- ホーム
- /
- 投稿記事
専用インスタンスの Webex Common Identity を通じたディレクトリ サービスの統合
Control Hub インターフェイスを使用して、Cloud ディレクトリ (Microsoft Azure AD) またはオンプレミス ディレクトリ (MS AD) から専用インスタンス クラスタ (Unified CM および Cisco Unity Connection) にユーザーを同期します。
概要
Azure AD などのクラウドベースのディレクトリから、Unified CM や Cisco Unity Connection などの専用インスタンス アプリケーションに、Cloud Directory Service を使用してユーザーを同期します。同期中、システムは Webex アイデンティティ サービスに同期された Azure Active Directory (または類似の Cloud Directory サービス) にユーザーと関連するユーザー データのリストをインポートします。同期のために Control Hub から Unified CM クラスタを選択し、適切な Unified CM ユーザー ID フィールド マッピングを選択し、同期を完了するために必要な同期合意を選択します。
前提条件
-
クラウド ディレクトリとして Azure Active Directory を使用している場合は、「Control Hub で Azure AD ウィザード アプリをセットアップする 」を参照してください。
-
ディレクトリとして Microsoft Active Directory を使用している場合は、「Directory Connector を展開する 」を参照してください。
-
Unified CM と統合された既存の Active Directory システムも Webex Common Identity と統合されていることを確認します。
クラスタの詳細を表示
Control Hub の [管理] ページで、ユーザー データを同期するクラスタを選択します。
この選択では、クラスタの名前、クラスタ同期のステータス、最後の同期状態、関連製品など、クラスタの詳細も提供します。
クラスタの詳細 |
説明 |
---|---|
クラスタ名 |
クラスタ名 |
ステータス |
同期のステータス |
最後の同期 |
最終同期日 |
製品 |
製品の詳細 |
ディレクトリ同期
要件に応じて、Directory Connector を使用して、オンプレミスの Active Directory から Control Hub にユーザーを同期するか、Azure Directory から Control Hub に直接ユーザーを Unified CM に同期できます。
次のいずれかを実行します。
-
Azure Directory から Control Hub にユーザーを直接同期するには、「Azure Directory からユーザーを同期する 」の手順に従ってください。
-
Directory Connector を使用して、オンプレミスの Active Directory から Control Hub にユーザーを同期するには、オンプレミスの Active Directory からユーザーを同期する 手順に従います。
営業時間外の同期を実行して、通話サービスへの影響を最小限に抑えます。
Azure Directory からユーザーを同期する
専用インスタンス ディレクトリ サービスの同期により、Azure ディレクトリのエンドユーザー データを Unified CM データベースにインポートして、[エンドユーザー設定(End-User Configuration)] ウィンドウに表示できます。
Azure Directory を使用してユーザーを同期するには:
-
「ディレクトリ同期を設定する 」の手順に従って、Control Hub のユーザーを Cisco Unified CM に同期します。
オンプレミスの Active Directory からユーザーを同期する
オンプレミスの Active Directory ユーザーは、Directory Connector を使用して Common Identity(CI)に同期できます。
ディレクトリ サービスでは、SSO 展開のみがサポートされます。詳細については、「Control Hub でのシングル サインオン インテグレーション 」および「SAML ベースの SSO ソリューション 」を参照してください。
オンプレミスの Active Directory からユーザーを同期するには:
-
Directory Connector を使用して、Active Directory ユーザーを Common Identity(CI)に同期します。コネクタ ソフトウェアは、Control Hub からダウンロードして、ローカル マシンにインストールできます。詳細については、「Directory Connector の展開ガイド 」を参照してください。
-
「ディレクトリ同期を設定する 」の手順に従って、Control Hub のユーザーを Unified CM に同期します。
ディレクトリ同期を設定
クラスタのプロビジョニングで追加の遅延が発生する場合があります。このようなシナリオでは、このアクティビティにかなりの時間がかかりますが、プロビジョニングは引き続き行われます。
-
https://admin.webex.com/login で Control Hub にサインインします。
-
[サービス] > [Calling] > [専用インスタンス] > [管理] に移動します。
-
