Pode ser que você observe alguns artigos exibindo conteúdo de maneira inconsistente. Desculpe-nos pelos problemas, enquanto atualizamos nosso site.
cross icon
Neste artigo
dropdown icon
Visão geral do Conector de diretórios da Cisco
    Visão geral do conector de diretórios
dropdown icon
Preparar seu ambiente para o Conector de diretórios
    dropdown icon
    Requisitos do Conector de diretórios
      Requisitos do Windows e do Active Directory
      Requisitos de hardware
      Requisitos de rede
      Requisitos da organização Webex
      Requisitos de instalação
      Requisitos de vários domínios
      Recomendações do grupo do Active Directory para atribuição automática de licenças
    Informações de dimensionamento
    Verificar o SafeDllSearchMode no registro do Windows
    dropdown icon
    Integração de proxy da web
      Integração de proxy da web
      Usar um Proxy Da Web Através Do Navegador
      Configurar o proxy da web por meio de um arquivo PAC
      Proxy NTLM
      Configurar o Proxy Transparente
      Definir autenticação proxy
dropdown icon
Implantar o Conector de diretórios
    Fluxo de tarefa de implantação do conector de diretórios da Cisco
    Instalar o Directory Connector
    dropdown icon
    Iniciar sessão no Conector De Diretórios
      Painel do conector de diretórios
    Definir atualizações automáticas
    Escolha os objetos do Active Directory a serem sincronizados
    dropdown icon
    Mapear atributos do usuário
      Atributos do Active Directory e da nuvem
      Expressões para atributos personalizados
    Sincronizar avatares de diretórios de um atributo do Active Directory para a nuvem
    Sincronizar avatares de diretório de um servidor de recursos para a nuvem
    Sincronizar informações da sala no local com o Webex Cloud
    Enviar relatórios de e-mail sobre os resultados da sincronização de diretórios
    dropdown icon
    Provisionar usuários do Active Directory no Control Hub
      Executar uma sincronização de simulação em seus usuários do Active Directory
      Faça uma sincronização completa de usuários do Active Directory na nuvem
      Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub
    Problemas conhecidos com o Conector de diretórios
dropdown icon
Gerenciar usuários do aplicativo Webex
    Executar uma sincronização incremental
    Recuperar usuários excluídos acidentalmente
    Excluir usuários permanentemente após a exclusão soft
    Alterar um endereço de e-mail do aplicativo Webex
    Alterar o domínio do Active Directory
    Reivindicação de domínio
    Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório
    Contas de usuário do aplicativo Webex lateral
    Alterar o formato do nome de usuário do aplicativo Webex após a sincronização do diretório
    Permitir que os usuários alterem nomes de exibição no Webex Meetings
dropdown icon
Solução de problemas do conector de diretórios
    Atualizar para a versão de software mais recente
    Definir configurações gerais do Conector de diretórios
    Configurar a política do conector
    Definir a agenda do conector
    dropdown icon
    Cenários de vários domínios
      Exemplo de caso de uso para vários domínios
      Sincronizar um novo domínio e preservar um domínio existente
      Definir a prioridade do domínio
      Alternar domínios
    Desligar sincronização do diretório
    Remover Mapeamento de Atributos do Usuário
    Gerenciar fotos de perfil
    Desinstalar e desativar o Conector de diretórios
    Executar a ferramenta de diagnóstico
dropdown icon
Solução de problemas no Conector de diretórios Ciso
    Solução de problemas e correções do Conector de diretórios
    dropdown icon
    Instalar
      O Conector de diretórios parou de funcionar
      Erro de reinstalação
    dropdown icon
    Iniciar sessão
      O conector de diretórios falha durante o início de sessão por SSO
      Não foi possível registrar o conector do serviço Cisco DirSync
      Nenhuma página de início de sessão é exibida
      O aviso de início de sessão é exibido
      Não foi possível conectar-se ao servidor remoto
      Não foi possível registrar o conector
    dropdown icon
    Sincronização
      Avatares não sincronizados
      Contas de e-mail de usuários conflitantes
      Usuário convertido marcado como inativo
      Falha na sincronização incremental
      Valor inválido para atributo
      Usuários correspondentes a serem excluídos
      Atributo ausente
      O grupo aninhado não sincronizará
      Conflito de nomes de usuários
    dropdown icon
    Hub de controle
      Lista de usuários ausente no Control Hub
      Os grupos não serão sincronizados com o Control Hub
    Ativar a solução de problemas do Conector de diretórios
    Iniciar o Visualizador de eventos
    Ativar o TLS no Internet Explorer
    Solucionar problemas de início de sessão da conta de serviço
    Verificar o SafeDllSearchMode no registro do Windows

Guia de implantação do Conector de diretórios

list-menuNeste artigo
list-menuComentários?
Visão geral do conector de diretórios da Cisco

Visão geral do conector de diretórios

O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.

Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.

Veja todos os recursos, descrições e benefícios na tabela:

RecursoDescrição e benefício
Painel fácil de usar O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão.
Simulação antes de sincronizar com a nuvem Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera.
Sincronização completa e incremental Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização.

Sincronizar vários domínios (floresta única ou várias florestas)

O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade.

Sincronização agendada Defina uma agenda de sincronização por dia, hora e minuto.
Filtros LDAP (Lightweight Directory Access Protocol) Defina critérios de pesquisa LDAP e forneça importações eficientes.
mapeamento de atributos do Active Directory Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante).

Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex

Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.

Recursos da sala
Após sincronizar as informações da sala, os dispositivos de sala do local com um endereço SIP configurado e mapeado, aparece como entrada pesquisável em dispositivos de sala registrados em nuvem, como um dispositivo de Cisco Webex Room ou Cisco Webex Board.

Quando os usuários fizerem uma pesquisa em um dispositivo Cisco Webex Room ou Cisco Webex Board, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando fizerem uma chamada do dispositivo Webex nessa entrada, uma chamada será feita para o endereço SIP que foi configurado para a sala.

Chamadas
Os usuários podem fazer chamadas para contatos corporativos, além dos contatos do aplicativo Webex. Por meio do Conector de diretórios, os usuários corporativos e seus números de telefone são adicionados à sua organização Webex. Eles não precisam ser licenciados para que os serviços Webex para esse recurso funcionem.

Os usuários que não são licenciados para o Webex aparecerão na pesquisa de diretório executada de um telefone de usuário do Cisco Webex Calling, desde que haja um URI ou um número de telefone sincronizado com o Webex por meio do Conector de diretórios. A funcionalidade de chamada tem o mesmo comportamento para ambos os tipos de usuários. Esse recurso também fornece a funcionalidade de edição de discagem para contatos com apenas números de telefone.

No resultado da pesquisa de contatos:

  • Se os contatos tiverem um URI discável (endereço SIP Webex) e um número de telefone, o URI assocoiated com o contato será exibido.

  • Se os contatos não tiverem um URI discável, mas tiverem um número de telefone, o número de telefone será mostrado. Eles também têm uma tecla programável Editar discagem.

  • Se os contatos não tiverem nenhum dos dois, eles não serão mostrados no diretório.

visualizador de Eventos Use o visualizador de eventos para determinar se houve algum problema com a sincronização.
Ferramenta de diagnóstico e solução de problemas Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte.

Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico.

Atualização automática Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada.
Alta disponibilidade Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia.

O Conector de diretórios é dividido em três áreas:

  • Control Hub é a interface única que permite gerenciar todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.

  • Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.

  • Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.

Consulte este diagrama para entender a arquitetura do Conector de diretórios:

Arquitetura para Conector de diretórios
Preparar seu ambiente para o conector de diretórios

Requisitos do conector de diretórios

Requisitos do Windows e do Active Directory

Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:

  • Windows Server 2012

  • Windows Server 2019

  • Windows Server 2016


 

Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .

O Conector de diretórios é compatível com os seguintes serviços do Active Directory:

  • Active Directory 2016

    (O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)

  • Active Directory 2012

  • Active Directory 2008 R2

  • Active Directory 2008

Observe os seguintes requisitos adicionais:

Requisitos de hardware

Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:

  • 8 GB de RAM

  • 50 GB de armazenamento

  • Nenhum mínimo para a CPU

Requisitos de rede

Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.

Requisitos da organização Webex

  • Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.

  • (Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:


 

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

Requisitos de instalação

  • Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).

  • Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.

    Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .

  • Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.

Vários requisitos de domínio

Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:

  • Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.

  • O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.

  • Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)

  • Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.

  • Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)

Recomendações do grupo Active Directory para atribuição automática de licenças

Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.

Existem dois tipos de grupos no Active Directory:

  • Grupos de distribuição —Usados para criar listas de distribuição de e-mail.

  • Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.

Considere as seguintes diretrizes ao criar grupos no Active Directory:

  • Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).

  • Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.

  • Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.

  • Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.

Informações de Dimensionamento

O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.

Alguns fatores podem afetar a velocidade da sincronização:

  • O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)

  • Velocidade da rede e largura de banda.

  • Carga de trabalho do sistema e especificações.


 

Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.


 

Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de você começar


 

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Integração de proxy da web

Integração de proxy da web

Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.

Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.

Você pode fazer uma dessas abordagens:

  • Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)

  • Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)

  • Proxy transparente que funciona com o conector sem alterações

Usar um proxy da web por meio do navegador

Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.

Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.

1

No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN .

2

Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web.

3

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.


 

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

4

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com.
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Configurar o proxy da web por meio de um arquivo PAC

Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.

1

Para que o conector se conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação do proxy esteja desativada para cloudconnector.webex.com na configuração do arquivo .pac para o host onde o conector está instalado.

2

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.


 

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

3

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com.
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Proxy NTLM

O Conector de diretórios suporta NT LAN Manager (NTLM). O NTLM é uma abordagem para oferecer suporte à autenticação do Windows entre os dispositivos de domínio e garantir sua segurança.

Design NTLM

Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.

Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge e Response :

  1. Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.

    Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.

  2. Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.

  3. Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.

  4. Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.

  5. O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.


 

O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.

Configurar proxy transparente

Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.

1

Implante um proxy transparente para que o conector possa conectar e sincronizar usuários.

2

Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector.

Definir autenticação de proxy

Adicionar a URL cloudconnector.webex.com para sua lista de permissões, criando uma lista de controle de acesso.

No servidor de firewall corporativo:

1

Ative a pesquisa DNS se ainda não estiver ativada.

2

Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário.

3

Crie uma lista de controle de acesso para aplicar ao host do conector e especifique cloudconnector.webex.com como o destino a ser adicionado à lista de permissões.

Por exemplo:

access-list 2000 acl-inside extended permit TCP [IP of the connector] cloudconnector.webex.com eq https
4

Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector.

5

Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada.

Implantar o conector de diretórios

Fluxo de tarefas de implantação do conector de diretório da Cisco

1

Instalar o Directory Connector

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Directory Connector, sempre acesse o Control Hub ( https://admin.webex.com) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

2

Iniciar Sessão No Conector De Diretórios

Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial.

3

Definir atualizações automáticas

É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

4

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

5

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid.

6

Sincronize avatares de diretório usando um dos seguintes procedimentos:

Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos.

7

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board

8

Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:

Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

Instalar o Directory Connector

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.

Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:

Fluxo de vários domínios para o conector de diretório

Antes de você começar

Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:

1

No Control Hub , acesse Users > Gerenciar usuários > Habilite a sincronização de diretório , e escolha Next .

2

Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows.

Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione.


 

Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

3

No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração.

4

Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta.

5

Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:

  • Sistema local —A opção padrão. Você pode usar esta opção se tiver um proxy configurado através do Internet Explorer.
  • Conta de domínio —Use esta opção se o computador fizer parte do domínio. O Conector de diretórios deve interagir com os serviços de rede para acessar recursos de domínio. Você pode inserir as informações da conta e clique em OK . Ao inserir o Nome de usuário , use o formato {domain}\{user_name}

     

    Para um proxy que se integra ao AD (NTLMv2 ou Kerberos), você deve usar a opção de conta de domínio. A conta usada para executar o Serviço do Conector de diretórios deve ter privilégio suficiente para passar o proxy e acessar o AD.

Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:

  • O servidor faz parte do domínio

  • A conta de domínio pode acessar os dados do AD e os dados de avatares locais. A conta também deve ter a função de administrador local, pois deve acessar os arquivos de acesso em C:\Program Files.

  • Para um logon da máquina virtual, o privilégio de conta de administrador deve pelo menos ser capaz de ler informações de domínio.

6

Clique em Instalar. Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar .

O que fazer em seguida

Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.

Iniciar Sessão No Conector De Diretórios

Antes de você começar

Certifique-se de ter suas credenciais de proxy.

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.

  • Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .

1

Abra o conector e adicione https://idbroker.webex.com à sua lista de sites confiáveis se você vir um aviso.

2

Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next .

3

Confirme sua organização e domínio.

  • Se você escolher AD DS , verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão, escolha o domínio do qual deseja sincronizar e clique em Confirmar .

     

    Se você não verificar LDAP sobre SSL , o DirSync continuará a usar o protocolo de conexão LDAP.

    LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

  • Se você escolher AD LDS , insira o host, o domínio e a porta e clique em Atualizar para carregar todas as partições de aplicativos. Em seguida, selecione a partição na lista suspensa e clique em Confirmar . Consulte a seção AD LDS para obter mais informações.

     

    Na guia de CloudConnectorCommon.dll config file, certifique-se de adicionar a configuração ADAuthLevel ao nó appSetting . Os valores podem ser 1, 2 ou 3. Consulte este artigo da Microsoft para saber mais sobre AuthenticationTypes . Aqui está um exemplo da configuração com um valor de 1:

    <appSettings>
    <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" />
    <add key="ADAuthLevel" value="1" />
    </appSettings>
4

Depois que a tela Confirmar organização for exibida, clique em Confirmar .

Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida.

5

Clique Confirmar .

6

Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:

  • Se você tiver um único domínio que é AD LDS , vincule-se à fonte existente do AD LDS e clique em Confirmar .
  • Se você tiver um único domínio AD DS , vincule-o ao domínio existente ou a um novo domínio. Se você escolher Bind para um novo domínio , clique em Next .

    Como o tipo de origem existente é AD DS, você não pode selecionar AD LDS para a nova vinculação.

  • Se você tiver mais de um domínio, escolha um domínio existente na lista ou Vincular a um novo domínio e clique em Next .

    Como você tem mais de um domínio, o tipo de origem existente deve ser AD DS . Se você escolher Bind para um novo domínio e clicar em Next , você não poderá selecionar AD LDS para a nova vinculação.

O que fazer em seguida

Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.

Painel do conector de diretórios

Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.


 
Se a sua sessão expirar, inicie sessão novamente.

Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.

Tabela 1. Componentes do painel

Componente

Descrição

Sincronização atual

Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa.

Próxima sincronização

Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido.

Última sincronização

Exibe o status das duas últimas sincronizações executadas.

Status de sincronização atual

Exibe o status geral da sincronização.

Conectores

Exibe os conectores locais atuais que estão disponíveis para a nuvem.

Estatísticas da nuvem

Exibe o status geral da sincronização.

Agenda de sincronização

Exibe a agenda de sincronização para sincronização incremental e completa.

Resumo da configuração

Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
  • Todos os objetos serão sincronizados

  • Todos os usuários serão sincronizados

  • O limite excluído foi desativado.

Tabela 2. Barra de ferramentas de ações
AçãoDescrição
Iniciar sincronização incremental

Iniciar manualmente uma sincronização incremental


 

Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento.

Sincronizar execução seca

Execute uma sincronização de simulação.

Iniciar visualizador de eventos

Inicie o Microsoft Event Viewer.

Atualizar

Atualizar o painel do conector de diretórios da Cisco

Tabela 3. Barra de menus de ações

Ação

Descrição

Sincronizar Agora

Inicie uma sincronização completa instantaneamente.

Modo de sincronização

Selecione o modo de sincronização completa ou incremental.

Redefinir segredo do conector

Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente.

Simulação

Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa.

Solução de problemas

Ative/desative a solução de problemas.

Atualizar

Atualize a tela principal do conector de diretórios da Cisco.

Sair

Saia do conector de diretórios da Cisco.

Tabela 4. Principais combinações

Combinação De Chave

Ação

Alt +A

Mostrar o menu Ações

Alt +A + S

Sincronização agora

Alt +A + R

Redefinir segredo do conector

Alt +A + D

Simulação seca

Alt +A + S + I

Sincronização incremental

Alt +A + S + F

Sincronização completa

Alt + H

Mostrar menu Help

Alt + H + H

Ajuda

Alt + H + A

Sobre

Alt + H + F

Perguntas frequentes

Definir atualizações automáticas

1

No Conector de diretórios, vá para Configuração > Geral e, em seguida, marque Atualizar automaticamente para a nova versão do Cisco Directory Connector .

2

Clique em Aplicar para salvar suas alterações.

Novas versões do conector são instaladas automaticamente quando estão disponíveis.


 

Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

Grupos para atribuição automática de licenças

O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.

Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:

(&(cn=Example)(objectclass=Group))*

Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.

Tela de seleção de objeto no Conector de diretórios

Grupos para implantações de segurança de dados híbridos

No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.

1

No Conector de diretórios, vá para Configuração e clique em Seleção de objeto .

2

Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários.

Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

3

Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala.

Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud .

4

Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem.

Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem.


 
Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança.
5

Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem.


 

O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub.

6

Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP.

7

Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar.

8

Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar .

Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou.

Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs .

9

Clique em Aplicar.

Escolha uma opção:

  • Aplicar alterações de configuração

  • Simulação

  • Cancelar

Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory .

Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem .

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.

Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou em uma expressão de atributo personalizado a displayName na nuvem.


 

As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o ad campo de e-mail (não sAMAccountName).

Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho.

2

Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :

  • mail —Usado pela maioria das implantações para o formato de e-mail.
  • userPrincipalName —Uma escolha alternativa se o atributo de correio for usado para outros fins no Active Directory. Este atributo deve estar no formato de e-mail.

Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios .


 

Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados.

3

Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo.


 

Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações.

Neste exemplo, vamos mapear os atributos do Active Directory givenName e Sn para o atributo na nuvem displayName:

  1. Definir a expressão do atributo como givenName + "" + Sn(as aspas sendo um espaço extra) e, em seguida, forneça um e-mail de usuário existente para verificar.

  2. Clique Verify , e veja se o resultado corresponde ao que você estava esperando.

    Um resultado bem-sucedido é o seguinte:

  3. Se os resultados forem o que você esperava, clique em OK para salvar o novo atributo personalizado.

    Mais tarde, se você quiser alterar o displayName, você pode inserir uma nova expressão de atributo


 

O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem:

Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário:

4

(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex.

Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário.

Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores).

5

Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:

  • departmentNumber
  • displayName
  • manager
  • title

Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário:

Visualizar as informações de contato de alguém

Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato .

Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub

6

Depois de fazer suas escolhas, clique em Aplicar .

Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.


 

Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.

Ativos do Active Directory e da nuvem

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .

Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.

Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.

Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.


 

Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

Nomes de atributos do Active Directory

Nomes de atributos do Webex Cloud

Notas

buildingName

c

c

Esse atributo especifica a abreviatura do país do usuário.

número de departamento

número de departamento

Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas .

displayName

displayName

Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas .

userAccountControl

ds-pwp-account-disabled

Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente.

EmployeeNumber

EmployeeNumber

ileileTelephoneNumber

ileileTelephoneNumber

jabberID

Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses.

l

l

Esse atributo especifica a cidade do usuário.

localidade

manager

manager

Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas .

móvel

móvel

Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato .

o

o

Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato .

ocê

ocê

Esse atributo especifica o nome da unidade organizacional.

Entrega física OfficeName

Entrega física OfficeName

Esse atributo especifica o local do escritório do usuário.

Postalcode

Postalcode

Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico.

Idioma preferido

Idioma preferido

Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_EUA, en_ GB, fr-CA.

Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização.

MSRTCSIP-PrimaryUserAddress

ipPhone

SipAddresses;type=enterprise

Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex.

sn

sn

Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas .

st.

st.

Este atributo especifica o estado ou a província do usuário.

Streetaddress

rua

Esse atributo especifica o endereço do usuário para entrega de correio físico.

Telephonenumber

Telephonenumber

Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato .

fuso horário

Este atributo em nuvem especifica o fuso horário do usuário.

cargo

cargo

Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas .

tipo

empresa

*e-mail

*userPrincipalName

UID

Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem.

Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor.

Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo.

*userPrincipalName

*e-mail

<custom attribute="">

e-mails;tipo de trabalho

Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

<New attribute="" for="" Azure="" user="" objectId="">

ID externa

Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente.

Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex .

Mapeamento de endereço de e-mail alternativo

Expressões para atributos personalizados

Tabela 5. Expressões para atributos personalizados

Operador

Descrição e exemplo

%

Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.

Exemplo de expressão
"abc@example.com" % "@"
Resultado
example.com

-

Tira a parte de trás da string de entrada do final da string especificada.

Exemplo de expressão
"abc@example.com" - "@"
Resultado
abc

+

Concatena sequências de entrada ou expressões.

Exemplo de expressão
"abc" + "" + "def"
Resultado
abc def

|

Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.

Exemplo de expressão
"" | "abc"
Resultado
abc

Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem.

3

Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário .

O avatar aparece à direita.

4

Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações.

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar avatares de diretório de um servidor de recursos para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.

Antes de você começar

  • O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.

  • O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.

  • A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do avatar —Por exemplo, http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}.jpg

Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:

  • http://www.example.com/dir/photo/zoom/—O caminho para onde todas as fotos que serão sincronizadas está localizado. Tem que ser uma URL que o serviço Conector de diretórios em seu servidor deve ser capaz de alcançar.
  • mail:—Conector de diretório diz para obter o valor do atributo de correio do Active Directory
  • .*?(?=@.*) —Uma sintaxe regex que executa estas funções:
    • .*— Qualquer personagem, repetindo zero ou mais vezes.

    • ?— Diz à variável anterior para corresponder aos poucos caracteres possíveis.

    • (?= ... )—Corresponde a um grupo após a expressão principal sem incluí-lo no resultado. O Conector de diretórios procura uma correspondência e não a inclui na saída.

    • @.*— O símbolo, seguido por qualquer caractere, repetindo zero ou mais vezes.

  • .jpg — A extensão do arquivo para os avatares de seus usuários. Consulte os tipos de arquivo suportados neste documento e altere o ramal de acordo.
3

(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha.

4

Insira o Valor da variável —Por exemplo: abcd@example.com.

5

Clique em Test para garantir que o padrão de URI do avatar funcione corretamente.

Neste exemplo, se o valor de correio de uma entrada AD for abcd@example.com e imagens jpg estavam sendo sincronizadas, o URI final do avatar é http://www.example.com/dir/photo/zoom/abcd.jpg

6

Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar .

Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft .

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).

1

No Conector de diretórios, vá para Sincronizar , clique em maisAo lado de um domínio sincronizado, clique em Config e escolha Seleção de objeto .

2

Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização.

Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário.

3

Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise .


 

Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile("^([^@])(.*)@(.*)$")

  • Escolha MSRTCSIP-PrimaryUserAddress se disponível.
  • Se você não tiver o atributo acima no esquema do Active Directory, use outro campo, como ipPhone .
4

Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas.

5

De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip:

6

Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector.

Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas .

Os resultados da simulação mostram todos os recursos de sala que foram correspondidos.

Resultados da simulação do Conector de diretório que mostram objetos correspondentes

Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem.

Painel do conector de diretórios destacando a janela de estatísticas em nuvem. As estatísticas em nuvem incluem usuários, grupos, salas e contatos.

O que fazer em seguida

Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.

No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.


 

O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.

Enviar relatórios de e-mail nos resultados da sincronização de diretórios

Por padrão, os contatos ou administradores da organização sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.

1

No Conector de diretórios, clique em Configuração e escolha Notificação .

2

No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório .

3

Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail.

4

Clique em Adicionar e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

5

Clique em Adicionar e-mail e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

6

Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias.

7

Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar .

8

Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar .

O que fazer em seguida

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.

Provisionar Usuários Do Active Directory Para O Control Hub

Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

1

Fazer uma sincronização de execução seca em seus usuários do Active Directory

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

2

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

3

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial.

Fazer uma sincronização de execução seca em seus usuários do Active Directory

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.

Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.

Antes de você começar

Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.

1

Escolha uma das opções:

  • Após iniciar a sessão pela primeira vez, clique em Sim no aviso para executar uma simulação.
  • Se você perder um lembrete para executar uma simulação, a qualquer momento no Conector de diretórios, clique em Dashboard , escolha Sync Dry Run e, em seguida, clique em OK para iniciar uma sincronização de simulação.

Quando a simulação for concluída, você verá um dos seguintes resultados:

  • Objetos incompatíveis detectados no Conector de diretórios

  • Resumo dos resultados do relatório de execução seca e objetos incompatíveis no Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

O Resumo contém informações sobre a correspondência de objetos:

  • Objetos correspondentes - Um usuário que está no Webex Common Identity e também existe no domínio do Active Directory, ou seja, se someuser@cisco.com foi sincronizado com o Webex e exibido no Control Hub e o mesmo usuário (someuser@cisco.com) existe no Active Directory. Isso significa que o usuário foi correspondido.

  • Objetos incompatíveis - Um usuário que está no Webex, não importa como o usuário foi adicionado na Common Identity, mas o usuário não existe no Active Directory. É chamado de Objeto Incompatível. Por exemplo, se someuser@cisco.com foi sincronizado no Webex e exibido no Control Hub, mas o mesmo usuário (someuser@cisco.com) não for gerenciado pelo Active Directory, o relatório mostrará que o usuário é incompatível.

A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local.

2

Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:

  • Domínio único —Decida se você deseja manter os usuários incompatíveis. Se você quiser mantê-los, escolha Não, reter objetos ; se você não quiser, escolha Sim, excluir objetos . Depois de executar essas etapas e executar manualmente uma sincronização completa para que haja uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilita automaticamente as tarefas agendadas de sincronização automática.
  • Vários domínios —Para uma organização com o Domínio A e o Domínio B, primeiro faça uma simulação do Domínio A. Se você quiser manter usuários incompatíveis, escolha Não, retenha objetos . (Esses usuários incompatíveis podem ser membros do Domínio B.) Se você deseja excluir, escolha Sim, exclua objetos .

    Se você mantiver os usuários, execute uma sincronização completa para o Domínio A primeiro e, em seguida, execute uma simulação para o Domínio B. Se ainda houver usuários inigualáveis, adicione esses usuários no Active Directory e faça uma sincronização completa para o Domínio B. Quando houver uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilitará automaticamente as tarefas agendadas de sincronização automática.

3

No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados.

Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched .

Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail.

Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo .

4

Se os resultados forem esperados, vá para Ações > Modo de sincronização > Ativar sincronização e, em seguida, clique em Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto.


 

Depois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais.

O que fazer em seguida

  • Para qualquer objeto de usuário incompatível que você reteve, você deve adicioná-lo ao Active Directory para que haja uma correspondência exata entre o local e a nuvem.

  • Escolha um tipo de sincronização:

    • Faça uma sincronização completa dos usuários do Active Directory na nuvem para quando você sincronizar novos usuários pela primeira vez na nuvem. Você faz isso de Actions > Sync Now > Full , e então os usuários do domínio atual são sincronizados.

    • Defina a Agenda do conector e Execute uma sincronização incremental depois de executar uma sincronização completa e se desejar continuar as alterações após a sincronização inicial. Este tipo de sincronização é recomendado para captar pequenas alterações feitas na fonte de usuário do Active Directory.

      Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa.

  • Se você tiver vários domínios, repita essas etapas em qualquer outro Conector de diretório que tenha instalado.

Coisas a se manter em mente

  • Execute uma simulação antes de ativar a sincronização completa ou ao alterar os parâmetros da sincronização. Se a simulação tiver sido iniciada por uma alteração de configuração, você poderá salvar as configurações depois que a simulação for concluída. Se você já tiver adicionado usuários manualmente, executar uma sincronização do Active Directory pode fazer com que usuários adicionados anteriormente sejam removidos. Você pode verificar os relatórios de execução a seco do Conector de diretórios para verificar se todos os usuários esperados estão presentes antes de sincronizar totalmente com a nuvem.

  • Se os usuários correspondentes estiverem marcados para serem excluídos e você não tiver certeza de como continuar, consulte as informações de solução de problemas e como entrar em contato com o suporte em Solução de problemas e correções do Conector de diretórios .


     

    Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.

O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.

Antes de você começar

  • Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:

  • Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.


     

    Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.

1

Escolha uma das opções:

  • Após iniciar a sessão pela primeira vez, se a simulação estiver concluída e estiver correta para todos os domínios, clique em Ativar agora para permitir que a sincronização automática ocorra.
  • No Conector de diretórios, vá para Painel , clique em Ações , escolha Modo de sincronização > Ativar sincronização e clique em Sincronizar agora > Completo para iniciar a sincronização.
2

No Conector de diretórios, vá para Sincronizar , clique em maisAo lado de um domínio sincronizado, clique em Config e escolha Sincronização completa .

3

Confirme o início da sincronização.

Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização.


 

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Última sincronização e Estatísticas de nuvem são atualizadas com as novas informações. Os dados do usuário são sincronizados com a nuvem.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .)

5

Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

6

Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental .

  • Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.

  • Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.

  • A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.

  • Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.

  • Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.

  • Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.

  • Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.

O que fazer em seguida

  • Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário torna-se Inactive mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).

    Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inactive após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.

  • Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):

    • No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.

    • As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.

Antes de você começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Execute uma sincronização de simulação nos usuários do Active Directory.

  • Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.


 

No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Usuários, clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo...

2

Escolha uma opção:

O que fazer em seguida

  • Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.

  • Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.

Problemas conhecidos com o Conector de diretórios

  • As versões do Windows Server antes de 2012 R2 têm um problema de cookie que afeta o Conector de diretórios. Esse problema foi corrigido nas versões 2012 R2 e 2016 .

  • Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.

    Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Quando um usuário usa o aplicativo Webex no desktop ou celular para pesquisar e ligar para uma Sala que tem apenas um SIP URI sincronizado, a chamada toca indefinidamente neste momento.

Gerenciar usuários do aplicativo Webex

Executar uma sincronização incremental

Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.

Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.

Antes de você começar

1

No Conector de diretórios, clique em Painel .


 

Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro.

2

Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora.

3

Em Ações , clique em Sincronizar agora > Incremental .

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.


 

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Última sincronização e Estatísticas de nuvem são atualizadas com as novas informações.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

O que fazer em seguida

Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.

Recuperar usuários excluídos acidentalmente

O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, acidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.

Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.


 

Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.

Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.

1

Inicie sessão no Control Hub.

2

Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada.

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

3

Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios.

O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem.

4

Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub.

Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço.

O que fazer em seguida

Retornar ao Control Hub, vá para Management > Users , e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.

Excluir usuários permanentemente após a exclusão suave

Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.

1

Após a conclusão de uma simulação, selecione Objetos excluídos por software .

2

Marque a caixa de seleção ao lado dos usuários que você deseja excluir.

3

Selecione Concluído.

O que fazer em seguida

Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.

Alterar um endereço de e-mail do aplicativo Webex

Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.


 

Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.

  • Para alterar os endereços de e-mail do usuário sem alterar o domínio:

    1. Abra a conta de usuário (exemplo, user1@example.com) no Active Directory e altere o endereço de e-mail (exemplo, user2@example.com).

    2. Retome a sincronização no Conector de diretórios.

      Após a próxima sincronização, as alterações aparecem na sua lista de usuários no Control Hub e para os usuários no aplicativo Webex após a atualização do cache.


       

      Não há perda de dados ou espaços usando este método. O identificador exclusivo do usuário é definido na nuvem após a primeira sincronização. Todas as sincronizações subsequentes são baseadas neste identificador.

  • Em uma implantação de vários domínios com o Conector de diretórios, altere os endereços de e-mail do usuário ao alterar o domínio (considere example1.com o domínio antigo e example2.com o novo domínio):

    1. Para a conta de usuário antiga (user1@example1.com), observe o atributo Active Directory que mapeia para o uid atributo em nuvem. Você precisa usar este mesmo valor do Active Directory para a nova conta. Para este exemplo, usaremos user1@example1.com como atributo local a ser mapeado para uid na nuvem.

    2. Pause a sincronização nos domínios do Directory Connector, por exemplo1.com e example2.com.

    3. Crie uma nova conta de usuário no example2.com e use o mesmo atributo acima. (Por exemplo, user1@example1.com).

    4. No Conector de diretórios, retome a sincronização, por exemplo2.com

      Antes de continuar, verifique se a conta user1@example2.com é sincronizada no Control Hub. Recomendamos que você instrua o usuário a verificar a alteração de e-mail no aplicativo Webex e que todos os dados (espaços, mensagens, reuniões, arquivos e assim por diante) sejam mantidos.


       

      Não há perda de dados ou espaços usando esse método, mas na nova conta de usuário, você deve garantir que o atributo Active Directory que mapeia o atributo uid em nuvem seja preservado da conta de usuário antiga. Se você alterar o valor do Active Directory, a nova conta não reterá os dados da conta antiga.

    5. Depois de verificar a alteração do endereço de e-mail e os dados estão intactos, exclua a conta de usuário antiga no example1.com e, em seguida, use o Conector de diretórios para retomar a sincronização, por exemplo1.com.


       
      Neste ponto, você pode atualizar com segurança o endereço de e-mail no novo domínio do Active Directory para user1@example2.com.

O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .

Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.

Alterar o domínio do Active Directory

Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.

1

Configure um novo domínio do Active Directory (AD).

2

Desative as sincronizações em todos os seus conectores.

3

Desinstale todos os seus conectores.

4

Abra um caso para alterar o domínio .

No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização.


 

Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido.

5

Depois que o caso for resolvido:

  1. Instale o Conector de diretórios no mesmo servidor que o do novo domínio do Active Directory.

  2. Configure o Conector de diretórios para que seu ponto para o novo domínio do Active Directory.

    Se houver usuários existentes no Control Hub ( https://admin.webex.com), certifique-se de que os usuários com endereços de e-mail correspondentes também estejam presentes no Active Directory. Se sua organização tiver desativado o softDelete alterne no DirSync, os endereços de e-mail do usuário que estão no Control Hub, mas não na exclusão de risco do Active Directory.

Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real.

Reivindicação de domínio

Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).

Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.

Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório

Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários ao Active Directory com o endereço de e-mail exato e, em seguida, sincroniza com a nuvem.

Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.

Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro <email address=""> não poderá ser convertida será exibida. Para evitar o problema, você pode usar essas etapas como uma solução alternativa.


 

Alguns usuários reivindicados podem aparecer com o movedfrom atributo ao fazer uma simulação. Esses usuários estarão no Deleted Object lista em vez de MismatchedObject. Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.

Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.

1

Desative a sincronização de diretório do Conector de diretórios.

2

Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa.

Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de relar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes.

3

No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos.


 

Você deve fazer uma simulação antes de reativar a sincronização para garantir que todas as contas de usuário convertidas apareçam no Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com).

Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex.

4

Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios.

As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.

Contas de usuários do aplicativo Webex embarcadas

Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.

Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .

Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório

Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.

Depois de executar uma sincronização de diretório, você poderá encontrar os nomes de usuário exibidos no formato <lastName, firstName="">.

Este nome de usuário pode aparecer se o displayName o atributo no Active Directory é configurado dessa forma. Quando o atributo é mapeado para displayName na nuvem, os nomes aparecem no formato <lastName, firstName=""> no Control Hub.

Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapear o atributo do Active Directory givenName sn(ou sn givenName) para displayName nos nomes de atributos da Nuvem Cisco.

Como alternativa, mapeie o atributo sn givenName para displayName:

Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizada para displayName.

Por exemplo, insira givenName + "" + sn(nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName na nuvem.

Permitir que os usuários alterem nomes de exibição no Webex Meetings

Você pode desmapear o displayName atributo da sincronização para a nuvem no Conector de diretórios, se você quiser permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

2

Selecione displayName sob Nome do atributo da Cisco Cloud .

3

Selecione Não sincronizar este atributo .

O que fazer em seguida

Os usuários agora podem editar seus nomes de exibição no site Webex .

Solução de problemas do conector de diretório

Atualizar para a versão mais recente do software

Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .

O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.


 

Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.

1

Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização.

2

Siga as instruções para concluir a atualização.

3

Reinicie o conector e inicie sessão com suas credenciais de administrador.

4

Verifique o número da versão do software em Ajuda > Sobre .

O que fazer em seguida

Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.

Definir configurações gerais para o conector de diretórios

Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.

1

No Conector de diretórios, vá para Configuração e clique em Geral .

2

No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector.

3

Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:

  • Info (Padrão) — Mostra mensagens informativas que destacam o progresso do aplicativo em um nível elevado. Use esta configuração se desejar receber relatórios depois de todas as sincronizações completas.

  • Avisar — Mostra situações potencialmente prejudiciais.

  • Depurar —Mostra eventos informativos detalhados que são mais úteis para depurar um aplicativo. Quando você vir qualquer problema, defina esse nível de registro e envie o registro de eventos para suporte ao abrir um caso.

  • Erro —Mostra eventos de erro que ainda podem permitir que o aplicativo continue em execução. Quando você escolher esta opção, os relatórios de sincronização serão enviados apenas quando os erros forem relatados.


 

Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações, então você receberá relatórios de sincronização após a sincronização completa. (Lembre-se de que para sincronização incremental, nenhum relatório será enviado quando nenhum erro for relatado.)

4

Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades.

Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário.

5

Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram.

É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

6

Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão.


 

Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP.

LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

Configurar a política do conector

Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.

Por exemplo, você definiu 1 como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.

1

No Conector de diretórios, clique em Configuração e escolha Política .

2

Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite.

A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
3

Insira o número máximo de exclusões que você deseja. A predefinição é 20.


 

Recomendamos que você não aumente o valor padrão.

4

Clique em Aplicar.

Definir a agenda do conector

Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.

1

No Conector de diretórios, clique em Configuração e escolha Agendar .

2

Especifique o Intervalo de sincronização incremental em minutos.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa.

3

Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados.

4

Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra.

5

Especifique o Intervalo de failover em minutos.

6

Clique em Aplicar.

Vários cenários de domínio

Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.

Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.

O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .

Exemplo de caso de uso para vários domínios

Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.

  • Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.

  • Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.

  • Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.

  • Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.

Sincronização no exemplo1.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.

O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.

Sincronização em example1.com e example2.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Considere estas etapas:

  1. Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
  2. Faça uma sincronização completa ou incremental, por exemplo1.com.

    Resultado: As informações do usuário não são alteradas em https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.

  3. Faça uma sincronização incremental, por exemplo2.com.

    Resultado: As informações do usuário não são alteradas em https://admin.webex.com.

  4. Faça uma sincronização completa, por exemplo2.com.

    Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.

Sincronizar um novo domínio E Preservar um domínio existente

Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.

Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).

Definir a prioridade do domínio

Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.

Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.

Antes de você começar

Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo de https://admin.webex.com.

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Definir prioridade de domínio .

3

Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração.


 

Os domínios são classificados por prioridade de cima para baixo.

Alternar domínios

Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.

Antes de você começar

  • Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.

  • Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Alternar domínio .

3

Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim .

Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas.

4

Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio.

Desativar a sincronização do diretório

Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Sincronização de diretório e escolha uma opção:

  • Clique em maise, em seguida, clique em Desativar ao lado da instância do conector que deseja desativar.
  • Clique em Desativar todas as sincronizações de diretório para interromper a sincronização de todas as instâncias do conector.
2

Depois de ler o aviso, clique em Desativar .

A sincronização para até que você a reative no Conector de diretórios.

Remover o mapeamento de atributos do usuário

Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Remover o mapeamento de atributos do usuário .

3

Selecione o mapeamento a ser removido da lista Attribute Name .

4

Em Escopo de usuário afetado , selecione uma das seguintes opções:

  • Somente usuários sincronizados pelo Conector de diretórios : o mapeamento será removido apenas dos usuários que o Conector de diretórios sincronizou anteriormente.
  • Todos os usuários : o mapeamento será removido de todos os usuários do Active Directory.
5

Clique em Aplicar.

Gerenciar fotos de perfil

Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Gerenciar imagens de perfil .

3

Em Ações , selecione uma das seguintes opções:

  • Remova as imagens de perfil das fontes de avatar vazias : se a imagem de perfil do Active Directory estiver em branco, essa opção garantirá que as imagens de perfil do usuário sejam removidas da nuvem, mesmo que o usuário tenha carregado anteriormente sua própria imagem no Webex.
  • Faça o upload novamente da fonte sincronizada para substituir as imagens armazenadas em cache : O Conector de diretórios usa o mesmo Active Directory que o anterior para atualizar as imagens de perfil de todos os usuários. Isso garante que não haja incompatibilidade entre as imagens de perfil no Active Directory e na nuvem.
4

Clique em Aplicar.

