Integração do serviço de diretório por meio do Webex Common Identity para instâncias dedicadas.

Visão geral

Sincronize usuários de diretórios baseados em nuvem, como o Azure AD, com aplicativos de instância dedicada, como o Unified CM e o Cisco Unity Connection, usando o Cloud Directory Service. Durante a sincronização, o sistema importa uma lista de usuários e os dados de usuário associados do Azure Active Directory (ou um serviço de diretório em nuvem semelhante) que é sincronizado com o Webex Identity Service. Selecione o cluster Unified CM no Control Hub para sincronização, escolha o mapeamento de campo de ID de usuário do Unified CM apropriado e, em seguida, selecione o contrato de sincronização necessário para concluir a sincronização.

Pré-requisitos

Se você estiver usando o Azure Active Directory como seu diretório na nuvem, consulte Configurar o aplicativo Assistente do Azure AD no Hub de Controle para obter mais informações.
Se você estiver usando o Microsoft Active Directory como seu diretório, consulte Implantar Conector de Diretório para obter mais informações.
Notas de versão do conector de diretórios
Certifique-se de que os sistemas Active Directory existentes, integrados ao Unified CM, também estejam integrados ao Webex Common Identity.

Exibir detalhes do grupo

Na página Gerenciar do Control Hub, escolha o cluster com o qual deseja sincronizar os dados do usuário.

Essa seleção também fornece os detalhes do grupo, como o nome, o status da sincronização, o último estado sincronizado e o produto associado.

Detalhes do grupo	Descrição
Nome do cluster	O nome do grupo
Status	Status da sincronização
Última sincronização	Data da última sincronização
Produto	Detalhes do produto

Sincronização do diretório

Dependendo da sua necessidade, você pode sincronizar usuários do Active Directory local para o Hub de Controle usando o Conector de Diretório ou diretamente do Azure Directory para o Hub de Controle e, em seguida, sincronizá-los com o Unified CM.

Execute um dos seguintes procedimentos:

Para sincronizar diretamente os usuários do Azure Directory com o Hub de Controle, siga o procedimento Sincronizar usuários do Azure Directory.
Para sincronizar usuários do Active Directory local para o Control Hub usando o Directory Connector, siga o procedimento Sincronizar usuários do Active Directory local.

Realize a sincronização fora do horário comercial para minimizar o impacto nos serviços de chamada.

Sincronizar usuários do Azure Directory

A sincronização do Serviço de Diretório de Instância Dedicada permite importar dados do usuário final do diretório do Azure para o banco de dados do Unified CM, de forma que sejam exibidos na janela de Configuração do Usuário Final.

Para sincronizar usuários usando o Azure Directory:

Você deve Sincronizar usuários do Azure Active Directory no Hub de Controle.
Siga o procedimento Configurar Sincronização de Diretório para sincronizar usuários no Control Hub com o Cisco Unified CM.

Sincronizar usuários do Active Directory local

Os usuários do Active Directory local podem ser sincronizados com o Common Identity (CI) usando o Conector de diretório.

Apenas a implementação de SSO (Single Sign-On) é suportada para o serviço de diretório. Consulte Integração de Single Sign-On no Control Hub e Solução SSO baseada em SAML para obter mais informações.

Para sincronizar usuários do Active Directory local:

Sincronize usuários do Active Directory com a Identidade Comum (CI) usando o Conector de Diretório. Você pode baixar o software do conector do Control Hub e instalá-lo em sua máquina local. Consulte o Guia de implantação do conector de diretório para obter mais informações.
Siga o procedimento em Configurar Sincronização de Diretório sincronizar usuários no Control Hub para o Unified CM.

Configurar sincronização de diretório

Às vezes, você pode enfrentar atrasos adicionais no provisionamento de um grupo. Nesses cenários, o provisionamento ainda ocorrerá, embora essa atividade incorra em um tempo considerável.