UC アプリケーションを選択し、右側のパネルの [ディレクトリ同期を有効にする] で [セットアップ] をクリックします。
-
[フィールドマッピング設定(Field-Mapping configuration)] ウィンドウで、[Unified CM ユーザー ID(Unified CM User ID)] フィールドで選択したマッピングで、プロビジョニングの開始後にクラスタ内のユーザーを一意に識別できるようにします。
-
Webex からユーザーを同期するための適切な Unified CM ユーザー ID フィールド マッピングを選択します。
-
Unified CM のユーザー ID フィールドは Webex のユーザーのメール ID に対応しています。
-
Unified CM のメール ID フィールドは、Webex のユーザーのメール ID に対応しています。
-
Unified CM のユーザー ID フィールドは、Webex のユーザーのドメイン部分がないメール ID に対応します。
Unified CM の既存のユーザー アカウントでマッピングに成功しなかった場合、新しいユーザー アカウントが作成されます。ユーザーのメール ID は、新しく作成されたユーザーアカウントの一意の識別子として使用されます。このメモはオプションに適用されます1 と 2。
オプション
ユニファイド CM
コントロール ハブ
オプション 1
Unified CM の [ユーザー ID] フィールドは Webex のユーザーのメール ID に対応しています。
オプション 2
Unified CM の [メール ID] フィールドは Webex のユーザーのメール ID に対応しています。
オプション 3
Unified CM の [ユーザー ID] フィールドは Webex のユーザーのドメイン部分がないメール ID に対応しています。
-
-
[次へ] をクリックします。
-
新しい同期合意を作成するには、ドロップダウンリストから合意を選択します。新しい同期合意が作成されると、オンプレミスのディレクトリを指定している 1 つ以上の既存の同期合意はすべて削除されます。新しい同期合意が作成されたら、変更できます。
-
同期を開始する前に、[合意のプレビュー(Agreement Preview)] セクションで、ユーザと連絡先の詳細(Unified Communications Manager で利用可能な既存の外部 LDAP ディレクトリの詳細)のリストを確認します。次の詳細を表示できます。
-
グループ情報
デフォルトでは、すべてのユーザがユーザランク 5 と同期されます。これは、[グループ情報] ウィンドウで確認できます。
-
ユニバーサル回線テンプレートとデバイス テンプレートを使用した適用済み機能グループ テンプレート
-
挿入されたユーザーの同期された電話番号への回線とマスクの詳細
-
新しくプロビジョニングされたユーザーとその内線
-
[同期される標準ユーザ フィールド(Standard User Fields to be Synchronized)] セクション。
-
ディレクトリ サーバのホスト名または IP アドレス
[次へ] をクリックして、グループ フィルタを選択します。
[グループ情報(Group Information)] セクションは Cisco Unity Connection に適用されないため、[合意のプレビュー(Agreement Preview)] セクションでは表示されません。
-
-
[グループの選択] ドロップダウンリストで、同期する特定のグループを 1 つ以上選択します。すべてのユーザー グループを選択する場合は、[すべてのグループを選択] チェックボックスをクリックします。
デフォルトでは、すべてのユーザーが同期されます。グループを選択しない場合、すべてのユーザーと関連付けられたユーザー データが自動的に同期されます。
ディレクトリ内のネストされたグループの場合、デフォルトでは親グループに含まれないため、プロビジョニング中に特定のサブセットのユーザ グループを選択する必要があります。プロビジョニング中に必要なユーザのみが含まれていることを確認するために、反復的なネスト(ある場合)を確認する必要があります。
同期合意への変更(ターゲット ユーザーまたはグループの削除など)は、定期的な同期中に反映されません。そのクラスタのディレクトリ サービスをリセットし、新規または変更された同期合意でクラスタを再プロビジョニングする必要があります。Cisco TAC サポートに連絡して、必要なクラスタのディレクトリ サービスをリセットしてください。
-
[次へ] をクリックして、同期プロセスを準備します。
-
[同期を有効にする] ウィンドウで、システムがユーザーデータを Unified CM の一時ストレージスペースに正常にコピーし、新しい同期合意が作成されると、同期を有効にします (次のスクリーンショットで示すように、手順 1 と 2 の後)。
-
[レポートのダウンロード] オプションを使用すると、結果の一部を表示できます。Unified CM クラスタの完全なレポートを取得するには、次の CLI コマンドを実行します。ファイルを取得する activelog /cm/trace/CIService/log4j/DryRunResults.csv
アクセスできない場合は、Cisco TAC サポートに連絡してレポートをダウンロードしてください。
ドライ ランの結果は、次のとおりです。
-
新規ユーザー—ユーザーは Unified CM に存在せず、Webex アイデンティティ サービスに存在します。ユーザーは同期を有効にした後、Unified CM で作成されます。
-