Desinstalar e desativar o Conector de diretórios

Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:

  • Você não deseja mais usar a sincronização de diretório.

  • Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).

  • Você deseja alterar o domínio e instalar outro conector.

Antes de você começar

  • Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.

  • Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.

1

Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos .

2

Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções.

Você pode ter que reinicializar o sistema para concluir a desinstalação.

3

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Sincronização de diretório , clique em maise clique em Desativar ao lado da instância do conector de diretório que você deseja desinstalar.

4

Depois de ler o aviso, clique em Desativar .

A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas.

Executar a ferramenta de diagnóstico

Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.

Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o LDAP para que você mesmo possa diagnosticar os erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.

  • Para executar testes para os serviços de domínio do Active Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-DS , insira seu Domain e clique em Carregar controladores de domínio .

    2. Escolha um Controlador de domínio na lista.

      Não altere a entrada mais tarde, pois a pesquisa incremental deve sempre ser executada no mesmo Controlador de domínio.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como os objetos Users e Group e os filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para os serviços Active Directory Lightweight Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-LDS , insira Organizador e Porta e clique em Partições de carga .

    2. Escolha uma Partição na lista e clique em Connect .

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como User , UserProxy , e UserProxyFull e filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para o LDAP (Lightweight Directory Access Protocol):

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique no LDAP RAW guia, insira seu Root Path , Filter e escolha uma entrada de Atributos e clique em Load Partitions .

    2. Verifique as seguintes opções conforme necessário:

      • ObjectSecurity —Se esta opção estiver presente, o chamador não exigirá direitos e poderá ver apenas objetos e atributos acessíveis ao chamador. Se essa opção não estiver presente, o chamador terá o direito de replicar as alterações.

      • ParentsFirst — Garante que todos os pais das crianças venham antes de seus filhos.

    3. Escolha um valor para ExtendedDN .

      Esse valor é usado com uma pesquisa LDAP estendida para solicitar uma forma estendida de nome diferenciado de objeto.

    4. Escolha um valor para ReferralChasing .

      Uma busca de referência é iniciada quando um controlador de domínio retorna uma indicação de uma consulta - por exemplo, para detalhes de um resultado de consulta que pode estar fora do namespace (como membros do grupo em outro domínio ou floresta).

    5. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    6. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

Solucionar problemas no Ciso Directory Connector

Solução de problemas e correções para o conector de diretórios

Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.

Instalar

O conector de diretório parou de funcionar

Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.

  • O Conector de diretórios pode não estar instalado corretamente.

  • O Conector de diretórios pode não estar em execução.

  • A rede pode não estar disponível.

Tente o seguinte:

  • Abrir Painel de controle > Programas e recursos . Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a.

  • Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.

  • Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.

Erro de reinstalação

Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.

Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.

Solução —Após algum tempo passar, tente a instalação novamente.

Iniciar sessão

O Conector de diretórios falha durante o início de sessão do SSO

Problema

O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.

Solução

Tente o seguinte:

Execute estas etapas para configurar uma nova política de grupo:

  1. Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).

  2. Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…

  3. Dê um nome à política, clique com o botão direito do mouse e escolha Edit .

Execute estas etapas para alterar a política no nível da máquina:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Disable Script Debugger para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

Execute estas etapas para alterar a política no nível do usuário:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Disable Script Debugger para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:


 

As alterações entram em vigor após a execução gpupdate /force, a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).

O Conector do serviço Cisco DirSync não pôde ser registrado

Problema

Falha ao iniciar sessão e esta mensagem é exibida: "O conector do serviço Cisco DirSync não pôde ser registrado."

Solução

O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.

Nenhuma página de logon é exibida

Problema

Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.

Solução

Tente as seguintes etapas:

  1. No Internet Explorer, vá para https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.

  2. Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)

O aviso de início de sessão é exibido

Problema

Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.

Causas possíveis

O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.

Solução

Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.

Não foi possível conectar-se ao servidor remoto

Problema

Durante a operação normal, a mensagem de erro é exibida: "Não foi possível conectar ao servidor remoto."

Causas possíveis

Você pode ter problemas de proxy que precisam ser resolvidos.

Solução

Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.

Não foi possível registrar o conector

Problema

Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."

Causas possíveis

Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.

Solução

Tente o seguinte:

  1. Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .

  2. Clique Connection > Bind , escolha Bind como atualmente conectado ao usuário , e clique em OK .

  3. Clique View > Tree , insira DC=arbonneintl,DC=ad como BaseDN e clique em OK .

  4. Se o problema persistir, abra um caso com o suporte .

Sincronização

Avatares não sincronizados

Problema

O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.

Causas possíveis

Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.

Solução

Exclua o cache local seguindo estas etapas:

  1. Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\

  2. Excluir DirSyncPluginAvatar.dll-cache.bin .

  3. Execute novamente a sincronização do avatar do conector de diretórios da Cisco.

Conflitas de e-mail do usuário em conflito

Problema

Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.

  • Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.

  • Se os e-mails dos usuários já foram sincronizados em outra organização.

  • Se os e-mails do usuário existirem em vários domínios que pertencem à organização.

Solução

Tente o seguinte:

  • Siga estas etapas se estiver tentando reivindicar usuários:

    1. Certifique-se de ter verificado o domínio no Control Hub .

    2. Desative temporariamente o Conector de diretórios da Cisco.

    3. Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.

    4. Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório

  • Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.

Usuário convertido marcado como inativo

Problema

No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.

Causas possíveis

Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.

Solução

Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.

Falha na sincronização incremental

Problema

Uma sincronização incremental falha.

Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:

  • Você oferece suporte a atualizações de valor incremental.

  • O filtro que você usa faz referência a um atributo de valor vinculado.

  • Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.

Solução

O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.

Valor inválido para o atributo

Problema

Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].

Causas possíveis

Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.

Solução

Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.

Usuários correspondentes a serem excluídos

Problema

Os usuários correspondentes são marcados para serem excluídos.

Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.

Solução

Escolha uma correção apropriada:

  • Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.

  • Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .

Atributo ausente

Problema

O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.

Causas possíveis

O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.

Solução

Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.

O grupo aninhado não sincronizará

Problema

Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.

Causas possíveis

É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)

Solução

Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)

Conflito de nomeação do usuário

Problema

Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].

Causas possíveis

Um usuário com esse endereço de e-mail já existe no Control Hub.

Solução

Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.

Control Hub

Lista de usuários ausente no Control Hub

Problema

Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.

Solução

Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.

Os grupos não serão sincronizados com o Control Hub

Problema

Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.

Causas possíveis

O grupo não está marcado como isCriticalSystemObject no Active Directory.

Solução

Certifique-se de que esse atributo isCriticalSystemObject está definido como TRUE no Active Directory.

Ativar solução de problemas para o Conector de diretórios

Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego da rede e salvá-las em um arquivo.

Os arquivos de log que são: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

Execute o services.msc arquivo para alterar a conta em execução do serviço do Conector de diretórios do Sistema Local para uma conta de domínio com privilégios para acessar seu AD DS ou AD LDS.

2

Reinicie o serviço.

Consulte Como iniciar serviços para obter orientação.

3

No Conector de diretórios, clique em Painel .

4

Vá para Ações e clique em Utilitários > Solução de problemas .

5

Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados.

6

Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS.


 

A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema.

7

Se necessário, envie o arquivo de registro para suporte para assistência.

8

Desative o recurso de solução de problemas quando terminar.

Iniciar o visualizador de eventos

Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.

1

No Conector de diretórios, vá para Painel e clique em Ação > Iniciar visualizador de eventos .

A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro.

2

No Visualizador de eventos, vá para Registros de aplicativos e serviços > Conector de diretórios da Cisco.

3

Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv.

O que fazer em seguida

Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.


 

Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.

Ativar TLS no Internet Explorer

Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:

  • Ocorreu um erro ao fazer logon no serviço

  • Ocorreu um erro no script nesta página

Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.

1

Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente

2

Clique em Opções da Internet , vá para Avançado , role até a Segurança .

3

Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK .

4

Reinicie o sistema para que as alterações tenham efeito.

Solucionar problemas de início de sessão da conta de serviço

Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.

1

Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web.

2

Escolha um, dependendo dos resultados:

  • Se você não puder visitar o link do navegador, verifique as configurações de rede. Se seu ambiente usar proxy, verifique as configurações de proxy.
  • Se você puder visitar o link do seu navegador, mas não puder abrir o conector de diretórios da Cisco ( Não é possível abrir o conector e aparecer uma mensagem de erro com 407 ), clique aqui para obter a versão mais recente do conector de diretórios da Cisco.
  • Se você puder visitar o link do seu navegador, mas não puder executar uma sincronização do conector de diretórios da Cisco, altere a conta de logon do serviço para admin do domínio .

     

    Verifique se a conta que você usou para iniciar sessão no sistema Windows é a mesma conta que você definiu no "Serviço Cisco DirSync". Se eles são 2 contas diferentes, certifique-se de que ambas as contas podem visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Se seu ambiente usar proxy, certifique-se de que ambas as contas estejam configuradas para proxy no Internet Explorer e possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL com êxito.

3

No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de você começar


 

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Visão geral do conector de diretórios da Cisco

Visão geral do conector de diretórios

O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.

Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.

Veja todos os recursos, descrições e benefícios na tabela:

RecursoDescrição e benefício
Painel fácil de usar O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão.
Simulação antes de sincronizar com a nuvem Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera.
Sincronização completa e incremental Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização.

Sincronizar vários domínios (floresta única ou várias florestas)

O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade.

Sincronização agendada Defina uma agenda de sincronização por dia, hora e minuto.
Filtros LDAP (Lightweight Directory Access Protocol) Defina critérios de pesquisa LDAP e forneça importações eficientes.
mapeamento de atributos do Active Directory Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante).

Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex

Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.

Recursos da sala
Após sincronizar as informações da sala, os dispositivos de sala do local com um endereço SIP configurado e mapeado, aparece como entrada pesquisável em dispositivos de sala registrados em nuvem, como um dispositivo de Cisco Webex Room ou Cisco Webex Board.

Quando os usuários fizerem uma pesquisa em um dispositivo Cisco Webex Room ou Cisco Webex Board, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando fizerem uma chamada do dispositivo Webex nessa entrada, uma chamada será feita para o endereço SIP que foi configurado para a sala.

Ligando
Os usuários podem fazer chamadas para contatos corporativos, além dos contatos do aplicativo Webex. Por meio do Conector de diretórios, os usuários corporativos e seus números de telefone são adicionados à sua organização Webex. Eles não precisam ser licenciados para que os serviços Webex para esse recurso funcionem.

Os usuários que não são licenciados para o Webex aparecerão na pesquisa de diretório executada de um telefone de usuário do Cisco Webex Calling, desde que haja um URI ou um número de telefone sincronizado com o Webex por meio do Conector de diretórios. A funcionalidade de chamada tem o mesmo comportamento para ambos os tipos de usuários. Esse recurso também fornece a funcionalidade de edição de discagem para contatos com apenas números de telefone.

No resultado da pesquisa de contatos:

  • Se os contatos tiverem um URI discável (endereço SIP Webex) e um número de telefone, o URI assocoiated com o contato será exibido.

  • Se os contatos não tiverem um URI discável, mas tiverem um número de telefone, o número de telefone será mostrado. Eles também têm uma tecla programável Editar discagem.

  • Se os contatos não tiverem nenhum dos dois, eles não serão mostrados no diretório.

visualizador de Eventos Use o visualizador de eventos para determinar se houve algum problema com a sincronização.
Ferramenta de diagnóstico e solução de problemas Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte.

Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico.

Atualização automática Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada.
Alta disponibilidade Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia.

O Conector de diretórios é dividido em três áreas:

  • Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.

  • Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.

  • Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.

Consulte este diagrama para entender a arquitetura do Conector de diretórios:

Arquitetura para Conector de diretórios

Preparar seu ambiente para o conector de diretórios

Requisitos do conector de diretórios

Requisitos do Windows e do Active Directory

Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .

O Conector de diretórios é compatível com os seguintes serviços do Active Directory:

  • Active Directory 2016

    (O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)

  • Active Directory 2012

  • Active Directory 2008 R2

  • Active Directory 2008

Observe os seguintes requisitos adicionais:

Requisitos de hardware

Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:

  • 8 GB de RAM

  • 50 GB de armazenamento

  • Nenhum mínimo para a CPU

Requisitos de rede

Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.

Requisitos da organização Webex

  • Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.

  • (Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

Requisitos de instalação

  • Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).

  • Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.

    Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .

  • Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.

Vários requisitos de domínio

Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:

  • Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.

  • O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.

  • Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)

  • Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.

  • Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)

Recomendações do grupo Active Directory para atribuição automática de licenças

Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.

Existem dois tipos de grupos no Active Directory:​

  • Grupos de distribuição —Usados para criar listas de distribuição por e-mail.​

  • Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.

Considere as seguintes diretrizes ao criar grupos no Active Directory:

  • Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).​

  • Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.​

  • Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.

  • Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.

Informações de Dimensionamento

O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.

Alguns fatores podem afetar a velocidade da sincronização:

  • O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)

  • Velocidade da rede e largura de banda.

  • Carga de trabalho do sistema e especificações.

Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.

Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Integração de proxy da web

Integração de proxy da web

Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.

Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.

Você pode fazer uma dessas abordagens:

  • Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)

  • Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)

  • Proxy transparente que funciona com o conector sem alterações

Usar um proxy da web por meio do navegador

Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.

Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.

1

No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN .

2

Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web.

3

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

4

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Configurar o proxy da web por meio de um arquivo PAC

Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.

1

Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para cloudconnector.webex.com na configuração do arquivo .pac para o host onde o conector está instalado.

2

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

3

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Proxy NTLM

O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.

Design NTLM

Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.

Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge e Response :

  1. Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.

    Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.

  2. Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.

  3. Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.

  4. Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.

  5. O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.

O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.

Configurar proxy transparente

Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.

1

Implante um proxy transparente para que o conector possa conectar e sincronizar usuários.

2

Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector.

Definir autenticação de proxy

Adicione a URL cloudconnector.webex.com à sua lista de permissões criando uma lista de controle de acesso.

No servidor de firewall corporativo:

1

Ative a pesquisa DNS se ainda não estiver ativada.

2

Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário.

3

Crie uma lista de controle de acesso para aplicar ao host do conector e especifique cloudconnector.webex.com como o destino a ser adicionado à lista de permissões.

Por exemplo:

Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https
4

Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector.

5

Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada.

Implantar o conector de diretórios

Fluxo de tarefas de implantação do conector de diretório da Cisco

1

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

2

Iniciar Sessão No Conector De Diretórios

Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial.

3

Definir atualizações automáticas

É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

4

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

5

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid.

6

Sincronize avatares de diretório usando um dos seguintes procedimentos:

Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos.

7

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board

8

Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:

Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.

Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:

Fluxo de vários domínios para o conector de diretório

Antes de começar

Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador

  • Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .

1

No Control Hub , vá para Users > Gerenciar usuários > Habilite a sincronização de diretório e escolha Next .

2

Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows.

Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione.

Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

3

No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração.

4

Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta.

5

Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:

  • Sistema local —A opção padrão. Você pode usar esta opção se tiver um proxy configurado através do Internet Explorer.
  • Conta de domínio —Use esta opção se o computador fizer parte do domínio. O Conector de diretórios deve interagir com os serviços de rede para acessar recursos de domínio. Você pode inserir as informações da conta e clique em OK . Ao inserir o Nome de usuário , use o formato {domain}\{user_name}

    Para um proxy que se integra ao AD (NTLMv2 ou Kerberos), você deve usar a opção de conta de domínio. A conta usada para executar o Serviço do Conector de diretórios deve ter privilégio suficiente para passar o proxy e acessar o AD.

Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:

  • O servidor faz parte do domínio

  • A conta de domínio pode acessar os dados do AD e os dados de avatares locais. A conta também deve ter a função de administrador local, porque deve acessar os arquivos de acesso em C:\Program Files .

  • Para um logon da máquina virtual, o privilégio de conta de administrador deve pelo menos ser capaz de ler informações de domínio.

6

Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar .

O que fazer em seguida

Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.

Iniciar Sessão No Conector De Diretórios

Antes de começar

Certifique-se de ter suas credenciais de proxy.

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.

  • Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .

1

Abra o conector e adicione https://idbroker.webex.com à sua lista de sites confiáveis se você vir um aviso.

2

Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next .

3

Confirme sua organização e domínio.

  • Se você escolher AD DS , verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão, escolha o domínio do qual deseja sincronizar e clique em Confirmar .

    Se você não verificar LDAP sobre SSL , o DirSync continuará a usar o protocolo de conexão LDAP.

    LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

  • Se você escolher AD LDS , insira o host, o domínio e a porta e clique em Atualizar para carregar todas as partições de aplicativos. Em seguida, selecione a partição na lista suspensa e clique em Confirmar . Consulte a seção AD LDS para obter mais informações.

    No arquivo CloudConnectorCommon.dll config, certifique-se de adicionar a configuração ADAuthLevel ao appSetting nó. Os valores podem ser 1, 2 ou 3. Consulte este artigo da Microsoft para saber mais sobre AuthenticationTypes . Aqui está um exemplo da configuração com um valor de 1:

    <appSettings> <add key="ConnectorServiceURI" value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL"/> <add key="ADAuthLevel" value="1"/> </appSettings>
4

Depois que a tela Confirmar organização for exibida, clique em Confirmar .

Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida.

5

Clique em Confirmar .

6

Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:

  • Se você tiver um único domínio que é AD LDS , vincule-o à fonte AD LDS existente e clique em Confirmar .
  • Se você tiver um único domínio AD DS , vincule-o ao domínio existente ou a um novo domínio. Se você escolher Bind para um novo domínio , clique em Next .

    Como o tipo de origem existente é AD DS, você não pode selecionar AD LDS para a nova vinculação.

  • Se você tiver mais de um domínio, escolha um domínio existente na lista ou Vincular a um novo domínio e clique em Next .

    Como você tem mais de um domínio, o tipo de origem existente deve ser AD DS . Se você escolher Bind para um novo domínio e clicar em Next , você não poderá selecionar AD LDS para a nova vinculação.

O que fazer em seguida

Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.

Painel do conector de diretórios

Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.

Se a sua sessão expirar, inicie sessão novamente.

Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.

Tabela 1. Componentes do painel

Componente

Descrição

Sincronização atual

Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa.

Próxima sincronização

Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido.

Última sincronização

Exibe o status das duas últimas sincronizações executadas.

Status de sincronização atual

Exibe o status geral da sincronização.

Conectores

Exibe os conectores locais atuais que estão disponíveis para a nuvem.

Estatísticas da nuvem

Exibe o status geral da sincronização.

Agenda de sincronização

Exibe a agenda de sincronização para sincronização incremental e completa.

Resumo da configuração

Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
  • Todos os objetos serão sincronizados

  • Todos os usuários serão sincronizados

  • O limite excluído foi desativado.

Tabela 2. Barra de ferramentas de ações
AçãoDescrição
Iniciar sincronização incremental

Iniciar manualmente uma sincronização incremental

Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento.

Sincronizar execução seca

Execute uma sincronização de simulação.

Iniciar visualizador de eventos

Inicie o Microsoft Event Viewer.

Atualização

Atualizar o painel do conector de diretórios da Cisco

Tabela 3. Barra de menus de ações

Ação

Descrição

Sincronizar agora

Inicie uma sincronização completa instantaneamente.

Modo de sincronização

Selecione o modo de sincronização completa ou incremental.

Redefinir segredo do conector

Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente.

Simulação

Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa.

Solução de problemas

Ative/desative a solução de problemas.

Atualização

Atualize a tela principal do conector de diretórios da Cisco.

Sair

Saia do conector de diretórios da Cisco.

Tabela 4. Principais combinações

Combinação De Chave

Ação

Alt +A

Mostrar o menu Ações

Alt +A + S

Sincronização agora

Alt +A + R

Redefinir segredo do conector

Alt +A + D

Simulação seca

Alt +A + S + I

Sincronização incremental

Alt +A + S + F

Sincronização completa

Alt + H

Mostrar menu Help

Alt + H + H

Ajuda

Alt + H + A

Sobre

Alt + H + F

Perguntas frequentes

Definir atualizações automáticas

1

No Conector de diretórios, vá para Configuração > Geral e, em seguida, marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco .

2

Clique em Aplicar para salvar suas alterações.

Novas versões do conector são instaladas automaticamente quando estão disponíveis.

Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

Grupos para atribuição automática de licenças

O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.

Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:

(&(cn=Exemplo)(objectclass=Grupo))*

Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.

Tela de seleção de objeto no Conector de diretórios

Grupos para implantações de segurança de dados híbridos

No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.

1

No Conector de diretórios, vá para Configuração e clique em Seleção de objeto .

2

Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários.

Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

3

Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala.

Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud .

4

Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem.

Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem.

Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança.
5

Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem.

O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub.

6

Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP.

7

Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar.

8

Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar .

Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou.

Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs .

9

Clique em Aplicar .

Escolha uma opção:

  • Aplicar alterações de configuração

  • Simulação

  • Cancelar

Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory .

Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem .

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.

Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.

As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).

Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho.

2

Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :

  • mail — Usado pela maioria das implantações para o formato de e-mail.
  • userPrincipalName —Uma escolha alternativa se o atributo de correio for usado para outros fins no Active Directory. Este atributo deve estar no formato de e-mail.

Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios .

Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados.

3

Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo.

Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações.

Neste exemplo, vamos mapear os atributos do Active Directory givenName e Sn para o atributo displayName em nuvem:

  1. Defina a expressão do atributo como givenName + "" + Sn (as aspas sendo um espaço extra) e, em seguida, forneça um e-mail de usuário existente para verificar.

  2. Clique Verify , e veja se o resultado corresponde ao que você estava esperando.

    Um resultado bem-sucedido é o seguinte:

  3. Se os resultados forem o que você esperava, clique em OK para salvar o novo atributo personalizado.

    Mais tarde, se desejar alterar o displayName , você poderá inserir uma nova expressão de atributo

O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem:

Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário:

4

(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex.

Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário.

Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores).

5

Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:

  • número de departamento
  • nome de exibição
  • administrador
  • título

Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário:

Visualizar as informações de contato de alguém

Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato .

Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub

6

Depois de fazer suas escolhas, clique em Aplicar .

Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.

Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.

Ativos do Active Directory e da nuvem

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .

Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.

Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.

Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.

Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

Nomes de atributos do Active Directory

Nomes de atributos do Webex Cloud

Notas

buildingName

c

c

Esse atributo especifica a abreviatura do país do usuário.

número de departamento

número de departamento

Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas .

nome de exibição

nome de exibição

Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas .

userAccountControl

ds-pwp-account-disabled

Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente.

EmployeeNumber

EmployeeNumber

fasimileTelephoneNumber

fasimileTelephoneNumber

jabberID

Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses.

l

l

Esse atributo especifica a cidade do usuário.

localidade

administrador

administrador

Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas .

móvel

móvel

Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato .

o

o

Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato .

ou

ou

Esse atributo especifica o nome da unidade organizacional.

Entrega física OfficeName

Entrega física OfficeName

Esse atributo especifica o local do escritório do usuário.

Código postalCode

Código postalCode

Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico.

preferredLanguage

preferredLanguage

Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA.

Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização.

MSRTCSIP-PrimaryUserAddress

ipPhone

SipAddresses;type=enterprise

Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex.

sn

sn

Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas .

st.

st.

Este atributo especifica o estado ou a província do usuário.

streetAddress

rua

Esse atributo especifica o endereço do usuário para entrega de correio físico.

telefone

telefone

Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato .

fuso horário

Este atributo em nuvem especifica o fuso horário do usuário.

título

título

Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas .

tipo

empresa

*e-mail

*userPrincipalName

uid

Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem.

Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor.

Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo.

*userPrincipalName

*e-mail

<atributo personalizado>

e-mails;tipo de trabalho

Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

<Novo atributo para o usuário do Azure objectId>

externalId

Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente.

Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex .

Mapeamento de endereço de e-mail alternativo

Expressões para atributos personalizados

Tabela 5. Expressões para atributos personalizados

Operador

Descrição e exemplo

%

Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.

Exemplo de expressão
"abc@example.com" % "@"
Resultado
example.com

-

Tira a parte de trás da string de entrada do final da string especificada.

Exemplo de expressão
"abc@example.com" - "@"
Resultado
abc

+

Concatena sequências de entrada ou expressões.

Exemplo de expressão
"abc" + "" + "def"
Resultado
def abc

|

Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.

Exemplo de expressão
"" | "abc"
Resultado
abc

Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem.

3

Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário .

O avatar aparece à direita.

4

Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações.

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar avatares de diretório de um servidor de recursos para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.

Antes de começar

  • O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.

  • O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.

  • A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}. jpg

Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:

  • http://www.example.com/dir/photo/zoom/—O caminho para onde todas as fotos que serão sincronizadas está localizado. Tem que ser uma URL que o serviço Conector de diretórios em seu servidor deve ser capaz de alcançar.
  • mail:—Conector de diretório diz para obter o valor do atributo de correio do Active Directory
  • .*?(?=@.*) —Uma sintaxe regex que executa estas funções:
    • .*—Qualquer caractere, repetindo zero ou mais vezes.

    • ? — Diz à variável anterior para corresponder aos poucos caracteres possíveis.

    • (?= ... )—Corresponde a um grupo após a expressão principal sem incluí-lo no resultado. O Conector de diretórios procura uma correspondência e não a inclui na saída.

    • @.*—O símbolo a, seguido por qualquer caractere, repetindo zero ou mais vezes.

  • .jpg — A extensão do arquivo para os avatares de seus usuários. Consulte os tipos de arquivo suportados neste documento e altere o ramal de acordo.
3

(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha.

4

Insira o Valor da variável —Por exemplo: abcd@example.com .

5

Clique em Test para garantir que o padrão de URI do avatar funcione corretamente.

Neste exemplo, se o valor de correio de uma entrada AD é abcd@example.com e as imagens jpg estavam sendo sincronizadas, o URI Final Avatar é http://www.example.com/dir/photo/zoom/abcd.jpg

6

Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar .

Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft .

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).

1

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Seleção de objeto .

2

Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização.

Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário.

3

Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise .

Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")

  • Escolha MSRTCSIP-PrimaryUserAddress se disponível.
  • Se você não tiver o atributo acima no esquema do Active Directory, use outro campo, como ipPhone .
4

Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas.

5

De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip:

6

Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector.

Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas .

Os resultados da simulação mostram todos os recursos de sala que foram correspondidos.

Resultados da simulação do Conector de diretório que mostram objetos correspondentes

Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem.

Painel do conector de diretórios destacando a janela de estatísticas de nuvem. As estatísticas de nuvem incluem usuários, grupos, salas e contatos.

O que fazer em seguida

Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.

No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.

O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.

Enviar relatórios de e-mail nos resultados da sincronização de diretórios

Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.

1

No Conector de diretórios, clique em Configuração e escolha Notificação .

2

No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório .

3

Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail.

4

Clique em Adicionar e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

5

Clique em Adicionar e-mail e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

6

Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias.

7

Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar .

8

Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar .

O que fazer em seguida

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.

Provisionar Usuários Do Active Directory Para O Control Hub

Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

1

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

2

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

3

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial.

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.

Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.

Antes de começar

Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, clique em Sim no aviso para executar uma simulação.
  • Se você perder um lembrete para executar uma simulação, a qualquer momento no Conector de diretórios, clique em Dashboard , escolha Sync Dry Run e, em seguida, clique em OK para iniciar uma sincronização de simulação.

Quando a simulação for concluída, você verá um dos seguintes resultados:

  • Objetos incompatíveis detectados no Conector de diretórios

  • Resumo dos resultados do relatório de execução seca e objetos incompatíveis no Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

O Resumo contém informações sobre a correspondência de objetos:

  • Objects Matched - Um usuário que está no Webex Common Identity e também existe no domínio do Active Directory, ou seja, se someuser@cisco.com foi sincronizado com o Webex e exibido no Control Hub e o mesmo usuário (someuser@cisco.com) existe no Active Directory. Isso significa que o usuário foi correspondido.

  • Objetos incompatíveis - Um usuário que está no Webex, não importa como o usuário foi adicionado na Common Identity, mas o usuário não existe no Active Directory. É chamado de Objeto Incompatível. Por exemplo, se someuser@cisco.com foi sincronizado no Webex e exibido no Control Hub, mas o mesmo usuário (someuser@cisco.com) não for gerenciado pelo Active Directory, o relatório mostrará que o usuário é incompatível.

A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local.

2

Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:

  • Domínio único —Decida se deseja manter os usuários incompatíveis. Se você quiser mantê-los, escolha Não, reter objetos ; se você não quiser, escolha Sim, excluir objetos . Depois de executar essas etapas e executar manualmente uma sincronização completa para que haja uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilita automaticamente as tarefas agendadas de sincronização automática.
  • Vários domínios —Para uma organização com o Domínio A e o Domínio B, primeiro faça uma simulação do Domínio A. Se você quiser manter usuários incompatíveis, escolha Não, retenha objetos . (Esses usuários incompatíveis podem ser membros do Domínio B.) Se você deseja excluir, escolha Sim, exclua objetos .

    Se você mantiver os usuários, execute uma sincronização completa para o Domínio A primeiro e, em seguida, execute uma simulação para o Domínio B. Se ainda houver usuários inigualáveis, adicione esses usuários no Active Directory e faça uma sincronização completa para o Domínio B. Quando houver uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilitará automaticamente as tarefas agendadas de sincronização automática.

3

No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados.

Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched .

Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail.

Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo .

4

Se os resultados forem esperados, vá para Ações > Modo de sincronização > Ativar sincronização e clique em Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto.

Depois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais.

O que fazer em seguida

Coisas a se Manter em mente

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.

O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.

Antes de começar

  • Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:

  • Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

    Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, se a simulação estiver concluída e estiver correta para todos os domínios, clique em Ativar agora para permitir que a sincronização automática ocorra.
  • No Conector de diretórios, vá para Painel , clique em Ações , escolha Modo de sincronização > Ativar sincronização e clique em Sincronizar agora > Completo para iniciar a sincronização.
2

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Sincronização completa .

3

Confirme o início da sincronização.

Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Última sincronização e Estatísticas de nuvem são atualizadas com as novas informações. Os dados do usuário são sincronizados com a nuvem.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .)

5

Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

6

Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental .

  • Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.

  • Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.

  • A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.

  • Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.

  • Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.

  • Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.

  • Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.

O que fazer em seguida

  • Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).

    Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.

  • Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):

    • No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.

    • As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.

Antes de começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Execute uma sincronização de simulação nos usuários do Active Directory.

  • Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.

No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Usuários, clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo...

2

Escolha uma opção:

O que fazer em seguida

  • Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.

  • Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.

Problemas conhecidos com o Conector de diretórios

Gerenciar usuários do aplicativo Webex

Executar uma sincronização incremental

Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.

Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.

Antes de começar

1

No Conector de diretórios, clique em Painel .

Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro.

2

Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora.

3

Em Ações , clique em Sincronizar agora > Incremental .

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Last Synchronization e Cloud Statistics são atualizadas com as novas informações.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

O que fazer em seguida

Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.

Recuperar usuários excluídos acidentalmente

O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.

Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.

Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.

Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.

1

Inicie sessão no Control Hub.

2

Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada.

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

3

Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios.

O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem.

4

Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub.

Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço.

O que fazer em seguida

Retorne ao Control Hub, vá até Management > Users e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.

Excluir usuários permanentemente após a exclusão suave

Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.

1

Após a conclusão de uma simulação, selecione Objetos excluídos por software .

2

Marque a caixa de seleção ao lado dos usuários que você deseja excluir.

3

Selecione Concluído.

O que fazer em seguida

Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.

Alterar um endereço de e-mail do aplicativo Webex

Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.

Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.

  • Para alterar os endereços de e-mail do usuário sem alterar o domínio:

    1. Abra a conta de usuário (exemplo, user1@example.com) no Active Directory e altere o endereço de e-mail (exemplo, user2@example.com).

    2. Retome a sincronização no Conector de diretórios.

      Após a próxima sincronização, as alterações aparecem na sua lista de usuários no Control Hub e para os usuários no aplicativo Webex após a atualização do cache.

      Não há perda de dados ou espaços usando este método. O identificador exclusivo do usuário é definido na nuvem após a primeira sincronização. Todas as sincronizações subsequentes são baseadas neste identificador.

  • Em uma implantação de vários domínios com o Conector de diretórios, altere os endereços de e-mail do usuário ao alterar o domínio (considere example1.com o domínio antigo e example2.com o novo domínio):

    1. Para a conta de usuário antiga (user1@example1.com), observe o atributo do Active Directory que mapeia para o atributo uid em nuvem. Você precisa usar este mesmo valor do Active Directory para a nova conta. Para este exemplo, usaremos user1@example1.com como o atributo local para mapear para uid na nuvem.

    2. Pause a sincronização nos domínios do Directory Connector, por exemplo1.com e example2.com.

    3. Crie uma nova conta de usuário no example2.com e use o mesmo atributo acima. (Por exemplo, user1@example1.com ).

    4. No Conector de diretórios, retome a sincronização, por exemplo2.com

      Antes de continuar, verifique se a conta user1@example2.com é sincronizada no Control Hub. Recomendamos que você instrua o usuário a verificar a alteração de e-mail no aplicativo Webex e que todos os dados (espaços, mensagens, reuniões, arquivos e assim por diante) sejam mantidos.

      Não há perda de dados ou espaços usando esse método, mas na nova conta de usuário, você deve garantir que o atributo Active Directory que mapeia o atributo uid em nuvem seja preservado da conta de usuário antiga. Se você alterar o valor do Active Directory, a nova conta não reterá os dados da conta antiga.

    5. Depois de verificar a alteração do endereço de e-mail e os dados estão intactos, exclua a conta de usuário antiga no example1.com e, em seguida, use o Conector de diretórios para retomar a sincronização, por exemplo1.com.

      Neste ponto, você pode atualizar com segurança o endereço de e-mail no novo domínio do Active Directory para user1@example2.com.

O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .

Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.

Alterar o domínio do Active Directory

Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.

1

Configure um novo domínio do Active Directory (AD).

2

Desative as sincronizações em todos os seus conectores.

3

Desinstale todos os seus conectores.

4

Abra um caso para alterar o domínio .

No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização.

Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido.

5

Depois que o caso for resolvido:

  1. Instale o Conector de diretórios no mesmo servidor que o do novo domínio do Active Directory.

  2. Configure o Conector de diretórios para que seu ponto para o novo domínio do Active Directory.

    Se houver usuários existentes no Control Hub ( https://admin.webex.com), certifique-se de que os usuários com endereços de e-mail correspondentes também estejam presentes no Active Directory. Se sua organização desativou a alternância softDelete no DirSync, os endereços de e-mail do usuário que estão no Control Hub, mas não na exclusão de risco do Active Directory.

Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real.

Reivindicação de domínio

Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).

Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.

Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório

Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.

Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.

Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.

Alguns usuários reivindicados podem aparecer com o movedfrom atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído em vez de MismatchedObject . Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.

Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.

1

Desative a sincronização de diretório do Conector de diretórios.

2

Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa.

Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes.

3

No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos.

Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com).

Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex.

4

Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios.

As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.

Contas de usuários do aplicativo Webex embarcadas

Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.

Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .

Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório

Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.

Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .

Esse nome de usuário pode aparecer se o atributo displayName no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName na nuvem, os nomes aparecem no formato no Control Hub.

Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn (ou sn givenName ) para displayName nos nomes de atributos da Cisco Cloud.

Como alternativa, mapeie o atributo sn givenName para displayName :

Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName .

Por exemplo, insira givenName + "" + sn (nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName na nuvem.

Permitir que os usuários alterem nomes de exibição no Webex Meetings

Você pode desmapear o atributo displayName da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

2

Selecione displayName sob Nome do atributo da Cisco Cloud .

3

Selecione Não sincronizar este atributo .

O que fazer em seguida

Os usuários agora podem editar seus nomes de exibição no site Webex .

Solução de problemas do conector de diretório

Atualizar para a versão mais recente do software

Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .

O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.

Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.

1

Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização.

2

Siga as instruções para concluir a atualização.

3

Reinicie o conector e inicie sessão com suas credenciais de administrador.

4

Verifique o número da versão do software em Help > Sobre .

O que fazer em seguida

Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.

Definir configurações gerais para o conector de diretórios

Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.

1

No Conector de diretórios, vá para Configuração e clique em Geral .

2

No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector.

3

Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:

  • Info (Padrão) — Mostra mensagens informativas que destacam o progresso do aplicativo em um nível elevado. Use esta configuração se desejar receber relatórios depois de todas as sincronizações completas.

  • Avisar — Mostra situações potencialmente nocivas.

  • Debug —Mostra eventos informativos detalhados que são mais úteis para depurar um aplicativo. Quando você vir qualquer problema, defina esse nível de registro e envie o registro de eventos para suporte ao abrir um caso.

  • Erro —Mostra eventos de erro que ainda podem permitir que o aplicativo continue em execução. Quando você escolher esta opção, os relatórios de sincronização serão enviados apenas quando os erros forem relatados.

Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.)

4

Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades.

Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário.

5

Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram.

É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

6

Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão.

Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP.

LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

Configurar a política do conector

Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.

Por exemplo, você define 1 como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.

1

No Conector de diretórios, clique em Configuração e escolha Política .

2

Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite.

A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
3

Insira o número máximo de exclusões que você deseja. A predefinição é 20.

Recomendamos que você não aumente o valor padrão.

4

Clique em Aplicar.

Definir a agenda do conector

Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.

1

No Conector de diretórios, clique em Configuração e escolha Agendar .

2

Especifique o Intervalo de sincronização incremental em minutos.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa.

3

Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados.

4

Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra.

5

Especifique o Intervalo de failover em minutos.

6

Clique em Aplicar.

Vários cenários de domínio

Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.

Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.

O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .

Exemplo de caso de uso para vários domínios

Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.

  • Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.

  • Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.

  • Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.

  • Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.

Sincronização no exemplo1.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.

O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.

Sincronização em example1.com e example2.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Considere estas etapas:

  1. Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
  2. Faça uma sincronização completa ou incremental, por exemplo1.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.

  3. Faça uma sincronização incremental, por exemplo2.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com.

  4. Faça uma sincronização completa, por exemplo2.com.

    Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.

Sincronizar um novo domínio E Preservar um domínio existente

Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.

Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).

Definir a prioridade do domínio

Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.

Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.

Antes de começar

Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Definir prioridade de domínio .

3

Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração.

Os domínios são classificados por prioridade de cima para baixo.

Alternar domínios

Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.

Antes de começar

  • Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.

  • Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Alternar domínio .

3

Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim .

Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas.

4

Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio.

Desativar a sincronização do diretório

Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Sincronização de diretório e escolha uma:

  • Clique em mais e, em seguida, clique em Desativar ao lado da instância do conector que você deseja desativar.
  • Clique em Desativar todas as sincronizações de diretório para interromper a sincronização de todas as instâncias do conector.
2

Depois de ler o aviso, clique em Desativar .

A sincronização para até que você a reative no Conector de diretórios.

Remover Mapeamento de Atributos do Usuário

Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Remover mapeamento de atributos do usuário .

3

Selecione o mapeamento a ser removido da lista Attribute Name .

4

Em Escopo de usuário afetado , selecione uma das seguintes opções:

  • Somente usuários sincronizados pelo Conector de diretório : o mapeamento será removido apenas dos usuários que o Conector de diretórios sincronizou anteriormente.
  • Todos usuários: o mapeamento será removido de todos os usuários do Active Directory.
5

Clique em Aplicar.

Gerenciar fotos de perfil

Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Gerenciar imagens de perfil .

3

Em Ações , selecione uma das seguintes opções:

  • Remova imagens de perfil de fontes de avatar vazias : se a imagem de perfil do Active Directory estiver em branco, essa opção garantirá que as imagens de perfil do usuário sejam removidas da nuvem, mesmo que o usuário tenha carregado anteriormente sua própria imagem no Webex.
  • Recarregue da fonte sincronizada para substituir as imagens armazenadas em cache : O Conector de diretórios usa o mesmo Active Directory que o anterior para atualizar as imagens de perfil de todos os usuários. Isso garante que não haja incompatibilidade entre as imagens de perfil no Active Directory e na nuvem.
4

Clique em Aplicar.

Desinstalar e desativar o Conector de diretórios

Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:

  • Você não deseja mais usar a sincronização de diretório.

  • Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).

  • Você deseja alterar o domínio e instalar outro conector.

Antes de começar

  • Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.

  • Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.

1

Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos .

2

Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções.

Você pode ter que reinicializar o sistema para concluir a desinstalação.

