- ホーム
- /
- 投稿記事
コメントありがとうございます。
専用インスタンスの Webex Common Identity によるディレクトリ サービス統合
この記事の内容
フィードバックがある場合クラウド ディレクトリ (Microsoft Azure AD) またはオンプレミス ディレクトリ (MS AD) から専用インスタンス クラスタ (Unified CM) にユーザーを同期します。 & Control Hub インターフェイスを使用して、Webex Common Identity Service 経由で Cisco Unity Connection にアクセスできます。
概要
クラウド ディレクトリ サービスを使用して、Azure AD などのクラウドベースのディレクトリから Unified CM や Cisco Unity Connection などの専用インスタンス アプリケーションにユーザーを同期します。同期中に、システムは、Webex Identity Service に同期される Azure Active Directory (または同様のクラウド ディレクトリ サービス) 内のユーザーのリストと関連するユーザー データをインポートします。同期のために Control Hub から Unified CM クラスタを選択し、適切な Unified CM ユーザー ID フィールド マッピングを選択して、必要な同期契約を選択し、同期を完了します。
前提条件
-
クラウド ディレクトリとして Azure Active Directory を使用している場合は、詳細については Control Hub で Azure AD ウィザード アプリを設定する を参照してください。
-
ディレクトリとして Microsoft Active Directory を使用している場合は、詳細については Directory Connector の展開 を参照してください。
-
Unified CM と統合されている既存の Active Directory システムが Webex Common Identity とも統合されていることを確認します。
クラスターの詳細を表示する
Control Hub の [管理] ページで、ユーザー データを同期するクラスターを選択します。
この選択によりクラスタの名前、クラスタ同期のステータス、最後の同期状態、関連する製品など、クラスタの詳細も提供されます。
|
クラスタの詳細 |
説明 |
|---|---|
|
クラスタ名 |
クラスタの名前 |
|
ステータス |
同期のステータス |
|
最後の同期: |
前回の同期日 |
|
製品 |
製品の詳細 |
ディレクトリ同期
要件に応じて、Directory Connector を使用してオンプレミスの Active Directory から Control Hub にユーザーを同期するか、Azure Directory から Control Hub に直接ユーザーを同期してから、Unified CM に同期することができます。
次のいずれかを実行します。
-
Azure Directory から Control Hub にユーザーを直接同期するには、 Azure Directory からのユーザーの同期 の手順に従います。
-
Directory Connector を使用してオンプレミスの Active Directory から Control Hub にユーザーを同期するには、 オンプレミスの Active Directory からユーザーを同期する の手順に従います。
通話サービスへの影響を最小限に抑えるため、営業時間外に同期を実行します。
Azure Directory からユーザーを同期する
専用インスタンス ディレクトリ サービスの同期により、Azure ディレクトリ内のエンドユーザー データを Unified CM データベースにインポートして、[エンドユーザー設定] ウィンドウに表示できるようになります。
Azure Directory を使用してユーザーを同期するには:
-
Control Hub のユーザーを Cisco Unified CM に同期するには、 ディレクトリ同期の設定 の手順に従います。
オンプレミスの Active Directory からユーザーを同期する
オンプレミス Active Directory の場合、ユーザーは Common Identity (CI) ディレクトリ コネクタに同期できます。
ディレクトリ サービスでは SSO 展開のみがサポートされます。詳細については、 Control Hub でのシングル サインオン統合 および SAML ベースの SSO ソリューション を参照してください。
オンプレミス Active Directory からユーザーを同期するには:
-
ディレクトリ コネクタを使用して、Active Directory ユーザーを Common Identity (CI) に同期します。Control Hub からコネクタ ソフトウェアをダウンロードし、ローカル マシンにインストールできます。詳細については、「ディレクトリ コネクタの導入ガイド」を参照してください。
-
ディレクトリ同期を構成する Control Hub のユーザーを Unified CM に同期する の手順に従います。
ディレクトリ同期を設定する
クラスタのプロビジョニングでさらなる遅延が発生することがあります。このようなシナリオでは、このアクティビティにかなりの時間がかかりますが、プロビジョニングは引き続き行われます。
-
https://admin.webex.com/loginでコントロールハブにサインインします。