一致したユーザー—ユーザーは Unified CM および Webex アイデンティティ サービスに存在しています。これらのユーザーは、同期が完了した後も Unified CM で引き続きアクティブになります。
-
一致しないユーザー—ユーザーは Unified CM および Webex アイデンティティ サービスに存在しています。一致しないユーザーは、同期が完了した後、Unified CM で非アクティブとしてマークされ、非アクティブ状態が 24 時間続くと削除されます。
レポートを確認して、同じユーザのリストを保持し、ユーザを追加または削除するかどうかを決定できます。決定に基づいて、[放棄] をクリックしてプロセスを停止し、プロビジョニングの変更を元に戻します。
-
-
同期合意の確認後、[Unified CM でプレビュー] をクリックして、インフラストラクチャにサインインし、新しく作成された同期合意を変更します。
グループ情報のみ編集できます。契約の名前を変更したり、詳細を変更したりすることはできません。
-
[同期を有効にする] をクリックして、同期を続行します。
同期中に、完了するまでアクションを実行できません。特定のクラスタの同期が完了すると、[ディレクトリ サービス(Directory Service)] ページに [プロビジョニング済み(Provisioned)] 状態のこのクラスタが一覧表示されます。この時点で、Webex ユーザーを UC インフラストラクチャにプロビジョニングおよび同期する権限を Azure AD に正常に許可し、同期を設定するための手順を完了しました。
新しい合意が作成されてから 18 時間以内に同期を有効にする必要があります。LDAP 同期ユーザーは非アクティブになり、非アクティブ状態が 24 時間続くと削除されます。ユーザーはログインして Unified CM サービスを使用できなくなります。
特定のクラスタに対する Azure AD プロビジョニングが完了した後は、グループ設定を除いて、新しい同期アグリーメントを作成したり、同じクラスタの構成設定を変更したりすることはできません。Cisco TAC サポートに連絡して、ディレクトリ サービスをリセットしてください。その後、プロビジョニングのための新しい合意を作成できます。
プロビジョニングに成功した後、SSO 認証中に Azure IdP を使用している場合は、Azure IdP で適切なクレームを設定していることを確認してください。たとえば、プロビジョニング中に、ユーザー ID マッピングにオプション 1 が選択されている場合、user.userprincipalname が [追加要求] セクションで UID として設定されていることを確認します。
定期的な同期
クラスタが正常にプロビジョニングされると、定期的な同期が毎日実行され、Webex Common Identity から Unified CM および Cisco Unity Connection へのユーザー データへの変更が同期されます。定期的な同期には介入は必要ありません。ただし、Control Hub の [クラスタの詳細] ページの [最終同期日 ] 列を確認することで、その日の定期的な同期が行われたかどうかを確認できます。タイム スタンプが更新され、クラスタの定期的な同期が行われた時刻が反映されます。
ユニファイド CM
Cisco Unity 接続
Unified CM または Cisco Unity Connection の LDAP ディレクトリ
デフォルトの LDAP ディレクトリは、同期のプロセスによって作成されます。
設定には同期が 1 回表示されますが、Control Hub は Common Identity の 24 時間サイクルで同期して、Unified CM または Cisco Unity Connection に変更します。
同期のステータスを表示
[ディレクトリ同期ステータス(Directory sync status)] 列に同期のステータスを表示します。UC アプリケーションをクリックすると、プロビジョニングのステータス、最後の同期状態、および失敗の理由(ある場合)を示す右側のパネルが表示されます。ローカル タイムゾーンを選択することもできます。デフォルトのブラウザのタイムゾーンが選択されています。
プロビジョニングの状況
プロビジョニングの状況 |
説明 |
---|---|
処理中 |
プロビジョニングが進行中です |
要求されたアクション |
特定のクラスタで手動による介入が必要な場合は、必要な手順を実行します。
|
エラー |
[同期を有効にする] ウィザードで必要なアクションがある場合は、それらを確認し、必要に応じて必要なアクションを実行します。 |
アクティブ |
クラスタのプロビジョニングが完了しました。 |
プロビジョニングされていません |
クラスタのプロビジョニングはまだ開始されていません。 |
Unity Connection のユーザーをインポート
Control Hub からクラスタのプロビジョニングが完了した後、[Cisco Unity Connection のユーザーのインポート] から Azure AD ユーザーを手動でインポートできます。
ユーザーをインポートするには、次の 2 つの方法があります。
1 |
Cisco Unity Connection の管理で、[ユーザー] を開き、[ユーザーのインポート] を選択します。 |
2 |
[ユーザのインポート(Import Users)] ページで、LDAP ディレクトリ ユーザ アカウントをインポートして Unity Connection ユーザを作成します。 |
1 |
Cisco Unity Connection 管理で、[ツール] を展開し、[一括管理ツール] を選択します。 |
2 |