Faça login no Hub de Controle em https://admin.webex.com/login.
Vá para Serviços > Chamadas > Ocorrência dedicada > Gerenciar.
Selecione o aplicativo UC e clique em Configuração em Ativar sincronização do diretório no painel à direita.
Na janela de configuração do Mapeamento de campos, certifique-se de que o mapeamento escolhido no campo de ID de usuário do Unified CM identifica exclusivamente o usuário no grupo depois de iniciar o provisionamento.

Escolha o mapeamento do campo de ID de usuário do Unified CM para sincronizar o usuário do Webex:

O campo de ID do usuário no Unified CM corresponde ao endereço de e-mail do usuário no Webex.
O campo de ID de e-mail no Unified CM corresponde ao ID de e-mail do usuário no Webex.
O campo de ID do usuário no Unified CM corresponde ao endereço de e-mail do usuário no Webex, sem incluir o domínio.

Uma nova conta de usuário é criada caso o mapeamento não possa ser concluído com sucesso para uma conta de usuário existente no Unified CM. O endereço de e-mail do usuário é usado como identificador único para a conta de usuário recém-criada. Esta nota aplica-se às opções. 1 e 2.

Opções

Unified CM

Control Hub

Opção 1

O campo de ID do usuário no Unified CM corresponde ao endereço de e-mail do usuário no Webex.

Opção 2

O campo de ID de e-mail no Unified CM corresponde ao ID de e-mail do usuário no Webex.

Opção 3

O campo de ID do usuário no Unified CM corresponde ao endereço de e-mail, sem a parte do domínio, do usuário no Webex.

Clique em Próximo.
Selecione um acordo na lista suspensa para criar um novo acordo de sincronização. Assim que o novo acordo de sincronização for criado, todos os acordos de sincronização existentes que apontam para o diretório local serão excluídos. Você pode alterar o novo acordo de sincronização depois que ele for criado.
Na seção de Pré-visualização do contrato, revise a lista de usuários e os detalhes de contato (detalhes do diretório LDAP externo existente disponível no Unified Communications Manager) antes de iniciar a sincronização. Você pode visualizar os seguintes detalhes:
- Informações do grupo
  
  Por padrão, todos os usuários são sincronizados com o Usuário de Nível 5. Isso pode ser verificado na janela de informações do grupo.
- Modelo do grupo de recursos aplicado com modelos de linha universal e dispositivo
- Detalhes da linha e máscara dos números de telefone sincronizados de usuários inseridos
- Usuários recém-provisionados e suas extensões
- Seção "Campos padrão do usuário a serem sincronizados".
- Nome do organizador ou endereço IP do servidor de diretório
Clique em Próximo para selecionar o filtro de grupo.

A seção Informações do grupo não se aplica ao Cisco Unity Connection e, portanto, não está visível na seção Pré-visualização do Contrato.
Na lista suspensa Selecionar grupos, selecione um ou mais grupos específicos que você deseja sincronizar. Clique na caixa de seleção Selecionar todos os grupos se desejar selecionar todos os grupos de usuários.

Por padrão, todos os usuários serão sincronizados. Se você não selecionar nenhum grupo, todos os usuários e dados de usuários associados serão sincronizados automaticamente.

Nos grupos aninhados em um diretório, os usuários devem selecionar o grupo de usuários do subconjunto especificamente durante o provisionamento, pois não são incluídos por padrão no grupo matriz. Você deve verificar se há aninhamento repetitivo (caso exista) para garantir que apenas os usuários necessários sejam incluídos durante o provisionamento.