3

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretório, clique em mais e clique em Desativar ao lado da instância do conector de diretório que você deseja desinstalar.

4

Depois de ler o aviso, clique em Desativar .

A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas.

Executar a ferramenta de diagnóstico

Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.

Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.

  • Para executar testes para os serviços de domínio do Active Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-DS , insira seu Domain e clique em Carregar controladores de domínio .

    2. Escolha um Controlador de domínio na lista.

      Não altere a entrada mais tarde, pois a pesquisa incremental deve sempre ser executada no mesmo Controlador de domínio.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como os objetos Users e Group e os filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para os serviços Active Directory Lightweight Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-LDS , insira seu Organizador e Porta e clique em Partições de carga .

    2. Escolha uma Partição na lista e clique em Connect .

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como User , UserProxy , e UserProxyFull e filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para o LDAP (Lightweight Directory Access Protocol):

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique no LDAP RAW guia, insira seu Root Path , Filter e escolha uma entrada de Atributos e clique em Load Partitions .

    2. Verifique as seguintes opções conforme necessário:

      • ObjectSecurity —Se esta opção estiver presente, o chamador não exigirá direitos e poderá ver apenas objetos e atributos acessíveis ao chamador. Se essa opção não estiver presente, o chamador terá o direito de replicar as alterações.

      • ParentsFirst —Garante que todos os pais das crianças venham antes de seus filhos.

    3. Escolha um valor para ExtendedDN .

      Esse valor é usado com uma pesquisa LDAP estendida para solicitar uma forma estendida de nome diferenciado de objeto.

    4. Escolha um valor para ReferralChasing .

      Uma busca de referência é iniciada quando um controlador de domínio retorna uma indicação de uma consulta - por exemplo, para detalhes de um resultado de consulta que pode estar fora do namespace (como membros do grupo em outro domínio ou floresta).

    5. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    6. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

Solucionar problemas no Ciso Directory Connector

Solução de problemas e correções para o conector de diretórios

Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.

Instalar

O conector de diretório parou de funcionar

Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.

  • O Conector de diretórios pode não estar instalado corretamente.

  • O Conector de diretórios pode não estar em execução.

  • A rede pode não estar disponível.

Tente o seguinte:

  • Abra Painel de controle > Programas e recursos . Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a.

  • Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.

  • Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.

Erro de reinstalação

Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.

Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.

Solução —Após algum tempo passar, tente a instalação novamente.

Iniciar sessão

O Conector de diretórios falha durante o início de sessão do SSO

Problema

O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.

Solução

Tente o seguinte:

Execute estas etapas para configurar uma nova política de grupo:

  1. Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).

  2. Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…

  3. Dê um nome à política, clique com o botão direito do mouse e escolha Edit .

Execute estas etapas para alterar a política no nível da máquina:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

Execute estas etapas para alterar a política no nível do usuário:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

As alterações têm efeito depois de executar gpupdate /force , a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).

O Conector do serviço Cisco DirSync não pôde ser registrado

Problema

Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."

Solução

O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.

Nenhuma página de logon é exibida

Problema

Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.

Solução

Tente as seguintes etapas:

  1. No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.

  2. Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)

O aviso de início de sessão é exibido

Problema

Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.

Causas possíveis

O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.

Solução

Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.

Não foi possível conectar-se ao servidor remoto

Problema

Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".

Causas possíveis

Você pode ter problemas de proxy que precisam ser resolvidos.

Solução

Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.

Não foi possível registrar o conector

Problema

Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."

Causas possíveis

Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.

Solução

Tente o seguinte:

  1. Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .

  2. Clique em Conexão > Vincular , escolha Vincular como atualmente conectado ao usuário , e clique em OK .

  3. Clique View > Tree , digite DC=arbonneintl,DC=ad como BaseDN e clique em OK .

  4. Se o problema persistir, abra um caso com o suporte .

Sincronização

Avatares não sincronizados

Problema

O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.

Causas possíveis

Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.

Solução

Exclua o cache local seguindo estas etapas:

  1. Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\

  2. Excluir DirSyncPluginAvatar.dll-cache.bin .

  3. Execute novamente a sincronização do avatar do conector de diretórios da Cisco.

Conflitas de e-mail do usuário em conflito

Problema

Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.

  • Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.

  • Se os e-mails dos usuários já foram sincronizados em outra organização.

  • Se os e-mails do usuário existirem em vários domínios que pertencem à organização.

Solução

Tente o seguinte:

  • Siga estas etapas se estiver tentando reivindicar usuários:

    1. Certifique-se de ter verificado o domínio no Control Hub .

    2. Desative temporariamente o Conector de diretórios da Cisco.

    3. Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.

    4. Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório

  • Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.

Usuário convertido marcado como inativo

Problema

No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.

Causas possíveis

Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.

Solução

Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.

Falha na sincronização incremental

Problema

Uma sincronização incremental falha.

Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:

  • Você oferece suporte a atualizações de valor incremental.

  • O filtro que você usa faz referência a um atributo de valor vinculado.

  • Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.

Solução

O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.

Valor inválido para o atributo

Problema

Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].

Causas possíveis

Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.

Solução

Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.

Usuários correspondentes a serem excluídos

Problema

Os usuários correspondentes são marcados para serem excluídos.

Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.

Solução

Escolha uma correção apropriada:

  • Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.

  • Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .

Atributo ausente

Problema

O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.

Causas possíveis

O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.

Solução

Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.

O grupo aninhado não sincronizará

Problema

Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.

Causas possíveis

É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)

Solução

Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)

Conflito de nomeação do usuário

Problema

Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].

Causas possíveis

Um usuário com esse endereço de e-mail já existe no Control Hub.

Solução

Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.

Hub de controle

Lista de usuários ausente no Control Hub

Problema

Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.

Solução

Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.

Os grupos não serão sincronizados com o Control Hub

Problema

Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.

Causas possíveis

O grupo não está marcado como isCriticalSystemObject no Active Directory.

Solução

Certifique-se de que o atributo isCriticalSystemObject esteja definido como TRUE no Active Directory.

Ativar solução de problemas para o Conector de diretórios

Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.

Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

Execute o arquivo services.msc para alterar a conta em execução do serviço do Conector de diretórios do Sistema Local para uma conta de domínio com privilégios para acessar seu AD DS ou AD LDS.

2

Reinicie o serviço.

Consulte Como iniciar serviços para obter orientação.

3

No Conector de diretórios, clique em Painel .

4

Vá para Ações e clique em Utilitários > Solução de problemas .

5

Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados.

6

Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS.

A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema.

7

Se necessário, envie o arquivo de registro para suporte para assistência.

8

Desative o recurso de solução de problemas quando terminar.

Iniciar o Visualizador de eventos

Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.

1

No Conector de diretórios, vá para Painel e clique em Ação > Iniciar visualizador de eventos .

A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro.

2

No Visualizador de eventos, vá para Registros de aplicativos e serviços > Conector de diretórios da Cisco .

3

Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv.

O que fazer em seguida

Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.

Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.

Ativar TLS no Internet Explorer

Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:

  • Ocorreu um erro ao fazer logon no serviço

  • Ocorreu um erro no script nesta página

Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.

1

Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente

2

Clique em Opções da Internet , vá para Avançado , role até a Segurança .

3

Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK .

4

Reinicie o sistema para que as alterações tenham efeito.

Solucionar problemas de início de sessão da conta de serviço

Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.

1

Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web.

2

Escolha um, dependendo dos resultados:

  • Se você não puder visitar o link do navegador, verifique as configurações de rede. Se seu ambiente usar proxy, verifique as configurações de proxy.
  • Se você puder visitar o link do seu navegador, mas não puder abrir o conector de diretórios da Cisco ( Não é possível abrir o conector e aparecer uma mensagem de erro com 407 ), clique aqui para obter a versão mais recente do conector de diretórios da Cisco.
  • Se você puder visitar o link do seu navegador, mas não puder executar uma sincronização do conector de diretórios da Cisco, altere a conta de logon do serviço para admin do domínio .

    Verifique se a conta que você usou para iniciar sessão no sistema Windows é a mesma conta que você definiu no "Serviço Cisco DirSync". Se eles são 2 contas diferentes, certifique-se de que ambas as contas podem visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Se seu ambiente usar proxy, certifique-se de que ambas as contas estejam configuradas para proxy no Internet Explorer e possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL com êxito.

3

No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Visão geral do conector de diretórios da Cisco

Visão geral do conector de diretórios

O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.

Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.

Veja todos os recursos, descrições e benefícios na tabela:

RecursoDescrição e benefício
Painel fácil de usar O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão.
Simulação antes de sincronizar com a nuvem Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera.
Sincronização completa e incremental Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização.

Sincronizar vários domínios (floresta única ou várias florestas)

O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade.

Sincronização agendada Defina uma agenda de sincronização por dia, hora e minuto.
Filtros LDAP (Lightweight Directory Access Protocol) Defina critérios de pesquisa LDAP e forneça importações eficientes.
mapeamento de atributos do Active Directory Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante).

Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex

Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.

Recursos da sala
Após sincronizar as informações da sala, os dispositivos de sala do local com um endereço SIP configurado e mapeado, aparece como entrada pesquisável em dispositivos de sala registrados em nuvem, como um dispositivo de Cisco Webex Room ou Cisco Webex Board.

Quando os usuários fizerem uma pesquisa em um dispositivo Cisco Webex Room ou Cisco Webex Board, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando fizerem uma chamada do dispositivo Webex nessa entrada, uma chamada será feita para o endereço SIP que foi configurado para a sala.

Ligando
Os usuários podem fazer chamadas para contatos corporativos, além dos contatos do aplicativo Webex. Por meio do Conector de diretórios, os usuários corporativos e seus números de telefone são adicionados à sua organização Webex. Eles não precisam ser licenciados para que os serviços Webex para esse recurso funcionem.

Os usuários que não são licenciados para o Webex aparecerão na pesquisa de diretório executada de um telefone de usuário do Cisco Webex Calling, desde que haja um URI ou um número de telefone sincronizado com o Webex por meio do Conector de diretórios. A funcionalidade de chamada tem o mesmo comportamento para ambos os tipos de usuários. Esse recurso também fornece a funcionalidade de edição de discagem para contatos com apenas números de telefone.

No resultado da pesquisa de contatos:

  • Se os contatos tiverem um URI discável (endereço SIP Webex) e um número de telefone, o URI assocoiated com o contato será exibido.

  • Se os contatos não tiverem um URI discável, mas tiverem um número de telefone, o número de telefone será mostrado. Eles também têm uma tecla programável Editar discagem.

  • Se os contatos não tiverem nenhum dos dois, eles não serão mostrados no diretório.

visualizador de Eventos Use o visualizador de eventos para determinar se houve algum problema com a sincronização.
Ferramenta de diagnóstico e solução de problemas Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte.

Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico.

Atualização automática Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada.
Alta disponibilidade Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia.

O Conector de diretórios é dividido em três áreas:

  • Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.

  • Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.

  • Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.

Consulte este diagrama para entender a arquitetura do Conector de diretórios:

Arquitetura para Conector de diretórios

Preparar seu ambiente para o conector de diretórios

Requisitos do conector de diretórios

Requisitos do Windows e do Active Directory

Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .

O Conector de diretórios é compatível com os seguintes serviços do Active Directory:

  • Active Directory 2016

    (O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)

  • Active Directory 2012

  • Active Directory 2008 R2

  • Active Directory 2008

Observe os seguintes requisitos adicionais:

Requisitos de hardware

Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:

  • 8 GB de RAM

  • 50 GB de armazenamento

  • Nenhum mínimo para a CPU

Requisitos de rede

Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.

Requisitos da organização Webex

  • Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.

  • (Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

Requisitos de instalação

  • Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).

  • Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.

    Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .

  • Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.

Vários requisitos de domínio

Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:

  • Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.

  • O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.

  • Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)

  • Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.

  • Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)

Recomendações do grupo Active Directory para atribuição automática de licenças

Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.

Existem dois tipos de grupos no Active Directory:​

  • Grupos de distribuição —Usados para criar listas de distribuição por e-mail.​

  • Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.

Considere as seguintes diretrizes ao criar grupos no Active Directory:

  • Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).​

  • Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.​

  • Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.

  • Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.

Informações de Dimensionamento

O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.

Alguns fatores podem afetar a velocidade da sincronização:

  • O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)

  • Velocidade da rede e largura de banda.

  • Carga de trabalho do sistema e especificações.

Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.

Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Integração de proxy da web

Integração de proxy da web

Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.

Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.

Você pode fazer uma dessas abordagens:

  • Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)

  • Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)

  • Proxy transparente que funciona com o conector sem alterações

Usar um proxy da web por meio do navegador

Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.

Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.

1

No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN .

2

Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web.

3

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

4

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Configurar o proxy da web por meio de um arquivo PAC

Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.

1

Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para cloudconnector.webex.com na configuração do arquivo .pac para o host onde o conector está instalado.

2

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

3

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Proxy NTLM

O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.

Design NTLM

Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.

Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge e Response :

  1. Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.

    Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.

  2. Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.

  3. Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.

  4. Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.

  5. O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.

O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.

Configurar proxy transparente

Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.

1

Implante um proxy transparente para que o conector possa conectar e sincronizar usuários.

2

Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector.

Definir autenticação de proxy

Adicione a URL cloudconnector.webex.com à sua lista de permissões criando uma lista de controle de acesso.

No servidor de firewall corporativo:

1

Ative a pesquisa DNS se ainda não estiver ativada.

2

Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário.

3

Crie uma lista de controle de acesso para aplicar ao host do conector e especifique cloudconnector.webex.com como o destino a ser adicionado à lista de permissões.

Por exemplo:

Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https
4

Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector.

5

Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada.

Implantar o conector de diretórios

Fluxo de tarefas de implantação do conector de diretório da Cisco

1

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

2

Iniciar Sessão No Conector De Diretórios

Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial.

3

Definir atualizações automáticas

É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

4

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

5

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid.

6

Sincronize avatares de diretório usando um dos seguintes procedimentos:

Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos.

7

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board

8

Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:

Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.

Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:

Fluxo de vários domínios para o conector de diretório

Antes de começar

Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador

  • Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .

1

No Control Hub , vá para Users > Gerenciar usuários > Habilite a sincronização de diretório e escolha Next .

2

Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows.

Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione.

Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

3

No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração.

4

Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta.

5

Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:

  • Sistema local —A opção padrão. Você pode usar esta opção se tiver um proxy configurado através do Internet Explorer.
  • Conta de domínio —Use esta opção se o computador fizer parte do domínio. O Conector de diretórios deve interagir com os serviços de rede para acessar recursos de domínio. Você pode inserir as informações da conta e clique em OK . Ao inserir o Nome de usuário , use o formato {domain}\{user_name}

    Para um proxy que se integra ao AD (NTLMv2 ou Kerberos), você deve usar a opção de conta de domínio. A conta usada para executar o Serviço do Conector de diretórios deve ter privilégio suficiente para passar o proxy e acessar o AD.

Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:

  • O servidor faz parte do domínio

  • A conta de domínio pode acessar os dados do AD e os dados de avatares locais. A conta também deve ter a função de administrador local, porque deve acessar os arquivos de acesso em C:\Program Files .

  • Para um logon da máquina virtual, o privilégio de conta de administrador deve pelo menos ser capaz de ler informações de domínio.

6

Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar .

O que fazer em seguida

Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.

Iniciar Sessão No Conector De Diretórios

Antes de começar

Certifique-se de ter suas credenciais de proxy.

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.

  • Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .

1

Abra o conector e adicione https://idbroker.webex.com à sua lista de sites confiáveis se você vir um aviso.

2

Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next .

3

Confirme sua organização e domínio.

  • Se você escolher AD DS , verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão, escolha o domínio do qual deseja sincronizar e clique em Confirmar .

    Se você não verificar LDAP sobre SSL , o DirSync continuará a usar o protocolo de conexão LDAP.

    LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

  • Se você escolher AD LDS , insira o host, o domínio e a porta e clique em Atualizar para carregar todas as partições de aplicativos. Em seguida, selecione a partição na lista suspensa e clique em Confirmar . Consulte a seção AD LDS para obter mais informações.

    No arquivo CloudConnectorCommon.dll config, certifique-se de adicionar a configuração ADAuthLevel ao appSetting nó. Os valores podem ser 1, 2 ou 3. Consulte este artigo da Microsoft para saber mais sobre AuthenticationTypes . Aqui está um exemplo da configuração com um valor de 1:

    <appSettings> <add key="ConnectorServiceURI" value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL"/> <add key="ADAuthLevel" value="1"/> </appSettings>
4

Depois que a tela Confirmar organização for exibida, clique em Confirmar .

Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida.

5

Clique em Confirmar .

6

Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:

  • Se você tiver um único domínio que é AD LDS , vincule-o à fonte AD LDS existente e clique em Confirmar .
  • Se você tiver um único domínio AD DS , vincule-o ao domínio existente ou a um novo domínio. Se você escolher Bind para um novo domínio , clique em Next .

    Como o tipo de origem existente é AD DS, você não pode selecionar AD LDS para a nova vinculação.

  • Se você tiver mais de um domínio, escolha um domínio existente na lista ou Vincular a um novo domínio e clique em Next .

    Como você tem mais de um domínio, o tipo de origem existente deve ser AD DS . Se você escolher Bind para um novo domínio e clicar em Next , você não poderá selecionar AD LDS para a nova vinculação.

O que fazer em seguida

Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.

Painel do conector de diretórios

Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.

Se a sua sessão expirar, inicie sessão novamente.

Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.

Tabela 1. Componentes do painel

Componente

Descrição

Sincronização atual

Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa.

Próxima sincronização

Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido.

Última sincronização

Exibe o status das duas últimas sincronizações executadas.

Status de sincronização atual

Exibe o status geral da sincronização.

Conectores

Exibe os conectores locais atuais que estão disponíveis para a nuvem.

Estatísticas da nuvem

Exibe o status geral da sincronização.

Agenda de sincronização

Exibe a agenda de sincronização para sincronização incremental e completa.

Resumo da configuração

Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
  • Todos os objetos serão sincronizados

  • Todos os usuários serão sincronizados

  • O limite excluído foi desativado.

Tabela 2. Barra de ferramentas de ações
AçãoDescrição
Iniciar sincronização incremental

Iniciar manualmente uma sincronização incremental

Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento.

Sincronizar execução seca

Execute uma sincronização de simulação.

Iniciar visualizador de eventos

Inicie o Microsoft Event Viewer.

Atualização

Atualizar o painel do conector de diretórios da Cisco

Tabela 3. Barra de menus de ações

Ação

Descrição

Sincronizar agora

Inicie uma sincronização completa instantaneamente.

Modo de sincronização

Selecione o modo de sincronização completa ou incremental.

Redefinir segredo do conector

Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente.

Simulação

Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa.

Solução de problemas

Ative/desative a solução de problemas.

Atualização

Atualize a tela principal do conector de diretórios da Cisco.

Sair

Saia do conector de diretórios da Cisco.

Tabela 4. Principais combinações

Combinação De Chave

Ação

Alt +A

Mostrar o menu Ações

Alt +A + S

Sincronização agora

Alt +A + R

Redefinir segredo do conector

Alt +A + D

Simulação seca

Alt +A + S + I

Sincronização incremental

Alt +A + S + F

Sincronização completa

Alt + H

Mostrar menu Help

Alt + H + H

Ajuda

Alt + H + A

Sobre

Alt + H + F

Perguntas frequentes

Definir atualizações automáticas

1

No Conector de diretórios, vá para Configuração > Geral e, em seguida, marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco .

2

Clique em Aplicar para salvar suas alterações.

Novas versões do conector são instaladas automaticamente quando estão disponíveis.

Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

Grupos para atribuição automática de licenças

O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.

Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:

(&(cn=Exemplo)(objectclass=Grupo))*

Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.

Tela de seleção de objeto no Conector de diretórios

Grupos para implantações de segurança de dados híbridos

No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.

1

No Conector de diretórios, vá para Configuração e clique em Seleção de objeto .

2

Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários.

Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

3

Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala.

Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud .

4

Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem.

Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem.

Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança.
5

Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem.

O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub.

6

Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP.

7

Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar.

8

Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar .

Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou.

Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs .

9

Clique em Aplicar .

Escolha uma opção:

  • Aplicar alterações de configuração

  • Simulação

  • Cancelar

Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory .

Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem .

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.

Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.

As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).

Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho.

2

Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :

  • mail — Usado pela maioria das implantações para o formato de e-mail.
  • userPrincipalName —Uma escolha alternativa se o atributo de correio for usado para outros fins no Active Directory. Este atributo deve estar no formato de e-mail.

Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios .

Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados.

3

Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo.

Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações.

Neste exemplo, vamos mapear os atributos do Active Directory givenName e Sn para o atributo displayName em nuvem:

  1. Defina a expressão do atributo como givenName + "" + Sn (as aspas sendo um espaço extra) e, em seguida, forneça um e-mail de usuário existente para verificar.

  2. Clique Verify , e veja se o resultado corresponde ao que você estava esperando.

    Um resultado bem-sucedido é o seguinte:

  3. Se os resultados forem o que você esperava, clique em OK para salvar o novo atributo personalizado.

    Mais tarde, se desejar alterar o displayName , você poderá inserir uma nova expressão de atributo

O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem:

Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário:

4

(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex.

Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário.

Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores).

5

Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:

  • número de departamento
  • nome de exibição
  • administrador
  • título

Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário:

Visualizar as informações de contato de alguém

Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato .

Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub

6

Depois de fazer suas escolhas, clique em Aplicar .

Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.

Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.

Ativos do Active Directory e da nuvem

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .

Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.

Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.

Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.

Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

Nomes de atributos do Active Directory

Nomes de atributos do Webex Cloud

Notas

buildingName

c

c

Esse atributo especifica a abreviatura do país do usuário.

número de departamento

número de departamento

Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas .

nome de exibição

nome de exibição

Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas .

userAccountControl

ds-pwp-account-disabled

Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente.

EmployeeNumber

EmployeeNumber

fasimileTelephoneNumber

fasimileTelephoneNumber

jabberID

Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses.

l

l

Esse atributo especifica a cidade do usuário.

localidade

administrador

administrador

Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas .

móvel

móvel

Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato .

o

o

Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato .

ou

ou

Esse atributo especifica o nome da unidade organizacional.

Entrega física OfficeName

Entrega física OfficeName

Esse atributo especifica o local do escritório do usuário.

Código postalCode

Código postalCode

Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico.

preferredLanguage

preferredLanguage

Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA.

Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização.

MSRTCSIP-PrimaryUserAddress

ipPhone

SipAddresses;type=enterprise

Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex.

sn

sn

Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas .

st.

st.

Este atributo especifica o estado ou a província do usuário.

streetAddress

rua

Esse atributo especifica o endereço do usuário para entrega de correio físico.

telefone

telefone

Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato .

fuso horário

Este atributo em nuvem especifica o fuso horário do usuário.

título

título

Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas .

tipo

empresa

*e-mail

*userPrincipalName

uid

Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem.

Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor.

Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo.

*userPrincipalName

*e-mail

<atributo personalizado>

e-mails;tipo de trabalho

Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

<Novo atributo para o usuário do Azure objectId>

externalId

Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente.

Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex .

Mapeamento de endereço de e-mail alternativo

Expressões para atributos personalizados

Tabela 5. Expressões para atributos personalizados

Operador

Descrição e exemplo

%

Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.

Exemplo de expressão
"abc@example.com" % "@"
Resultado
example.com

-

Tira a parte de trás da string de entrada do final da string especificada.

Exemplo de expressão
"abc@example.com" - "@"
Resultado
abc

+

Concatena sequências de entrada ou expressões.

Exemplo de expressão
"abc" + "" + "def"
Resultado
def abc

|

Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.

Exemplo de expressão
"" | "abc"
Resultado
abc

Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem.

3

Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário .

O avatar aparece à direita.

4

Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações.

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar avatares de diretório de um servidor de recursos para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.

Antes de começar

  • O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.

  • O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.

  • A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}. jpg

Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:

  • http://www.example.com/dir/photo/zoom/—O caminho para onde todas as fotos que serão sincronizadas está localizado. Tem que ser uma URL que o serviço Conector de diretórios em seu servidor deve ser capaz de alcançar.
  • mail:—Conector de diretório diz para obter o valor do atributo de correio do Active Directory
  • .*?(?=@.*) —Uma sintaxe regex que executa estas funções:
    • .*—Qualquer caractere, repetindo zero ou mais vezes.

    • ? — Diz à variável anterior para corresponder aos poucos caracteres possíveis.

    • (?= ... )—Corresponde a um grupo após a expressão principal sem incluí-lo no resultado. O Conector de diretórios procura uma correspondência e não a inclui na saída.

    • @.*—O símbolo a, seguido por qualquer caractere, repetindo zero ou mais vezes.

  • .jpg — A extensão do arquivo para os avatares de seus usuários. Consulte os tipos de arquivo suportados neste documento e altere o ramal de acordo.
3

(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha.

4

Insira o Valor da variável —Por exemplo: abcd@example.com .

5

Clique em Test para garantir que o padrão de URI do avatar funcione corretamente.

Neste exemplo, se o valor de correio de uma entrada AD é abcd@example.com e as imagens jpg estavam sendo sincronizadas, o URI Final Avatar é http://www.example.com/dir/photo/zoom/abcd.jpg

6

Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar .

Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft .

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).

1

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Seleção de objeto .

2

Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização.

Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário.

3

Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise .

Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")

  • Escolha MSRTCSIP-PrimaryUserAddress se disponível.
  • Se você não tiver o atributo acima no esquema do Active Directory, use outro campo, como ipPhone .
4

Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas.

5

De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip:

6

Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector.

Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas .

Os resultados da simulação mostram todos os recursos de sala que foram correspondidos.

Resultados da simulação do Conector de diretório que mostram objetos correspondentes

Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem.

Painel do conector de diretórios destacando a janela de estatísticas de nuvem. As estatísticas de nuvem incluem usuários, grupos, salas e contatos.

O que fazer em seguida

Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.

No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.

O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.

Enviar relatórios de e-mail nos resultados da sincronização de diretórios

Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.

1

No Conector de diretórios, clique em Configuração e escolha Notificação .

2

No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório .

3

Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail.

4

Clique em Adicionar e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

5

Clique em Adicionar e-mail e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

6

Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias.

7

Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar .

8

Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar .

O que fazer em seguida

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.

Provisionar Usuários Do Active Directory Para O Control Hub

Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

1

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

2

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

3

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial.

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.

Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.

Antes de começar

Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, clique em Sim no aviso para executar uma simulação.
  • Se você perder um lembrete para executar uma simulação, a qualquer momento no Conector de diretórios, clique em Dashboard , escolha Sync Dry Run e, em seguida, clique em OK para iniciar uma sincronização de simulação.

Quando a simulação for concluída, você verá um dos seguintes resultados:

  • Objetos incompatíveis detectados no Conector de diretórios

  • Resumo dos resultados do relatório de execução seca e objetos incompatíveis no Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

O Resumo contém informações sobre a correspondência de objetos:

  • Objects Matched - Um usuário que está no Webex Common Identity e também existe no domínio do Active Directory, ou seja, se someuser@cisco.com foi sincronizado com o Webex e exibido no Control Hub e o mesmo usuário (someuser@cisco.com) existe no Active Directory. Isso significa que o usuário foi correspondido.

  • Objetos incompatíveis - Um usuário que está no Webex, não importa como o usuário foi adicionado na Common Identity, mas o usuário não existe no Active Directory. É chamado de Objeto Incompatível. Por exemplo, se someuser@cisco.com foi sincronizado no Webex e exibido no Control Hub, mas o mesmo usuário (someuser@cisco.com) não for gerenciado pelo Active Directory, o relatório mostrará que o usuário é incompatível.

A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local.

2

Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:

  • Domínio único —Decida se deseja manter os usuários incompatíveis. Se você quiser mantê-los, escolha Não, reter objetos ; se você não quiser, escolha Sim, excluir objetos . Depois de executar essas etapas e executar manualmente uma sincronização completa para que haja uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilita automaticamente as tarefas agendadas de sincronização automática.
  • Vários domínios —Para uma organização com o Domínio A e o Domínio B, primeiro faça uma simulação do Domínio A. Se você quiser manter usuários incompatíveis, escolha Não, retenha objetos . (Esses usuários incompatíveis podem ser membros do Domínio B.) Se você deseja excluir, escolha Sim, exclua objetos .

    Se você mantiver os usuários, execute uma sincronização completa para o Domínio A primeiro e, em seguida, execute uma simulação para o Domínio B. Se ainda houver usuários inigualáveis, adicione esses usuários no Active Directory e faça uma sincronização completa para o Domínio B. Quando houver uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilitará automaticamente as tarefas agendadas de sincronização automática.

3

No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados.

Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched .

Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail.

Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo .

4

Se os resultados forem esperados, vá para Ações > Modo de sincronização > Ativar sincronização e clique em Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto.

Depois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais.

O que fazer em seguida

Coisas a se Manter em mente

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.

O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.

Antes de começar

  • Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:

  • Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

    Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, se a simulação estiver concluída e estiver correta para todos os domínios, clique em Ativar agora para permitir que a sincronização automática ocorra.
  • No Conector de diretórios, vá para Painel , clique em Ações , escolha Modo de sincronização > Ativar sincronização e clique em Sincronizar agora > Completo para iniciar a sincronização.
2

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Sincronização completa .

3

Confirme o início da sincronização.

Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Última sincronização e Estatísticas de nuvem são atualizadas com as novas informações. Os dados do usuário são sincronizados com a nuvem.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .)

5

Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

6

Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental .

  • Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.

  • Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.

  • A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.

  • Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.

  • Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.

  • Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.

  • Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.

O que fazer em seguida

  • Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).

    Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.

  • Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):

    • No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.

    • As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.

Antes de começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Execute uma sincronização de simulação nos usuários do Active Directory.

  • Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.

No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Usuários, clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo...

2

Escolha uma opção:

O que fazer em seguida

  • Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.

  • Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.

Problemas conhecidos com o Conector de diretórios

Gerenciar usuários do aplicativo Webex

Executar uma sincronização incremental

Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.

Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.

Antes de começar

1

No Conector de diretórios, clique em Painel .

Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro.

2

Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora.

3

Em Ações , clique em Sincronizar agora > Incremental .

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Last Synchronization e Cloud Statistics são atualizadas com as novas informações.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

O que fazer em seguida

Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.

Recuperar usuários excluídos acidentalmente

O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.

Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.

Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.

Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.

1

Inicie sessão no Control Hub.

2

Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada.

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

3

Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios.

O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem.

4

Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub.

Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço.

O que fazer em seguida

Retorne ao Control Hub, vá até Management > Users e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.

Excluir usuários permanentemente após a exclusão suave

Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.

1

Após a conclusão de uma simulação, selecione Objetos excluídos por software .

2

Marque a caixa de seleção ao lado dos usuários que você deseja excluir.

3

Selecione Concluído.

O que fazer em seguida

Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.

Alterar um endereço de e-mail do aplicativo Webex

Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.

Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.

  • Para alterar os endereços de e-mail do usuário sem alterar o domínio:

    1. Abra a conta de usuário (exemplo, user1@example.com) no Active Directory e altere o endereço de e-mail (exemplo, user2@example.com).

    2. Retome a sincronização no Conector de diretórios.

      Após a próxima sincronização, as alterações aparecem na sua lista de usuários no Control Hub e para os usuários no aplicativo Webex após a atualização do cache.

      Não há perda de dados ou espaços usando este método. O identificador exclusivo do usuário é definido na nuvem após a primeira sincronização. Todas as sincronizações subsequentes são baseadas neste identificador.

  • Em uma implantação de vários domínios com o Conector de diretórios, altere os endereços de e-mail do usuário ao alterar o domínio (considere example1.com o domínio antigo e example2.com o novo domínio):

    1. Para a conta de usuário antiga (user1@example1.com), observe o atributo do Active Directory que mapeia para o atributo uid em nuvem. Você precisa usar este mesmo valor do Active Directory para a nova conta. Para este exemplo, usaremos user1@example1.com como o atributo local para mapear para uid na nuvem.

    2. Pause a sincronização nos domínios do Directory Connector, por exemplo1.com e example2.com.

    3. Crie uma nova conta de usuário no example2.com e use o mesmo atributo acima. (Por exemplo, user1@example1.com ).

    4. No Conector de diretórios, retome a sincronização, por exemplo2.com

      Antes de continuar, verifique se a conta user1@example2.com é sincronizada no Control Hub. Recomendamos que você instrua o usuário a verificar a alteração de e-mail no aplicativo Webex e que todos os dados (espaços, mensagens, reuniões, arquivos e assim por diante) sejam mantidos.

      Não há perda de dados ou espaços usando esse método, mas na nova conta de usuário, você deve garantir que o atributo Active Directory que mapeia o atributo uid em nuvem seja preservado da conta de usuário antiga. Se você alterar o valor do Active Directory, a nova conta não reterá os dados da conta antiga.

    5. Depois de verificar a alteração do endereço de e-mail e os dados estão intactos, exclua a conta de usuário antiga no example1.com e, em seguida, use o Conector de diretórios para retomar a sincronização, por exemplo1.com.

      Neste ponto, você pode atualizar com segurança o endereço de e-mail no novo domínio do Active Directory para user1@example2.com.

O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .

Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.

Alterar o domínio do Active Directory

Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.

1

Configure um novo domínio do Active Directory (AD).

2

Desative as sincronizações em todos os seus conectores.

3

Desinstale todos os seus conectores.

4

Abra um caso para alterar o domínio .

No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização.

Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido.

5

Depois que o caso for resolvido:

  1. Instale o Conector de diretórios no mesmo servidor que o do novo domínio do Active Directory.

  2. Configure o Conector de diretórios para que seu ponto para o novo domínio do Active Directory.

    Se houver usuários existentes no Control Hub ( https://admin.webex.com), certifique-se de que os usuários com endereços de e-mail correspondentes também estejam presentes no Active Directory. Se sua organização desativou a alternância softDelete no DirSync, os endereços de e-mail do usuário que estão no Control Hub, mas não na exclusão de risco do Active Directory.

Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real.

Reivindicação de domínio

Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).

Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.

Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório

Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.

Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.

Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.

Alguns usuários reivindicados podem aparecer com o movedfrom atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído em vez de MismatchedObject . Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.

Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.

1

Desative a sincronização de diretório do Conector de diretórios.

2

Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa.

Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes.

3

No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos.

Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com).

Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex.

4

Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios.

As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.

Contas de usuários do aplicativo Webex embarcadas

Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.

Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .

Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório

Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.

Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .

Esse nome de usuário pode aparecer se o atributo displayName no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName na nuvem, os nomes aparecem no formato no Control Hub.

Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn (ou sn givenName ) para displayName nos nomes de atributos da Cisco Cloud.

Como alternativa, mapeie o atributo sn givenName para displayName :

Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName .

Por exemplo, insira givenName + "" + sn (nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName na nuvem.

Permitir que os usuários alterem nomes de exibição no Webex Meetings

Você pode desmapear o atributo displayName da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

2

Selecione displayName sob Nome do atributo da Cisco Cloud .

3

Selecione Não sincronizar este atributo .

O que fazer em seguida

Os usuários agora podem editar seus nomes de exibição no site Webex .

Solução de problemas do conector de diretório

Atualizar para a versão mais recente do software

Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .

O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.

Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.

1

Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização.

2

Siga as instruções para concluir a atualização.

3

Reinicie o conector e inicie sessão com suas credenciais de administrador.

4

Verifique o número da versão do software em Help > Sobre .

O que fazer em seguida

Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.

Definir configurações gerais para o conector de diretórios

Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.

1

No Conector de diretórios, vá para Configuração e clique em Geral .

2

No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector.

3

Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:

  • Info (Padrão) — Mostra mensagens informativas que destacam o progresso do aplicativo em um nível elevado. Use esta configuração se desejar receber relatórios depois de todas as sincronizações completas.

  • Avisar — Mostra situações potencialmente nocivas.

  • Debug —Mostra eventos informativos detalhados que são mais úteis para depurar um aplicativo. Quando você vir qualquer problema, defina esse nível de registro e envie o registro de eventos para suporte ao abrir um caso.

  • Erro —Mostra eventos de erro que ainda podem permitir que o aplicativo continue em execução. Quando você escolher esta opção, os relatórios de sincronização serão enviados apenas quando os erros forem relatados.

Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.)

4

Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades.

Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário.

5

Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram.

É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

6

Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão.

Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP.

LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

Configurar a política do conector

Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.

Por exemplo, você define 1 como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.

1

No Conector de diretórios, clique em Configuração e escolha Política .

2

Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite.

A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
3

Insira o número máximo de exclusões que você deseja. A predefinição é 20.

Recomendamos que você não aumente o valor padrão.

4

Clique em Aplicar.

Definir a agenda do conector

Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.

1

No Conector de diretórios, clique em Configuração e escolha Agendar .

2

Especifique o Intervalo de sincronização incremental em minutos.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa.

3

Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados.

4

Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra.

5

Especifique o Intervalo de failover em minutos.

6

Clique em Aplicar.

Vários cenários de domínio

Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.

Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.

O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .

Exemplo de caso de uso para vários domínios

Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.

  • Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.

  • Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.

  • Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.

  • Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.

Sincronização no exemplo1.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.

O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.

Sincronização em example1.com e example2.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Considere estas etapas:

  1. Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
  2. Faça uma sincronização completa ou incremental, por exemplo1.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.

  3. Faça uma sincronização incremental, por exemplo2.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com.

  4. Faça uma sincronização completa, por exemplo2.com.

    Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.

Sincronizar um novo domínio E Preservar um domínio existente

Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.

Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).

Definir a prioridade do domínio

Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.

Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.

Antes de começar

Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Definir prioridade de domínio .

3

Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração.

Os domínios são classificados por prioridade de cima para baixo.

Alternar domínios

Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.

Antes de começar

  • Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.

  • Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Alternar domínio .

3

Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim .

Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas.

4

Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio.

Desativar a sincronização do diretório

Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Sincronização de diretório e escolha uma:

  • Clique em mais e, em seguida, clique em Desativar ao lado da instância do conector que você deseja desativar.
  • Clique em Desativar todas as sincronizações de diretório para interromper a sincronização de todas as instâncias do conector.
2

Depois de ler o aviso, clique em Desativar .

A sincronização para até que você a reative no Conector de diretórios.

Remover Mapeamento de Atributos do Usuário

Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Remover mapeamento de atributos do usuário .

3

Selecione o mapeamento a ser removido da lista Attribute Name .

4

Em Escopo de usuário afetado , selecione uma das seguintes opções:

  • Somente usuários sincronizados pelo Conector de diretório : o mapeamento será removido apenas dos usuários que o Conector de diretórios sincronizou anteriormente.
  • Todos usuários: o mapeamento será removido de todos os usuários do Active Directory.
5

Clique em Aplicar.

Gerenciar fotos de perfil

Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Gerenciar imagens de perfil .

3

Em Ações , selecione uma das seguintes opções:

  • Remova imagens de perfil de fontes de avatar vazias : se a imagem de perfil do Active Directory estiver em branco, essa opção garantirá que as imagens de perfil do usuário sejam removidas da nuvem, mesmo que o usuário tenha carregado anteriormente sua própria imagem no Webex.
  • Recarregue da fonte sincronizada para substituir as imagens armazenadas em cache : O Conector de diretórios usa o mesmo Active Directory que o anterior para atualizar as imagens de perfil de todos os usuários. Isso garante que não haja incompatibilidade entre as imagens de perfil no Active Directory e na nuvem.
4

Clique em Aplicar.

Desinstalar e desativar o Conector de diretórios

Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:

  • Você não deseja mais usar a sincronização de diretório.

  • Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).

  • Você deseja alterar o domínio e instalar outro conector.

Antes de começar

  • Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.

  • Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.

1

Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos .

2

Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções.

Você pode ter que reinicializar o sistema para concluir a desinstalação.

3

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretório, clique em mais e clique em Desativar ao lado da instância do conector de diretório que você deseja desinstalar.

4

Depois de ler o aviso, clique em Desativar .

A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas.

Executar a ferramenta de diagnóstico

Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.

Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.

  • Para executar testes para os serviços de domínio do Active Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-DS , insira seu Domain e clique em Carregar controladores de domínio .

    2. Escolha um Controlador de domínio na lista.

      Não altere a entrada mais tarde, pois a pesquisa incremental deve sempre ser executada no mesmo Controlador de domínio.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como os objetos Users e Group e os filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para os serviços Active Directory Lightweight Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-LDS , insira seu Organizador e Porta e clique em Partições de carga .

    2. Escolha uma Partição na lista e clique em Connect .

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como User , UserProxy , e UserProxyFull e filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para o LDAP (Lightweight Directory Access Protocol):

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique no LDAP RAW guia, insira seu Root Path , Filter e escolha uma entrada de Atributos e clique em Load Partitions .