-
[サービス] > [Calling] > [専用インスタンス] > [管理] の順に進みます。
-
UC アプリケーションを選択し、右側のパネルにある [ディレクトリ同期を有効にする] で [設定] をクリックします。
-
フィールド マッピング設定ウィンドウで、Unified CM ユーザーの ID フィールドに選択したマッピングが、プロビジョニングを開始した後でクラスタ内のユーザーを一意に識別していることを確認します。
-
Webex からユーザーを同期させるために適切な [Unified CM ユーザー ID] フィールド マッピングを選択します。
-
Unified CM のユーザー ID フィールドは、Webex のユーザーの電子メール ID にマッピングされます。
-
Unified CM のメール ID フィールドは、Webex のユーザーのメール ID にマッピングされます。
-
Unified CM のユーザー ID フィールドは、Webex のユーザーのドメイン部分を除いた電子メール ID にマッピングされます。
Unified CM 内の既存のユーザー アカウントのマッピングを正常に実行できない場合は、新しいユーザー アカウントが作成されます。ユーザーの電子メール ID は、新しく作成されたユーザー アカウントの一意の識別子として使用されます。この注記はオプションに適用されます1と2。
オプション
Unified CM
Control Hub
オプション1
Unified CM のユーザー ID フィールドは、Webex のユーザーのメール ID にマッピングされます。
オプション 2
Unified CM のメール ID フィールドは、Webex のユーザーのメール ID にマッピングされます。
オプション3
Unified CM のユーザー ID フィールドは、Webex のユーザーのドメイン部分を含まないメール ID にマッピングされます。
-
-
[次へ] をクリックします。
-
新しい同期契約を作成するには、ドロップダウン リストから契約を選択します。新しい同期契約が作成されると、オンプレミスのディレクトリを指す 1 つ以上の既存の同期契約がすべて削除されます。新しい同期契約は、作成後に変更できます。
-
同期を開始する前に、[同意プレビュー] セクションでユーザーのリストと連絡先の詳細 (Unified Communications Manager で利用可能な既存の外部 LDAP ディレクトリの詳細) を確認します。次の詳細を表示できます。
-
グループ情報
デフォルトでは、すべてのユーザーはユーザーランク 5 で同期されます。これはグループ情報ウィンドウで確認できます。
-
ユニバーサル回線とデバイス テンプレートを使用して適用した機能グループ テンプレート
-
挿入されたユーザーの同期された電話番号への回線とマスクの詳細
-
新しくプロビジョニングされたユーザーと内線
-
同期される標準ユーザー フィールドのセクション。
-
ディレクトリ サーバーのホスト名または IP アドレス
次へ をクリックしてグループ フィルターを選択します。
グループ情報セクションは Cisco Unity Connection には適用されないため、契約プレビュー セクションには表示されません。
-
-
グループの選択 ドロップダウン リストで、同期する特定のグループを 1 つ以上選択します。すべてのユーザー グループを選択するには、[すべてのグループを選択する] チェックボックスをオンにします。
デフォルトでは、すべてのユーザーが同期されます。グループを選択しない場合、すべてのユーザーと関連するユーザー データは自動的に同期されます。
ディレクトリ内のネストされたグループの場合、ユーザーは、デフォルトで親グループに含まれていないため、特にプロビジョニング中にサブセット ユーザー グループを選択する必要があります。プロビジョニング中に必要なユーザーのみが含まれるように、繰り返しのネスト (ある場合) を検証する必要があります。
同期合意への変更 (ターゲット ユーザーまたはグループの削除など) は、定期的な同期中には反映されません。そのクラスターのディレクトリ サービスをリセットし、新しい同期契約または変更された同期契約を使用してクラスターを再プロビジョニングする必要があります。Cisco TAC サポートに連絡して、必要なクラスタのディレクトリ サービスをリセットしてください。
-
[次へ] をクリックして、同期プロセスの準備をします。
-
同期の有効化 ウィンドウで、システムがユーザー データを Unified CM の一時ストレージ スペースに正常にコピーし、新しい同期アグリーメントが作成されたら (次のスクリーンショットに示すように手順 1 と 2 の後)、同期を有効にします。
-
[レポートをダウンロード] オプションを使用すると、結果の一部を表示できます。Unified CM クラスタの完全なレポートを取得するには、次の CLI コマンドを実行します。file get activelog /cm/trace/CIService/log4j/DryRunResults.csv
アクセスできない場合は、Cisco TAC サポートに連絡してレポートをダウンロードしてください。
ここで、ドライランの結果は次のようになります。
-
新規ユーザー— ユーザーは Unified CM には存在しませんが、Webex Identity Service には存在します。ユーザーは同期を有効にした後、Unified CM で作成されます。
-