Quaisquer modificações no contrato de sincronização, por exemplo, remover um usuário ou grupo de destino, não serão propagadas durante a sincronização periódica. É necessário redefinir o Serviço de Diretório para esse cluster e, em seguida, reaprovisionar o cluster com um novo acordo de sincronização ou com um acordo modificado. Entre em contato com o suporte TAC da Cisco para redefinir o Serviço de diretório para o grupo necessário.
Clique em Próximo para preparar o processo de sincronização.
Na janela Habilitar Sincronização, habilite a sincronização assim que o sistema copiar com sucesso os dados do usuário para um espaço de armazenamento temporário no Unified CM e um novo acordo de sincronização for criado (após as etapas 1 e 2, conforme mostrado na captura de tela a seguir).
A opção Baixar relatório permite visualizar os resultados parcialmente. Para buscar os relatórios completos do grupo Unified CM, execute o seguinte comando da CLI: file get activelog /cm/trace/CIService/log4j/DryRunResults.csv

Caso não tenha acesso, entre em contato com o suporte técnico da Cisco (TAC) para baixar o relatório.

Aqui, o resultado do teste simulado mostra o seguinte:
- Novos usuários—Os usuários não estão presentes no Unified CM, mas estão presentes no Webex Identity Service. Os usuários são criados no Unified CM após habilitar a sincronização.
- Usuários correspondentes—Os usuários estão presentes no Unified CM e no Webex Identity Service. Esses usuários continuarão ativos no Unified CM após a conclusão da sincronização.
- Usuários incompatíveis—Os usuários estão presentes no Unified CM e no Webex Identity Service. Os usuários incompatíveis são marcados como inativos no Unified CM após a conclusão da sincronização e serão excluídos após 24 horas de inatividade.
Você pode verificar o relatório e decidir se deseja manter a mesma lista de usuários e adicionar ou excluir usuários. Com base na decisão, clique em Abandonar para interromper o processo e reverter as alterações de provisionamento.
Após a verificação do acordo de sincronização, clique em Visualizar no Unified CM para entrar na sua infraestrutura e alterar o acordo de sincronização recém-criado.

Você só poderá editar as informações do Grupo. Não poderá renomear o contrato ou modificar nenhum dos detalhes.
Clique em Ativar sincronização para prosseguir com a sincronização.

Durante a sincronização, você não poderá realizar nenhuma ação até a conclusão. Após a conclusão da sincronização para um grupo específico, a página de Serviço de diretório listará esse grupo com um estado Provisionado. Neste ponto, você autorizou com êxito o Azure AD a provisionar e sincronizar usuários Webex na infraestrutura UC e concluiu as etapas para configurar a sincronização.

Você deve ativar a sincronização em até 18 horas a partir do momento em que o novo contrato for criado. Os usuários sincronizados com LDAP tornam-se inativos e são removidos após 24 horas de inatividade. Os usuários não poderão fazer logon e usar os serviços do Unified CM.

Depois que o provisionamento do Azure AD for concluído para um determinado grupo, você não poderá criar nenhum novo contrato de sincronização nem modificar nenhuma definição de configuração do mesmo grupo, exceto as configurações de grupo. Entre em contato com o suporte TAC da Cisco para redefinir o Serviço de diretório. Em seguida, você poderá criar um novo contrato para provisionamento.

Se você estiver usando o IdP do Azure durante a autenticação SSO após o provisionamento bem-sucedido, certifique-se de configurar as Reivindicações corretas no IdP do Azure. Por exemplo, durante o provisionamento, se a opção 1 for selecionada para o mapeamento de ID de usuário, certifique-se de que user.userprincipalname esteja definido como o UID na seção de Reivindicações adicionais.

Sincronização Periódica

Após o provisionamento bem-sucedido de um cluster, uma sincronização periódica é executada diariamente, garantindo a sincronização de quaisquer modificações nos dados do usuário do Webex Common Identity para o Unified CM e o Cisco Unity Connection. Sua intervenção não é necessária para a sincronização periódica. No entanto, você pode verificar se a sincronização periódica ocorreu no dia observando a coluna Última sincronização em na página Detalhes do cluster no Hub de controle. O registro de data e hora é atualizado para refletir o momento em que ocorreu a sincronização periódica do cluster.

Unified CM

Cisco Unity Connection

Diretório LDAP no Unified CM ou Cisco Unity Connection

Um diretório LDAP padrão é criado pelo processo de sincronização.