    2. Verifique as seguintes opções conforme necessário:

      • ObjectSecurity —Se esta opção estiver presente, o chamador não exigirá direitos e poderá ver apenas objetos e atributos acessíveis ao chamador. Se essa opção não estiver presente, o chamador terá o direito de replicar as alterações.

      • ParentsFirst —Garante que todos os pais das crianças venham antes de seus filhos.

    3. Escolha um valor para ExtendedDN .

      Esse valor é usado com uma pesquisa LDAP estendida para solicitar uma forma estendida de nome diferenciado de objeto.

    4. Escolha um valor para ReferralChasing .

      Uma busca de referência é iniciada quando um controlador de domínio retorna uma indicação de uma consulta - por exemplo, para detalhes de um resultado de consulta que pode estar fora do namespace (como membros do grupo em outro domínio ou floresta).

    5. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    6. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

Solucionar problemas no Ciso Directory Connector

Solução de problemas e correções para o conector de diretórios

Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.

Instalar

O conector de diretório parou de funcionar

Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.

  • O Conector de diretórios pode não estar instalado corretamente.

  • O Conector de diretórios pode não estar em execução.

  • A rede pode não estar disponível.

Tente o seguinte:

  • Abra Painel de controle > Programas e recursos . Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a.

  • Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.

  • Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.

Erro de reinstalação

Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.

Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.

Solução —Após algum tempo passar, tente a instalação novamente.

Iniciar sessão

O Conector de diretórios falha durante o início de sessão do SSO

Problema

O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.

Solução

Tente o seguinte:

Execute estas etapas para configurar uma nova política de grupo:

  1. Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).

  2. Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…

  3. Dê um nome à política, clique com o botão direito do mouse e escolha Edit .

Execute estas etapas para alterar a política no nível da máquina:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

Execute estas etapas para alterar a política no nível do usuário:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

As alterações têm efeito depois de executar gpupdate /force , a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).

O Conector do serviço Cisco DirSync não pôde ser registrado

Problema

Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."

Solução

O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.

Nenhuma página de logon é exibida

Problema

Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.

Solução

Tente as seguintes etapas:

  1. No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.

  2. Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)

O aviso de início de sessão é exibido

Problema

Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.

Causas possíveis

O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.

Solução

Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.

Não foi possível conectar-se ao servidor remoto

Problema

Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".

Causas possíveis

Você pode ter problemas de proxy que precisam ser resolvidos.

Solução

Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.

Não foi possível registrar o conector

Problema

Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."

Causas possíveis

Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.

Solução

Tente o seguinte:

  1. Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .

  2. Clique em Conexão > Vincular , escolha Vincular como atualmente conectado ao usuário , e clique em OK .

  3. Clique View > Tree , digite DC=arbonneintl,DC=ad como BaseDN e clique em OK .

  4. Se o problema persistir, abra um caso com o suporte .

Sincronização

Avatares não sincronizados

Problema

O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.

Causas possíveis

Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.

Solução

Exclua o cache local seguindo estas etapas:

  1. Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\

  2. Excluir DirSyncPluginAvatar.dll-cache.bin .

  3. Execute novamente a sincronização do avatar do conector de diretórios da Cisco.

Conflitas de e-mail do usuário em conflito

Problema

Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.

  • Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.

  • Se os e-mails dos usuários já foram sincronizados em outra organização.

  • Se os e-mails do usuário existirem em vários domínios que pertencem à organização.

Solução

Tente o seguinte:

  • Siga estas etapas se estiver tentando reivindicar usuários:

    1. Certifique-se de ter verificado o domínio no Control Hub .

    2. Desative temporariamente o Conector de diretórios da Cisco.

    3. Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.

    4. Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório

  • Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.

Usuário convertido marcado como inativo

Problema

No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.

Causas possíveis

Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.

Solução

Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.

Falha na sincronização incremental

Problema

Uma sincronização incremental falha.

Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:

  • Você oferece suporte a atualizações de valor incremental.

  • O filtro que você usa faz referência a um atributo de valor vinculado.

  • Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.

Solução

O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.

Valor inválido para o atributo

Problema

Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].

Causas possíveis

Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.

Solução

Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.

Usuários correspondentes a serem excluídos

Problema

Os usuários correspondentes são marcados para serem excluídos.

Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.

Solução

Escolha uma correção apropriada:

  • Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.

  • Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .

Atributo ausente

Problema

O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.

Causas possíveis

O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.

Solução

Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.

O grupo aninhado não sincronizará

Problema

Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.

Causas possíveis

É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)

Solução

Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)

Conflito de nomeação do usuário

Problema

Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].

Causas possíveis

Um usuário com esse endereço de e-mail já existe no Control Hub.

Solução

Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.

Hub de controle

Lista de usuários ausente no Control Hub

Problema

Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.

Solução

Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.

Os grupos não serão sincronizados com o Control Hub

Problema

Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.

Causas possíveis

O grupo não está marcado como isCriticalSystemObject no Active Directory.

Solução

Certifique-se de que o atributo isCriticalSystemObject esteja definido como TRUE no Active Directory.

Ativar solução de problemas para o Conector de diretórios

Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.

Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

Execute o arquivo services.msc para alterar a conta em execução do serviço do Conector de diretórios do Sistema Local para uma conta de domínio com privilégios para acessar seu AD DS ou AD LDS.

2

Reinicie o serviço.

Consulte Como iniciar serviços para obter orientação.

3

No Conector de diretórios, clique em Painel .

4

Vá para Ações e clique em Utilitários > Solução de problemas .

5

Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados.

6

Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS.

A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema.

7

Se necessário, envie o arquivo de registro para suporte para assistência.

8

Desative o recurso de solução de problemas quando terminar.

Iniciar o Visualizador de eventos

Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.

1

No Conector de diretórios, vá para Painel e clique em Ação > Iniciar visualizador de eventos .

A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro.

2

No Visualizador de eventos, vá para Registros de aplicativos e serviços > Conector de diretórios da Cisco .

3

Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv.

O que fazer em seguida

Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.

Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.

Ativar TLS no Internet Explorer

Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:

  • Ocorreu um erro ao fazer logon no serviço

  • Ocorreu um erro no script nesta página

Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.

1

Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente

2

Clique em Opções da Internet , vá para Avançado , role até a Segurança .

3

Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK .

4

Reinicie o sistema para que as alterações tenham efeito.

Solucionar problemas de início de sessão da conta de serviço

Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.

1

Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web.

2

Escolha um, dependendo dos resultados:

  • Se você não puder visitar o link do navegador, verifique as configurações de rede. Se seu ambiente usar proxy, verifique as configurações de proxy.
  • Se você puder visitar o link do seu navegador, mas não puder abrir o conector de diretórios da Cisco ( Não é possível abrir o conector e aparecer uma mensagem de erro com 407 ), clique aqui para obter a versão mais recente do conector de diretórios da Cisco.
  • Se você puder visitar o link do seu navegador, mas não puder executar uma sincronização do conector de diretórios da Cisco, altere a conta de logon do serviço para admin do domínio .

    Verifique se a conta que você usou para iniciar sessão no sistema Windows é a mesma conta que você definiu no "Serviço Cisco DirSync". Se eles são 2 contas diferentes, certifique-se de que ambas as contas podem visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Se seu ambiente usar proxy, certifique-se de que ambas as contas estejam configuradas para proxy no Internet Explorer e possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL com êxito.

3

No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Visão geral do conector de diretórios da Cisco

Visão geral do conector de diretórios

O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.

Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.

Veja todos os recursos, descrições e benefícios na tabela:

RecursoDescrição e benefício
Painel fácil de usar O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão.
Simulação antes de sincronizar com a nuvem Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera.
Sincronização completa e incremental Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização.

Sincronizar vários domínios (floresta única ou várias florestas)

O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade.

Sincronização agendada Defina uma agenda de sincronização por dia, hora e minuto.
Filtros LDAP (Lightweight Directory Access Protocol) Defina critérios de pesquisa LDAP e forneça importações eficientes.
mapeamento de atributos do Active Directory Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante).

Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex

Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.

Recursos da sala
Após sincronizar as informações da sala, os dispositivos de sala do local com um endereço SIP configurado e mapeado, aparece como entrada pesquisável em dispositivos de sala registrados em nuvem, como um dispositivo de Cisco Webex Room ou Cisco Webex Board.

Quando os usuários fizerem uma pesquisa em um dispositivo Cisco Webex Room ou Cisco Webex Board, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando fizerem uma chamada do dispositivo Webex nessa entrada, uma chamada será feita para o endereço SIP que foi configurado para a sala.

Ligando
Os usuários podem fazer chamadas para contatos corporativos, além dos contatos do aplicativo Webex. Por meio do Conector de diretórios, os usuários corporativos e seus números de telefone são adicionados à sua organização Webex. Eles não precisam ser licenciados para que os serviços Webex para esse recurso funcionem.

Os usuários que não são licenciados para o Webex aparecerão na pesquisa de diretório executada de um telefone de usuário do Cisco Webex Calling, desde que haja um URI ou um número de telefone sincronizado com o Webex por meio do Conector de diretórios. A funcionalidade de chamada tem o mesmo comportamento para ambos os tipos de usuários. Esse recurso também fornece a funcionalidade de edição de discagem para contatos com apenas números de telefone.

No resultado da pesquisa de contatos:

  • Se os contatos tiverem um URI discável (endereço SIP Webex) e um número de telefone, o URI assocoiated com o contato será exibido.

  • Se os contatos não tiverem um URI discável, mas tiverem um número de telefone, o número de telefone será mostrado. Eles também têm uma tecla programável Editar discagem.

  • Se os contatos não tiverem nenhum dos dois, eles não serão mostrados no diretório.

visualizador de Eventos Use o visualizador de eventos para determinar se houve algum problema com a sincronização.
Ferramenta de diagnóstico e solução de problemas Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte.

Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico.

Atualização automática Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada.
Alta disponibilidade Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia.

O Conector de diretórios é dividido em três áreas:

  • Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.

  • Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.

  • Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.

Consulte este diagrama para entender a arquitetura do Conector de diretórios:

Arquitetura para Conector de diretórios

Preparar seu ambiente para o conector de diretórios

Requisitos do conector de diretórios

Requisitos do Windows e do Active Directory

Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .

O Conector de diretórios é compatível com os seguintes serviços do Active Directory:

  • Active Directory 2016

    (O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)

  • Active Directory 2012

  • Active Directory 2008 R2

  • Active Directory 2008

Observe os seguintes requisitos adicionais:

Requisitos de hardware

Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:

  • 8 GB de RAM

  • 50 GB de armazenamento

  • Nenhum mínimo para a CPU

Requisitos de rede

Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.

Requisitos da organização Webex

  • Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.

  • (Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

Requisitos de instalação

  • Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).

  • Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.

    Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .

  • Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.

Vários requisitos de domínio

Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:

  • Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.

  • O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.

  • Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)

  • Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.

  • Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)

Recomendações do grupo Active Directory para atribuição automática de licenças

Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.

Existem dois tipos de grupos no Active Directory:​

  • Grupos de distribuição —Usados para criar listas de distribuição por e-mail.​

  • Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.

Considere as seguintes diretrizes ao criar grupos no Active Directory:

  • Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).​

  • Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.​

  • Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.

  • Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.

Informações de Dimensionamento

O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.

Alguns fatores podem afetar a velocidade da sincronização:

  • O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)

  • Velocidade da rede e largura de banda.

  • Carga de trabalho do sistema e especificações.

Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.

Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Integração de proxy da web

Integração de proxy da web

Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.

Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.

Você pode fazer uma dessas abordagens:

  • Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)

  • Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)

  • Proxy transparente que funciona com o conector sem alterações

Usar um proxy da web por meio do navegador

Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.

Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.

1

No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN .

2

Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web.

3

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

4

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Configurar o proxy da web por meio de um arquivo PAC

Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.

1

Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para cloudconnector.webex.com na configuração do arquivo .pac para o host onde o conector está instalado.

2

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

3

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Proxy NTLM

O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.

Design NTLM

Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.

Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge e Response :

  1. Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.

    Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.

  2. Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.

  3. Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.

  4. Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.

  5. O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.

O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.

Configurar proxy transparente

Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.

1

Implante um proxy transparente para que o conector possa conectar e sincronizar usuários.

2

Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector.

Definir autenticação de proxy

Adicione a URL cloudconnector.webex.com à sua lista de permissões criando uma lista de controle de acesso.

No servidor de firewall corporativo:

1

Ative a pesquisa DNS se ainda não estiver ativada.

2

Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário.

3

Crie uma lista de controle de acesso para aplicar ao host do conector e especifique cloudconnector.webex.com como o destino a ser adicionado à lista de permissões.

Por exemplo:

Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https
4

Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector.

5

Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada.

Implantar o conector de diretórios

Fluxo de tarefas de implantação do conector de diretório da Cisco

1

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

2

Iniciar Sessão No Conector De Diretórios

Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial.

3

Definir atualizações automáticas

É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

4

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

5

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid.

6

Sincronize avatares de diretório usando um dos seguintes procedimentos:

Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos.

7

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board

8

Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:

Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.

Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:

Fluxo de vários domínios para o conector de diretório

Antes de começar

Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador

  • Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .

1

No Control Hub , vá para Users > Gerenciar usuários > Habilite a sincronização de diretório e escolha Next .

2

Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows.

Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione.

Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

3

No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração.

4

Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta.

5

Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:

  • Sistema local —A opção padrão. Você pode usar esta opção se tiver um proxy configurado através do Internet Explorer.
  • Conta de domínio —Use esta opção se o computador fizer parte do domínio. O Conector de diretórios deve interagir com os serviços de rede para acessar recursos de domínio. Você pode inserir as informações da conta e clique em OK . Ao inserir o Nome de usuário , use o formato {domain}\{user_name}

    Para um proxy que se integra ao AD (NTLMv2 ou Kerberos), você deve usar a opção de conta de domínio. A conta usada para executar o Serviço do Conector de diretórios deve ter privilégio suficiente para passar o proxy e acessar o AD.

Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:

  • O servidor faz parte do domínio

  • A conta de domínio pode acessar os dados do AD e os dados de avatares locais. A conta também deve ter a função de administrador local, porque deve acessar os arquivos de acesso em C:\Program Files .

  • Para um logon da máquina virtual, o privilégio de conta de administrador deve pelo menos ser capaz de ler informações de domínio.

6

Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar .

O que fazer em seguida

Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.

Iniciar Sessão No Conector De Diretórios

Antes de começar

Certifique-se de ter suas credenciais de proxy.

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.

  • Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .

1

Abra o conector e adicione https://idbroker.webex.com à sua lista de sites confiáveis se você vir um aviso.

2

Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next .

3

Confirme sua organização e domínio.

  • Se você escolher AD DS , verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão, escolha o domínio do qual deseja sincronizar e clique em Confirmar .

    Se você não verificar LDAP sobre SSL , o DirSync continuará a usar o protocolo de conexão LDAP.

    LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

  • Se você escolher AD LDS , insira o host, o domínio e a porta e clique em Atualizar para carregar todas as partições de aplicativos. Em seguida, selecione a partição na lista suspensa e clique em Confirmar . Consulte a seção AD LDS para obter mais informações.

    No arquivo CloudConnectorCommon.dll config, certifique-se de adicionar a configuração ADAuthLevel ao appSetting nó. Os valores podem ser 1, 2 ou 3. Consulte este artigo da Microsoft para saber mais sobre AuthenticationTypes . Aqui está um exemplo da configuração com um valor de 1:

    <appSettings> <add key="ConnectorServiceURI" value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL"/> <add key="ADAuthLevel" value="1"/> </appSettings>
4

Depois que a tela Confirmar organização for exibida, clique em Confirmar .

Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida.

5

Clique em Confirmar .

6

Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:

  • Se você tiver um único domínio que é AD LDS , vincule-o à fonte AD LDS existente e clique em Confirmar .
  • Se você tiver um único domínio AD DS , vincule-o ao domínio existente ou a um novo domínio. Se você escolher Bind para um novo domínio , clique em Next .

    Como o tipo de origem existente é AD DS, você não pode selecionar AD LDS para a nova vinculação.

  • Se você tiver mais de um domínio, escolha um domínio existente na lista ou Vincular a um novo domínio e clique em Next .

    Como você tem mais de um domínio, o tipo de origem existente deve ser AD DS . Se você escolher Bind para um novo domínio e clicar em Next , você não poderá selecionar AD LDS para a nova vinculação.

O que fazer em seguida

Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.

Painel do conector de diretórios

Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.

Se a sua sessão expirar, inicie sessão novamente.

Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.

Tabela 1. Componentes do painel

Componente

Descrição

Sincronização atual

Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa.

Próxima sincronização

Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido.

Última sincronização

Exibe o status das duas últimas sincronizações executadas.

Status de sincronização atual

Exibe o status geral da sincronização.

Conectores

Exibe os conectores locais atuais que estão disponíveis para a nuvem.

Estatísticas da nuvem

Exibe o status geral da sincronização.

Agenda de sincronização

Exibe a agenda de sincronização para sincronização incremental e completa.

Resumo da configuração

Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
  • Todos os objetos serão sincronizados

  • Todos os usuários serão sincronizados

  • O limite excluído foi desativado.

Tabela 2. Barra de ferramentas de ações
AçãoDescrição
Iniciar sincronização incremental

Iniciar manualmente uma sincronização incremental

Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento.

Sincronizar execução seca

Execute uma sincronização de simulação.

Iniciar visualizador de eventos

Inicie o Microsoft Event Viewer.

Atualização

Atualizar o painel do conector de diretórios da Cisco

Tabela 3. Barra de menus de ações

Ação

Descrição

Sincronizar agora

Inicie uma sincronização completa instantaneamente.

Modo de sincronização

Selecione o modo de sincronização completa ou incremental.

Redefinir segredo do conector

Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente.

Simulação

Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa.

Solução de problemas

Ative/desative a solução de problemas.

Atualização

Atualize a tela principal do conector de diretórios da Cisco.

Sair

Saia do conector de diretórios da Cisco.

Tabela 4. Principais combinações

Combinação De Chave

Ação

Alt +A

Mostrar o menu Ações

Alt +A + S

Sincronização agora

Alt +A + R

Redefinir segredo do conector

Alt +A + D

Simulação seca

Alt +A + S + I

Sincronização incremental

Alt +A + S + F

Sincronização completa

Alt + H

Mostrar menu Help

Alt + H + H

Ajuda

Alt + H + A

Sobre

Alt + H + F

Perguntas frequentes

Definir atualizações automáticas

1

No Conector de diretórios, vá para Configuração > Geral e, em seguida, marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco .

2

Clique em Aplicar para salvar suas alterações.

Novas versões do conector são instaladas automaticamente quando estão disponíveis.

Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

Grupos para atribuição automática de licenças

O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.

Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:

(&(cn=Exemplo)(objectclass=Grupo))*

Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.

Tela de seleção de objeto no Conector de diretórios

Grupos para implantações de segurança de dados híbridos

No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.

1

No Conector de diretórios, vá para Configuração e clique em Seleção de objeto .

2

Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários.

Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

3

Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala.

Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud .

4

Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem.

Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem.

Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança.
5

Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem.

O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub.

6

Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP.

7

Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar.

8

Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar .

Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou.

Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs .

9

Clique em Aplicar .

Escolha uma opção:

  • Aplicar alterações de configuração

  • Simulação

  • Cancelar

Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory .

Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem .

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.

Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.

As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).

Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho.

2

Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :

  • mail — Usado pela maioria das implantações para o formato de e-mail.
  • userPrincipalName —Uma escolha alternativa se o atributo de correio for usado para outros fins no Active Directory. Este atributo deve estar no formato de e-mail.

Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios .

Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados.

3

Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo.

Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações.

Neste exemplo, vamos mapear os atributos do Active Directory givenName e Sn para o atributo displayName em nuvem:

  1. Defina a expressão do atributo como givenName + "" + Sn (as aspas sendo um espaço extra) e, em seguida, forneça um e-mail de usuário existente para verificar.

  2. Clique Verify , e veja se o resultado corresponde ao que você estava esperando.

    Um resultado bem-sucedido é o seguinte:

  3. Se os resultados forem o que você esperava, clique em OK para salvar o novo atributo personalizado.

    Mais tarde, se desejar alterar o displayName , você poderá inserir uma nova expressão de atributo

O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem:

Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário:

4

(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex.

Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário.

Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores).

5

Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:

  • número de departamento
  • nome de exibição
  • administrador
  • título

Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário:

Visualizar as informações de contato de alguém

Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato .

Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub

6

Depois de fazer suas escolhas, clique em Aplicar .

Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.

Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.

Ativos do Active Directory e da nuvem

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .

Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.

Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.

Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.

Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

Nomes de atributos do Active Directory

Nomes de atributos do Webex Cloud

Notas

buildingName

c

c

Esse atributo especifica a abreviatura do país do usuário.

número de departamento

número de departamento

Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas .

nome de exibição

nome de exibição

Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas .

userAccountControl

ds-pwp-account-disabled

Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente.

EmployeeNumber

EmployeeNumber

fasimileTelephoneNumber

fasimileTelephoneNumber

jabberID

Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses.

l

l

Esse atributo especifica a cidade do usuário.

localidade

administrador

administrador

Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas .

móvel

móvel

Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato .

o

o

Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato .

ou

ou

Esse atributo especifica o nome da unidade organizacional.

Entrega física OfficeName

Entrega física OfficeName

Esse atributo especifica o local do escritório do usuário.

Código postalCode

Código postalCode

Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico.

preferredLanguage

preferredLanguage

Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA.

Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização.

MSRTCSIP-PrimaryUserAddress

ipPhone

SipAddresses;type=enterprise

Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex.

sn

sn

Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas .

st.

st.

Este atributo especifica o estado ou a província do usuário.

streetAddress

rua

Esse atributo especifica o endereço do usuário para entrega de correio físico.

telefone

telefone

Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato .

fuso horário

Este atributo em nuvem especifica o fuso horário do usuário.

título

título

Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas .

tipo

empresa

*e-mail

*userPrincipalName

uid

Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem.

Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor.

Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo.

*userPrincipalName

*e-mail

<atributo personalizado>

e-mails;tipo de trabalho

Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

<Novo atributo para o usuário do Azure objectId>

externalId

Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente.

Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex .

Mapeamento de endereço de e-mail alternativo

Expressões para atributos personalizados

Tabela 5. Expressões para atributos personalizados

Operador

Descrição e exemplo

%

Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.

Exemplo de expressão
"abc@example.com" % "@"
Resultado
example.com

-

Tira a parte de trás da string de entrada do final da string especificada.

Exemplo de expressão
"abc@example.com" - "@"
Resultado
abc

+

Concatena sequências de entrada ou expressões.

Exemplo de expressão
"abc" + "" + "def"
Resultado
def abc

|

Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.

Exemplo de expressão
"" | "abc"
Resultado
abc

Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem.

3

Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário .

O avatar aparece à direita.

4

Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações.

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar avatares de diretório de um servidor de recursos para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.

Antes de começar

  • O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.

  • O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.

  • A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}. jpg

Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:

  • http://www.example.com/dir/photo/zoom/—O caminho para onde todas as fotos que serão sincronizadas está localizado. Tem que ser uma URL que o serviço Conector de diretórios em seu servidor deve ser capaz de alcançar.
  • mail:—Conector de diretório diz para obter o valor do atributo de correio do Active Directory
  • .*?(?=@.*) —Uma sintaxe regex que executa estas funções:
    • .*—Qualquer caractere, repetindo zero ou mais vezes.

    • ? — Diz à variável anterior para corresponder aos poucos caracteres possíveis.

    • (?= ... )—Corresponde a um grupo após a expressão principal sem incluí-lo no resultado. O Conector de diretórios procura uma correspondência e não a inclui na saída.

    • @.*—O símbolo a, seguido por qualquer caractere, repetindo zero ou mais vezes.

  • .jpg — A extensão do arquivo para os avatares de seus usuários. Consulte os tipos de arquivo suportados neste documento e altere o ramal de acordo.
3

(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha.

4

Insira o Valor da variável —Por exemplo: abcd@example.com .

5

Clique em Test para garantir que o padrão de URI do avatar funcione corretamente.

Neste exemplo, se o valor de correio de uma entrada AD é abcd@example.com e as imagens jpg estavam sendo sincronizadas, o URI Final Avatar é http://www.example.com/dir/photo/zoom/abcd.jpg

6

Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar .

Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft .

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).

1

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Seleção de objeto .

2

Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização.

Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário.

3

Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise .

Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")

  • Escolha MSRTCSIP-PrimaryUserAddress se disponível.
  • Se você não tiver o atributo acima no esquema do Active Directory, use outro campo, como ipPhone .
4

Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas.

5

De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip:

6

Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector.

Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas .

Os resultados da simulação mostram todos os recursos de sala que foram correspondidos.

Resultados da simulação do Conector de diretório que mostram objetos correspondentes

Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem.

Painel do conector de diretórios destacando a janela de estatísticas de nuvem. As estatísticas de nuvem incluem usuários, grupos, salas e contatos.

O que fazer em seguida

Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.

No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.

O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.

Enviar relatórios de e-mail nos resultados da sincronização de diretórios

Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.

1

No Conector de diretórios, clique em Configuração e escolha Notificação .

2

No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório .

3

Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail.

4

Clique em Adicionar e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

5

Clique em Adicionar e-mail e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

6

Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias.

7

Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar .

8

Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar .

O que fazer em seguida

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.

Provisionar Usuários Do Active Directory Para O Control Hub

Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

1

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

2

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

3

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial.

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.

Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.

Antes de começar

Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, clique em Sim no aviso para executar uma simulação.
  • Se você perder um lembrete para executar uma simulação, a qualquer momento no Conector de diretórios, clique em Dashboard , escolha Sync Dry Run e, em seguida, clique em OK para iniciar uma sincronização de simulação.

Quando a simulação for concluída, você verá um dos seguintes resultados:

  • Objetos incompatíveis detectados no Conector de diretórios

  • Resumo dos resultados do relatório de execução seca e objetos incompatíveis no Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

O Resumo contém informações sobre a correspondência de objetos:

  • Objects Matched - Um usuário que está no Webex Common Identity e também existe no domínio do Active Directory, ou seja, se someuser@cisco.com foi sincronizado com o Webex e exibido no Control Hub e o mesmo usuário (someuser@cisco.com) existe no Active Directory. Isso significa que o usuário foi correspondido.

  • Objetos incompatíveis - Um usuário que está no Webex, não importa como o usuário foi adicionado na Common Identity, mas o usuário não existe no Active Directory. É chamado de Objeto Incompatível. Por exemplo, se someuser@cisco.com foi sincronizado no Webex e exibido no Control Hub, mas o mesmo usuário (someuser@cisco.com) não for gerenciado pelo Active Directory, o relatório mostrará que o usuário é incompatível.

A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local.

2

Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:

  • Domínio único —Decida se deseja manter os usuários incompatíveis. Se você quiser mantê-los, escolha Não, reter objetos ; se você não quiser, escolha Sim, excluir objetos . Depois de executar essas etapas e executar manualmente uma sincronização completa para que haja uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilita automaticamente as tarefas agendadas de sincronização automática.
  • Vários domínios —Para uma organização com o Domínio A e o Domínio B, primeiro faça uma simulação do Domínio A. Se você quiser manter usuários incompatíveis, escolha Não, retenha objetos . (Esses usuários incompatíveis podem ser membros do Domínio B.) Se você deseja excluir, escolha Sim, exclua objetos .

    Se você mantiver os usuários, execute uma sincronização completa para o Domínio A primeiro e, em seguida, execute uma simulação para o Domínio B. Se ainda houver usuários inigualáveis, adicione esses usuários no Active Directory e faça uma sincronização completa para o Domínio B. Quando houver uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilitará automaticamente as tarefas agendadas de sincronização automática.

3

No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados.

Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched .

Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail.

Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo .

4

Se os resultados forem esperados, vá para Ações > Modo de sincronização > Ativar sincronização e clique em Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto.

Depois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais.

O que fazer em seguida

Coisas a se Manter em mente

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.

O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.

Antes de começar

  • Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:

  • Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

    Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, se a simulação estiver concluída e estiver correta para todos os domínios, clique em Ativar agora para permitir que a sincronização automática ocorra.
  • No Conector de diretórios, vá para Painel , clique em Ações , escolha Modo de sincronização > Ativar sincronização e clique em Sincronizar agora > Completo para iniciar a sincronização.
2

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Sincronização completa .

3

Confirme o início da sincronização.

Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Última sincronização e Estatísticas de nuvem são atualizadas com as novas informações. Os dados do usuário são sincronizados com a nuvem.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .)

5

Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

6

Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental .

  • Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.

  • Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.

  • A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.

  • Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.

  • Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.

  • Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.

  • Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.

O que fazer em seguida

  • Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).

    Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.

  • Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):

    • No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.

    • As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.

Antes de começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Execute uma sincronização de simulação nos usuários do Active Directory.

  • Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.

No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Usuários, clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo...

2

Escolha uma opção:

O que fazer em seguida

  • Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.

  • Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.

Problemas conhecidos com o Conector de diretórios

Gerenciar usuários do aplicativo Webex

Executar uma sincronização incremental

Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.

Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.

Antes de começar

1

No Conector de diretórios, clique em Painel .

Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro.

2

Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora.

3

Em Ações , clique em Sincronizar agora > Incremental .

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Last Synchronization e Cloud Statistics são atualizadas com as novas informações.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

O que fazer em seguida

Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.

Recuperar usuários excluídos acidentalmente

O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.

Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.

Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.

Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.

1

Inicie sessão no Control Hub.

2

Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada.

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

3

Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios.

O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem.

4

Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub.

Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço.

O que fazer em seguida

Retorne ao Control Hub, vá até Management > Users e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.

Excluir usuários permanentemente após a exclusão suave

Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.

1

Após a conclusão de uma simulação, selecione Objetos excluídos por software .

2

Marque a caixa de seleção ao lado dos usuários que você deseja excluir.

3

Selecione Concluído.

O que fazer em seguida

Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.

Alterar um endereço de e-mail do aplicativo Webex

Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.

Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.

  • Para alterar os endereços de e-mail do usuário sem alterar o domínio:

    1. Abra a conta de usuário (exemplo, user1@example.com) no Active Directory e altere o endereço de e-mail (exemplo, user2@example.com).

    2. Retome a sincronização no Conector de diretórios.

      Após a próxima sincronização, as alterações aparecem na sua lista de usuários no Control Hub e para os usuários no aplicativo Webex após a atualização do cache.

      Não há perda de dados ou espaços usando este método. O identificador exclusivo do usuário é definido na nuvem após a primeira sincronização. Todas as sincronizações subsequentes são baseadas neste identificador.

  • Em uma implantação de vários domínios com o Conector de diretórios, altere os endereços de e-mail do usuário ao alterar o domínio (considere example1.com o domínio antigo e example2.com o novo domínio):

    1. Para a conta de usuário antiga (user1@example1.com), observe o atributo do Active Directory que mapeia para o atributo uid em nuvem. Você precisa usar este mesmo valor do Active Directory para a nova conta. Para este exemplo, usaremos user1@example1.com como o atributo local para mapear para uid na nuvem.

    2. Pause a sincronização nos domínios do Directory Connector, por exemplo1.com e example2.com.

    3. Crie uma nova conta de usuário no example2.com e use o mesmo atributo acima. (Por exemplo, user1@example1.com ).

    4. No Conector de diretórios, retome a sincronização, por exemplo2.com

      Antes de continuar, verifique se a conta user1@example2.com é sincronizada no Control Hub. Recomendamos que você instrua o usuário a verificar a alteração de e-mail no aplicativo Webex e que todos os dados (espaços, mensagens, reuniões, arquivos e assim por diante) sejam mantidos.

      Não há perda de dados ou espaços usando esse método, mas na nova conta de usuário, você deve garantir que o atributo Active Directory que mapeia o atributo uid em nuvem seja preservado da conta de usuário antiga. Se você alterar o valor do Active Directory, a nova conta não reterá os dados da conta antiga.

    5. Depois de verificar a alteração do endereço de e-mail e os dados estão intactos, exclua a conta de usuário antiga no example1.com e, em seguida, use o Conector de diretórios para retomar a sincronização, por exemplo1.com.

      Neste ponto, você pode atualizar com segurança o endereço de e-mail no novo domínio do Active Directory para user1@example2.com.

O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .

Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.

Alterar o domínio do Active Directory

Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.

1

Configure um novo domínio do Active Directory (AD).

2

Desative as sincronizações em todos os seus conectores.

3

Desinstale todos os seus conectores.

4

Abra um caso para alterar o domínio .

No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização.

Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido.

5

Depois que o caso for resolvido:

  1. Instale o Conector de diretórios no mesmo servidor que o do novo domínio do Active Directory.

  2. Configure o Conector de diretórios para que seu ponto para o novo domínio do Active Directory.

    Se houver usuários existentes no Control Hub ( https://admin.webex.com), certifique-se de que os usuários com endereços de e-mail correspondentes também estejam presentes no Active Directory. Se sua organização desativou a alternância softDelete no DirSync, os endereços de e-mail do usuário que estão no Control Hub, mas não na exclusão de risco do Active Directory.

Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real.

Reivindicação de domínio

Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).

Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.

Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório

Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.

Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.

Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.

Alguns usuários reivindicados podem aparecer com o movedfrom atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído em vez de MismatchedObject . Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.

Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.

1

Desative a sincronização de diretório do Conector de diretórios.

2

Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa.

Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes.

3

No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos.

Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com).

Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex.

4

Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios.

As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.

Contas de usuários do aplicativo Webex embarcadas

Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.

Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .

Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório

Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.

Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .

Esse nome de usuário pode aparecer se o atributo displayName no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName na nuvem, os nomes aparecem no formato no Control Hub.

Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn (ou sn givenName ) para displayName nos nomes de atributos da Cisco Cloud.

Como alternativa, mapeie o atributo sn givenName para displayName :

Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName .

Por exemplo, insira givenName + "" + sn (nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName na nuvem.

Permitir que os usuários alterem nomes de exibição no Webex Meetings

Você pode desmapear o atributo displayName da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

2

Selecione displayName sob Nome do atributo da Cisco Cloud .

3

Selecione Não sincronizar este atributo .

O que fazer em seguida

Os usuários agora podem editar seus nomes de exibição no site Webex .

Solução de problemas do conector de diretório

Atualizar para a versão mais recente do software

Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .

O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.

Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.

1

Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização.

2

Siga as instruções para concluir a atualização.

3

Reinicie o conector e inicie sessão com suas credenciais de administrador.

4

Verifique o número da versão do software em Help > Sobre .

O que fazer em seguida

Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.

Definir configurações gerais para o conector de diretórios

Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.

1

No Conector de diretórios, vá para Configuração e clique em Geral .

2

No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector.

3

Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:

  • Info (Padrão) — Mostra mensagens informativas que destacam o progresso do aplicativo em um nível elevado. Use esta configuração se desejar receber relatórios depois de todas as sincronizações completas.

  • Avisar — Mostra situações potencialmente nocivas.

  • Debug —Mostra eventos informativos detalhados que são mais úteis para depurar um aplicativo. Quando você vir qualquer problema, defina esse nível de registro e envie o registro de eventos para suporte ao abrir um caso.

  • Erro —Mostra eventos de erro que ainda podem permitir que o aplicativo continue em execução. Quando você escolher esta opção, os relatórios de sincronização serão enviados apenas quando os erros forem relatados.

Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.)

4

Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades.

Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário.

5

Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram.

É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

6

Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão.

Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP.

LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

Configurar a política do conector

Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.

Por exemplo, você define 1 como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.

1

No Conector de diretórios, clique em Configuração e escolha Política .

2

Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite.

A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
3

Insira o número máximo de exclusões que você deseja. A predefinição é 20.

Recomendamos que você não aumente o valor padrão.

4

Clique em Aplicar.

Definir a agenda do conector

Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.

1

No Conector de diretórios, clique em Configuração e escolha Agendar .

2

Especifique o Intervalo de sincronização incremental em minutos.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa.

3

Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados.

4

Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra.

5

Especifique o Intervalo de failover em minutos.

6

Clique em Aplicar.

Vários cenários de domínio

Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.

Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.

O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .

Exemplo de caso de uso para vários domínios

Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.

  • Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.

  • Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.

  • Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.

  • Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.

Sincronização no exemplo1.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.

O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.

Sincronização em example1.com e example2.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Considere estas etapas:

  1. Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
  2. Faça uma sincronização completa ou incremental, por exemplo1.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.

  3. Faça uma sincronização incremental, por exemplo2.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com.

  4. Faça uma sincronização completa, por exemplo2.com.

    Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.

Sincronizar um novo domínio E Preservar um domínio existente

Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.

Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).

Definir a prioridade do domínio

Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.

Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.

Antes de começar

Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Definir prioridade de domínio .

3

Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração.

Os domínios são classificados por prioridade de cima para baixo.

Alternar domínios

Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.

Antes de começar

  • Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.

  • Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Alternar domínio .

3

Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim .

Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas.

4

Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio.

Desativar a sincronização do diretório

Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Sincronização de diretório e escolha uma:

  • Clique em mais e, em seguida, clique em Desativar ao lado da instância do conector que você deseja desativar.
  • Clique em Desativar todas as sincronizações de diretório para interromper a sincronização de todas as instâncias do conector.
2

Depois de ler o aviso, clique em Desativar .

A sincronização para até que você a reative no Conector de diretórios.

Remover Mapeamento de Atributos do Usuário

Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Remover mapeamento de atributos do usuário .

3

Selecione o mapeamento a ser removido da lista Attribute Name .

4

Em Escopo de usuário afetado , selecione uma das seguintes opções:

  • Somente usuários sincronizados pelo Conector de diretório : o mapeamento será removido apenas dos usuários que o Conector de diretórios sincronizou anteriormente.
  • Todos usuários: o mapeamento será removido de todos os usuários do Active Directory.
5

Clique em Aplicar.

Gerenciar fotos de perfil

Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Gerenciar imagens de perfil .

3

Em Ações , selecione uma das seguintes opções:

  • Remova imagens de perfil de fontes de avatar vazias : se a imagem de perfil do Active Directory estiver em branco, essa opção garantirá que as imagens de perfil do usuário sejam removidas da nuvem, mesmo que o usuário tenha carregado anteriormente sua própria imagem no Webex.
  • Recarregue da fonte sincronizada para substituir as imagens armazenadas em cache : O Conector de diretórios usa o mesmo Active Directory que o anterior para atualizar as imagens de perfil de todos os usuários. Isso garante que não haja incompatibilidade entre as imagens de perfil no Active Directory e na nuvem.
4

Clique em Aplicar.

Desinstalar e desativar o Conector de diretórios

Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:

  • Você não deseja mais usar a sincronização de diretório.

  • Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).

  • Você deseja alterar o domínio e instalar outro conector.

Antes de começar

  • Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.

  • Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.

1

Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos .

2

Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções.

Você pode ter que reinicializar o sistema para concluir a desinstalação.

3

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretório, clique em mais e clique em Desativar ao lado da instância do conector de diretório que você deseja desinstalar.

4

Depois de ler o aviso, clique em Desativar .

A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas.

Executar a ferramenta de diagnóstico

Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.

Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.

  • Para executar testes para os serviços de domínio do Active Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-DS , insira seu Domain e clique em Carregar controladores de domínio .

    2. Escolha um Controlador de domínio na lista.

      Não altere a entrada mais tarde, pois a pesquisa incremental deve sempre ser executada no mesmo Controlador de domínio.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como os objetos Users e Group e os filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para os serviços Active Directory Lightweight Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-LDS , insira seu Organizador e Porta e clique em Partições de carga .

    2. Escolha uma Partição na lista e clique em Connect .

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como User , UserProxy , e UserProxyFull e filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para o LDAP (Lightweight Directory Access Protocol):

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique no LDAP RAW guia, insira seu Root Path , Filter e escolha uma entrada de Atributos e clique em Load Partitions .

    2. Verifique as seguintes opções conforme necessário:

      • ObjectSecurity —Se esta opção estiver presente, o chamador não exigirá direitos e poderá ver apenas objetos e atributos acessíveis ao chamador. Se essa opção não estiver presente, o chamador terá o direito de replicar as alterações.

      • ParentsFirst —Garante que todos os pais das crianças venham antes de seus filhos.

    3. Escolha um valor para ExtendedDN .

      Esse valor é usado com uma pesquisa LDAP estendida para solicitar uma forma estendida de nome diferenciado de objeto.

    4. Escolha um valor para ReferralChasing .

      Uma busca de referência é iniciada quando um controlador de domínio retorna uma indicação de uma consulta - por exemplo, para detalhes de um resultado de consulta que pode estar fora do namespace (como membros do grupo em outro domínio ou floresta).

