unified CM クラスタを組織に再度オンボードする場合、まずディレクトリ サービスを無効にし、同じクラスタを再プロビジョニングする必要があります。
Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。
同期合意ページで、[同期を実行する間隔] と [次回の再同期時間] フィールドがアクティブと表示されますが、 [同期を 1 回のみ実行] オプションが有効になっていると、Unified CM サーバーでこれらのフィールドはグレー表示されます。 現在のところこれは Webex Calling 専用インスタンス ディレクトリ サービスのプロビジョニング機能の制限であり、今後のリリースで修正される予定です。
Azure ポータルで削除されたユーザーは Webex アイデンティティ サービスで非アクティブになりますが、Unified CM ではアクティブと表示されます。
回避策: [管理] > [ユーザー] の順に移動して、Control Hub からユーザーを削除します。 Unified CM ではユーザーは非アクティブと表示されます。
現時点では、大規模な組織 (ユーザーが 80,000 人を超える) に対して新しいクラスタをプロビジョニングすると時間切れになります。 この問題はまもなく解決されます。
プロビジョニング中に、[同期を有効にする] ページで [放棄]、[続行]、[同期を有効にする]ボタンをクリックしても、ユーザー インターフェイスでクラスタのステータスがすぐに変更されません。 バックエンドでアクションが実行されるため、この制限は混乱を招きます。
回避策: ボタンを 2 回クリックしないようにし、数秒後にクラスタのステータスを確認します。 クラスタのステータスが [アクションが必要です] から [処理中です] に変わるのが確認できます。 この問題はまもなく解決されます。
現時点では、Unified Communications Manager ネットワークがダウンすると、[同期を有効にする] 機能がハングします。
回避策: Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。 しばらく待ってから、もう一度ディレクトリ サービスのセットアップを開始します。 この問題は今後のリリースで修正される予定です。
プロビジョニング中、Webex Common Identity サービスの同期に関する問題のためグループ詳細リストに情報が入力されません。 ユーザーにはプロビジョニングを中止し、しばらくしてから再試行することをお勧めします。