Embora as configurações mostrem a sincronização apenas uma vez, o Control Hub sincroniza as alterações do Common Identity com o Unified CM ou o Cisco Unity Connection em um ciclo de 24 horas.

Veja o status da sincronização.

Exiba o status da sincronização na coluna de Status de sincronização do diretório. Clique no aplicativo UC para obter o painel à direita que mostra o status do provisionamento, o último estado sincronizado e o motivo da falha, se houver. Você também pode selecionar o fuso horário local. O fuso horário padrão do navegador foi selecionado.

Status de provisionamento

Status de provisionamento	Descrição
Processando	O provisionamento está em andamento
Ação requerida	Execute as etapas necessárias se houver alguma intervenção manual necessária em um grupo específico. Se você quiser continuar ou abandonar a sincronização após a simulação. Depois que o novo contrato for criado, verifique se há notificações e execute as ações adequadas, conforme necessário.
Erro	Se houver alguma ação necessária no assistente Ativar sincronização, verifique-a e, se necessário, execute as ações adequadas.
Ativo	O provisionamento do grupo foi concluído.
Não provisionado	O provisionamento do grupo ainda não foi iniciado.

Importar usuários para o Unity Connection

Você pode importar usuários do Azure AD manualmente em Importar usuários no Cisco Unity Connection após o provisionamento do grupo ser feito no Control Hub.

A seguir, duas maneiras de importar usuários:

Crie usuários do Unity Connection a partir de dados do diretório LDAP usando a ferramenta Importar Usuários.

Na administração do Cisco Unity Connection, expanda Usuários e selecione Importar usuários.

Na página Importar usuários, importe as contas de usuário do Diretório LDAP para criar usuários do Unity Connection.

Selecione Diretório LDAP no campo Encontrar usuários finais em.
Selecione o modelo no qual o novo usuário se baseia.
Especifique o Alias, Nome ou Sobrenome das contas de usuário do Diretório LDAP que você deseja importar.
Marque as caixas de seleção nas contas de usuário que você deseja importar e selecione Importar selecionados.

Crie usuários do Unity Connection a partir de dados do diretório LDAP usando a ferramenta de Administração em Massa.

Em Administração do Cisco Unity Connection, expanda Ferramentas e selecione Ferramenta de administração em massa.

Para adicionar usuários do Unity Connection, execute as seguintes etapas na página da Ferramenta de administração em massa:

Em Selecionar operação, selecione Exportar.
Em Selecionar tipo de objeto, selecione Usuários do diretório LDAP.
Insira os valores em todos os campos obrigatórios.
Selecione Enviar.

Isso cria um arquivo CSV com os dados do usuário do Diretório LDAP. Abra o arquivo CSV em um aplicativo de planilha ou em um editor de texto e edite os dados conforme aplicável. Agora, importe os dados do arquivo CSV.
Em Selecionar operação, selecione Criar.
Em Selecionar tipo de objeto, selecione Usuários com caixa de correio.
Insira os valores em todos os campos obrigatórios.
Selecione Enviar.

Quando a importação for concluída, revise o arquivo que você especificou no campo de Nome de arquivo dos objetos com falha para verificar se todos os usuários foram criados com êxito.

Solucionando problemas de sincronização

Esta seção fornece as informações e soluções necessárias para resolver alguns dos problemas comuns que você pode enfrentar durante os vários estágios de sincronização de usuários do Control Hub no banco de dados do Unified Communications Manager.

Usuários incompatíveis

Ative a sincronização em até 18 horas após a criação do novo contrato. Os usuários existentes são marcados como inativos e excluídos do Unified CM após 24 horas de inatividade.

Erro–Falha na cópia de dados. Tente novamente

A comunicação entre a Ocorrência dedicada e a nuvem Webex foi interrompida ou não foi possível buscar dados do usuário na nuvem Webex.
A comunicação entre a Ocorrência dedicada e o Unified CM foi interrompida ou não foi possível enviar os dados do usuário para o banco de dados do Unified CM.
Os dados do usuário não foram copiados para o local de armazenamento temporário.