    5. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    6. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

Solucionar problemas no Ciso Directory Connector

Solução de problemas e correções para o conector de diretórios

Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.

Instalar

O conector de diretório parou de funcionar

Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.

  • O Conector de diretórios pode não estar instalado corretamente.

  • O Conector de diretórios pode não estar em execução.

  • A rede pode não estar disponível.

Tente o seguinte:

  • Abra Painel de controle > Programas e recursos . Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a.

  • Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.

  • Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.

Erro de reinstalação

Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.

Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.

Solução —Após algum tempo passar, tente a instalação novamente.

Iniciar sessão

O Conector de diretórios falha durante o início de sessão do SSO

Problema

O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.

Solução

Tente o seguinte:

Execute estas etapas para configurar uma nova política de grupo:

  1. Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).

  2. Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…

  3. Dê um nome à política, clique com o botão direito do mouse e escolha Edit .

Execute estas etapas para alterar a política no nível da máquina:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

Execute estas etapas para alterar a política no nível do usuário:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

As alterações têm efeito depois de executar gpupdate /force , a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).

O Conector do serviço Cisco DirSync não pôde ser registrado

Problema

Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."

Solução

O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.

Nenhuma página de logon é exibida

Problema

Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.

Solução

Tente as seguintes etapas:

  1. No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.

  2. Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)

O aviso de início de sessão é exibido

Problema

Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.

Causas possíveis

O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.

Solução

Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.

Não foi possível conectar-se ao servidor remoto

Problema

Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".

Causas possíveis

Você pode ter problemas de proxy que precisam ser resolvidos.

Solução

Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.

Não foi possível registrar o conector

Problema

Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."

Causas possíveis

Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.

Solução

Tente o seguinte:

  1. Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .

  2. Clique em Conexão > Vincular , escolha Vincular como atualmente conectado ao usuário , e clique em OK .

  3. Clique View > Tree , digite DC=arbonneintl,DC=ad como BaseDN e clique em OK .

  4. Se o problema persistir, abra um caso com o suporte .

Sincronização

Avatares não sincronizados

Problema

O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.

Causas possíveis

Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.

Solução

Exclua o cache local seguindo estas etapas:

  1. Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\

  2. Excluir DirSyncPluginAvatar.dll-cache.bin .

  3. Execute novamente a sincronização do avatar do conector de diretórios da Cisco.

Conflitas de e-mail do usuário em conflito

Problema

Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.

  • Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.

  • Se os e-mails dos usuários já foram sincronizados em outra organização.

  • Se os e-mails do usuário existirem em vários domínios que pertencem à organização.

Solução

Tente o seguinte:

  • Siga estas etapas se estiver tentando reivindicar usuários:

    1. Certifique-se de ter verificado o domínio no Control Hub .

    2. Desative temporariamente o Conector de diretórios da Cisco.

    3. Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.

    4. Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório

  • Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.

Usuário convertido marcado como inativo

Problema

No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.

Causas possíveis

Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.

Solução

Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.

Falha na sincronização incremental

Problema

Uma sincronização incremental falha.

Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:

  • Você oferece suporte a atualizações de valor incremental.

  • O filtro que você usa faz referência a um atributo de valor vinculado.

  • Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.

Solução

O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.

Valor inválido para o atributo

Problema

Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].

Causas possíveis

Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.

Solução

Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.

Usuários correspondentes a serem excluídos

Problema

Os usuários correspondentes são marcados para serem excluídos.

Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.

Solução

Escolha uma correção apropriada:

  • Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.

  • Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .

Atributo ausente

Problema

O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.

Causas possíveis

O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.

Solução

Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.

O grupo aninhado não sincronizará

Problema

Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.

Causas possíveis

É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)

Solução

Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)

Conflito de nomeação do usuário

Problema

Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].

Causas possíveis

Um usuário com esse endereço de e-mail já existe no Control Hub.

Solução

Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.

Hub de controle

Lista de usuários ausente no Control Hub

Problema

Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.

Solução

Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.

Os grupos não serão sincronizados com o Control Hub

Problema

Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.

Causas possíveis

O grupo não está marcado como isCriticalSystemObject no Active Directory.

Solução

Certifique-se de que o atributo isCriticalSystemObject esteja definido como TRUE no Active Directory.

Ativar solução de problemas para o Conector de diretórios

Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.

Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

Execute o arquivo services.msc para alterar a conta em execução do serviço do Conector de diretórios do Sistema Local para uma conta de domínio com privilégios para acessar seu AD DS ou AD LDS.

2

Reinicie o serviço.

Consulte Como iniciar serviços para obter orientação.

3

No Conector de diretórios, clique em Painel .

4

Vá para Ações e clique em Utilitários > Solução de problemas .

5

Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados.

6

Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS.

A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema.

7

Se necessário, envie o arquivo de registro para suporte para assistência.

8

Desative o recurso de solução de problemas quando terminar.

Iniciar o Visualizador de eventos

Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.

1

No Conector de diretórios, vá para Painel e clique em Ação > Iniciar visualizador de eventos .

A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro.

2

No Visualizador de eventos, vá para Registros de aplicativos e serviços > Conector de diretórios da Cisco .

3

Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv.

O que fazer em seguida

Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.

Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.

Ativar TLS no Internet Explorer

Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:

  • Ocorreu um erro ao fazer logon no serviço

  • Ocorreu um erro no script nesta página

Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.

1

Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente

2

Clique em Opções da Internet , vá para Avançado , role até a Segurança .

3

Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK .

4

Reinicie o sistema para que as alterações tenham efeito.

Solucionar problemas de início de sessão da conta de serviço

Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.

1

Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web.

2

Escolha um, dependendo dos resultados:

  • Se você não puder visitar o link do navegador, verifique as configurações de rede. Se seu ambiente usar proxy, verifique as configurações de proxy.
  • Se você puder visitar o link do seu navegador, mas não puder abrir o conector de diretórios da Cisco ( Não é possível abrir o conector e aparecer uma mensagem de erro com 407 ), clique aqui para obter a versão mais recente do conector de diretórios da Cisco.
  • Se você puder visitar o link do seu navegador, mas não puder executar uma sincronização do conector de diretórios da Cisco, altere a conta de logon do serviço para admin do domínio .

    Verifique se a conta que você usou para iniciar sessão no sistema Windows é a mesma conta que você definiu no "Serviço Cisco DirSync". Se eles são 2 contas diferentes, certifique-se de que ambas as contas podem visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Se seu ambiente usar proxy, certifique-se de que ambas as contas estejam configuradas para proxy no Internet Explorer e possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL com êxito.

3

No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Visão geral do conector de diretórios da Cisco

Visão geral do conector de diretórios

O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.

Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.

Veja todos os recursos, descrições e benefícios na tabela:

RecursoDescrição e benefício
Painel fácil de usar O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão.
Simulação antes de sincronizar com a nuvem Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera.
Sincronização completa e incremental Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização.

Sincronizar vários domínios (floresta única ou várias florestas)

O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade.

Sincronização agendada Defina uma agenda de sincronização por dia, hora e minuto.
Filtros LDAP (Lightweight Directory Access Protocol) Defina critérios de pesquisa LDAP e forneça importações eficientes.
mapeamento de atributos do Active Directory Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante).

Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex

Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.

Recursos da sala
Após sincronizar as informações da sala, os dispositivos de sala do local com um endereço SIP configurado e mapeado, aparece como entrada pesquisável em dispositivos de sala registrados em nuvem, como um dispositivo de Cisco Webex Room ou Cisco Webex Board.

Quando os usuários fizerem uma pesquisa em um dispositivo Cisco Webex Room ou Cisco Webex Board, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando fizerem uma chamada do dispositivo Webex nessa entrada, uma chamada será feita para o endereço SIP que foi configurado para a sala.

Ligando
Os usuários podem fazer chamadas para contatos corporativos, além dos contatos do aplicativo Webex. Por meio do Conector de diretórios, os usuários corporativos e seus números de telefone são adicionados à sua organização Webex. Eles não precisam ser licenciados para que os serviços Webex para esse recurso funcionem.

Os usuários que não são licenciados para o Webex aparecerão na pesquisa de diretório executada de um telefone de usuário do Cisco Webex Calling, desde que haja um URI ou um número de telefone sincronizado com o Webex por meio do Conector de diretórios. A funcionalidade de chamada tem o mesmo comportamento para ambos os tipos de usuários. Esse recurso também fornece a funcionalidade de edição de discagem para contatos com apenas números de telefone.

No resultado da pesquisa de contatos:

  • Se os contatos tiverem um URI discável (endereço SIP Webex) e um número de telefone, o URI assocoiated com o contato será exibido.

  • Se os contatos não tiverem um URI discável, mas tiverem um número de telefone, o número de telefone será mostrado. Eles também têm uma tecla programável Editar discagem.

  • Se os contatos não tiverem nenhum dos dois, eles não serão mostrados no diretório.

visualizador de Eventos Use o visualizador de eventos para determinar se houve algum problema com a sincronização.
Ferramenta de diagnóstico e solução de problemas Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte.

Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico.

Atualização automática Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada.
Alta disponibilidade Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia.

O Conector de diretórios é dividido em três áreas:

  • Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.

  • Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.

  • Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.

Consulte este diagrama para entender a arquitetura do Conector de diretórios:

Arquitetura para Conector de diretórios

Preparar seu ambiente para o conector de diretórios

Requisitos do conector de diretórios

Requisitos do Windows e do Active Directory

Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .

O Conector de diretórios é compatível com os seguintes serviços do Active Directory:

  • Active Directory 2016

    (O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)

  • Active Directory 2012

  • Active Directory 2008 R2

  • Active Directory 2008

Observe os seguintes requisitos adicionais:

Requisitos de hardware

Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:

  • 8 GB de RAM

  • 50 GB de armazenamento

  • Nenhum mínimo para a CPU

Requisitos de rede

Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.

Requisitos da organização Webex

  • Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.

  • (Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

Requisitos de instalação

  • Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).

  • Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.

    Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .

  • Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.

Vários requisitos de domínio

Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:

  • Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.

  • O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.

  • Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)

  • Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.

  • Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)

Recomendações do grupo Active Directory para atribuição automática de licenças

Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.

Existem dois tipos de grupos no Active Directory:​

  • Grupos de distribuição —Usados para criar listas de distribuição por e-mail.​

  • Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.

Considere as seguintes diretrizes ao criar grupos no Active Directory:

  • Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).​

  • Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.​

  • Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.

  • Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.

Informações de Dimensionamento

O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.

Alguns fatores podem afetar a velocidade da sincronização:

  • O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)

  • Velocidade da rede e largura de banda.

  • Carga de trabalho do sistema e especificações.

Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.

Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Integração de proxy da web

Integração de proxy da web

Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.

Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.

Você pode fazer uma dessas abordagens:

  • Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)

  • Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)

  • Proxy transparente que funciona com o conector sem alterações

Usar um proxy da web por meio do navegador

Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.

Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.

1

No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN .

2

Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web.

3

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

4

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Configurar o proxy da web por meio de um arquivo PAC

Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.

1

Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para cloudconnector.webex.com na configuração do arquivo .pac para o host onde o conector está instalado.

2

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

3

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Proxy NTLM

O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.

Design NTLM

Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.

Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge e Response :

  1. Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.

    Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.

  2. Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.

  3. Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.

  4. Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.

  5. O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.

O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.

Configurar proxy transparente

Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.

1

Implante um proxy transparente para que o conector possa conectar e sincronizar usuários.

2

Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector.

Definir autenticação de proxy

Adicione a URL cloudconnector.webex.com à sua lista de permissões criando uma lista de controle de acesso.

No servidor de firewall corporativo:

1

Ative a pesquisa DNS se ainda não estiver ativada.

2

Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário.

3

Crie uma lista de controle de acesso para aplicar ao host do conector e especifique cloudconnector.webex.com como o destino a ser adicionado à lista de permissões.

Por exemplo:

Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https
4

Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector.

5

Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada.

Implantar o conector de diretórios

Fluxo de tarefas de implantação do conector de diretório da Cisco

1

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

2

Iniciar Sessão No Conector De Diretórios

Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial.

3

Definir atualizações automáticas

É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

4

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

5

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid.

6

Sincronize avatares de diretório usando um dos seguintes procedimentos:

Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos.

7

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board

8

Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:

Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.

Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:

Fluxo de vários domínios para o conector de diretório

Antes de começar

Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador

  • Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .

1

No Control Hub , vá para Users > Gerenciar usuários > Habilite a sincronização de diretório e escolha Next .

2

Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows.

Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione.

Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

3

No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração.

4

Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta.

5

Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:

  • Sistema local —A opção padrão. Você pode usar esta opção se tiver um proxy configurado através do Internet Explorer.
  • Conta de domínio —Use esta opção se o computador fizer parte do domínio. O Conector de diretórios deve interagir com os serviços de rede para acessar recursos de domínio. Você pode inserir as informações da conta e clique em OK . Ao inserir o Nome de usuário , use o formato {domain}\{user_name}

    Para um proxy que se integra ao AD (NTLMv2 ou Kerberos), você deve usar a opção de conta de domínio. A conta usada para executar o Serviço do Conector de diretórios deve ter privilégio suficiente para passar o proxy e acessar o AD.

Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:

  • O servidor faz parte do domínio

  • A conta de domínio pode acessar os dados do AD e os dados de avatares locais. A conta também deve ter a função de administrador local, porque deve acessar os arquivos de acesso em C:\Program Files .

  • Para um logon da máquina virtual, o privilégio de conta de administrador deve pelo menos ser capaz de ler informações de domínio.

6

Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar .

O que fazer em seguida

Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.

Iniciar Sessão No Conector De Diretórios

Antes de começar

Certifique-se de ter suas credenciais de proxy.

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.

  • Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .

1

Abra o conector e adicione https://idbroker.webex.com à sua lista de sites confiáveis se você vir um aviso.

2

Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next .

3

Confirme sua organização e domínio.

  • Se você escolher AD DS , verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão, escolha o domínio do qual deseja sincronizar e clique em Confirmar .

    Se você não verificar LDAP sobre SSL , o DirSync continuará a usar o protocolo de conexão LDAP.

    LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

  • Se você escolher AD LDS , insira o host, o domínio e a porta e clique em Atualizar para carregar todas as partições de aplicativos. Em seguida, selecione a partição na lista suspensa e clique em Confirmar . Consulte a seção AD LDS para obter mais informações.

    No arquivo CloudConnectorCommon.dll config, certifique-se de adicionar a configuração ADAuthLevel ao appSetting nó. Os valores podem ser 1, 2 ou 3. Consulte este artigo da Microsoft para saber mais sobre AuthenticationTypes . Aqui está um exemplo da configuração com um valor de 1:

    <appSettings> <add key="ConnectorServiceURI" value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL"/> <add key="ADAuthLevel" value="1"/> </appSettings>
4

Depois que a tela Confirmar organização for exibida, clique em Confirmar .

Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida.

5

Clique em Confirmar .

6

Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:

  • Se você tiver um único domínio que é AD LDS , vincule-o à fonte AD LDS existente e clique em Confirmar .
  • Se você tiver um único domínio AD DS , vincule-o ao domínio existente ou a um novo domínio. Se você escolher Bind para um novo domínio , clique em Next .

    Como o tipo de origem existente é AD DS, você não pode selecionar AD LDS para a nova vinculação.

  • Se você tiver mais de um domínio, escolha um domínio existente na lista ou Vincular a um novo domínio e clique em Next .

    Como você tem mais de um domínio, o tipo de origem existente deve ser AD DS . Se você escolher Bind para um novo domínio e clicar em Next , você não poderá selecionar AD LDS para a nova vinculação.

O que fazer em seguida

Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.

Painel do conector de diretórios

Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.

Se a sua sessão expirar, inicie sessão novamente.

Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.

Tabela 1. Componentes do painel

Componente

Descrição

Sincronização atual

Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa.

Próxima sincronização

Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido.

Última sincronização

Exibe o status das duas últimas sincronizações executadas.

Status de sincronização atual

Exibe o status geral da sincronização.

Conectores

Exibe os conectores locais atuais que estão disponíveis para a nuvem.

Estatísticas da nuvem

Exibe o status geral da sincronização.

Agenda de sincronização

Exibe a agenda de sincronização para sincronização incremental e completa.

Resumo da configuração

Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
  • Todos os objetos serão sincronizados

  • Todos os usuários serão sincronizados

  • O limite excluído foi desativado.

Tabela 2. Barra de ferramentas de ações
AçãoDescrição
Iniciar sincronização incremental

Iniciar manualmente uma sincronização incremental

Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento.

Sincronizar execução seca

Execute uma sincronização de simulação.

Iniciar visualizador de eventos

Inicie o Microsoft Event Viewer.

Atualização

Atualizar o painel do conector de diretórios da Cisco

Tabela 3. Barra de menus de ações

Ação

Descrição

Sincronizar agora

Inicie uma sincronização completa instantaneamente.

Modo de sincronização

Selecione o modo de sincronização completa ou incremental.

Redefinir segredo do conector

Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente.

Simulação

Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa.

Solução de problemas

Ative/desative a solução de problemas.

Atualização

Atualize a tela principal do conector de diretórios da Cisco.

Sair

Saia do conector de diretórios da Cisco.

Tabela 4. Principais combinações

Combinação De Chave

Ação

Alt +A

Mostrar o menu Ações

Alt +A + S

Sincronização agora

Alt +A + R

Redefinir segredo do conector

Alt +A + D

Simulação seca

Alt +A + S + I

Sincronização incremental

Alt +A + S + F

Sincronização completa

Alt + H

Mostrar menu Help

Alt + H + H

Ajuda

Alt + H + A

Sobre

Alt + H + F

Perguntas frequentes

Definir atualizações automáticas

1

No Conector de diretórios, vá para Configuração > Geral e, em seguida, marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco .

2

Clique em Aplicar para salvar suas alterações.

Novas versões do conector são instaladas automaticamente quando estão disponíveis.

Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

Grupos para atribuição automática de licenças

O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.

Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:

(&(cn=Exemplo)(objectclass=Grupo))*

Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.

Tela de seleção de objeto no Conector de diretórios

Grupos para implantações de segurança de dados híbridos

No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.

1

No Conector de diretórios, vá para Configuração e clique em Seleção de objeto .

2

Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários.

Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

3

Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala.

Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud .

4

Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem.

Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem.

Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança.
5

Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem.

O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub.

6

Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP.

7

Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar.

8

Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar .

Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou.

Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs .

9

Clique em Aplicar .

Escolha uma opção:

  • Aplicar alterações de configuração

  • Simulação

  • Cancelar

Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory .

Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem .

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.

Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.

As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).

Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho.

2

Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :

  • mail — Usado pela maioria das implantações para o formato de e-mail.
  • userPrincipalName —Uma escolha alternativa se o atributo de correio for usado para outros fins no Active Directory. Este atributo deve estar no formato de e-mail.

Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios .

Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados.

3

Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo.

Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações.

Neste exemplo, vamos mapear os atributos do Active Directory givenName e Sn para o atributo displayName em nuvem:

  1. Defina a expressão do atributo como givenName + "" + Sn (as aspas sendo um espaço extra) e, em seguida, forneça um e-mail de usuário existente para verificar.

  2. Clique Verify , e veja se o resultado corresponde ao que você estava esperando.

    Um resultado bem-sucedido é o seguinte:

  3. Se os resultados forem o que você esperava, clique em OK para salvar o novo atributo personalizado.

    Mais tarde, se desejar alterar o displayName , você poderá inserir uma nova expressão de atributo

O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem:

Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário:

4

(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex.

Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário.

Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores).

5

Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:

  • número de departamento
  • nome de exibição
  • administrador
  • título

Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário:

Visualizar as informações de contato de alguém

Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato .

Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub

6

Depois de fazer suas escolhas, clique em Aplicar .

Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.

Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.

Ativos do Active Directory e da nuvem

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .

Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.

Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.

Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.

Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

Nomes de atributos do Active Directory

Nomes de atributos do Webex Cloud

Notas

buildingName

c

c

Esse atributo especifica a abreviatura do país do usuário.

número de departamento

número de departamento

Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas .

nome de exibição

nome de exibição

Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas .

userAccountControl

ds-pwp-account-disabled

Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente.

EmployeeNumber

EmployeeNumber

fasimileTelephoneNumber

fasimileTelephoneNumber

jabberID

Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses.

l

l

Esse atributo especifica a cidade do usuário.

localidade

administrador

administrador

Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas .

móvel

móvel

Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato .

o

o

Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato .

ou

ou

Esse atributo especifica o nome da unidade organizacional.

Entrega física OfficeName

Entrega física OfficeName

Esse atributo especifica o local do escritório do usuário.

Código postalCode

Código postalCode

Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico.

preferredLanguage

preferredLanguage

Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA.

Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização.

MSRTCSIP-PrimaryUserAddress

ipPhone

SipAddresses;type=enterprise

Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex.

sn

sn

Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas .

st.

st.

Este atributo especifica o estado ou a província do usuário.

streetAddress

rua

Esse atributo especifica o endereço do usuário para entrega de correio físico.

telefone

telefone

Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato .

fuso horário

Este atributo em nuvem especifica o fuso horário do usuário.

título

título

Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas .

tipo

empresa

*e-mail

*userPrincipalName

uid

Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem.

Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor.

Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo.

*userPrincipalName

*e-mail

<atributo personalizado>

e-mails;tipo de trabalho

Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

<Novo atributo para o usuário do Azure objectId>

externalId

Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente.

Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex .

Mapeamento de endereço de e-mail alternativo

Expressões para atributos personalizados

Tabela 5. Expressões para atributos personalizados

Operador

Descrição e exemplo

%

Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.

Exemplo de expressão
"abc@example.com" % "@"
Resultado
example.com

-

Tira a parte de trás da string de entrada do final da string especificada.

Exemplo de expressão
"abc@example.com" - "@"
Resultado
abc

+

Concatena sequências de entrada ou expressões.

Exemplo de expressão
"abc" + "" + "def"
Resultado
def abc

|

Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.

Exemplo de expressão
"" | "abc"
Resultado
abc

Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem.

3

Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário .

O avatar aparece à direita.

4

Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações.

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar avatares de diretório de um servidor de recursos para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.

Antes de começar

  • O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.

  • O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.

  • A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}. jpg

Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:

  • http://www.example.com/dir/photo/zoom/—O caminho para onde todas as fotos que serão sincronizadas está localizado. Tem que ser uma URL que o serviço Conector de diretórios em seu servidor deve ser capaz de alcançar.
  • mail:—Conector de diretório diz para obter o valor do atributo de correio do Active Directory
  • .*?(?=@.*) —Uma sintaxe regex que executa estas funções:
    • .*—Qualquer caractere, repetindo zero ou mais vezes.

    • ? — Diz à variável anterior para corresponder aos poucos caracteres possíveis.

    • (?= ... )—Corresponde a um grupo após a expressão principal sem incluí-lo no resultado. O Conector de diretórios procura uma correspondência e não a inclui na saída.

    • @.*—O símbolo a, seguido por qualquer caractere, repetindo zero ou mais vezes.

  • .jpg — A extensão do arquivo para os avatares de seus usuários. Consulte os tipos de arquivo suportados neste documento e altere o ramal de acordo.
3

(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha.

4

Insira o Valor da variável —Por exemplo: abcd@example.com .

5

Clique em Test para garantir que o padrão de URI do avatar funcione corretamente.

Neste exemplo, se o valor de correio de uma entrada AD é abcd@example.com e as imagens jpg estavam sendo sincronizadas, o URI Final Avatar é http://www.example.com/dir/photo/zoom/abcd.jpg

6

Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar .

Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft .

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).

1

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Seleção de objeto .

2

Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização.

Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário.

3

Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise .

Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")

  • Escolha MSRTCSIP-PrimaryUserAddress se disponível.
  • Se você não tiver o atributo acima no esquema do Active Directory, use outro campo, como ipPhone .
4

Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas.

5

De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip:

6

Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector.

Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas .

Os resultados da simulação mostram todos os recursos de sala que foram correspondidos.

Resultados da simulação do Conector de diretório que mostram objetos correspondentes

Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem.

Painel do conector de diretórios destacando a janela de estatísticas de nuvem. As estatísticas de nuvem incluem usuários, grupos, salas e contatos.

O que fazer em seguida

Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.

No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.

O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.

Enviar relatórios de e-mail nos resultados da sincronização de diretórios

Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.

1

No Conector de diretórios, clique em Configuração e escolha Notificação .

2

No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório .

3

Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail.

4

Clique em Adicionar e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

5

Clique em Adicionar e-mail e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

6

Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias.

7

Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar .

8

Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar .

O que fazer em seguida

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.

Provisionar Usuários Do Active Directory Para O Control Hub

Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

1

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

2

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

3

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial.

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.

Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.

Antes de começar

Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, clique em Sim no aviso para executar uma simulação.
  • Se você perder um lembrete para executar uma simulação, a qualquer momento no Conector de diretórios, clique em Dashboard , escolha Sync Dry Run e, em seguida, clique em OK para iniciar uma sincronização de simulação.

Quando a simulação for concluída, você verá um dos seguintes resultados:

  • Objetos incompatíveis detectados no Conector de diretórios

  • Resumo dos resultados do relatório de execução seca e objetos incompatíveis no Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

O Resumo contém informações sobre a correspondência de objetos:

  • Objects Matched - Um usuário que está no Webex Common Identity e também existe no domínio do Active Directory, ou seja, se someuser@cisco.com foi sincronizado com o Webex e exibido no Control Hub e o mesmo usuário (someuser@cisco.com) existe no Active Directory. Isso significa que o usuário foi correspondido.

  • Objetos incompatíveis - Um usuário que está no Webex, não importa como o usuário foi adicionado na Common Identity, mas o usuário não existe no Active Directory. É chamado de Objeto Incompatível. Por exemplo, se someuser@cisco.com foi sincronizado no Webex e exibido no Control Hub, mas o mesmo usuário (someuser@cisco.com) não for gerenciado pelo Active Directory, o relatório mostrará que o usuário é incompatível.

A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local.

2

Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:

  • Domínio único —Decida se deseja manter os usuários incompatíveis. Se você quiser mantê-los, escolha Não, reter objetos ; se você não quiser, escolha Sim, excluir objetos . Depois de executar essas etapas e executar manualmente uma sincronização completa para que haja uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilita automaticamente as tarefas agendadas de sincronização automática.
  • Vários domínios —Para uma organização com o Domínio A e o Domínio B, primeiro faça uma simulação do Domínio A. Se você quiser manter usuários incompatíveis, escolha Não, retenha objetos . (Esses usuários incompatíveis podem ser membros do Domínio B.) Se você deseja excluir, escolha Sim, exclua objetos .

    Se você mantiver os usuários, execute uma sincronização completa para o Domínio A primeiro e, em seguida, execute uma simulação para o Domínio B. Se ainda houver usuários inigualáveis, adicione esses usuários no Active Directory e faça uma sincronização completa para o Domínio B. Quando houver uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilitará automaticamente as tarefas agendadas de sincronização automática.

3

No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados.

Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched .

Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail.

Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo .

4

Se os resultados forem esperados, vá para Ações > Modo de sincronização > Ativar sincronização e clique em Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto.

Depois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais.

O que fazer em seguida

Coisas a se Manter em mente

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.

O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.

Antes de começar

  • Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:

  • Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

    Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, se a simulação estiver concluída e estiver correta para todos os domínios, clique em Ativar agora para permitir que a sincronização automática ocorra.
  • No Conector de diretórios, vá para Painel , clique em Ações , escolha Modo de sincronização > Ativar sincronização e clique em Sincronizar agora > Completo para iniciar a sincronização.
2

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Sincronização completa .

3

Confirme o início da sincronização.

Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Última sincronização e Estatísticas de nuvem são atualizadas com as novas informações. Os dados do usuário são sincronizados com a nuvem.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .)

5

Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

6

Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental .

  • Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.

  • Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.

  • A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.

  • Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.

  • Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.

  • Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.

  • Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.

O que fazer em seguida

  • Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).

    Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.

  • Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):

    • No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.

    • As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.

Antes de começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Execute uma sincronização de simulação nos usuários do Active Directory.

  • Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.

No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Usuários, clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo...

2

Escolha uma opção:

O que fazer em seguida

  • Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.

  • Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.

Problemas conhecidos com o Conector de diretórios

Gerenciar usuários do aplicativo Webex

Executar uma sincronização incremental

Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.

Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.

Antes de começar

1

No Conector de diretórios, clique em Painel .

Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro.

2

Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora.

3

Em Ações , clique em Sincronizar agora > Incremental .

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Last Synchronization e Cloud Statistics são atualizadas com as novas informações.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

O que fazer em seguida

Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.

Recuperar usuários excluídos acidentalmente

O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.

Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.

Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.

Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.

1

Inicie sessão no Control Hub.

2

Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada.

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

3

Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios.

O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem.

4

Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub.

Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço.

O que fazer em seguida

Retorne ao Control Hub, vá até Management > Users e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.

Excluir usuários permanentemente após a exclusão suave

Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.

1

Após a conclusão de uma simulação, selecione Objetos excluídos por software .

2

Marque a caixa de seleção ao lado dos usuários que você deseja excluir.

3

Selecione Concluído.

O que fazer em seguida

Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.

Alterar um endereço de e-mail do aplicativo Webex

Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.

Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.

  • Para alterar os endereços de e-mail do usuário sem alterar o domínio:

    1. Abra a conta de usuário (exemplo, user1@example.com) no Active Directory e altere o endereço de e-mail (exemplo, user2@example.com).

    2. Retome a sincronização no Conector de diretórios.

      Após a próxima sincronização, as alterações aparecem na sua lista de usuários no Control Hub e para os usuários no aplicativo Webex após a atualização do cache.

      Não há perda de dados ou espaços usando este método. O identificador exclusivo do usuário é definido na nuvem após a primeira sincronização. Todas as sincronizações subsequentes são baseadas neste identificador.

  • Em uma implantação de vários domínios com o Conector de diretórios, altere os endereços de e-mail do usuário ao alterar o domínio (considere example1.com o domínio antigo e example2.com o novo domínio):

    1. Para a conta de usuário antiga (user1@example1.com), observe o atributo do Active Directory que mapeia para o atributo uid em nuvem. Você precisa usar este mesmo valor do Active Directory para a nova conta. Para este exemplo, usaremos user1@example1.com como o atributo local para mapear para uid na nuvem.

    2. Pause a sincronização nos domínios do Directory Connector, por exemplo1.com e example2.com.

    3. Crie uma nova conta de usuário no example2.com e use o mesmo atributo acima. (Por exemplo, user1@example1.com ).

    4. No Conector de diretórios, retome a sincronização, por exemplo2.com

      Antes de continuar, verifique se a conta user1@example2.com é sincronizada no Control Hub. Recomendamos que você instrua o usuário a verificar a alteração de e-mail no aplicativo Webex e que todos os dados (espaços, mensagens, reuniões, arquivos e assim por diante) sejam mantidos.

      Não há perda de dados ou espaços usando esse método, mas na nova conta de usuário, você deve garantir que o atributo Active Directory que mapeia o atributo uid em nuvem seja preservado da conta de usuário antiga. Se você alterar o valor do Active Directory, a nova conta não reterá os dados da conta antiga.

    5. Depois de verificar a alteração do endereço de e-mail e os dados estão intactos, exclua a conta de usuário antiga no example1.com e, em seguida, use o Conector de diretórios para retomar a sincronização, por exemplo1.com.

      Neste ponto, você pode atualizar com segurança o endereço de e-mail no novo domínio do Active Directory para user1@example2.com.

O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .

Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.

Alterar o domínio do Active Directory

Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.

1

Configure um novo domínio do Active Directory (AD).

2

Desative as sincronizações em todos os seus conectores.

3

Desinstale todos os seus conectores.

4

Abra um caso para alterar o domínio .

No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização.

Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido.

5

Depois que o caso for resolvido:

  1. Instale o Conector de diretórios no mesmo servidor que o do novo domínio do Active Directory.

  2. Configure o Conector de diretórios para que seu ponto para o novo domínio do Active Directory.

    Se houver usuários existentes no Control Hub ( https://admin.webex.com), certifique-se de que os usuários com endereços de e-mail correspondentes também estejam presentes no Active Directory. Se sua organização desativou a alternância softDelete no DirSync, os endereços de e-mail do usuário que estão no Control Hub, mas não na exclusão de risco do Active Directory.

Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real.

Reivindicação de domínio

Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).

Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.

Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório

Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.

Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.

Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.

Alguns usuários reivindicados podem aparecer com o movedfrom atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído em vez de MismatchedObject . Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.

Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.

1

Desative a sincronização de diretório do Conector de diretórios.

2

Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa.

Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes.

3

No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos.

Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com).

Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex.

4

Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios.

As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.

Contas de usuários do aplicativo Webex embarcadas

Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.

Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .

Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório

Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.

Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .

Esse nome de usuário pode aparecer se o atributo displayName no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName na nuvem, os nomes aparecem no formato no Control Hub.

Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn (ou sn givenName ) para displayName nos nomes de atributos da Cisco Cloud.

Como alternativa, mapeie o atributo sn givenName para displayName :

Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName .

Por exemplo, insira givenName + "" + sn (nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName na nuvem.

Permitir que os usuários alterem nomes de exibição no Webex Meetings

Você pode desmapear o atributo displayName da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

2

Selecione displayName sob Nome do atributo da Cisco Cloud .

3

Selecione Não sincronizar este atributo .

O que fazer em seguida

Os usuários agora podem editar seus nomes de exibição no site Webex .

Solução de problemas do conector de diretório

Atualizar para a versão mais recente do software

Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .

O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.

Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.

1

Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização.

2

Siga as instruções para concluir a atualização.

3

Reinicie o conector e inicie sessão com suas credenciais de administrador.

4

Verifique o número da versão do software em Help > Sobre .

O que fazer em seguida

Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.

Definir configurações gerais para o conector de diretórios

Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.

1

No Conector de diretórios, vá para Configuração e clique em Geral .

2

No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector.

3

Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:

  • Info (Padrão) — Mostra mensagens informativas que destacam o progresso do aplicativo em um nível elevado. Use esta configuração se desejar receber relatórios depois de todas as sincronizações completas.

  • Avisar — Mostra situações potencialmente nocivas.

  • Debug —Mostra eventos informativos detalhados que são mais úteis para depurar um aplicativo. Quando você vir qualquer problema, defina esse nível de registro e envie o registro de eventos para suporte ao abrir um caso.

  • Erro —Mostra eventos de erro que ainda podem permitir que o aplicativo continue em execução. Quando você escolher esta opção, os relatórios de sincronização serão enviados apenas quando os erros forem relatados.

Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.)

4

Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades.

Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário.

5

Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram.

É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

6

Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão.

Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP.

LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

Configurar a política do conector

Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.

Por exemplo, você define 1 como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.

1

No Conector de diretórios, clique em Configuração e escolha Política .

2

Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite.

A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
3

Insira o número máximo de exclusões que você deseja. A predefinição é 20.

Recomendamos que você não aumente o valor padrão.

4

Clique em Aplicar.

Definir a agenda do conector

Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.

1

No Conector de diretórios, clique em Configuração e escolha Agendar .

2

Especifique o Intervalo de sincronização incremental em minutos.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa.

3

Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados.

4

Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra.

5

Especifique o Intervalo de failover em minutos.

6

Clique em Aplicar.

Vários cenários de domínio

Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.

Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.

O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .

Exemplo de caso de uso para vários domínios

Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.

  • Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.

  • Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.

  • Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.

  • Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.

Sincronização no exemplo1.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.

O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.

Sincronização em example1.com e example2.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Considere estas etapas:

  1. Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
  2. Faça uma sincronização completa ou incremental, por exemplo1.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.

  3. Faça uma sincronização incremental, por exemplo2.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com.

  4. Faça uma sincronização completa, por exemplo2.com.

    Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.

Sincronizar um novo domínio E Preservar um domínio existente

Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.

Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).

Definir a prioridade do domínio

Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.

Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.

Antes de começar

Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Definir prioridade de domínio .

3

Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração.

Os domínios são classificados por prioridade de cima para baixo.

Alternar domínios

Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.

Antes de começar

  • Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.

  • Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Alternar domínio .

3

Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim .

Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas.

4

Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio.

Desativar a sincronização do diretório

Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Sincronização de diretório e escolha uma:

  • Clique em mais e, em seguida, clique em Desativar ao lado da instância do conector que você deseja desativar.
  • Clique em Desativar todas as sincronizações de diretório para interromper a sincronização de todas as instâncias do conector.
2

Depois de ler o aviso, clique em Desativar .

A sincronização para até que você a reative no Conector de diretórios.

Remover Mapeamento de Atributos do Usuário

Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Remover mapeamento de atributos do usuário .

3

Selecione o mapeamento a ser removido da lista Attribute Name .

4

Em Escopo de usuário afetado , selecione uma das seguintes opções:

  • Somente usuários sincronizados pelo Conector de diretório : o mapeamento será removido apenas dos usuários que o Conector de diretórios sincronizou anteriormente.
  • Todos usuários: o mapeamento será removido de todos os usuários do Active Directory.
5

Clique em Aplicar.

Gerenciar fotos de perfil

Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Gerenciar imagens de perfil .

3

Em Ações , selecione uma das seguintes opções:

  • Remova imagens de perfil de fontes de avatar vazias : se a imagem de perfil do Active Directory estiver em branco, essa opção garantirá que as imagens de perfil do usuário sejam removidas da nuvem, mesmo que o usuário tenha carregado anteriormente sua própria imagem no Webex.
  • Recarregue da fonte sincronizada para substituir as imagens armazenadas em cache : O Conector de diretórios usa o mesmo Active Directory que o anterior para atualizar as imagens de perfil de todos os usuários. Isso garante que não haja incompatibilidade entre as imagens de perfil no Active Directory e na nuvem.
4

Clique em Aplicar.

Desinstalar e desativar o Conector de diretórios

Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:

  • Você não deseja mais usar a sincronização de diretório.

  • Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).

  • Você deseja alterar o domínio e instalar outro conector.

Antes de começar

  • Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.

  • Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.

1

Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos .

2

Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções.

Você pode ter que reinicializar o sistema para concluir a desinstalação.

3

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretório, clique em mais e clique em Desativar ao lado da instância do conector de diretório que você deseja desinstalar.

4

Depois de ler o aviso, clique em Desativar .

A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas.

Executar a ferramenta de diagnóstico

Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.

Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.

  • Para executar testes para os serviços de domínio do Active Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-DS , insira seu Domain e clique em Carregar controladores de domínio .

    2. Escolha um Controlador de domínio na lista.

      Não altere a entrada mais tarde, pois a pesquisa incremental deve sempre ser executada no mesmo Controlador de domínio.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como os objetos Users e Group e os filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para os serviços Active Directory Lightweight Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-LDS , insira seu Organizador e Porta e clique em Partições de carga .

    2. Escolha uma Partição na lista e clique em Connect .

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como User , UserProxy , e UserProxyFull e filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para o LDAP (Lightweight Directory Access Protocol):

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique no LDAP RAW guia, insira seu Root Path , Filter e escolha uma entrada de Atributos e clique em Load Partitions .

    2. Verifique as seguintes opções conforme necessário:

      • ObjectSecurity —Se esta opção estiver presente, o chamador não exigirá direitos e poderá ver apenas objetos e atributos acessíveis ao chamador. Se essa opção não estiver presente, o chamador terá o direito de replicar as alterações.

      • ParentsFirst —Garante que todos os pais das crianças venham antes de seus filhos.

    3. Escolha um valor para ExtendedDN .

      Esse valor é usado com uma pesquisa LDAP estendida para solicitar uma forma estendida de nome diferenciado de objeto.

    4. Escolha um valor para ReferralChasing .

      Uma busca de referência é iniciada quando um controlador de domínio retorna uma indicação de uma consulta - por exemplo, para detalhes de um resultado de consulta que pode estar fora do namespace (como membros do grupo em outro domínio ou floresta).

    5. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    6. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

Solucionar problemas no Ciso Directory Connector

Solução de problemas e correções para o conector de diretórios

Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.

Instalar

O conector de diretório parou de funcionar

Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.

  • O Conector de diretórios pode não estar instalado corretamente.

  • O Conector de diretórios pode não estar em execução.

  • A rede pode não estar disponível.

Tente o seguinte:

  • Abra Painel de controle > Programas e recursos . Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a.

  • Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.

  • Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.

Erro de reinstalação

Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.

Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.

Solução —Após algum tempo passar, tente a instalação novamente.

Iniciar sessão

O Conector de diretórios falha durante o início de sessão do SSO

Problema

O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.

Solução

Tente o seguinte:

Execute estas etapas para configurar uma nova política de grupo:

  1. Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).

  2. Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…

  3. Dê um nome à política, clique com o botão direito do mouse e escolha Edit .

Execute estas etapas para alterar a política no nível da máquina:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

Execute estas etapas para alterar a política no nível do usuário:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

As alterações têm efeito depois de executar gpupdate /force , a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).