Unity Connection ユーザを追加するには、[一括管理ツール(Bulk Administration Tool)] ページで次の手順を実行します。 |
3 |
インポートが完了したら、[失敗したオブジェクトのファイル名 ] フィールドで指定したファイルを確認し、すべてのユーザーが正常に作成されていることを確認します。 |
同期の問題のトラブルシューティング
このセクションでは、Control Hub から Unified Communications Manager データベースにユーザーを同期するさまざまな段階で直面する可能性がある一般的な問題を解決するために必要な情報とソリューションについて説明します。
一致しないユーザー
新しい合意が作成されてから 18 時間以内に同期を有効にします。既存のユーザーは非アクティブとしてマークされ、非アクティブ状態が 24 時間続いた後で Unified CM から削除されます。
エラー - データのコピーに失敗しました。再試行してください
-
専用インスタンスと Webex クラウド間の通信が中断されているか、Webex クラウドからユーザー データを取得できません。
-
専用インスタンスと Unified CM 間の通信が中断されているか、ユーザー データを Unified CM データベースにプッシュできません。
-
ユーザー データは一時的なストレージの場所にコピーされません。
エラー - 同期合意を作成できませんでした。再試行してください
-
専用インスタンスと Unified CM 間の通信が中断されているか、同期合意データを Unified CM データベースにプッシュできません。
-
同期合意は正常に作成されませんでした。
同期合意の詳細を取得できません。しばらくしてからお試しください。
専用インスタンスと Unified CM 間の通信が中断されます。
既知の問題と制限
この機能に問題がある場合、既知の問題か、推奨される回避策があるかを確認してください。
-
Webex Calling - 専用インスタンスのディレクトリ サービスのプロビジョニングは、ユーザー データだけが同期され、Unified CM サーバーのパスワードは同期されないため、LDAP 認証では機能しません。
回避策: サインインにはシングルサインオン (SSO) を使用する必要があります。このドキュメントは、シングルサインオン (SSO) インテグレーションのみを対象としています。
ユーザーがエンタープライズ ID プロバイダーを通じて認証するようにする場合は、シングル サインオン (SSO) を設定します。詳細については、「Control Hub でのシングル サインオン インテグレーション 」および「SAML ベースの SSO ソリューション 」を参照してください。
-
Cisco TAC サポートに連絡して、ディレクトリ サービスを無効にします。1 分待ってから、再度ディレクトリ サービスのセットアップを開始します。
-
削除後、同じ Unified CM クラスタを組織に再びオンボードする場合は、まずディレクトリ サービスを無効にしてから同じクラスタを再プロビジョニングする必要があります。
Cisco TAC サポートに連絡して、ディレクトリ サービスを無効にします。
-
同期合意ページで、[同期を実行する ] および [次の再同期時間 ] フィールドがアクティブになります。ただし、[同期を 1 回だけ実行] オプションが有効になっている場合、これらのフィールドは Unified CM サーバーでグレー表示されます。現在、これは Webex Calling - 専用インスタンス ディレクトリ サービスのプロビジョニング機能の制限であり、今後のリリースで修正されます。
-
Azure ポータルで削除されたユーザーは、Webex アイデンティティ サービスで非アクティブになりますが、Unified CM でアクティブであると表示されます。
回避策: [管理] > [ユーザー] に移動し、Control Hub からユーザーを削除します。ユーザーは Unified CM で [非アクティブ] とマークされています。
-
大規模な組織 (80,000 人以上のユーザー) のために新しいクラスターをプロビジョニングすると、現在タイムアウトが発生します。この問題はまもなく解決されます。
-
プロビジョニング中、[同期を有効にする] ページの [放棄]、[続行]、および [同期を有効にする ] ボタンをクリックしても、ユーザー インターフェイスでクラスターのステータスはすぐに変更されません。バックエンドでアクションが実行されるため、この制限は誤解を招きます。
回避策: ボタンを 2 回クリックせず、数秒後にクラスタのステータスを確認します。クラスタ ステータスが [アクションが必要] から [処理] に変更されることがわかります。この問題はまもなく解決されます。
-
現在、Unified Communications Manager ネットワークがダウンすると、[同期を有効にする] 機能が応答しなくなります。
回避策: Cisco TAC サポートに連絡して、ディレクトリ サービスを無効にします。1 分待ってから、再度ディレクトリ サービスのセットアップを開始します。この問題は今後のリリースで修正されます。
-
プロビジョニング中、Webex Common Identity Service との同期の問題により、グループ詳細リストは入力されません。ユーザーはプロビジョニングを放棄し、しばらくしてから再試行してください。
-
プロビジョニングされたクラスタでディレクトリ同期を再度設定する場合は、Webex Calling - 専用インスタンス ビジネス ユニットをプロセスに含めることをお勧めします。