一致したユーザー— ユーザーは Unified CM および Webex Identity Service に存在します。これらのユーザーは、同期が完了した後も Unified CM でアクティブのままになります。
-
不一致なユーザー— ユーザーは Unified CM と Webex Identity Service に存在します。一致しないユーザーは、同期が完了すると Unified CM で非アクティブとしてマークされ、24 時間非アクティブになるとゴミ箱に捨てられます。
レポートをチェックして、同じユーザー リストを保持するか、ユーザーを追加または削除するか決定できます。決定に基づいて、[放棄] をクリックしてプロセスを停止し、プロビジョニングの変更を元に戻します。
-
-
同期契約の検証後、 Unified CM でプレビュー をクリックしてインフラストラクチャにサインインし、新しく作成された同期契約を変更します。
グループ情報の編集のみできます。合意の名前を変更したり、詳細を変更したりすることはできません。
-
[同期を有効にする] をクリックして同期を続行します。
同期中は、完了するまでアクションを実行できません。特定のクラスタに対する同期が完了すると、ディレクトリ サービス ページではプロビジョニング状態のこのクラスタを一覧表示します。この時点で、Webex ユーザーを UC インフラストラクチャにプロビジョニングおよび同期する権限を Azure AD に与え、同期のセットアップ手順が完了しました。
新しい契約が作成されてから 18 時間以内に同期を有効にする必要があります。LDAP 同期ユーザーは非アクティブになり、非アクティブ状態が 24 時間続いた後に削除されます。ユーザーは Unified CM サービスにログインして使用することはできません。
特定のクラスタに対する Azure AD プロビジョニングが完了した後は、新しい同期合意を作成したり、同じクラスタの構成設定を変更したりすることはできません (グループ設定を除く)。Cisco TAC サポートに連絡してディレクトリ サービスをリセットしてください。その後、プロビジョニングのための新しい合意を作成できます。
プロビジョニング完了後、SSO 認証中に Azure IdP を使用している場合は、Azure IdP で正しいクレームを設定するようにしてください。たとえば、プロビジョニング中にユーザー ID マッピングにオプション 1 が選択されている場合、user.userprincipalname が [追加クレーム] セクションで UID として設定されていることを確認します。
定期的な同期
クラスターが正常にプロビジョニングされると、定期的な同期が毎日実行され、Webex Common Identity から Unified CM および Cisco Unity Connection へのユーザー データの変更が同期されます。定期的な同期にはユーザーの介入は必要ありません。ただし、Control Hub の [クラスターの詳細] ページの 最終同期日時 列を確認することで、その日に定期的な同期が行われたかどうかを確認できます。タイムスタンプは、クラスターの定期的な同期が行われた時刻を反映するように更新されます。
Unified CM
Cisco Unity Connection
Unified CM または Cisco Unity Connection の LDAP ディレクトリ
同期のプロセスによってデフォルトの LDAP ディレクトリが作成されます。
設定では一度同期すると表示されますが、Control Hub は、共通 ID の変更を 24 時間周期で Unified CM または Cisco Unity Connection に同期します。
同期のステータスを表示する
[ディレクトリ同期ステータス] 列に同期のステータスを表示します。UC アプリケーションをクリックし、プロビジョニングのステータス、最後に同期した状態、失敗の理由 (ある場合) を示す右側パネルを表示します。ローカル タイムゾーンも選択できます。デフォルトのブラウザ タイムゾーンは選択されています。
プロビジョニングのステータス
|
プロビジョニングのステータス |
説明 |
|---|---|
|
処理中です |
プロビジョニング中です |
|
求められるアクション |
特定のクラスタで手動による介入が必要な場合は、必要な手順を実行します。
|
|
エラー |
同期の有効化ウィザードでアクションが必要な場合、必要なアクションを確認し、必要に応じて実行してください。 |
|
アクティブ |
クラスタのプロビジョニングが完了しました。 |
|
プロビジョニングされていません |
クラスタのプロビジョニングはまだ開始されていません。 |
Unity Connection のためにユーザーをインポートする
Control Hub からクラスタをプロビジョニングした後、Cisco Unity Connection の [ユーザーをインポート] から Azure AD ユーザーを手動でインポートできます。
ユーザーのインポート方法は 2 つあります。
| 1 |
Cisco Unity Connection 管理で、 ユーザ を展開し、 ユーザのインポートを選択します。 |
| 2 |
[ユーザーをインポート] ページで、LDAP ディレクトリ ユーザー アカウントをインポートし、Unity Connection ユーザーを作成します。 |
| 1 |
Cisco Unity Connection の管理で、[ツール] を展開し、[一括管理ツール] を選択します。 |
| 2 |
Unity Connection ユーザーを追加するには、一括管理ツール ページで以下の手順を実行します。 |
| 3 |