O Conector do serviço Cisco DirSync não pôde ser registrado

Problema

Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."

Solução

O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.

Nenhuma página de logon é exibida

Problema

Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.

Solução

Tente as seguintes etapas:

  1. No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.

  2. Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)

O aviso de início de sessão é exibido

Problema

Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.

Causas possíveis

O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.

Solução

Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.

Não foi possível conectar-se ao servidor remoto

Problema

Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".

Causas possíveis

Você pode ter problemas de proxy que precisam ser resolvidos.

Solução

Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.

Não foi possível registrar o conector

Problema

Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."

Causas possíveis

Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.

Solução

Tente o seguinte:

  1. Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .

  2. Clique em Conexão > Vincular , escolha Vincular como atualmente conectado ao usuário , e clique em OK .

  3. Clique View > Tree , digite DC=arbonneintl,DC=ad como BaseDN e clique em OK .

  4. Se o problema persistir, abra um caso com o suporte .

Sincronização

Avatares não sincronizados

Problema

O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.

Causas possíveis

Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.

Solução

Exclua o cache local seguindo estas etapas:

  1. Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\

  2. Excluir DirSyncPluginAvatar.dll-cache.bin .

  3. Execute novamente a sincronização do avatar do conector de diretórios da Cisco.

Conflitas de e-mail do usuário em conflito

Problema

Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.

  • Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.

  • Se os e-mails dos usuários já foram sincronizados em outra organização.

  • Se os e-mails do usuário existirem em vários domínios que pertencem à organização.

Solução

Tente o seguinte:

  • Siga estas etapas se estiver tentando reivindicar usuários:

    1. Certifique-se de ter verificado o domínio no Control Hub .

    2. Desative temporariamente o Conector de diretórios da Cisco.

    3. Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.

    4. Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório

  • Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.

Usuário convertido marcado como inativo

Problema

No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.

Causas possíveis

Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.

Solução

Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.

Falha na sincronização incremental

Problema

Uma sincronização incremental falha.

Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:

  • Você oferece suporte a atualizações de valor incremental.

  • O filtro que você usa faz referência a um atributo de valor vinculado.

  • Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.

Solução

O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.

Valor inválido para o atributo

Problema

Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].

Causas possíveis

Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.

Solução

Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.

Usuários correspondentes a serem excluídos

Problema

Os usuários correspondentes são marcados para serem excluídos.

Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.

Solução

Escolha uma correção apropriada:

  • Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.

  • Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .

Atributo ausente

Problema

O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.

Causas possíveis

O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.

Solução

Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.

O grupo aninhado não sincronizará

Problema

Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.

Causas possíveis

É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)

Solução

Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)

Conflito de nomeação do usuário

Problema

Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].

Causas possíveis

Um usuário com esse endereço de e-mail já existe no Control Hub.

Solução

Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.

Hub de controle

Lista de usuários ausente no Control Hub

Problema

Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.

Solução

Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.

Os grupos não serão sincronizados com o Control Hub

Problema

Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.

Causas possíveis

O grupo não está marcado como isCriticalSystemObject no Active Directory.

Solução

Certifique-se de que o atributo isCriticalSystemObject esteja definido como TRUE no Active Directory.

Ativar solução de problemas para o Conector de diretórios

Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.

Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

Execute o arquivo services.msc para alterar a conta em execução do serviço do Conector de diretórios do Sistema Local para uma conta de domínio com privilégios para acessar seu AD DS ou AD LDS.

2

Reinicie o serviço.

Consulte Como iniciar serviços para obter orientação.

3

No Conector de diretórios, clique em Painel .

4

Vá para Ações e clique em Utilitários > Solução de problemas .

5

Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados.

6

Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS.

A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema.

7

Se necessário, envie o arquivo de registro para suporte para assistência.

8

Desative o recurso de solução de problemas quando terminar.

Iniciar o Visualizador de eventos

Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.

1

No Conector de diretórios, vá para Painel e clique em Ação > Iniciar visualizador de eventos .

A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro.

2

No Visualizador de eventos, vá para Registros de aplicativos e serviços > Conector de diretórios da Cisco .

3

Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv.

O que fazer em seguida

Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.

Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.

Ativar TLS no Internet Explorer

Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:

  • Ocorreu um erro ao fazer logon no serviço

  • Ocorreu um erro no script nesta página

Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.

1

Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente

2

Clique em Opções da Internet , vá para Avançado , role até a Segurança .

3

Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK .

4

Reinicie o sistema para que as alterações tenham efeito.

Solucionar problemas de início de sessão da conta de serviço

Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.

1

Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web.

2

Escolha um, dependendo dos resultados:

  • Se você não puder visitar o link do navegador, verifique as configurações de rede. Se seu ambiente usar proxy, verifique as configurações de proxy.
  • Se você puder visitar o link do seu navegador, mas não puder abrir o conector de diretórios da Cisco ( Não é possível abrir o conector e aparecer uma mensagem de erro com 407 ), clique aqui para obter a versão mais recente do conector de diretórios da Cisco.
  • Se você puder visitar o link do seu navegador, mas não puder executar uma sincronização do conector de diretórios da Cisco, altere a conta de logon do serviço para admin do domínio .

    Verifique se a conta que você usou para iniciar sessão no sistema Windows é a mesma conta que você definiu no "Serviço Cisco DirSync". Se eles são 2 contas diferentes, certifique-se de que ambas as contas podem visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Se seu ambiente usar proxy, certifique-se de que ambas as contas estejam configuradas para proxy no Internet Explorer e possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL com êxito.

3

No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Visão geral do conector de diretórios da Cisco

Visão geral do conector de diretórios

O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.

Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.

Veja todos os recursos, descrições e benefícios na tabela:

RecursoDescrição e benefício
Painel fácil de usar O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão.
Simulação antes de sincronizar com a nuvem Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera.
Sincronização completa e incremental Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização.

Sincronizar vários domínios (floresta única ou várias florestas)

O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade.

Sincronização agendada Defina uma agenda de sincronização por dia, hora e minuto.
Filtros LDAP (Lightweight Directory Access Protocol) Defina critérios de pesquisa LDAP e forneça importações eficientes.
mapeamento de atributos do Active Directory Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante).

Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex

Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.

Recursos da sala
Após sincronizar as informações da sala, os dispositivos de sala do local com um endereço SIP configurado e mapeado, aparece como entrada pesquisável em dispositivos de sala registrados em nuvem, como um dispositivo de Cisco Webex Room ou Cisco Webex Board.

Quando os usuários fizerem uma pesquisa em um dispositivo Cisco Webex Room ou Cisco Webex Board, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando fizerem uma chamada do dispositivo Webex nessa entrada, uma chamada será feita para o endereço SIP que foi configurado para a sala.

Ligando
Os usuários podem fazer chamadas para contatos corporativos, além dos contatos do aplicativo Webex. Por meio do Conector de diretórios, os usuários corporativos e seus números de telefone são adicionados à sua organização Webex. Eles não precisam ser licenciados para que os serviços Webex para esse recurso funcionem.

Os usuários que não são licenciados para o Webex aparecerão na pesquisa de diretório executada de um telefone de usuário do Cisco Webex Calling, desde que haja um URI ou um número de telefone sincronizado com o Webex por meio do Conector de diretórios. A funcionalidade de chamada tem o mesmo comportamento para ambos os tipos de usuários. Esse recurso também fornece a funcionalidade de edição de discagem para contatos com apenas números de telefone.

No resultado da pesquisa de contatos:

  • Se os contatos tiverem um URI discável (endereço SIP Webex) e um número de telefone, o URI assocoiated com o contato será exibido.

  • Se os contatos não tiverem um URI discável, mas tiverem um número de telefone, o número de telefone será mostrado. Eles também têm uma tecla programável Editar discagem.

  • Se os contatos não tiverem nenhum dos dois, eles não serão mostrados no diretório.

visualizador de Eventos Use o visualizador de eventos para determinar se houve algum problema com a sincronização.
Ferramenta de diagnóstico e solução de problemas Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte.

Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico.

Atualização automática Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada.
Alta disponibilidade Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia.

O Conector de diretórios é dividido em três áreas:

  • Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.

  • Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.

  • Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.

Consulte este diagrama para entender a arquitetura do Conector de diretórios:

Arquitetura para Conector de diretórios

Preparar seu ambiente para o conector de diretórios

Requisitos do conector de diretórios

Requisitos do Windows e do Active Directory

Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .

O Conector de diretórios é compatível com os seguintes serviços do Active Directory:

  • Active Directory 2016

    (O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)

  • Active Directory 2012

  • Active Directory 2008 R2

  • Active Directory 2008

Observe os seguintes requisitos adicionais:

Requisitos de hardware

Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:

  • 8 GB de RAM

  • 50 GB de armazenamento

  • Nenhum mínimo para a CPU

Requisitos de rede

Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.

Requisitos da organização Webex

  • Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.

  • (Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

Requisitos de instalação

  • Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).

  • Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.

    Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .

  • Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.

Vários requisitos de domínio

Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:

  • Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.

  • O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.

  • Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)

  • Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.

  • Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)

Recomendações do grupo Active Directory para atribuição automática de licenças

Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.

Existem dois tipos de grupos no Active Directory:​

  • Grupos de distribuição —Usados para criar listas de distribuição por e-mail.​

  • Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.

Considere as seguintes diretrizes ao criar grupos no Active Directory:

  • Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).​

  • Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.​

  • Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.

  • Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.

Informações de Dimensionamento

O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.

Alguns fatores podem afetar a velocidade da sincronização:

  • O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)

  • Velocidade da rede e largura de banda.

  • Carga de trabalho do sistema e especificações.

Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.

Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Integração de proxy da web

Integração de proxy da web

Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.

Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.

Você pode fazer uma dessas abordagens:

  • Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)

  • Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)

  • Proxy transparente que funciona com o conector sem alterações

Usar um proxy da web por meio do navegador

Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.

Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.

1

No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN .

2

Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web.

3

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

4

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Configurar o proxy da web por meio de um arquivo PAC

Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.

1

Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para cloudconnector.webex.com na configuração do arquivo .pac para o host onde o conector está instalado.

2

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

3

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Proxy NTLM

O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.

Design NTLM

Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.

Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge e Response :

  1. Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.

    Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.

  2. Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.

  3. Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.

  4. Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.

  5. O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.

O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.

Configurar proxy transparente

Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.

1

Implante um proxy transparente para que o conector possa conectar e sincronizar usuários.

2

Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector.

Definir autenticação de proxy

Adicione a URL cloudconnector.webex.com à sua lista de permissões criando uma lista de controle de acesso.

No servidor de firewall corporativo:

1

Ative a pesquisa DNS se ainda não estiver ativada.

2

Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário.

3

Crie uma lista de controle de acesso para aplicar ao host do conector e especifique cloudconnector.webex.com como o destino a ser adicionado à lista de permissões.

Por exemplo:

Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https
4

Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector.

5

Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada.

Implantar o conector de diretórios

Fluxo de tarefas de implantação do conector de diretório da Cisco

1

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

2

Iniciar Sessão No Conector De Diretórios

Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial.

3

Definir atualizações automáticas

É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

4

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

5

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid.

6

Sincronize avatares de diretório usando um dos seguintes procedimentos:

Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos.

7

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board

8

Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:

Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.

Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:

Fluxo de vários domínios para o conector de diretório

Antes de começar

Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador

  • Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .

1

No Control Hub , vá para Users > Gerenciar usuários > Habilite a sincronização de diretório e escolha Next .

2

Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows.

Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione.

Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

3

No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração.

4

Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta.

5

Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:

  • Sistema local —A opção padrão. Você pode usar esta opção se tiver um proxy configurado através do Internet Explorer.
  • Conta de domínio —Use esta opção se o computador fizer parte do domínio. O Conector de diretórios deve interagir com os serviços de rede para acessar recursos de domínio. Você pode inserir as informações da conta e clique em OK . Ao inserir o Nome de usuário , use o formato {domain}\{user_name}

    Para um proxy que se integra ao AD (NTLMv2 ou Kerberos), você deve usar a opção de conta de domínio. A conta usada para executar o Serviço do Conector de diretórios deve ter privilégio suficiente para passar o proxy e acessar o AD.

Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:

  • O servidor faz parte do domínio

  • A conta de domínio pode acessar os dados do AD e os dados de avatares locais. A conta também deve ter a função de administrador local, porque deve acessar os arquivos de acesso em C:\Program Files .

  • Para um logon da máquina virtual, o privilégio de conta de administrador deve pelo menos ser capaz de ler informações de domínio.

6

Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar .

O que fazer em seguida

Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.

Iniciar Sessão No Conector De Diretórios

Antes de começar

Certifique-se de ter suas credenciais de proxy.

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.

  • Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .

1

Abra o conector e adicione https://idbroker.webex.com à sua lista de sites confiáveis se você vir um aviso.

2

Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next .

3

Confirme sua organização e domínio.

  • Se você escolher AD DS , verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão, escolha o domínio do qual deseja sincronizar e clique em Confirmar .

    Se você não verificar LDAP sobre SSL , o DirSync continuará a usar o protocolo de conexão LDAP.

    LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

  • Se você escolher AD LDS , insira o host, o domínio e a porta e clique em Atualizar para carregar todas as partições de aplicativos. Em seguida, selecione a partição na lista suspensa e clique em Confirmar . Consulte a seção AD LDS para obter mais informações.

    No arquivo CloudConnectorCommon.dll config, certifique-se de adicionar a configuração ADAuthLevel ao appSetting nó. Os valores podem ser 1, 2 ou 3. Consulte este artigo da Microsoft para saber mais sobre AuthenticationTypes . Aqui está um exemplo da configuração com um valor de 1:

    <appSettings> <add key="ConnectorServiceURI" value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL"/> <add key="ADAuthLevel" value="1"/> </appSettings>
4

Depois que a tela Confirmar organização for exibida, clique em Confirmar .

Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida.

5

Clique em Confirmar .

6

Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:

  • Se você tiver um único domínio que é AD LDS , vincule-o à fonte AD LDS existente e clique em Confirmar .
  • Se você tiver um único domínio AD DS , vincule-o ao domínio existente ou a um novo domínio. Se você escolher Bind para um novo domínio , clique em Next .

    Como o tipo de origem existente é AD DS, você não pode selecionar AD LDS para a nova vinculação.

  • Se você tiver mais de um domínio, escolha um domínio existente na lista ou Vincular a um novo domínio e clique em Next .

    Como você tem mais de um domínio, o tipo de origem existente deve ser AD DS . Se você escolher Bind para um novo domínio e clicar em Next , você não poderá selecionar AD LDS para a nova vinculação.

O que fazer em seguida

Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.

Painel do conector de diretórios

Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.

Se a sua sessão expirar, inicie sessão novamente.

Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.

Tabela 1. Componentes do painel

Componente

Descrição

Sincronização atual

Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa.

Próxima sincronização

Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido.

Última sincronização

Exibe o status das duas últimas sincronizações executadas.

Status de sincronização atual

Exibe o status geral da sincronização.

Conectores

Exibe os conectores locais atuais que estão disponíveis para a nuvem.

Estatísticas da nuvem

Exibe o status geral da sincronização.

Agenda de sincronização

Exibe a agenda de sincronização para sincronização incremental e completa.

Resumo da configuração

Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
  • Todos os objetos serão sincronizados

  • Todos os usuários serão sincronizados

  • O limite excluído foi desativado.

Tabela 2. Barra de ferramentas de ações
AçãoDescrição
Iniciar sincronização incremental

Iniciar manualmente uma sincronização incremental

Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento.

Sincronizar execução seca

Execute uma sincronização de simulação.

Iniciar visualizador de eventos

Inicie o Microsoft Event Viewer.

Atualização

Atualizar o painel do conector de diretórios da Cisco

Tabela 3. Barra de menus de ações

Ação

Descrição

Sincronizar agora

Inicie uma sincronização completa instantaneamente.

Modo de sincronização

Selecione o modo de sincronização completa ou incremental.

Redefinir segredo do conector

Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente.

Simulação

Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa.

Solução de problemas

Ative/desative a solução de problemas.

Atualização

Atualize a tela principal do conector de diretórios da Cisco.

Sair

Saia do conector de diretórios da Cisco.

Tabela 4. Principais combinações

Combinação De Chave

Ação

Alt +A

Mostrar o menu Ações

Alt +A + S

Sincronização agora

Alt +A + R

Redefinir segredo do conector

Alt +A + D

Simulação seca

Alt +A + S + I

Sincronização incremental

Alt +A + S + F

Sincronização completa

Alt + H

Mostrar menu Help

Alt + H + H

Ajuda

Alt + H + A

Sobre

Alt + H + F

Perguntas frequentes

Definir atualizações automáticas

1

No Conector de diretórios, vá para Configuração > Geral e, em seguida, marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco .

2

Clique em Aplicar para salvar suas alterações.

Novas versões do conector são instaladas automaticamente quando estão disponíveis.

Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

Grupos para atribuição automática de licenças

O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.

Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:

(&(cn=Exemplo)(objectclass=Grupo))*

Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.

Tela de seleção de objeto no Conector de diretórios

Grupos para implantações de segurança de dados híbridos

No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.

1

No Conector de diretórios, vá para Configuração e clique em Seleção de objeto .

2

Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários.

Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

3

Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala.

Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud .

4

Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem.

Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem.

Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança.
5

Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem.

O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub.

6

Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP.

7

Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar.

8

Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar .

Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou.

Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs .

9

Clique em Aplicar .

Escolha uma opção:

  • Aplicar alterações de configuração

  • Simulação

  • Cancelar

Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory .

Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem .

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.

Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.

As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).

Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho.

2

Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :

  • mail — Usado pela maioria das implantações para o formato de e-mail.
  • userPrincipalName —Uma escolha alternativa se o atributo de correio for usado para outros fins no Active Directory. Este atributo deve estar no formato de e-mail.

Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios .

Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados.

3

Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo.

Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações.

Neste exemplo, vamos mapear os atributos do Active Directory givenName e Sn para o atributo displayName em nuvem:

  1. Defina a expressão do atributo como givenName + "" + Sn (as aspas sendo um espaço extra) e, em seguida, forneça um e-mail de usuário existente para verificar.

  2. Clique Verify , e veja se o resultado corresponde ao que você estava esperando.

    Um resultado bem-sucedido é o seguinte:

  3. Se os resultados forem o que você esperava, clique em OK para salvar o novo atributo personalizado.

    Mais tarde, se desejar alterar o displayName , você poderá inserir uma nova expressão de atributo

O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem:

Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário:

4

(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex.

Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário.

Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores).

5

Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:

  • número de departamento
  • nome de exibição
  • administrador
  • título

Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário:

Visualizar as informações de contato de alguém

Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato .

Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub

6

Depois de fazer suas escolhas, clique em Aplicar .

Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.

Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.

Ativos do Active Directory e da nuvem

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .

Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.

Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.

Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.

Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

Nomes de atributos do Active Directory

Nomes de atributos do Webex Cloud

Notas

buildingName

c

c

Esse atributo especifica a abreviatura do país do usuário.

número de departamento

número de departamento

Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas .

nome de exibição

nome de exibição

Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas .

userAccountControl

ds-pwp-account-disabled

Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente.

EmployeeNumber

EmployeeNumber

fasimileTelephoneNumber

fasimileTelephoneNumber

jabberID

Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses.

l

l

Esse atributo especifica a cidade do usuário.

localidade

administrador

administrador

Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas .

móvel

móvel

Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato .

o

o

Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato .

ou

ou

Esse atributo especifica o nome da unidade organizacional.

Entrega física OfficeName

Entrega física OfficeName

Esse atributo especifica o local do escritório do usuário.

Código postalCode

Código postalCode

Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico.

preferredLanguage

preferredLanguage

Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA.

Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização.

MSRTCSIP-PrimaryUserAddress

ipPhone

SipAddresses;type=enterprise

Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex.

sn

sn

Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas .

st.

st.

Este atributo especifica o estado ou a província do usuário.

streetAddress

rua

Esse atributo especifica o endereço do usuário para entrega de correio físico.

telefone

telefone

Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato .

fuso horário

Este atributo em nuvem especifica o fuso horário do usuário.

título

título

Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas .

tipo

empresa

*e-mail

*userPrincipalName

uid

Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem.

Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor.

Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo.

*userPrincipalName

*e-mail

<atributo personalizado>

e-mails;tipo de trabalho

Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

<Novo atributo para o usuário do Azure objectId>

externalId

Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente.

Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex .

Mapeamento de endereço de e-mail alternativo

Expressões para atributos personalizados

Tabela 5. Expressões para atributos personalizados

Operador

Descrição e exemplo

%

Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.

Exemplo de expressão
"abc@example.com" % "@"
Resultado
example.com

-

Tira a parte de trás da string de entrada do final da string especificada.

Exemplo de expressão
"abc@example.com" - "@"
Resultado
abc

+

Concatena sequências de entrada ou expressões.

Exemplo de expressão
"abc" + "" + "def"
Resultado
def abc

|

Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.

Exemplo de expressão
"" | "abc"
Resultado
abc

Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem.

3

Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário .

O avatar aparece à direita.

4

Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações.

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar avatares de diretório de um servidor de recursos para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.

Antes de começar

  • O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.

  • O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.

  • A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}. jpg

Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:

  • http://www.example.com/dir/photo/zoom/—O caminho para onde todas as fotos que serão sincronizadas está localizado. Tem que ser uma URL que o serviço Conector de diretórios em seu servidor deve ser capaz de alcançar.
  • mail:—Conector de diretório diz para obter o valor do atributo de correio do Active Directory
  • .*?(?=@.*) —Uma sintaxe regex que executa estas funções:
    • .*—Qualquer caractere, repetindo zero ou mais vezes.

    • ? — Diz à variável anterior para corresponder aos poucos caracteres possíveis.

    • (?= ... )—Corresponde a um grupo após a expressão principal sem incluí-lo no resultado. O Conector de diretórios procura uma correspondência e não a inclui na saída.

    • @.*—O símbolo a, seguido por qualquer caractere, repetindo zero ou mais vezes.

  • .jpg — A extensão do arquivo para os avatares de seus usuários. Consulte os tipos de arquivo suportados neste documento e altere o ramal de acordo.
3

(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha.

4

Insira o Valor da variável —Por exemplo: abcd@example.com .

5

Clique em Test para garantir que o padrão de URI do avatar funcione corretamente.

Neste exemplo, se o valor de correio de uma entrada AD é abcd@example.com e as imagens jpg estavam sendo sincronizadas, o URI Final Avatar é http://www.example.com/dir/photo/zoom/abcd.jpg

6

Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar .

Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft .

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).

1

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Seleção de objeto .

2

Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização.

Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário.

3

Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise .

Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")

  • Escolha MSRTCSIP-PrimaryUserAddress se disponível.
  • Se você não tiver o atributo acima no esquema do Active Directory, use outro campo, como ipPhone .
4

Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas.

5

De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip:

6

Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector.

Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas .

Os resultados da simulação mostram todos os recursos de sala que foram correspondidos.

Resultados da simulação do Conector de diretório que mostram objetos correspondentes

Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem.

Painel do conector de diretórios destacando a janela de estatísticas de nuvem. As estatísticas de nuvem incluem usuários, grupos, salas e contatos.

O que fazer em seguida

Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.

No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.

O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.

Enviar relatórios de e-mail nos resultados da sincronização de diretórios

Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.

1

No Conector de diretórios, clique em Configuração e escolha Notificação .

2

No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório .

3

Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail.

4

Clique em Adicionar e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

5

Clique em Adicionar e-mail e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

6

Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias.

7

Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar .

8

Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar .

O que fazer em seguida

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.

Provisionar Usuários Do Active Directory Para O Control Hub

Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

1

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

2

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

3

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial.

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.

Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.

Antes de começar

Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, clique em Sim no aviso para executar uma simulação.
  • Se você perder um lembrete para executar uma simulação, a qualquer momento no Conector de diretórios, clique em Dashboard , escolha Sync Dry Run e, em seguida, clique em OK para iniciar uma sincronização de simulação.

Quando a simulação for concluída, você verá um dos seguintes resultados:

  • Objetos incompatíveis detectados no Conector de diretórios

  • Resumo dos resultados do relatório de execução seca e objetos incompatíveis no Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

O Resumo contém informações sobre a correspondência de objetos:

  • Objects Matched - Um usuário que está no Webex Common Identity e também existe no domínio do Active Directory, ou seja, se someuser@cisco.com foi sincronizado com o Webex e exibido no Control Hub e o mesmo usuário (someuser@cisco.com) existe no Active Directory. Isso significa que o usuário foi correspondido.

  • Objetos incompatíveis - Um usuário que está no Webex, não importa como o usuário foi adicionado na Common Identity, mas o usuário não existe no Active Directory. É chamado de Objeto Incompatível. Por exemplo, se someuser@cisco.com foi sincronizado no Webex e exibido no Control Hub, mas o mesmo usuário (someuser@cisco.com) não for gerenciado pelo Active Directory, o relatório mostrará que o usuário é incompatível.

A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local.

2

Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:

  • Domínio único —Decida se deseja manter os usuários incompatíveis. Se você quiser mantê-los, escolha Não, reter objetos ; se você não quiser, escolha Sim, excluir objetos . Depois de executar essas etapas e executar manualmente uma sincronização completa para que haja uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilita automaticamente as tarefas agendadas de sincronização automática.
  • Vários domínios —Para uma organização com o Domínio A e o Domínio B, primeiro faça uma simulação do Domínio A. Se você quiser manter usuários incompatíveis, escolha Não, retenha objetos . (Esses usuários incompatíveis podem ser membros do Domínio B.) Se você deseja excluir, escolha Sim, exclua objetos .

    Se você mantiver os usuários, execute uma sincronização completa para o Domínio A primeiro e, em seguida, execute uma simulação para o Domínio B. Se ainda houver usuários inigualáveis, adicione esses usuários no Active Directory e faça uma sincronização completa para o Domínio B. Quando houver uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilitará automaticamente as tarefas agendadas de sincronização automática.

3

No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados.

Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched .

Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail.

Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo .

4

Se os resultados forem esperados, vá para Ações > Modo de sincronização > Ativar sincronização e clique em Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto.

Depois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais.

O que fazer em seguida

Coisas a se Manter em mente

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.

O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.

Antes de começar

  • Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:

  • Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

    Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, se a simulação estiver concluída e estiver correta para todos os domínios, clique em Ativar agora para permitir que a sincronização automática ocorra.
  • No Conector de diretórios, vá para Painel , clique em Ações , escolha Modo de sincronização > Ativar sincronização e clique em Sincronizar agora > Completo para iniciar a sincronização.
2

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Sincronização completa .

3

Confirme o início da sincronização.

Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Última sincronização e Estatísticas de nuvem são atualizadas com as novas informações. Os dados do usuário são sincronizados com a nuvem.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .)

5

Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

6

Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental .

  • Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.

  • Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.

  • A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.

  • Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.

  • Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.

  • Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.

  • Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.

O que fazer em seguida

  • Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).

    Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.

  • Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):

    • No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.

    • As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.

Antes de começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Execute uma sincronização de simulação nos usuários do Active Directory.

  • Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.

No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Usuários, clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo...

2

Escolha uma opção:

O que fazer em seguida

  • Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.

  • Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.

Problemas conhecidos com o Conector de diretórios

Gerenciar usuários do aplicativo Webex

Executar uma sincronização incremental

Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.

Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.

Antes de começar

1

No Conector de diretórios, clique em Painel .

Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro.

2

Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora.

3

Em Ações , clique em Sincronizar agora > Incremental .

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Last Synchronization e Cloud Statistics são atualizadas com as novas informações.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

O que fazer em seguida

Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.

Recuperar usuários excluídos acidentalmente

O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.

Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.

Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.

Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.

1

Inicie sessão no Control Hub.

2

Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada.

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

3

Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios.

O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem.

4

Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub.

Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço.

O que fazer em seguida

Retorne ao Control Hub, vá até Management > Users e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.

Excluir usuários permanentemente após a exclusão suave

Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.

1

Após a conclusão de uma simulação, selecione Objetos excluídos por software .

2

Marque a caixa de seleção ao lado dos usuários que você deseja excluir.

3

Selecione Concluído.

O que fazer em seguida

Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.

Alterar um endereço de e-mail do aplicativo Webex

Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.

Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.

  • Para alterar os endereços de e-mail do usuário sem alterar o domínio:

    1. Abra a conta de usuário (exemplo, user1@example.com) no Active Directory e altere o endereço de e-mail (exemplo, user2@example.com).

    2. Retome a sincronização no Conector de diretórios.

      Após a próxima sincronização, as alterações aparecem na sua lista de usuários no Control Hub e para os usuários no aplicativo Webex após a atualização do cache.

      Não há perda de dados ou espaços usando este método. O identificador exclusivo do usuário é definido na nuvem após a primeira sincronização. Todas as sincronizações subsequentes são baseadas neste identificador.

  • Em uma implantação de vários domínios com o Conector de diretórios, altere os endereços de e-mail do usuário ao alterar o domínio (considere example1.com o domínio antigo e example2.com o novo domínio):

    1. Para a conta de usuário antiga (user1@example1.com), observe o atributo do Active Directory que mapeia para o atributo uid em nuvem. Você precisa usar este mesmo valor do Active Directory para a nova conta. Para este exemplo, usaremos user1@example1.com como o atributo local para mapear para uid na nuvem.

    2. Pause a sincronização nos domínios do Directory Connector, por exemplo1.com e example2.com.

    3. Crie uma nova conta de usuário no example2.com e use o mesmo atributo acima. (Por exemplo, user1@example1.com ).

    4. No Conector de diretórios, retome a sincronização, por exemplo2.com

      Antes de continuar, verifique se a conta user1@example2.com é sincronizada no Control Hub. Recomendamos que você instrua o usuário a verificar a alteração de e-mail no aplicativo Webex e que todos os dados (espaços, mensagens, reuniões, arquivos e assim por diante) sejam mantidos.

      Não há perda de dados ou espaços usando esse método, mas na nova conta de usuário, você deve garantir que o atributo Active Directory que mapeia o atributo uid em nuvem seja preservado da conta de usuário antiga. Se você alterar o valor do Active Directory, a nova conta não reterá os dados da conta antiga.

    5. Depois de verificar a alteração do endereço de e-mail e os dados estão intactos, exclua a conta de usuário antiga no example1.com e, em seguida, use o Conector de diretórios para retomar a sincronização, por exemplo1.com.

      Neste ponto, você pode atualizar com segurança o endereço de e-mail no novo domínio do Active Directory para user1@example2.com.

O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .

Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.

Alterar o domínio do Active Directory

Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.

1

Configure um novo domínio do Active Directory (AD).

2

Desative as sincronizações em todos os seus conectores.

3

Desinstale todos os seus conectores.

4

Abra um caso para alterar o domínio .

No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização.

Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido.

5

Depois que o caso for resolvido:

  1. Instale o Conector de diretórios no mesmo servidor que o do novo domínio do Active Directory.

  2. Configure o Conector de diretórios para que seu ponto para o novo domínio do Active Directory.

    Se houver usuários existentes no Control Hub ( https://admin.webex.com), certifique-se de que os usuários com endereços de e-mail correspondentes também estejam presentes no Active Directory. Se sua organização desativou a alternância softDelete no DirSync, os endereços de e-mail do usuário que estão no Control Hub, mas não na exclusão de risco do Active Directory.

Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real.

Reivindicação de domínio

Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).

Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.

Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório

Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.

Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.

Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.

Alguns usuários reivindicados podem aparecer com o movedfrom atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído em vez de MismatchedObject . Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.

Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.

1

Desative a sincronização de diretório do Conector de diretórios.

2

Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa.

Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes.

3

No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos.

Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com).

Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex.

4

Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios.

As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.

Contas de usuários do aplicativo Webex embarcadas

Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.

Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .

Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório

Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.

Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .

Esse nome de usuário pode aparecer se o atributo displayName no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName na nuvem, os nomes aparecem no formato no Control Hub.

Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn (ou sn givenName ) para displayName nos nomes de atributos da Cisco Cloud.

Como alternativa, mapeie o atributo sn givenName para displayName :

Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName .

Por exemplo, insira givenName + "" + sn (nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName na nuvem.

Permitir que os usuários alterem nomes de exibição no Webex Meetings

Você pode desmapear o atributo displayName da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

2

Selecione displayName sob Nome do atributo da Cisco Cloud .

3

Selecione Não sincronizar este atributo .

O que fazer em seguida

Os usuários agora podem editar seus nomes de exibição no site Webex .

Solução de problemas do conector de diretório

Atualizar para a versão mais recente do software

Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .

O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.

Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.

1

Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização.

2

Siga as instruções para concluir a atualização.

3

Reinicie o conector e inicie sessão com suas credenciais de administrador.

4

Verifique o número da versão do software em Help > Sobre .

O que fazer em seguida

Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.

Definir configurações gerais para o conector de diretórios

Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.

1

No Conector de diretórios, vá para Configuração e clique em Geral .

2

No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector.

3

Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:

  • Info (Padrão) — Mostra mensagens informativas que destacam o progresso do aplicativo em um nível elevado. Use esta configuração se desejar receber relatórios depois de todas as sincronizações completas.

  • Avisar — Mostra situações potencialmente nocivas.

  • Debug —Mostra eventos informativos detalhados que são mais úteis para depurar um aplicativo. Quando você vir qualquer problema, defina esse nível de registro e envie o registro de eventos para suporte ao abrir um caso.

  • Erro —Mostra eventos de erro que ainda podem permitir que o aplicativo continue em execução. Quando você escolher esta opção, os relatórios de sincronização serão enviados apenas quando os erros forem relatados.

Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.)

4

Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades.

Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário.

5

Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram.

É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

6

Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão.

Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP.

LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

Configurar a política do conector

Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.

Por exemplo, você define 1 como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.

1

No Conector de diretórios, clique em Configuração e escolha Política .

2

Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite.

A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
3

Insira o número máximo de exclusões que você deseja. A predefinição é 20.

Recomendamos que você não aumente o valor padrão.

4

Clique em Aplicar.

Definir a agenda do conector

Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.

1

No Conector de diretórios, clique em Configuração e escolha Agendar .

2

Especifique o Intervalo de sincronização incremental em minutos.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa.

3

Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados.

4

Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra.

5

Especifique o Intervalo de failover em minutos.

6

Clique em Aplicar.

Vários cenários de domínio

Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.

Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.

O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .

Exemplo de caso de uso para vários domínios

Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.

  • Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.

  • Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.

  • Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.

  • Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.

Sincronização no exemplo1.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.

O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.

Sincronização em example1.com e example2.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Considere estas etapas:

  1. Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
  2. Faça uma sincronização completa ou incremental, por exemplo1.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.

  3. Faça uma sincronização incremental, por exemplo2.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com.

  4. Faça uma sincronização completa, por exemplo2.com.

    Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.

Sincronizar um novo domínio E Preservar um domínio existente

Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.

Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).

Definir a prioridade do domínio

Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.

Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.

Antes de começar

Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Definir prioridade de domínio .

3

Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração.

Os domínios são classificados por prioridade de cima para baixo.

Alternar domínios

Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.

Antes de começar

  • Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.

  • Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Alternar domínio .

3

Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim .

Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas.

4

Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio.

Desativar a sincronização do diretório

Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Sincronização de diretório e escolha uma:

  • Clique em mais e, em seguida, clique em Desativar ao lado da instância do conector que você deseja desativar.
  • Clique em Desativar todas as sincronizações de diretório para interromper a sincronização de todas as instâncias do conector.
2

Depois de ler o aviso, clique em Desativar .

A sincronização para até que você a reative no Conector de diretórios.

Remover Mapeamento de Atributos do Usuário

Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Remover mapeamento de atributos do usuário .

3

Selecione o mapeamento a ser removido da lista Attribute Name .

4

Em Escopo de usuário afetado , selecione uma das seguintes opções:

  • Somente usuários sincronizados pelo Conector de diretório : o mapeamento será removido apenas dos usuários que o Conector de diretórios sincronizou anteriormente.
  • Todos usuários: o mapeamento será removido de todos os usuários do Active Directory.
5

Clique em Aplicar.

Gerenciar fotos de perfil

Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Gerenciar imagens de perfil .

3

Em Ações , selecione uma das seguintes opções:

  • Remova imagens de perfil de fontes de avatar vazias : se a imagem de perfil do Active Directory estiver em branco, essa opção garantirá que as imagens de perfil do usuário sejam removidas da nuvem, mesmo que o usuário tenha carregado anteriormente sua própria imagem no Webex.
  • Recarregue da fonte sincronizada para substituir as imagens armazenadas em cache : O Conector de diretórios usa o mesmo Active Directory que o anterior para atualizar as imagens de perfil de todos os usuários. Isso garante que não haja incompatibilidade entre as imagens de perfil no Active Directory e na nuvem.
4

Clique em Aplicar.

Desinstalar e desativar o Conector de diretórios

Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:

  • Você não deseja mais usar a sincronização de diretório.

  • Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).

  • Você deseja alterar o domínio e instalar outro conector.

Antes de começar

  • Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.

  • Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.

1

Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos .

2

Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções.

Você pode ter que reinicializar o sistema para concluir a desinstalação.

3

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretório, clique em mais e clique em Desativar ao lado da instância do conector de diretório que você deseja desinstalar.

4

Depois de ler o aviso, clique em Desativar .

A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas.

Executar a ferramenta de diagnóstico

Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.

Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.

  • Para executar testes para os serviços de domínio do Active Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-DS , insira seu Domain e clique em Carregar controladores de domínio .

    2. Escolha um Controlador de domínio na lista.

      Não altere a entrada mais tarde, pois a pesquisa incremental deve sempre ser executada no mesmo Controlador de domínio.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como os objetos Users e Group e os filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para os serviços Active Directory Lightweight Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-LDS , insira seu Organizador e Porta e clique em Partições de carga .

    2. Escolha uma Partição na lista e clique em Connect .

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como User , UserProxy , e UserProxyFull e filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para o LDAP (Lightweight Directory Access Protocol):

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique no LDAP RAW guia, insira seu Root Path , Filter e escolha uma entrada de Atributos e clique em Load Partitions .

    2. Verifique as seguintes opções conforme necessário:

      • ObjectSecurity —Se esta opção estiver presente, o chamador não exigirá direitos e poderá ver apenas objetos e atributos acessíveis ao chamador. Se essa opção não estiver presente, o chamador terá o direito de replicar as alterações.

      • ParentsFirst —Garante que todos os pais das crianças venham antes de seus filhos.

    3. Escolha um valor para ExtendedDN .

      Esse valor é usado com uma pesquisa LDAP estendida para solicitar uma forma estendida de nome diferenciado de objeto.

    4. Escolha um valor para ReferralChasing .

      Uma busca de referência é iniciada quando um controlador de domínio retorna uma indicação de uma consulta - por exemplo, para detalhes de um resultado de consulta que pode estar fora do namespace (como membros do grupo em outro domínio ou floresta).

    5. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    6. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

Solucionar problemas no Ciso Directory Connector

Solução de problemas e correções para o conector de diretórios

Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.

Instalar

O conector de diretório parou de funcionar

Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.

  • O Conector de diretórios pode não estar instalado corretamente.

  • O Conector de diretórios pode não estar em execução.

  • A rede pode não estar disponível.

Tente o seguinte:

  • Abra Painel de controle > Programas e recursos . Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a.

  • Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.

  • Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.

Erro de reinstalação

Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.

Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.

Solução —Após algum tempo passar, tente a instalação novamente.

Iniciar sessão

O Conector de diretórios falha durante o início de sessão do SSO

Problema

O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.

Solução

Tente o seguinte:

Execute estas etapas para configurar uma nova política de grupo:

  1. Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).

  2. Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…

  3. Dê um nome à política, clique com o botão direito do mouse e escolha Edit .

Execute estas etapas para alterar a política no nível da máquina:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

Execute estas etapas para alterar a política no nível do usuário:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

As alterações têm efeito depois de executar gpupdate /force , a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).

O Conector do serviço Cisco DirSync não pôde ser registrado

Problema

Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."

Solução

O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.

Nenhuma página de logon é exibida

Problema

Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.

Solução

Tente as seguintes etapas:

  1. No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.

  2. Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)

O aviso de início de sessão é exibido

Problema

Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.

Causas possíveis

O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.

Solução

Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.

Não foi possível conectar-se ao servidor remoto

Problema

Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".

Causas possíveis

Você pode ter problemas de proxy que precisam ser resolvidos.

Solução

Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.

Não foi possível registrar o conector

Problema

Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."

Causas possíveis

Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.

Solução

Tente o seguinte:

  1. Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .

  2. Clique em Conexão > Vincular , escolha Vincular como atualmente conectado ao usuário , e clique em OK .

  3. Clique View > Tree , digite DC=arbonneintl,DC=ad como BaseDN e clique em OK .

  4. Se o problema persistir, abra um caso com o suporte .

Sincronização

Avatares não sincronizados

Problema

O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.