Erro–Falha ao criar o contrato de sincronização. Tente novamente

A comunicação entre a Ocorrência dedicada e o Unified CM foi interrompida ou não foi possível enviar os dados do contrato de sincronização para o banco de dados do Unified CM.
Não foi possível criar um acordo de sincronização com sucesso.

Não foi possível obter os detalhes do contrato de sincronização. Tente depois de algum tempo.

A comunicação entre a Ocorrência dedicada e o Unified CM foi interrompida.

Problemas conhecidos e limitações

Se você estiver enfrentando um problema com esse recurso, verifique se é algo que já conhecemos e se há uma solução alternativa recomendada.

O provisionamento do serviço de diretório Webex Calling - Instância Dedicada não funciona com autenticação LDAP, pois apenas os dados do usuário são sincronizados e não as senhas do servidor Unified CM; portanto, a autenticação LDAP não funciona.

Solução alternativa: O login único (SSO) deve ser usado para efetuar o acesso. Este documento abrange apenas a integração de registro único (SSO).

Configure um sistema de autenticação única (SSO) se desejar que seus usuários se autentiquem por meio do provedor de identidade corporativo. Consulte Integração de Single Sign-On no Control Hub e Solução SSO baseada em SAML para obter mais informações.
Entre em contato com o suporte TAC da Cisco para desabilitar o Serviço de diretório. Aguarde um minuto e inicie novamente a configuração do Serviço de Diretório.
Após a exclusão, caso deseje integrar novamente o mesmo cluster do Unified CM à organização, primeiro você deve desativar o Serviço de Diretório e, em seguida, provisionar novamente o mesmo cluster.

Entre em contato com o suporte TAC da Cisco para desabilitar o Serviço de diretório.
Na página do contrato de sincronização, os campos Executar uma sincronização a cada e Próxima horário de ressincronização aparecem ativos. Mas esses campos ficam acinzentados no servidor Unified CM quando a opção Executar sincronização apenas uma vez está ativada. Atualmente, essa é uma limitação do recurso de provisionamento do Webex Calling - Serviço de Diretório de Instância Dedicada, que será corrigida na próxima versão.
Os usuários excluídos no portal do Azure ficam inativos no Webex Identity Service, mas aparecem como ativos no Unified CM.

Solução alternativa: Vá até Gerenciamento > Usuários e exclua o usuário do Control Hub. O usuário está marcado como Inativo no Unified CM.
Ao provisionar novos clusters para organizações maiores (com mais de 80.000 usuários), você poderá encontrar problemas de tempo limite. Esse problema será resolvido em breve.
Durante o provisionamento, ao clicar nos botões Abandonar, Continuare Ativar Sincronização na página Ativar Sincronização, o status do cluster não muda imediatamente na interface do usuário. Essa limitação é falsa, pois as ações ocorrem no back-end.

Solução alternativa: Evite clicar nos botões duas vezes e verifique o status do cluster após alguns segundos. Você verá que o status do cluster muda de Ação Necessária para Processando. Esse problema será abordado em breve.
Atualmente, a funcionalidade Habilitar Sincronização para de responder quando a rede do Unified Communications Manager está inativa.

Contornar: Entre em contato com o suporte TAC da Cisco para desabilitar o Serviço de diretório. Aguarde um minuto e inicie novamente a configuração do Serviço de Diretório. Esse problema será corrigido na próxima versão.
Durante o provisionamento, a lista de detalhes do grupo não é preenchida devido a problemas de sincronização com o Webex Common Identity Service. Recomenda-se aos usuários que abandonem o provisionamento e tentem novamente após algum tempo.
Se você estiver configurando a sincronização de diretórios novamente em um cluster provisionado, é recomendável envolver a Unidade de Negócios de Instâncias Dedicadas do Webex Calling no processo.

Obrigado pelos seus comentários.