インポートが完了したら、[失敗したオブジェクトのファイル名] フィールドで指定したファイルを確認し、すべてのユーザーが正常に作成されたことを確認します。 |
同期の問題のトラブルシューティング
このセクションでは、Control Hub から Unified Communications Manager データベースへのユーザーの同期のさまざまな段階で直面する可能性がある一般的な問題を解決するために必要な情報とソリューションについて説明します。
一致しないユーザー
新しい契約が作成されてから 18 時間以内に同期を有効にします。既存のユーザーは非アクティブとして表示され、非アクティブ状態が 24 時間続いた後、Unified CM から削除されます。
エラー ‐ データのコピーに失敗しました。再試行してください
-
専用インスタンスと Webex クラウド間の通信が中断したか、Webex クラウドからユーザー データを取得できません。
-
専用インスタンスと Unified CM の間の通信が中断したか、ユーザー データを Unified CM データベースにプッシュできません。
-
ユーザー データは一時ストレージの場所にコピーされません。
エラー ‐ 同期合意の作成に失敗しました。再試行してください
-
専用インスタンスと Unified CM の間の通信が中断したか、同期合意データを Unified CM データベースにプッシュできません。
-
同期契約が正常に作成されませんでした。
同期合意の詳細を取得できません。しばらくしてからお試しください。
専用インスタンスと Unified CM の間の通信が中断しています。
既知の問題と制限事項
この機能に問題がある場合、既知の問題や推奨される回避策があるかを確認します。
-
Webex Calling - 専用インスタンス ディレクトリ サービス プロビジョニングは、ユーザー データのみが同期され、Unified CM サーバーのパスワードは同期されないため、LDAP 認証では機能しません。そのため、LDAP 認証は機能しません。
回避策: サインインにはシングル サインオン (SSO) を使用する必要があります。本書はシングル サインオン(SSO)統合のみを取り上げています。
ユーザーがエンタープライズ ID プロバイダーを通じて認証するようにする場合は、シングル サインオン (SSO) を構成します。詳細については、 Control Hub でのシングル サインオン統合 および SAML ベースの SSO ソリューション を参照してください。
-
Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。1 分ほど待ってから、ディレクトリ サービスのセットアップを再度開始してください。
-
削除後に、同じ Unified CM クラスタを組織に再度オンボードする場合は、まずディレクトリ サービスを無効にしてから、同じクラスタを再プロビジョニングする必要があります。
Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。
-
同期合意ページで、[同期を実行する間隔] と [次回の再同期時間] フィールドがアクティブと表示されますが、[同期を 1 回のみ実行] オプションが有効になっていると、Unified CM サーバーでこれらのフィールドはグレー表示されます。現在、これは Webex Calling - 専用インスタンス ディレクトリ サービス プロビジョニング機能の制限であり、今後のリリースで修正される予定です。
-
Azure ポータルで削除されたユーザーは、Webex Identity Service では非アクティブになりますが、Unified CM ではアクティブとして表示されます。
回避策:[管理] > [ユーザー] の順に移動して、Control Hub からユーザーを削除します。ユーザーは、Unified CM で 非アクティブ とマークされています。
-
大規模な組織 (ユーザー数が 80,000 人を超える) に新しいクラスターをプロビジョニングする場合、現在はタイムアウトが発生します。この問題はまもなく解決されます。
-
プロビジョニング中に、[同期の有効化] ページで 破棄、 続行、 同期の有効化 ボタンをクリックすると、ユーザー インターフェイスでクラスターのステータスがすぐに変更されません。バックエンドでアクションが実行されるため、この制限は混乱を招きます。
回避策: ボタンを 2 回クリックすることは避け、数秒後にクラスターのステータスを確認してください。クラスターのステータスが Action Required から Processingに変わります。この問題はまもなく解決されます。
-
現在、 同期の有効化 機能は、Unified Communications Manager ネットワークがダウンすると応答を停止します。
回避策: Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。1 分ほど待ってから、ディレクトリ サービスのセットアップを再度開始してください。この問題は今後のリリースで修正される予定です。
-
プロビジョニング中、Webex Common Identity サービスの同期に関する問題のためグループ詳細リストに情報が入力されません。ユーザーはプロビジョニングを中止し、しばらくしてから再試行することをお勧めします。
-
プロビジョニングされたクラスターでディレクトリ同期を再度構成する場合は、Webex Calling - 専用インスタンス ビジネス ユニットをプロセスに含めることをお勧めします。