Causas possíveis

Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.

Solução

Exclua o cache local seguindo estas etapas:

  1. Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\

  2. Excluir DirSyncPluginAvatar.dll-cache.bin .

  3. Execute novamente a sincronização do avatar do conector de diretórios da Cisco.

Conflitas de e-mail do usuário em conflito

Problema

Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.

  • Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.

  • Se os e-mails dos usuários já foram sincronizados em outra organização.

  • Se os e-mails do usuário existirem em vários domínios que pertencem à organização.

Solução

Tente o seguinte:

  • Siga estas etapas se estiver tentando reivindicar usuários:

    1. Certifique-se de ter verificado o domínio no Control Hub .

    2. Desative temporariamente o Conector de diretórios da Cisco.

    3. Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.

    4. Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório

  • Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.

Usuário convertido marcado como inativo

Problema

No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.

Causas possíveis

Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.

Solução

Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.

Falha na sincronização incremental

Problema

Uma sincronização incremental falha.

Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:

  • Você oferece suporte a atualizações de valor incremental.

  • O filtro que você usa faz referência a um atributo de valor vinculado.

  • Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.

Solução

O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.

Valor inválido para o atributo

Problema

Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].

Causas possíveis

Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.

Solução

Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.

Usuários correspondentes a serem excluídos

Problema

Os usuários correspondentes são marcados para serem excluídos.

Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.

Solução

Escolha uma correção apropriada:

  • Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.

  • Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .

Atributo ausente

Problema

O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.

Causas possíveis

O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.

Solução

Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.

O grupo aninhado não sincronizará

Problema

Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.

Causas possíveis

É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)

Solução

Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)

Conflito de nomeação do usuário

Problema

Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].

Causas possíveis

Um usuário com esse endereço de e-mail já existe no Control Hub.

Solução

Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.

Hub de controle

Lista de usuários ausente no Control Hub

Problema

Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.

Solução

Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.

Os grupos não serão sincronizados com o Control Hub

Problema

Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.

Causas possíveis

O grupo não está marcado como isCriticalSystemObject no Active Directory.

Solução

Certifique-se de que o atributo isCriticalSystemObject esteja definido como TRUE no Active Directory.

Ativar solução de problemas para o Conector de diretórios

Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.

Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

Execute o arquivo services.msc para alterar a conta em execução do serviço do Conector de diretórios do Sistema Local para uma conta de domínio com privilégios para acessar seu AD DS ou AD LDS.

2

Reinicie o serviço.

Consulte Como iniciar serviços para obter orientação.

3

No Conector de diretórios, clique em Painel .

4

Vá para Ações e clique em Utilitários > Solução de problemas .

5

Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados.

6

Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS.

A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema.

7

Se necessário, envie o arquivo de registro para suporte para assistência.

8

Desative o recurso de solução de problemas quando terminar.

Iniciar o Visualizador de eventos

Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.

1

No Conector de diretórios, vá para Painel e clique em Ação > Iniciar visualizador de eventos .

A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro.

2

No Visualizador de eventos, vá para Registros de aplicativos e serviços > Conector de diretórios da Cisco .

3

Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv.

O que fazer em seguida

Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.

Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.

Ativar TLS no Internet Explorer

Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:

  • Ocorreu um erro ao fazer logon no serviço

  • Ocorreu um erro no script nesta página

Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.

1

Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente

2

Clique em Opções da Internet , vá para Avançado , role até a Segurança .

3

Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK .

4

Reinicie o sistema para que as alterações tenham efeito.

Solucionar problemas de início de sessão da conta de serviço

Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.

1

Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web.

2

Escolha um, dependendo dos resultados:

  • Se você não puder visitar o link do navegador, verifique as configurações de rede. Se seu ambiente usar proxy, verifique as configurações de proxy.
  • Se você puder visitar o link do seu navegador, mas não puder abrir o conector de diretórios da Cisco ( Não é possível abrir o conector e aparecer uma mensagem de erro com 407 ), clique aqui para obter a versão mais recente do conector de diretórios da Cisco.
  • Se você puder visitar o link do seu navegador, mas não puder executar uma sincronização do conector de diretórios da Cisco, altere a conta de logon do serviço para admin do domínio .

    Verifique se a conta que você usou para iniciar sessão no sistema Windows é a mesma conta que você definiu no "Serviço Cisco DirSync". Se eles são 2 contas diferentes, certifique-se de que ambas as contas podem visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Se seu ambiente usar proxy, certifique-se de que ambas as contas estejam configuradas para proxy no Internet Explorer e possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL com êxito.

3

No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Visão geral do conector de diretórios da Cisco

Visão geral do conector de diretórios

O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.

Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.

Veja todos os recursos, descrições e benefícios na tabela:

RecursoDescrição e benefício
Painel fácil de usar O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão.
Simulação antes de sincronizar com a nuvem Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera.
Sincronização completa e incremental Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização.

Sincronizar vários domínios (floresta única ou várias florestas)

O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade.

Sincronização agendada Defina uma agenda de sincronização por dia, hora e minuto.
Filtros LDAP (Lightweight Directory Access Protocol) Defina critérios de pesquisa LDAP e forneça importações eficientes.
mapeamento de atributos do Active Directory Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante).

Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex

Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.

Recursos da sala
Após sincronizar as informações da sala, os dispositivos de sala do local com um endereço SIP configurado e mapeado, aparece como entrada pesquisável em dispositivos de sala registrados em nuvem, como um dispositivo de Cisco Webex Room ou Cisco Webex Board.

Quando os usuários fizerem uma pesquisa em um dispositivo Cisco Webex Room ou Cisco Webex Board, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando fizerem uma chamada do dispositivo Webex nessa entrada, uma chamada será feita para o endereço SIP que foi configurado para a sala.

Ligando
Os usuários podem fazer chamadas para contatos corporativos, além dos contatos do aplicativo Webex. Por meio do Conector de diretórios, os usuários corporativos e seus números de telefone são adicionados à sua organização Webex. Eles não precisam ser licenciados para que os serviços Webex para esse recurso funcionem.

Os usuários que não são licenciados para o Webex aparecerão na pesquisa de diretório executada de um telefone de usuário do Cisco Webex Calling, desde que haja um URI ou um número de telefone sincronizado com o Webex por meio do Conector de diretórios. A funcionalidade de chamada tem o mesmo comportamento para ambos os tipos de usuários. Esse recurso também fornece a funcionalidade de edição de discagem para contatos com apenas números de telefone.

No resultado da pesquisa de contatos:

  • Se os contatos tiverem um URI discável (endereço SIP Webex) e um número de telefone, o URI assocoiated com o contato será exibido.

  • Se os contatos não tiverem um URI discável, mas tiverem um número de telefone, o número de telefone será mostrado. Eles também têm uma tecla programável Editar discagem.

  • Se os contatos não tiverem nenhum dos dois, eles não serão mostrados no diretório.

visualizador de Eventos Use o visualizador de eventos para determinar se houve algum problema com a sincronização.
Ferramenta de diagnóstico e solução de problemas Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte.

Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico.

Atualização automática Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada.
Alta disponibilidade Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia.

O Conector de diretórios é dividido em três áreas:

  • Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.

  • Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.

  • Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.

Consulte este diagrama para entender a arquitetura do Conector de diretórios:

Arquitetura para Conector de diretórios

Preparar seu ambiente para o conector de diretórios

Requisitos do conector de diretórios

Requisitos do Windows e do Active Directory

Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .

O Conector de diretórios é compatível com os seguintes serviços do Active Directory:

  • Active Directory 2016

    (O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)

  • Active Directory 2012

  • Active Directory 2008 R2

  • Active Directory 2008

Observe os seguintes requisitos adicionais:

Requisitos de hardware

Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:

  • 8 GB de RAM

  • 50 GB de armazenamento

  • Nenhum mínimo para a CPU

Requisitos de rede

Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.

Requisitos da organização Webex

  • Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.

  • (Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

Requisitos de instalação

  • Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).

  • Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.

    Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .

  • Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.

Vários requisitos de domínio

Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:

  • Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.

  • O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.

  • Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)

  • Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.

  • Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)

Recomendações do grupo Active Directory para atribuição automática de licenças

Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.

Existem dois tipos de grupos no Active Directory:​

  • Grupos de distribuição —Usados para criar listas de distribuição por e-mail.​

  • Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.

Considere as seguintes diretrizes ao criar grupos no Active Directory:

  • Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).​

  • Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.​

  • Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.

  • Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.

Informações de Dimensionamento

O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.

Alguns fatores podem afetar a velocidade da sincronização:

  • O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)

  • Velocidade da rede e largura de banda.

  • Carga de trabalho do sistema e especificações.

Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.

Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Integração de proxy da web

Integração de proxy da web

Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.

Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.

Você pode fazer uma dessas abordagens:

  • Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)

  • Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)

  • Proxy transparente que funciona com o conector sem alterações

Usar um proxy da web por meio do navegador

Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.

Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.

1

No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN .

2

Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web.

3

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

4

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Configurar o proxy da web por meio de um arquivo PAC

Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.

1

Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para cloudconnector.webex.com na configuração do arquivo .pac para o host onde o conector está instalado.

2

Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

3

Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex .

Proxy NTLM

O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.

Design NTLM

Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.

Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge e Response :

  1. Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.

    Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.

  2. Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.

  3. Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.

  4. Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.

  5. O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.

O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.

Configurar proxy transparente

Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.

1

Implante um proxy transparente para que o conector possa conectar e sincronizar usuários.

2

Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector.

Definir autenticação de proxy

Adicione a URL cloudconnector.webex.com à sua lista de permissões criando uma lista de controle de acesso.

No servidor de firewall corporativo:

1

Ative a pesquisa DNS se ainda não estiver ativada.

2

Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário.

3

Crie uma lista de controle de acesso para aplicar ao host do conector e especifique cloudconnector.webex.com como o destino a ser adicionado à lista de permissões.

Por exemplo:

Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https
4

Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector.

5

Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada.

Implantar o conector de diretórios

Fluxo de tarefas de implantação do conector de diretório da Cisco

1

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

2

Iniciar Sessão No Conector De Diretórios

Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial.

3

Definir atualizações automáticas

É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

4

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

5

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid.

6

Sincronize avatares de diretório usando um dos seguintes procedimentos:

Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos.

7

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board

8

Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:

Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

Instalar o Conector de diretórios

O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.

Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:

Fluxo de vários domínios para o conector de diretório

Antes de começar

Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador

  • Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .

1

No Control Hub , vá para Users > Gerenciar usuários > Habilite a sincronização de diretório e escolha Next .

2

Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows.

Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione.

Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis.

3

No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração.

4

Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta.

5

Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:

  • Sistema local —A opção padrão. Você pode usar esta opção se tiver um proxy configurado através do Internet Explorer.
  • Conta de domínio —Use esta opção se o computador fizer parte do domínio. O Conector de diretórios deve interagir com os serviços de rede para acessar recursos de domínio. Você pode inserir as informações da conta e clique em OK . Ao inserir o Nome de usuário , use o formato {domain}\{user_name}

    Para um proxy que se integra ao AD (NTLMv2 ou Kerberos), você deve usar a opção de conta de domínio. A conta usada para executar o Serviço do Conector de diretórios deve ter privilégio suficiente para passar o proxy e acessar o AD.

Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:

  • O servidor faz parte do domínio

  • A conta de domínio pode acessar os dados do AD e os dados de avatares locais. A conta também deve ter a função de administrador local, porque deve acessar os arquivos de acesso em C:\Program Files .

  • Para um logon da máquina virtual, o privilégio de conta de administrador deve pelo menos ser capaz de ler informações de domínio.

6

Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar .

O que fazer em seguida

Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.

Iniciar Sessão No Conector De Diretórios

Antes de começar

Certifique-se de ter suas credenciais de proxy.

  • Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.

  • Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .

1

Abra o conector e adicione https://idbroker.webex.com à sua lista de sites confiáveis se você vir um aviso.

2

Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next .

3

Confirme sua organização e domínio.

  • Se você escolher AD DS , verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão, escolha o domínio do qual deseja sincronizar e clique em Confirmar .

    Se você não verificar LDAP sobre SSL , o DirSync continuará a usar o protocolo de conexão LDAP.

    LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

  • Se você escolher AD LDS , insira o host, o domínio e a porta e clique em Atualizar para carregar todas as partições de aplicativos. Em seguida, selecione a partição na lista suspensa e clique em Confirmar . Consulte a seção AD LDS para obter mais informações.

    No arquivo CloudConnectorCommon.dll config, certifique-se de adicionar a configuração ADAuthLevel ao appSetting nó. Os valores podem ser 1, 2 ou 3. Consulte este artigo da Microsoft para saber mais sobre AuthenticationTypes . Aqui está um exemplo da configuração com um valor de 1:

    <appSettings> <add key="ConnectorServiceURI" value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL"/> <add key="ADAuthLevel" value="1"/> </appSettings>
4

Depois que a tela Confirmar organização for exibida, clique em Confirmar .

Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida.

5

Clique em Confirmar .

6

Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:

  • Se você tiver um único domínio que é AD LDS , vincule-o à fonte AD LDS existente e clique em Confirmar .
  • Se você tiver um único domínio AD DS , vincule-o ao domínio existente ou a um novo domínio. Se você escolher Bind para um novo domínio , clique em Next .

    Como o tipo de origem existente é AD DS, você não pode selecionar AD LDS para a nova vinculação.

  • Se você tiver mais de um domínio, escolha um domínio existente na lista ou Vincular a um novo domínio e clique em Next .

    Como você tem mais de um domínio, o tipo de origem existente deve ser AD DS . Se você escolher Bind para um novo domínio e clicar em Next , você não poderá selecionar AD LDS para a nova vinculação.

O que fazer em seguida

Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.

Painel do conector de diretórios

Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.

Se a sua sessão expirar, inicie sessão novamente.

Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.

Tabela 1. Componentes do painel

Componente

Descrição

Sincronização atual

Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa.

Próxima sincronização

Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido.

Última sincronização

Exibe o status das duas últimas sincronizações executadas.

Status de sincronização atual

Exibe o status geral da sincronização.

Conectores

Exibe os conectores locais atuais que estão disponíveis para a nuvem.

Estatísticas da nuvem

Exibe o status geral da sincronização.

Agenda de sincronização

Exibe a agenda de sincronização para sincronização incremental e completa.

Resumo da configuração

Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
  • Todos os objetos serão sincronizados

  • Todos os usuários serão sincronizados

  • O limite excluído foi desativado.

Tabela 2. Barra de ferramentas de ações
AçãoDescrição
Iniciar sincronização incremental

Iniciar manualmente uma sincronização incremental

Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento.

Sincronizar execução seca

Execute uma sincronização de simulação.

Iniciar visualizador de eventos

Inicie o Microsoft Event Viewer.

Atualização

Atualizar o painel do conector de diretórios da Cisco

Tabela 3. Barra de menus de ações

Ação

Descrição

Sincronizar agora

Inicie uma sincronização completa instantaneamente.

Modo de sincronização

Selecione o modo de sincronização completa ou incremental.

Redefinir segredo do conector

Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente.

Simulação

Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa.

Solução de problemas

Ative/desative a solução de problemas.

Atualização

Atualize a tela principal do conector de diretórios da Cisco.

Sair

Saia do conector de diretórios da Cisco.

Tabela 4. Principais combinações

Combinação De Chave

Ação

Alt +A

Mostrar o menu Ações

Alt +A + S

Sincronização agora

Alt +A + R

Redefinir segredo do conector

Alt +A + D

Simulação seca

Alt +A + S + I

Sincronização incremental

Alt +A + S + F

Sincronização completa

Alt + H

Mostrar menu Help

Alt + H + H

Ajuda

Alt + H + A

Sobre

Alt + H + F

Perguntas frequentes

Definir atualizações automáticas

1

No Conector de diretórios, vá para Configuração > Geral e, em seguida, marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco .

2

Clique em Aplicar para salvar suas alterações.

Novas versões do conector são instaladas automaticamente quando estão disponíveis.

Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.

Escolha os objetos do Active Directory para sincronizar

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

Grupos para atribuição automática de licenças

O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.

Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:

(&(cn=Exemplo)(objectclass=Grupo))*

Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.

Tela de seleção de objeto no Conector de diretórios

Grupos para implantações de segurança de dados híbridos

No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.

1

No Conector de diretórios, vá para Configuração e clique em Seleção de objeto .

2

Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários.

Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

3

Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala.

Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud .

4

Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem.

Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem.

Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança.
5

Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem.

O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub.

6

Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP.

7

Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar.

8

Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar .

Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou.

Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs .

9

Clique em Aplicar .

Escolha uma opção:

  • Aplicar alterações de configuração

  • Simulação

  • Cancelar

Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory .

Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem .

Mapear atributos do usuário

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.

Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.

As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).

Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho.

2

Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :

  • mail — Usado pela maioria das implantações para o formato de e-mail.
  • userPrincipalName —Uma escolha alternativa se o atributo de correio for usado para outros fins no Active Directory. Este atributo deve estar no formato de e-mail.

Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios .

Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados.

3

Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo.

Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações.

Neste exemplo, vamos mapear os atributos do Active Directory givenName e Sn para o atributo displayName em nuvem:

  1. Defina a expressão do atributo como givenName + "" + Sn (as aspas sendo um espaço extra) e, em seguida, forneça um e-mail de usuário existente para verificar.

  2. Clique Verify , e veja se o resultado corresponde ao que você estava esperando.

    Um resultado bem-sucedido é o seguinte:

  3. Se os resultados forem o que você esperava, clique em OK para salvar o novo atributo personalizado.

    Mais tarde, se desejar alterar o displayName , você poderá inserir uma nova expressão de atributo

O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem:

Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário:

4

(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex.

Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário.

Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores).

5

Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:

  • número de departamento
  • nome de exibição
  • administrador
  • título

Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário:

Visualizar as informações de contato de alguém

Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato .

Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub

6

Depois de fazer suas escolhas, clique em Aplicar .

Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.

Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.

Ativos do Active Directory e da nuvem

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .

Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.

Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.

Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.

Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

Nomes de atributos do Active Directory

Nomes de atributos do Webex Cloud

Notas

buildingName

c

c

Esse atributo especifica a abreviatura do país do usuário.

número de departamento

número de departamento

Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas .

nome de exibição

nome de exibição

Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas .

userAccountControl

ds-pwp-account-disabled

Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente.

EmployeeNumber

EmployeeNumber

fasimileTelephoneNumber

fasimileTelephoneNumber

jabberID

Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses.

l

l

Esse atributo especifica a cidade do usuário.

localidade

administrador

administrador

Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas .

móvel

móvel

Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato .

o

o

Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato .

ou

ou

Esse atributo especifica o nome da unidade organizacional.

Entrega física OfficeName

Entrega física OfficeName

Esse atributo especifica o local do escritório do usuário.

Código postalCode

Código postalCode

Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico.

preferredLanguage

preferredLanguage

Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA.

Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização.

MSRTCSIP-PrimaryUserAddress

ipPhone

SipAddresses;type=enterprise

Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex.

sn

sn

Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas .

st.

st.

Este atributo especifica o estado ou a província do usuário.

streetAddress

rua

Esse atributo especifica o endereço do usuário para entrega de correio físico.

telefone

telefone

Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato .

fuso horário

Este atributo em nuvem especifica o fuso horário do usuário.

título

título

Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas .

tipo

empresa

*e-mail

*userPrincipalName

uid

Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem.

Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor.

Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo.

*userPrincipalName

*e-mail

<atributo personalizado>

e-mails;tipo de trabalho

Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.

<Novo atributo para o usuário do Azure objectId>

externalId

Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente.

Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex .

Mapeamento de endereço de e-mail alternativo

Expressões para atributos personalizados

Tabela 5. Expressões para atributos personalizados

Operador

Descrição e exemplo

%

Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.

Exemplo de expressão
"abc@example.com" % "@"
Resultado
example.com

-

Tira a parte de trás da string de entrada do final da string especificada.

Exemplo de expressão
"abc@example.com" - "@"
Resultado
abc

+

Concatena sequências de entrada ou expressões.

Exemplo de expressão
"abc" + "" + "def"
Resultado
def abc

|

Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.

Exemplo de expressão
"" | "abc"
Resultado
abc

Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem.

3

Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário .

O avatar aparece à direita.

4

Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações.

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar avatares de diretório de um servidor de recursos para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.

Antes de começar

  • O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.

  • O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.

  • A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.

1

No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar .

2

Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}. jpg

Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:

  • http://www.example.com/dir/photo/zoom/—O caminho para onde todas as fotos que serão sincronizadas está localizado. Tem que ser uma URL que o serviço Conector de diretórios em seu servidor deve ser capaz de alcançar.
  • mail:—Conector de diretório diz para obter o valor do atributo de correio do Active Directory
  • .*?(?=@.*) —Uma sintaxe regex que executa estas funções:
    • .*—Qualquer caractere, repetindo zero ou mais vezes.

    • ? — Diz à variável anterior para corresponder aos poucos caracteres possíveis.

    • (?= ... )—Corresponde a um grupo após a expressão principal sem incluí-lo no resultado. O Conector de diretórios procura uma correspondência e não a inclui na saída.

    • @.*—O símbolo a, seguido por qualquer caractere, repetindo zero ou mais vezes.

  • .jpg — A extensão do arquivo para os avatares de seus usuários. Consulte os tipos de arquivo suportados neste documento e altere o ramal de acordo.
3

(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha.

4

Insira o Valor da variável —Por exemplo: abcd@example.com .

5

Clique em Test para garantir que o padrão de URI do avatar funcione corretamente.

Neste exemplo, se o valor de correio de uma entrada AD é abcd@example.com e as imagens jpg estavam sendo sincronizadas, o URI Final Avatar é http://www.example.com/dir/photo/zoom/abcd.jpg

6

Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar .

Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft .

  • As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.

  • Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.

Sincronizar informações de sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).

1

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Seleção de objeto .

2

Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização.

Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário.

3

Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise .

Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")

  • Escolha MSRTCSIP-PrimaryUserAddress se disponível.
  • Se você não tiver o atributo acima no esquema do Active Directory, use outro campo, como ipPhone .
4

Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas.

5

De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip:

6

Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector.

Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas .

Os resultados da simulação mostram todos os recursos de sala que foram correspondidos.

Resultados da simulação do Conector de diretório que mostram objetos correspondentes

Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem.

Painel do conector de diretórios destacando a janela de estatísticas de nuvem. As estatísticas de nuvem incluem usuários, grupos, salas e contatos.

O que fazer em seguida

Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.

No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.

O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.

Enviar relatórios de e-mail nos resultados da sincronização de diretórios

Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.

1

No Conector de diretórios, clique em Configuração e escolha Notificação .

2

No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório .

3

Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail.

4

Clique em Adicionar e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

5

Clique em Adicionar e-mail e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações.

6

Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias.

7

Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar .

8

Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar .

O que fazer em seguida

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .

Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.

Provisionar Usuários Do Active Directory Para O Control Hub

Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.

1

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

2

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

3

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial.

Fazer uma sincronização de execução seca no seu Active Directory Usuários

Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.

Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.

Antes de começar

Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, clique em Sim no aviso para executar uma simulação.
  • Se você perder um lembrete para executar uma simulação, a qualquer momento no Conector de diretórios, clique em Dashboard , escolha Sync Dry Run e, em seguida, clique em OK para iniciar uma sincronização de simulação.

Quando a simulação for concluída, você verá um dos seguintes resultados:

  • Objetos incompatíveis detectados no Conector de diretórios

  • Resumo dos resultados do relatório de execução seca e objetos incompatíveis no Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

O Resumo contém informações sobre a correspondência de objetos:

  • Objects Matched - Um usuário que está no Webex Common Identity e também existe no domínio do Active Directory, ou seja, se someuser@cisco.com foi sincronizado com o Webex e exibido no Control Hub e o mesmo usuário (someuser@cisco.com) existe no Active Directory. Isso significa que o usuário foi correspondido.

  • Objetos incompatíveis - Um usuário que está no Webex, não importa como o usuário foi adicionado na Common Identity, mas o usuário não existe no Active Directory. É chamado de Objeto Incompatível. Por exemplo, se someuser@cisco.com foi sincronizado no Webex e exibido no Control Hub, mas o mesmo usuário (someuser@cisco.com) não for gerenciado pelo Active Directory, o relatório mostrará que o usuário é incompatível.

A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local.

2

Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:

  • Domínio único —Decida se deseja manter os usuários incompatíveis. Se você quiser mantê-los, escolha Não, reter objetos ; se você não quiser, escolha Sim, excluir objetos . Depois de executar essas etapas e executar manualmente uma sincronização completa para que haja uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilita automaticamente as tarefas agendadas de sincronização automática.
  • Vários domínios —Para uma organização com o Domínio A e o Domínio B, primeiro faça uma simulação do Domínio A. Se você quiser manter usuários incompatíveis, escolha Não, retenha objetos . (Esses usuários incompatíveis podem ser membros do Domínio B.) Se você deseja excluir, escolha Sim, exclua objetos .

    Se você mantiver os usuários, execute uma sincronização completa para o Domínio A primeiro e, em seguida, execute uma simulação para o Domínio B. Se ainda houver usuários inigualáveis, adicione esses usuários no Active Directory e faça uma sincronização completa para o Domínio B. Quando houver uma correspondência exata entre o local e a nuvem, o Conector de diretórios habilitará automaticamente as tarefas agendadas de sincronização automática.

3

No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados.

Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched .

Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail.

Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo .

4

Se os resultados forem esperados, vá para Ações > Modo de sincronização > Ativar sincronização e clique em Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto.

Depois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais.

O que fazer em seguida

Coisas a se Manter em mente

Faça uma sincronização completa dos usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.

O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.

Antes de começar

  • Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:

  • Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

    Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.

1

Escolha uma opção:

  • Após iniciar a sessão pela primeira vez, se a simulação estiver concluída e estiver correta para todos os domínios, clique em Ativar agora para permitir que a sincronização automática ocorra.
  • No Conector de diretórios, vá para Painel , clique em Ações , escolha Modo de sincronização > Ativar sincronização e clique em Sincronizar agora > Completo para iniciar a sincronização.
2

No Conector de diretórios, vá para Sincronizar , clique em mais ao lado de um domínio sincronizado, clique em Configurar e escolha Sincronização completa .

3

Confirme o início da sincronização.

Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Última sincronização e Estatísticas de nuvem são atualizadas com as novas informações. Os dados do usuário são sincronizados com a nuvem.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .)

5

Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

6

Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental .

  • Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.

  • Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.

  • A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.

  • Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.

  • Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.

  • Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.

  • Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.

O que fazer em seguida

  • Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).

    Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.

  • Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):

    • No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.

    • As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.

Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub

Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.

Antes de começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Execute uma sincronização de simulação nos usuários do Active Directory.

  • Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.

No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Usuários, clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo...

2

Escolha uma opção:

O que fazer em seguida

  • Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.

  • Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.

Problemas conhecidos com o Conector de diretórios

Gerenciar usuários do aplicativo Webex

Executar uma sincronização incremental

Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.

Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.

Antes de começar

1

No Conector de diretórios, clique em Painel .

Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro.

2

Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora.

3

Em Ações , clique em Sincronizar agora > Incremental .

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, o horário de início e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções Last Synchronization e Cloud Statistics são atualizadas com as novas informações.

  • Se ocorrerem erros durante a sincronização, a esfera indicadora de status ficará vermelha.

4

Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros.

O que fazer em seguida

Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.

Recuperar usuários excluídos acidentalmente

O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.

Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.

Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.

Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.

1

Inicie sessão no Control Hub.

2

Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada.

Para obter mais informações, consulte Status e ações do usuário no Control Hub .

3

Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios.

O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem.

4

Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub.

Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço.

O que fazer em seguida

Retorne ao Control Hub, vá até Management > Users e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.

Excluir usuários permanentemente após a exclusão suave

Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.

1

Após a conclusão de uma simulação, selecione Objetos excluídos por software .

2

Marque a caixa de seleção ao lado dos usuários que você deseja excluir.

3

Selecione Concluído.

O que fazer em seguida

Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.

Alterar um endereço de e-mail do aplicativo Webex

Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.

Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.

  • Para alterar os endereços de e-mail do usuário sem alterar o domínio:

    1. Abra a conta de usuário (exemplo, user1@example.com) no Active Directory e altere o endereço de e-mail (exemplo, user2@example.com).

    2. Retome a sincronização no Conector de diretórios.

      Após a próxima sincronização, as alterações aparecem na sua lista de usuários no Control Hub e para os usuários no aplicativo Webex após a atualização do cache.

      Não há perda de dados ou espaços usando este método. O identificador exclusivo do usuário é definido na nuvem após a primeira sincronização. Todas as sincronizações subsequentes são baseadas neste identificador.

  • Em uma implantação de vários domínios com o Conector de diretórios, altere os endereços de e-mail do usuário ao alterar o domínio (considere example1.com o domínio antigo e example2.com o novo domínio):

    1. Para a conta de usuário antiga (user1@example1.com), observe o atributo do Active Directory que mapeia para o atributo uid em nuvem. Você precisa usar este mesmo valor do Active Directory para a nova conta. Para este exemplo, usaremos user1@example1.com como o atributo local para mapear para uid na nuvem.

    2. Pause a sincronização nos domínios do Directory Connector, por exemplo1.com e example2.com.

    3. Crie uma nova conta de usuário no example2.com e use o mesmo atributo acima. (Por exemplo, user1@example1.com ).

    4. No Conector de diretórios, retome a sincronização, por exemplo2.com

      Antes de continuar, verifique se a conta user1@example2.com é sincronizada no Control Hub. Recomendamos que você instrua o usuário a verificar a alteração de e-mail no aplicativo Webex e que todos os dados (espaços, mensagens, reuniões, arquivos e assim por diante) sejam mantidos.

      Não há perda de dados ou espaços usando esse método, mas na nova conta de usuário, você deve garantir que o atributo Active Directory que mapeia o atributo uid em nuvem seja preservado da conta de usuário antiga. Se você alterar o valor do Active Directory, a nova conta não reterá os dados da conta antiga.

    5. Depois de verificar a alteração do endereço de e-mail e os dados estão intactos, exclua a conta de usuário antiga no example1.com e, em seguida, use o Conector de diretórios para retomar a sincronização, por exemplo1.com.

      Neste ponto, você pode atualizar com segurança o endereço de e-mail no novo domínio do Active Directory para user1@example2.com.

O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .

Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.

Alterar o domínio do Active Directory

Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.

1

Configure um novo domínio do Active Directory (AD).

2

Desative as sincronizações em todos os seus conectores.

3

Desinstale todos os seus conectores.

4

Abra um caso para alterar o domínio .

No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização.

Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido.

5

Depois que o caso for resolvido:

  1. Instale o Conector de diretórios no mesmo servidor que o do novo domínio do Active Directory.

  2. Configure o Conector de diretórios para que seu ponto para o novo domínio do Active Directory.

    Se houver usuários existentes no Control Hub ( https://admin.webex.com), certifique-se de que os usuários com endereços de e-mail correspondentes também estejam presentes no Active Directory. Se sua organização desativou a alternância softDelete no DirSync, os endereços de e-mail do usuário que estão no Control Hub, mas não na exclusão de risco do Active Directory.

Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real.

Reivindicação de domínio

Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).

Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.

Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório

Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.

Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.

Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.

Alguns usuários reivindicados podem aparecer com o movedfrom atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído em vez de MismatchedObject . Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.

Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.

1

Desative a sincronização de diretório do Conector de diretórios.

2

Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa.

Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes.

3

No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos.

Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com).

Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex.

4

Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios.

As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.

Contas de usuários do aplicativo Webex embarcadas

Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.

Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .

Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório

Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.

Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .

Esse nome de usuário pode aparecer se o atributo displayName no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName na nuvem, os nomes aparecem no formato no Control Hub.

Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn (ou sn givenName ) para displayName nos nomes de atributos da Cisco Cloud.

Como alternativa, mapeie o atributo sn givenName para displayName :

Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName .

Por exemplo, insira givenName + "" + sn (nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName na nuvem.

Permitir que os usuários alterem nomes de exibição no Webex Meetings

Você pode desmapear o atributo displayName da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário .

2

Selecione displayName sob Nome do atributo da Cisco Cloud .

3

Selecione Não sincronizar este atributo .

O que fazer em seguida

Os usuários agora podem editar seus nomes de exibição no site Webex .

Solução de problemas do conector de diretório

Atualizar para a versão mais recente do software

Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .

O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.

Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.

1

Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização.

2

Siga as instruções para concluir a atualização.

3

Reinicie o conector e inicie sessão com suas credenciais de administrador.

4

Verifique o número da versão do software em Help > Sobre .

O que fazer em seguida

Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.

Definir configurações gerais para o conector de diretórios

Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.

1

No Conector de diretórios, vá para Configuração e clique em Geral .

2

No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector.

3

Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:

  • Info (Padrão) — Mostra mensagens informativas que destacam o progresso do aplicativo em um nível elevado. Use esta configuração se desejar receber relatórios depois de todas as sincronizações completas.

  • Avisar — Mostra situações potencialmente nocivas.

  • Debug —Mostra eventos informativos detalhados que são mais úteis para depurar um aplicativo. Quando você vir qualquer problema, defina esse nível de registro e envie o registro de eventos para suporte ao abrir um caso.

  • Erro —Mostra eventos de erro que ainda podem permitir que o aplicativo continue em execução. Quando você escolher esta opção, os relatórios de sincronização serão enviados apenas quando os erros forem relatados.

Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.)

4

Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades.

Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário.

5

Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram.

É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

6

Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão.

Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP.

LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

Configurar a política do conector

Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.

Por exemplo, você define 1 como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.

1

No Conector de diretórios, clique em Configuração e escolha Política .

2

Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite.

A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
3

Insira o número máximo de exclusões que você deseja. A predefinição é 20.

Recomendamos que você não aumente o valor padrão.

4

Clique em Aplicar.

Definir a agenda do conector

Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.

1

No Conector de diretórios, clique em Configuração e escolha Agendar .

2

Especifique o Intervalo de sincronização incremental em minutos.

Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa.

3

Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados.

4

Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra.

5

Especifique o Intervalo de failover em minutos.

6

Clique em Aplicar.

Vários cenários de domínio

Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.

Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.

O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .

Exemplo de caso de uso para vários domínios

Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.

  • Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.

  • Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.

  • Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.

  • Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.

Sincronização no exemplo1.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.

O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.

Sincronização em example1.com e example2.com

Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.

Considere estas etapas:

  1. Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
  2. Faça uma sincronização completa ou incremental, por exemplo1.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.

  3. Faça uma sincronização incremental, por exemplo2.com.

    Resultado: as informações do usuário não são alteradas https://admin.webex.com.

  4. Faça uma sincronização completa, por exemplo2.com.

    Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.

Sincronizar um novo domínio E Preservar um domínio existente

Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.

Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).

Definir a prioridade do domínio

Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.

Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.

Antes de começar

Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Definir prioridade de domínio .

3

Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração.

Os domínios são classificados por prioridade de cima para baixo.

Alternar domínios

Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.

Antes de começar

  • Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.

  • Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .

1

No conector de diretórios da Cisco, clique em Dashboard .

2

Vá para Ações e clique em Alternar domínio .

3

Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim .

Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas.

4

Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio.

Desativar a sincronização do diretório

Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Sincronização de diretório e escolha uma:

  • Clique em mais e, em seguida, clique em Desativar ao lado da instância do conector que você deseja desativar.
  • Clique em Desativar todas as sincronizações de diretório para interromper a sincronização de todas as instâncias do conector.
2

Depois de ler o aviso, clique em Desativar .

A sincronização para até que você a reative no Conector de diretórios.

Remover Mapeamento de Atributos do Usuário

Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Remover mapeamento de atributos do usuário .

3

Selecione o mapeamento a ser removido da lista Attribute Name .

4

Em Escopo de usuário afetado , selecione uma das seguintes opções:

  • Somente usuários sincronizados pelo Conector de diretório : o mapeamento será removido apenas dos usuários que o Conector de diretórios sincronizou anteriormente.
  • Todos usuários: o mapeamento será removido de todos os usuários do Active Directory.
5

Clique em Aplicar.

Gerenciar fotos de perfil

Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.

1

No Conector de diretórios, clique em Painel .

2

Vá para Ações e clique em Utilitários > Gerenciar imagens de perfil .

3

Em Ações , selecione uma das seguintes opções:

  • Remova imagens de perfil de fontes de avatar vazias : se a imagem de perfil do Active Directory estiver em branco, essa opção garantirá que as imagens de perfil do usuário sejam removidas da nuvem, mesmo que o usuário tenha carregado anteriormente sua própria imagem no Webex.
  • Recarregue da fonte sincronizada para substituir as imagens armazenadas em cache : O Conector de diretórios usa o mesmo Active Directory que o anterior para atualizar as imagens de perfil de todos os usuários. Isso garante que não haja incompatibilidade entre as imagens de perfil no Active Directory e na nuvem.
4

Clique em Aplicar.

Desinstalar e desativar o Conector de diretórios

Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:

  • Você não deseja mais usar a sincronização de diretório.

  • Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).

  • Você deseja alterar o domínio e instalar outro conector.

Antes de começar

  • Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.

  • Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.

1

Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos .

2

Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções.

Você pode ter que reinicializar o sistema para concluir a desinstalação.

3

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretório, clique em mais e clique em Desativar ao lado da instância do conector de diretório que você deseja desinstalar.

4

Depois de ler o aviso, clique em Desativar .

A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas.

Executar a ferramenta de diagnóstico

Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.

Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.

  • Para executar testes para os serviços de domínio do Active Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-DS , insira seu Domain e clique em Carregar controladores de domínio .

    2. Escolha um Controlador de domínio na lista.

      Não altere a entrada mais tarde, pois a pesquisa incremental deve sempre ser executada no mesmo Controlador de domínio.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como os objetos Users e Group e os filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para os serviços Active Directory Lightweight Directory:

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique na guia AD-LDS , insira seu Organizador e Porta e clique em Partições de carga .

    2. Escolha uma Partição na lista e clique em Connect .

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e, em seguida, clique em Test para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como User , UserProxy , e UserProxyFull e filtros de pesquisa.

    5. Verifique Cookie de preenchimento automático para gerar automaticamente um cookie para uma pesquisa.

    6. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    7. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

  • Para executar testes para o LDAP (Lightweight Directory Access Protocol):

    1. Vá para o menu iniciar, localize Cisco Directory Connector , clique em Cisco Directory - Diagnóstico . Clique no LDAP RAW guia, insira seu Root Path , Filter e escolha uma entrada de Atributos e clique em Load Partitions .

    2. Verifique as seguintes opções conforme necessário:

      • ObjectSecurity —Se esta opção estiver presente, o chamador não exigirá direitos e poderá ver apenas objetos e atributos acessíveis ao chamador. Se essa opção não estiver presente, o chamador terá o direito de replicar as alterações.

      • ParentsFirst —Garante que todos os pais das crianças venham antes de seus filhos.

    3. Escolha um valor para ExtendedDN .

      Esse valor é usado com uma pesquisa LDAP estendida para solicitar uma forma estendida de nome diferenciado de objeto.

    4. Escolha um valor para ReferralChasing .

      Uma busca de referência é iniciada quando um controlador de domínio retorna uma indicação de uma consulta - por exemplo, para detalhes de um resultado de consulta que pode estar fora do namespace (como membros do grupo em outro domínio ou floresta).

    5. Clique Query para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode demorar alguns segundos.

    6. Quando o teste estiver concluído, clique em Save para salvar uma entrada de registro, que você pode enviar para a equipe de suporte para análise ao abrir um ticket.

Solucionar problemas no Ciso Directory Connector

Solução de problemas e correções para o conector de diretórios

Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.

Instalar

O conector de diretório parou de funcionar

Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.

  • O Conector de diretórios pode não estar instalado corretamente.

  • O Conector de diretórios pode não estar em execução.

  • A rede pode não estar disponível.

Tente o seguinte:

  • Abra Painel de controle > Programas e recursos . Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a.

  • Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.

  • Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.

Erro de reinstalação

Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.

Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.

Solução —Após algum tempo passar, tente a instalação novamente.

Iniciar sessão

O Conector de diretórios falha durante o início de sessão do SSO

Problema

O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.

Solução

Tente o seguinte:

Execute estas etapas para configurar uma nova política de grupo:

  1. Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).

  2. Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…

  3. Dê um nome à política, clique com o botão direito do mouse e escolha Edit .

Execute estas etapas para alterar a política no nível da máquina:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

Execute estas etapas para alterar a política no nível do usuário:

  1. Ir para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito Registro, escolha Novo, e então Item De Registro...

  2. Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .

  3. Insira Desativar depurador de script para Value , e insira no para Dados de valor .

    As configurações devem corresponder a esta captura de tela:

As alterações têm efeito depois de executar gpupdate /force , a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).

O Conector do serviço Cisco DirSync não pôde ser registrado

Problema

Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."

Solução

O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.

Nenhuma página de logon é exibida

Problema

Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.

Solução

Tente as seguintes etapas:

  1. No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.

  2. Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)

O aviso de início de sessão é exibido

Problema

Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.

Causas possíveis

O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.

Solução

Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.

Não foi possível conectar-se ao servidor remoto

Problema

Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".

Causas possíveis

Você pode ter problemas de proxy que precisam ser resolvidos.

Solução

Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.

Não foi possível registrar o conector

Problema

Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."

Causas possíveis

Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.

Solução

Tente o seguinte:

  1. Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .

  2. Clique em Conexão > Vincular , escolha Vincular como atualmente conectado ao usuário , e clique em OK .

  3. Clique View > Tree , digite DC=arbonneintl,DC=ad como BaseDN e clique em OK .

  4. Se o problema persistir, abra um caso com o suporte .

Sincronização

Avatares não sincronizados

Problema

O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.

Causas possíveis

Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.

Solução

Exclua o cache local seguindo estas etapas:

  1. Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\

  2. Excluir DirSyncPluginAvatar.dll-cache.bin .

  3. Execute novamente a sincronização do avatar do conector de diretórios da Cisco.

Conflitas de e-mail do usuário em conflito

Problema

Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.

  • Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.

  • Se os e-mails dos usuários já foram sincronizados em outra organização.

  • Se os e-mails do usuário existirem em vários domínios que pertencem à organização.

Solução

Tente o seguinte:

  • Siga estas etapas se estiver tentando reivindicar usuários:

    1. Certifique-se de ter verificado o domínio no Control Hub .

    2. Desative temporariamente o Conector de diretórios da Cisco.

    3. Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.

    4. Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório

  • Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.

Usuário convertido marcado como inativo

Problema

No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.

Causas possíveis

Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.

Solução

Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.

Falha na sincronização incremental

Problema

Uma sincronização incremental falha.

Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:

  • Você oferece suporte a atualizações de valor incremental.

  • O filtro que você usa faz referência a um atributo de valor vinculado.

  • Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.

Solução

O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.

Valor inválido para o atributo

Problema

Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].

Causas possíveis

Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.

Solução

Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.

Usuários correspondentes a serem excluídos

Problema

Os usuários correspondentes são marcados para serem excluídos.

Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.

Solução

Escolha uma correção apropriada:

  • Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.

  • Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .

Atributo ausente

Problema

O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.

Causas possíveis

O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.

Solução

Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.

O grupo aninhado não sincronizará

Problema

Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.

Causas possíveis

É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)

Solução

Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)

Conflito de nomeação do usuário

Problema

Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].

Causas possíveis

Um usuário com esse endereço de e-mail já existe no Control Hub.

Solução

Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.

Hub de controle

Lista de usuários ausente no Control Hub

Problema

Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.

Solução

Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.

Os grupos não serão sincronizados com o Control Hub

Problema

Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.

Causas possíveis

O grupo não está marcado como isCriticalSystemObject no Active Directory.

Solução

Certifique-se de que o atributo isCriticalSystemObject esteja definido como TRUE no Active Directory.

Ativar solução de problemas para o Conector de diretórios

Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.

Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

Execute o arquivo services.msc para alterar a conta em execução do serviço do Conector de diretórios do Sistema Local para uma conta de domínio com privilégios para acessar seu AD DS ou AD LDS.

2

Reinicie o serviço.

Consulte Como iniciar serviços para obter orientação.

3

No Conector de diretórios, clique em Painel .

4

Vá para Ações e clique em Utilitários > Solução de problemas .

5

Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados.

6

Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS.

A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema.

7

Se necessário, envie o arquivo de registro para suporte para assistência.

8

Desative o recurso de solução de problemas quando terminar.

Iniciar o Visualizador de eventos

Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.

1

No Conector de diretórios, vá para Painel e clique em Ação > Iniciar visualizador de eventos .

A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro.

2

No Visualizador de eventos, vá para Registros de aplicativos e serviços > Conector de diretórios da Cisco .

3

Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv.

O que fazer em seguida

Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.

Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.

Ativar TLS no Internet Explorer

Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:

  • Ocorreu um erro ao fazer logon no serviço

  • Ocorreu um erro no script nesta página

Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.

1

Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente

2

Clique em Opções da Internet , vá para Avançado , role até a Segurança .

3

Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK .

4

Reinicie o sistema para que as alterações tenham efeito.

Solucionar problemas de início de sessão da conta de serviço

Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.

1

Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web.

2

Escolha um, dependendo dos resultados:

  • Se você não puder visitar o link do navegador, verifique as configurações de rede. Se seu ambiente usar proxy, verifique as configurações de proxy.
  • Se você puder visitar o link do seu navegador, mas não puder abrir o conector de diretórios da Cisco ( Não é possível abrir o conector e aparecer uma mensagem de erro com 407 ), clique aqui para obter a versão mais recente do conector de diretórios da Cisco.
  • Se você puder visitar o link do seu navegador, mas não puder executar uma sincronização do conector de diretórios da Cisco, altere a conta de logon do serviço para admin do domínio .

    Verifique se a conta que você usou para iniciar sessão no sistema Windows é a mesma conta que você definiu no "Serviço Cisco DirSync". Se eles são 2 contas diferentes, certifique-se de que ambas as contas podem visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Se seu ambiente usar proxy, certifique-se de que ambas as contas estejam configuradas para proxy no Internet Explorer e possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL com êxito.

3

No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows.

Verificar SafeDllSearchMode no registro do Windows

O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter .

2

Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado —Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado —Certifique-se de que o valor esteja definido como 1 .

Para obter mais informações, consulte Dynamic Link Library Search Order .

Visão geral do Conector de diretórios da Cisco

Visão geral do conector de diretórios

O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Você baixa o software do conector do Control Hub e o instala em sua máquina local.

Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.

Veja todos os recursos, descrições e benefícios na tabela:

RecursoDescrição e benefício
Painel fácil de usar O painel fornece uma agenda de sincronização, um resumo e o status da sincronização, bem como o status do Conector de diretórios. Você pode visualizar o painel a qualquer momento que iniciar sessão.
Faça uma simulação antes de sincronizar com a nuvem Faça uma simulação das alterações no diretório antes de elas serem implementadas na nuvem. Em seguida, execute um relatório para ver que as alterações que você deseja fazer são o que você espera.
Sincronização completa e incremental Sincronize o diretório inteiro. Ou apenas sincronize as alterações incrementais para economizar no poder de processamento e encurtar o tempo de sincronização.

Sincronize vários domínios (uma única floresta ou várias florestas)

O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade do AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado de sincronização de vários Conector de diretórios, permite que você desative a sincronização de um domínio específico e desative um Conector de diretórios em uma implantação de alta disponibilidade.

Sincronização agendada Defina uma agenda de sincronização por dia, hora e minuto.
Filtros do Protocolo LDAP (Lightweight Directory Access Protocol) Defina critérios de pesquisa LDAP e forneça importações eficientes.
Mapeamento de atributos do Active Directory Mapeie os atributos do Microsoft Active Directory com os atributos correspondentes da nuvem Webex. Você pode mapear atributos relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear na nuvem. Os atributos dos locais formam vários dados na nuvem, como informações da conta do usuário, números de telefone da empresa no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante).

Diretório corporativo para recursos de salas locais e usuários do Cisco Webex Calling (PSTN em nuvem) e contatos corporativos sem licenças Webex

Se parte da sua organização usar o Cisco Webex Calling em nuvem PSTN para serviço de chamadas ou se você tiver dispositivos de sala locais, esse recurso permitirá que os usuários pesquisem no diretório de contatos corporativos dos telefones Cisco Webex Calling (PSTN em nuvem) ou dos recursos de sala.

Recursos da sala
Após sincronizar as informações da sala, os dispositivos de sala do local com um endereço SIP configurado e mapeado, aparece como entrada pesquisável em dispositivos de sala registrados em nuvem, como um dispositivo de Cisco Webex Room ou Cisco Webex Board.

Quando os usuários fizerem uma pesquisa em um dispositivo Cisco Webex Room ou Cisco Webex Board, você verá as entradas de salas sincronizadas que são configuradas com endereços SIP. Quando eles fazem uma chamada do dispositivo Webex nessa entrada, uma chamada será feita para o endereço SIP que foi configurado para a sala.

Chamadas
Os usuários podem fazer chamadas para contatos corporativos, além dos contatos do aplicativo Webex. Por meio do Conector de diretórios, os usuários corporativos e seus números de telefone são adicionados à sua organização Webex. Eles não precisam estar licenciados para os serviços Webex para que esse recurso funcione.

Os usuários que não estiverem licenciados para o Webex aparecerão na pesquisa de diretório executada a partir do telefone de um usuário Cisco Webex Calling, contanto que haja um URI ou um número de telefone sincronizado com o Webex por meio do Conector de diretórios. A funcionalidade de chamadas se comporta da mesma maneira para ambos os tipos de usuários. Esse recurso também fornece a funcionalidade de edição de discagem para contatos apenas com números de telefone.

No resultado da pesquisa de contatos:

  • Se os contatos tiverem um URI discável (endereço SIP Webex) e um número de telefone, o URI associado ao contato será exibido.

  • Se os contatos não tiverem um URI discável, mas um número de telefone, o número de telefone será exibido. Eles também têm uma tecla de função Editar discagem.

  • Se os contatos não tiverem nenhum, eles não serão exibidos no diretório.

Visualizador de eventos Use o visualizador de eventos para determinar se houve algum problema com a sincronização.
Ferramenta de diagnóstico e solução de problemas Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar os erros antes de entrar em contato com o suporte.

Depois de habilitar a solução de problemas no Conector de diretórios, os registros são gravados e podem ser enviados ao suporte técnico.

Atualização automática Depois de instalar o Conector de diretórios, você receberá uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada.
Alta disponibilidade Configure vários conectores para que haja um backup, caso o conector principal ou a máquina que o hospeda desligue.

O Conector de diretórios é dividido em três áreas:

  • O Control Hub é a única interface que permite gerenciar todos os aspectos da sua organização Webex: visualize os usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.

  • Interface de gerenciamento do conector de diretórios é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.

  • O Serviço de sincronização de diretórios consulta seu Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.

Consulte este diagrama para entender a arquitetura do Conector de diretórios:

Arquitetura do Conector de diretórios
Arquitetura do Conector de diretórios

Preparar seu ambiente para o Conector de diretórios

Requisitos do Conector de diretórios

Requisitos do Windows e do Active Directory

Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Para resolver um problema de cookie, recomendamos que você atualize seu controlador de domínio para uma versão que contém a correção — Windows Server 2012 R2 ou 2016.

O Conector de diretórios é compatível com os seguintes serviços do Active Directory:

  • Active Directory 2016

    (O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)

  • Active Directory 2012

  • Active Directory 2008 R2

  • Active Directory 2008

Observe os seguintes requisitos adicionais:

Requisitos de hardware

Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:

  • 8 GB de RAM

  • 50 GB de armazenamento

  • Nenhum mínimo para a CPU

Requisitos de rede

Se a sua rede estiver atrás de um firewall, certifique-se de que o sistema tenha acesso HTTPS (porta 443) à Internet.

Requisitos da organização Webex

  • Para acessar o software Directory Connector do Control Hub, você precisa de uma organização Webex com um teste ou qualquer assinatura paga.

  • (Opcional) Se desejar que as novas contas de usuário do aplicativo Webex estejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:

Para obter mais informações, consulte Status e ações do usuário no Control Hub.

Requisitos de instalação

  • Para um ambiente de vários domínios (uma única floresta ou várias florestas), você deve instalar um conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de ter um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).

  • Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completo no Control Hub.

    Iniciar sessão no Conector de diretórios

    Esse usuário local deve ter privilégios nessa máquina com Windows para se conectar ao controlador de domínio e ler objetos do usuário do Active Directory. A conta de logon da máquina deve ser um administrador do computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)

    Iniciar sessão no Conector de diretórios

  • Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completo do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) do Windows esteja ativado usando este procedimento: Verifique o SafeDllSearchMode no registro do Windows.

  • Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.

Requisitos de vários domínios

Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco, tenha em mente os seguintes requisitos e recomendações se você estiver sincronizando informações do Active Directory de vários domínios para a nuvem:

  • Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.

  • O software do Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.

  • Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios.)

  • Se você quiser sincronizar mais de 50 domínios, deverá abrir um ticket para transferir sua organização para uma grande lista de organizações.

  • Se desejar, você pode sincronizar as informações de recursos da sala juntamente com as contas de usuário. (Consulte Sincronizar informações da sala no local com o Webex Cloud.)

Recomendações do grupo do Active Directory para atribuição automática de licenças

Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.

Existem dois tipos de grupos no Active Directory:

  • Grupos de distribuição—Usado para criar listas de distribuição por e-mail.​

  • Grupos de segurança—Usado para atribuir permissões a recursos compartilhados.

Tipos de grupo do Active Directory

Considere as seguintes diretrizes ao criar grupos no Active Directory:

  • Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex e assim por diante).​

  • Use as convenções de nomenclatura padrão em toda a organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes dos grupos podem incluir detalhes sobre o grupo, como o nível de acesso, tipo de recurso, nível de segurança, escopo do grupo, capacidade de correio e assim por diante. por exemplo, o nome do grupo "GSG_Webex_Licensing_EMEAR" refere-se a um Grupo de segurança global para usuários do Webex Licensing EMEAR.​

  • Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.

  • Antes de adicionar usuários a grupos recém-provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo automático de atribuição de licença para obter mais informações.

Informações de dimensionamento

O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior de quantos objetos do Active Directory podem ser sincronizados com a nuvem. Quaisquer limites em objetos de diretório locais estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.

Alguns fatores podem afetar a velocidade da sincronização:

  • O número total de objetos do Active Directory. (Um trabalho de sincronização de 5000 usuários não levará até 50000.)

  • Velocidade da rede e largura de banda.

  • Carga de trabalho e especificações do sistema.

Se você estiver sincronizando mais de 50.000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.

Como vários fatores estão envolvidos com a sincronização e como cada implantação varia dependendo dos fatores acima, não podemos fornecer valores de tempo específicos para quanto tempo levará uma sincronização de objeto.

Verificar o SafeDllSearchMode no registro do Windows

O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter.

2

Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager.

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado—Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado—Certifique-se de que o valor esteja definido como 1.

Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.

Integração de proxy da web

Integração de proxy da web

Se a autenticação de proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.

Se sua organização usar um proxy da web transparente, ele não suporta autenticação. O conector conecta e sincroniza os usuários com êxito.

Você pode adotar uma destas abordagens:

  • Proxy web explícito por meio do Internet Explorer (o conector herda as configurações de proxy web)

  • Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)

  • Proxy transparente que funciona com o conector sem nenhuma alteração

Usar um Proxy Da Web Através Do Navegador

Você pode configurar o Conector de diretórios para usar um proxy da web por meio do Internet Explorer.

Se o serviço Cisco DirSync for executado a partir de uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy web.

1

No Internet Explorer, vá para Opções da Internet, clique em Conexões e escolha Configurações de LAN.

2

Aponte a instância do Windows onde o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web.

3

Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

4

Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex.

Configurar o proxy da web por meio de um arquivo PAC

Você pode configurar um navegador de cliente para usar um arquivo .pac. Esse arquivo fornece o endereço do proxy web e as informações da porta. O Conector de diretórios herda diretamente a configuração do proxy web específica da empresa.

1

Para que o conector se conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy esteja desabilitada no cloudconnector.webex.com na configuração do arquivo .pac para o host onde o conector está instalado.

2

Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

3

Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex.

Proxy NTLM

O conector de diretórios suporta o NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.

Projeto NTLM

Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.

Geralmente, o design técnico do NTLM é baseado em um mecanismo de Desafio e Resposta:

  1. Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha no cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor de hash da senha de entrada. Se ambos forem iguais, a autenticação passa.

    Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.

  2. Quando o servidor recebe a solicitação, ele gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes que o servidor envie de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.

  3. Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor hash mencionado na etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.

  4. Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio simples original.

  5. O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador de doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se forem iguais, a verificação será bem-sucedida.

O Windows tem autenticação de segurança integrada no sistema operacional, facilitando a autenticação de segurança por aplicativos. Como resultado, você não precisa concluir a configuração adicional.

Configurar o Proxy Transparente

Nesse cenário, o navegador não está ciente de que um proxy da web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.

1

Implante um proxy transparente para que o conector possa conectar e sincronizar os usuários.

2

Confirme se o proxy foi bem-sucedido — você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector.

Definir autenticação proxy

Adicione a URL cloudconnector.webex.com à sua lista de permissões criando uma Lista de controle de acesso.

No servidor de firewall corporativo:

1

Ative a pesquisa de DNS se ainda não estiver habilitada.

2

Determine uma largura de banda estimada para essa conexão (em aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário.

3

Crie uma Lista de controle de acesso para aplicar ao host do conector e especifique cloudconnector.webex.com como o destino a ser adicionado à lista de permissões.

Por exemplo:

lista de acesso 2000 acl-dentro de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https
4

Aplique esta ACL à interface de firewall apropriada, que é aplicável apenas a esse host de conector único.

5

Certifique-se de que o resto dos organizadores da sua empresa ainda seja obrigado a usar o proxy da web, configurando a declaração de negação implícita apropriada.

Implantar o Conector de diretórios

Fluxo de tarefa de implantação do conector de diretórios da Cisco

1

Instalar o Directory Connector

O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre vá para o Control Hub (https://admin.webex.com) para obter a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis.

2

Iniciar sessão no Conector De Diretórios

Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial.

3

Definir atualizações automáticas

É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

4

Escolha os objetos do Active Directory a serem sincronizados

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

5

Mapear atributos do usuário

Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid.

6

Sincronize os avatares do diretório usando um dos seguintes procedimentos:

Você pode sincronizar os avatares dos seus usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos.

7

Sincronizar informações da sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala locais com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem, como um dispositivo Webex Room ou Cisco Webex Board

8

Para Provisionar Usuários Do Active Directory No Control Hub, execute estas etapas:

Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex.Você pode provisionar usuários de uma implantação do Active Directory de várias florestas ou de vários domínios no Conector de diretórios 3.0 e posterior. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.

Instalar o Directory Connector

O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa.

Você deve instalar um conector para cada domínio do Active Directory que você deseja sincronizar. Uma única ocorrência do Conector de diretório só pode atender a um único domínio. Consulte o diagrama a seguir para entender o fluxo da sincronização de vários domínios:

Multiple Domain Flow for Directory Connector
Fluxo de vários domínios para o conector de diretórios

Antes de você começar

Se você se autenticar por meio de um servidor proxy, verifique se você tem suas credenciais de proxy:

  • Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de instalar uma ocorrência do conector. A configuração de proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um Proxy Web Através Do Navegador

  • Para proxy NTLM, você pode ver um erro ao abrir o conector pela primeira vez. Consulte Usar um Proxy Da Web Pelo Navegador.

1

No Control Hub, vá para Usuários > Gerenciar usuários > Ativar sincronização de diretórios e escolha Próximo.

2

Clique no link Baixar e instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu VMware ou servidor Windows.

Você pode obter o arquivo .zip diretamente deste link, mas deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione.

Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis.

3

No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração.

4

Clique em Próximo, marque a caixa para aceitar o contrato de licença e, em seguida, clique em Próximo até que você veja a tela do tipo de conta.

5

Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:

  • Sistema local—A opção padrão. Você pode usar esta opção se tiver um proxy configurado por meio do Internet Explorer.
  • Conta de domínio—Use esta opção se o computador for parte do domínio. O conector de diretórios deve interagir com os serviços de rede para acessar os recursos de domínio. Você pode inserir as informações da conta e clicar em OK. Ao inserir o Nome de usuário, use o formato {domain}\{user_name}

    Para um proxy que se integra ao AD (NTLMv2 ou Kerberos), você deve usar a opção conta de domínio. A conta usada para executar o Serviço de conector de diretórios deve ter privilégios suficientes para passar proxy e acessar o AD.

Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:

  • O servidor faz parte do domínio

  • A conta de domínio pode acessar os dados do AD no local e os dados de avatares. A conta também deve ter a função de administrador local, pois ela deve acessar arquivos de acesso em C:\Program Files.

  • Para um logon de máquina virtual, o privilégio da conta de administrador deve pelo menos ser capaz de ler informações de domínio.

6

Clique em Instalar. Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas do proxy, clique em OK e, em seguida, clique em Concluir.

O que fazer em seguida

Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.

Iniciar sessão no Conector De Diretórios

Antes de você começar

Verifique se você tem suas credenciais de proxy.

  • Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.

  • Para proxy NTLM, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções da Internet > Conexões > configurações da LAN, certifique-se de que as informações do servidor proxy sejam adicionadas e, em seguida, clique em OK. Consulte Usar um Proxy Da Web Pelo Navegador.

1

Abra o conector e adicione https://idbroker.webex.com à sua lista de sites confiáveis se você vir um aviso.

2

Se solicitado, inicie sessão com suas credenciais de autenticação de proxy, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Próximo.

3

Confirme sua organização e o domínio.

  • Se você escolher AD DS, marque LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão, escolha o domínio do qual deseja sincronizar e clique em Confirmar.

    Se você não verificar LDAP sobre SSL, o DirSync continuará a usar o protocolo de conexão LDAP.

    LDAP (Lightweight Directory Application Protocol) e LDAP seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o controlador de domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

  • Se você escolher AD LDS, insira o host, domínio e porta e clique em Atualizar para carregar todas as partições de aplicativos. Em seguida, selecione a partição na lista suspensa e clique em Confirmar. Consulte a seção do AD LDS para obter mais informações.

    No arquivo de configuração CloudConnectorCommon.dll, certifique-se de adicionar a configuração ADAuthLevel ao nó appSetting. Os valores podem ser 1, 2 ou 3. Consulte este artigo da Microsoft para saber mais sobre os AuthenticationTypes. Aqui está um exemplo da configuração com um valor de 1:

    <appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>
4

Depois que a tela Confirmar organização for exibida, clique em Confirmar.

Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida.

5

Clique em Confirmar.

6

Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:

  • Se você tiver um único domínio que seja o AD LDS, vincule-se à fonte do AD LDS existente e clique em Confirmar.
  • Se você tiver um único domínio que seja o AD DS, vincule-o ao domínio existente ou a um novo domínio. Se você escolher Vincular a um novo domínio, clique em Próximo.

    Como o tipo de origem existente é AD DS, não é possível selecionar AD LDS para a nova vinculação.

  • Se você tiver mais de um domínio, escolha um domínio existente na lista ou Vincular a um novo domínio e clique em Próximo.

    Como você tem mais de um domínio, o tipo de origem existente deve ser o AD DS. Se você escolher Vincular a um novo domínio e clicar em Próximo, não poderá selecionar o AD LDS para a nova vinculação.

O que fazer em seguida

Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.

Painel do conector de diretórios

Quando você inicia sessão no Conector de diretórios pela primeira vez, o painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar as estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver as informações de erro.

Se o tempo de sua sessão expirar, inicie sessão novamente.

Você pode executar facilmente essas tarefas na barra de ferramentas de ações ou no menu de ações.

Tabela 1. Componentes do painel

Componente

Descrição

Sincronização atual

Exibe as informações de status sobre a sincronização que está atualmente em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status fica ociosa.

Próxima sincronização

Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma agenda for definida, Não agendada será exibida.

Última sincronização

Exibe o status das duas últimas sincronizações executadas.

Status de sincronização atual

Exibe o status geral da sincronização.

Conectores

Exibe os atuais conectores locais que estão disponíveis para a nuvem.

Estatísticas da nuvem

Exibe o status geral da sincronização.

Agenda de sincronização

Exibe a agenda de sincronização para sincronização incremental e completa.

Resumo da configuração

Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
  • Todos os objetos serão sincronizados

  • Todos os usuários serão sincronizados

  • O limite excluído foi desativado.

Tabela 2. Barra de ferramentas de ações
AçãoDescrição
Iniciar sincronização incremental

Iniciar manualmente uma sincronização incremental

Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento.

Simulação de sincronização

Execute uma sincronização de simulação.

Iniciar o visualizador de eventos

Inicie o Visualizador de eventos da Microsoft.

Atualizar

Atualizar o painel do conector de diretórios da Cisco

Quadro 3. Menu de Acções

Ação

Descrição

Sincronizar agora

Inicie uma sincronização completa instantaneamente.

Modo de sincronização

Selecione o modo de sincronização incremental ou completo.

Redefinir senha do conector

Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, o salvará localmente.

Simulação

Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa.

Solução de problemas

Ative/desative a solução de problemas.

Atualizar

Atualize a tela principal do conector de diretórios da Cisco.

Sair

Saia do conector de diretórios da Cisco.

Quadro 4. Combinações de teclas

Combinação de teclas

Ação

Alt +A

Mostrar o menu de Ações

Alt+A+S

Sincronizar agora

Alt+A+R

Redefinir senha do conector

Alt+A+D

Simulação

Alt +A + S + I

Sincronização incremental

Alt +A + S + F

Sincronização completa

Alt + H

Mostrar menu de Ajuda

Alt + H + H

Ajuda

Alt + H + A

Sobre

Alt + H + F

Perguntas frequentes

Definir atualizações automáticas

1

No Conector de diretórios, vá para Configuração > Geral e, em seguida, marque Atualizar automaticamente para a nova versão do Cisco Directory Connector.

2

Clique em Aplicar para salvar suas alterações.

Novas versões do conector são instaladas automaticamente quando estão disponíveis.

Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.

Escolha os objetos do Active Directory a serem sincronizados

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

Grupos para atribuição automática de licenças

O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para grupos do Active Directory que você sincroniza com a nuvem. No ponto da criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença para esse novo usuário.

Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro para:

(&(cn=Exemplo)(objectclass=Grupo))*

Este filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.

Tela de seleção de objeto no Conector de diretórios

Grupos para implantações de segurança de dados híbridos

No Conector de diretórios, você deve marcar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. Essa configuração do Conector de diretórios não afeta a sincronização de outros usuários na nuvem.

1

No Conector de diretórios, vá para Configuração e clique em Seleção de objeto.

2

Na seção Tipo de objeto, marque Usuários e considere limitar o número de contêineres pesquisáveis para usuários.

Se você quiser sincronizar apenas os usuários em um determinado grupo, por exemplo, deverá inserir um filtro LDAP no campo Filtros LDAP de Usuários. Se você quiser sincronizar os usuários que estão no grupo Gerenciador de exemplo, use um filtro como este:

(&(sAMAccountName=*)(memberOf=cn=Exemplo-manager,ou=Exemplo,ou=Grupo de segurança,dc=EMPRESA))

3

Marque Identificar sala para separar os dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar dados do usuário como dados da sala.

Use esta configuração se desejar sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem. Para obter mais informações, consulte Sincronizar informações da sala no local com o Webex Cloud.

4

Marque Grupos se você quiser sincronizar seus grupos de usuários do Active Directory com a nuvem.

Não adicione um filtro LDAP de sincronização de usuários ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os próprios dados do grupo com a nuvem.

Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupos. Você também deve sincronizar grupos de segurança.

5

Marque Contatos se você quiser sincronizar as informações de contato dos usuários com a nuvem.

O Conector de diretórios gerencia apenas os Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não os excluirá. Se os contatos forem removidos do escopo da sincronização, as informações de contato dos usuários também serão removidas do Control Hub.

6

Configure os filtros LDAP. Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP.

7

Especifique os DNs da base local a serem sincronizados clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar.

8

Verifique os objetos que você deseja adicionar nesta configuração e clique em Selecionar.

Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para ativar todos os recipientes filhos. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que um filho foi verificado. Você pode então clicar em Selecionar para aceitar os contêineres do Active Directory que você marcou.

Se sua organização colocar todos os usuários e grupos no contentor Usuários, você não precisará pesquisar outros contentores. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs.

9

Clique em Aplicar.

Escolha uma opção:

  • Aplicar alterações de configuração

  • Simulação

  • Cancelar

Para obter informações sobre simulações, consulte Fazer uma sincronização de simulação nos seus usuários do Active Directory.

Para a sincronização de grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa de usuários do Active Directory na nuvem.

Mapear atributos do usuário

Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.

Você pode escolher qual atributo do Active Directory mapear para a nuvem - por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.

As contas no Active Directory devem ter um endereço de e-mail; o uid é mapeado por padrão para o campo ad de correio (não sAMAccountName).

Se você optar por ter o idioma preferido vindo do seu Active Directory, então o Active Directory é a única fonte de verdade: os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário.

Esta página mostra os nomes dos atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos obrigatórios são marcados com um asterisco vermelho.

2

Role para a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo uid da nuvem:

  • correio—Usado pela maioria das implantações para formato de e-mail.
  • userPrincipalName—Uma escolha alternativa se o atributo de correio for usado para outros fins no Active Directory. Esse atributo deve estar em formato de e-mail.

Você pode mapear qualquer um dos outros atributos do Active Directory para o uid, mas recomendamos que você use mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeando atributos do Active Directory no Conector de diretórios.

Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados.

3

Se os atributos predefinidos do Active Directory não funcionarem para sua implantação, clique no menu suspenso de atributos, role para a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo.

Clique em Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações.

Neste exemplo, vamos mapear os atributos do Active Directory givenName e Sn para o atributo displayName da nuvem:

  1. Defina a expressão do atributo como givenName + "" + Sn (as aspas sendo um espaço extra) e, em seguida, forneça um e-mail de usuário existente para verificação.

  2. Clique em Verificar e veja se o resultado corresponde ao que você estava esperando.

    Um resultado bem-sucedido se parece com este:

    Mapeie atributos do seu Active Directory local

  3. Se os resultados forem o que você esperava, clique em OK para salvar o novo atributo personalizado.

    Mais tarde, se você quiser alterar o displayName, poderá inserir uma nova expressão de atributo

O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro de usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem:

A mensagem de informações no Active Directory para os usuários têm um formato de e-mail válido

Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário:

Mensagem de aviso se o atributo não puder ser verificado

4

(Opcional) Escolha mapeamentos para celular e telephoneNumber se desejar que os números de celular e comercial apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex.

Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário.

Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação de chamadas no Webex (Unified CM) (administradores).

5

Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:

  • número do departamento
  • displayName
  • manager
  • cargo

Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário:

Visualizar as informações de contato de alguém

Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato.

Depois que esses atributos forem sincronizados com cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais uns sobre os outros. Para obter mais informações sobre o recurso e como ativá-lo, consulte os Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (novo) no Control Hub

6

Depois de fazer suas escolhas, clique em Aplicar.

Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deverá ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.

Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.

Atributos do Active Directory e da nuvem

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia de Mapeamento de atributos do usuário.

Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos do Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher diferentes atributos nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.

Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo de nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição de seus usuários - por exemplo, você pode adicionar uma expressão que crie um atributo personalizado com base no título do funcionário, nome e sobrenome no Active Directory.

Você também pode especificar qualquer um dos atributos do Active Directory a serem mapeados como uid na nuvem. No entanto, você deve certificar-se de que o atributo local siga um formato de e-mail válido.

Você também pode usar endereços de e-mail alternativos, se, por exemplo, desejar usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário for usado para gerenciar o calendário dele. Nesse caso, mapeie outro endereço de e-mail para o atributo e-mails;type-work. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário.

Nomes de atributos do Active Directory

Nomes de atributos da nuvem Webex

Notas

edifícioName

c

c

Esse atributo especifica a abreviatura do país do usuário.

número do departamento

número do departamento

Esse atributo é usado para o número do departamento do usuário que aparece no cartão de contato e no People Insights.

displayName

displayName

Esse atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no People Insights.

controle conta usuário

ds-pwp-account-desabilitado

Este atributo é usado para sincronização do usuário. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente.

número do funcionário

número do funcionário

ileileTelephoneNumber

ileileTelephoneNumber

jabberID

Esse atributo de nuvem se refere a endereços de IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses.

l

l

Esse atributo especifica a cidade do usuário.

localidade

manager

manager

Esse atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e no People Insights.

móvel

móvel

Esse atributo é usado como o número de celular que aparece para chamar o usuário do cartão de contato.

o

o

Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato.

ou

ou

Esse atributo especifica o nome da unidade organizacional.

physicalDeliveryOfficeName

physicalDeliveryOfficeName

Esse atributo especifica o local do escritório do usuário.

Postalcode

Postalcode

Esse atributo especifica o código postal ou o CEP do usuário para entrega física de correio.

idioma preferido

idioma preferido

Esse atributo define o idioma preferido do usuário e os seguintes formatos são compatíveis: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA.

Se você usar um idioma não compatível ou um formato inválido, o idioma preferido dos usuários será alterado para o idioma definido na organização.

MSRTCSIP-PrimaryUserAddress

telefone ip

SipAddresses;type=empresa

Esse atributo é usado para sincronizar informações da sala no local do Active Directory para a nuvem Cisco Webex.

sn

sn

Esse atributo é usado para o sobrenome da conta de usuário que aparece no Control Hub, no cartão de contato e no People Insights.

são

são

Esse atributo especifica o estado ou província do usuário.

Streetaddress

rua

Esse atributo especifica o endereço do usuário para entrega física de correio.

Telephonenumber

Telephonenumber

Esse atributo especifica o número de telefone principal (comercial) do usuário que é usado para ligar para o usuário do cartão de contato.

fuso horário

Este atributo de nuvem especifica o fuso horário do usuário.

cargo

cargo

Esse atributo especifica o título do usuário que aparece no cartão de contato e no People Insights.

tipo

empresa

*correio

*userPrincipalName

UID

Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory mapeia para um uid exclusivo na nuvem.

Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento de atributos SAML correto esteja ativado.

Consulte o mapeamento de atributos de exemplo abaixo para saber como você pode mapear um endereço de e-mail alternativo.

*userPrincipalName

*correio

<atributo personalizado>

e-mails;digitar-trabalho

Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário.

<Novo atributo do usuário objectId do Azure>

ID externa

Crie um novo atributo do Active Directory para manter o objectId do usuário do Azure, para que ele não entre em conflito com um existente.

Em seguida, esse atributo mapeia para o atributo externalId, garantindo que quando os usuários Webex criarem grupos no Microsoft 365 criem automaticamente equipes no Webex.

Mapeamento alternativo de endereços de e-mail
Alternative email address mapping

Expressões para atributos personalizados

Quadro 5. Expressões para atributos personalizados

Operador

Descrição e exemplo

%

Remove todos os caracteres do início da string até a posição do caractere ou argumento da string, se corresponder.

Expressão de exemplo
"abc@exemplo.com" % "@"
Resultado
example.com

-

Risca a parte de trás da string de entrada do final da string especificada.

Expressão de exemplo
"abc@exemplo.com" - "@"
Resultado
abc

+

Concatena strings ou expressões de entrada.

Expressão de exemplo
"abc" + "" + "def"
Resultado
abc def

|

Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.

Expressão de exemplo
"" | "abc"
Resultado
abc

Sincronizar avatares de diretórios de um atributo do Active Directory para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar brutos de um atributo do Active Directory.

1

No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar.

2

Para Obter o avatar, escolha o atributo AD e, em seguida, escolha o atributo Avatar que contém os dados do avatar brutos que você deseja sincronizar com a nuvem.

3

Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário.

O avatar aparece à direita.

4

Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações.

  • As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.

  • Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.

Sincronizar avatares de diretório de um servidor de recursos para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.

Antes de você começar

  • O padrão de URI e o valor da variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.

  • O padrão URI do avatar e o servidor onde os avatares residem devem ser acessíveis no aplicativo Conector de diretórios. O conector precisa ter acesso http ou https às imagens, mas as imagens não precisam ser publicamente acessíveis na internet.

  • A sincronização de dados do avatar é separada dos perfis de usuário do Active Directory. Se você executar um proxy, deverá garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou autenticação básica.

1

No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar.

2

Para Obter o avatar de, escolha Servidor de recursos e, em seguida, insira o Padrão de URI do avatar—Por exemplo, http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}.jpg

Vamos ver cada parte do padrão de URI do avatar e o que eles significam:

  • http://www.example.com/dir/photo/zoom/—O caminho para onde todas as fotos que serão sincronizadas está localizado. Deve ser uma URL à qual o serviço do Conector de diretórios em seu servidor deve ser capaz de acessar.
  • mail:—Informa o Conector de diretório para obter o valor do atributo de correio do Active Directory
  • .*?(?=@.*)—Uma sintaxe regex que executa estas funções:
    • .*—Qualquer caractere, repetindo zero ou mais vezes.

    • ? — Indica que a variável anterior corresponda ao máximo de caracteres possível.

    • (?= ... ) — corresponde a um grupo após a expressão principal sem incluí-la no resultado. O Conector de diretórios procura uma correspondência e não a inclui na saída.

    • @.* — O símbolo de at, seguido por qualquer caractere, repetindo zero ou mais vezes.

  • .jpg—A extensão de arquivo para os avatares dos seus usuários. Consulte os tipos de arquivo compatíveis neste documento e altere a extensão de acordo.
3

(Opcional) Se o servidor de recursos exigir credenciais, marque Definir credencial do usuário para avatar, em seguida, escolha Usar usuário de logon de serviço atual ou Usar este usuário e insira a senha.

4

Insira o Valor da variável—Por exemplo: abcd@exemplo.com.

5

Clique em Testar para certificar-se de que o padrão de URI do avatar funciona corretamente.

Neste exemplo, se o valor do correio para uma entrada do AD for abcd@example.com e as imagens jpg estavam sendo sincronizadas, o URI final do avatar será http://www.example.com/dir/photo/zoom/abcd.jpg

6

Depois que as informações do URI forem verificadas e parecerem corretas, clique em Aplicar.

Para obter informações detalhadas sobre o uso de expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft.

  • As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.

  • Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.

Sincronizar informações da sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).

1

No Conector de diretórios, vá para Sincronizar, clique em mais More Options button ao lado de um domínio sincronizado, clique em Configuração e escolha Seleção de objeto.

2

Marque Sincronizar informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização.

Quando essa configuração estiver desativada, os dados da sala serão tratados da mesma maneira que os dados sincronizados pelo usuário.

3

Vá para Mapeamento de atributos e altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise.

Para usar a validação de valor, o valor do endereço SIP deve ser Pattern.compile("^([^@])(.*)@(.*)$")

  • Escolha MSRTCSIP-PrimaryUserAddress, se disponível.
  • Se você não tiver o atributo acima no esquema do Active Directory, use outro campo, como ipPhone.
4

Crie uma caixa de correio de Recurso de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector então usa para identificar as salas.

Crie uma caixa de correio de Recurso de sala no Exchange.

5

Em computadores e usuários do Active Directory, navegue até e edite as propriedades da sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip:

Adicionar o SIP URI totalmente qualificado com um prefixo de sip

6

Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector.

Os novos objetos de sala estão listados em Objetos adicionados e os objetos de sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão em Salas excluídas.

Lista de objetos de sala correspondentes no relatório de simulação

Os resultados da simulação mostram todos os recursos de sala que foram combinados.

Resultados da simulação do Conector de diretórios mostrando os objetos correspondentes

Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas da nuvem no painel do conector mostram os dados da sala que foram sincronizados com a nuvem.

Painel do conector de diretórios destacando a janela de estatísticas da nuvem. As estatísticas da nuvem incluem usuários, grupos, salas e contatos.

O que fazer em seguida

Agora que você fez essas etapas, ao fazer uma pesquisa em um dispositivo Webex registrado na nuvem, você verá as entradas de salas sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.

No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.

O terminal não pode retornar uma chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em algum outro lugar que não o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no dispositivo Webex Room, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.

Enviar relatórios de e-mail sobre os resultados da sincronização de diretórios

Por padrão, os contatos ou administradores da organização sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.

1

No Conector de diretórios, clique em Configuração e escolha Notificação.

2

No Conector de diretórios, clique em Configurações e, ao lado de Receptor de e-mail, ative Ativar sincronização de relatório.

3

Marque Ativar notificação se você quiser substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail.

4

Clique em Adicionar e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações.

5

Clique em Adicionar e-mail e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações.

6

Se você precisar editar qualquer endereço de e-mail inserido, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias.

7

Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar.

8

Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar.

O que fazer em seguida

Se você decidiu que deseja remover endereços de e-mail, poderá clicar em um e-mail para destacar essa entrada e, em seguida, clicar em Remover.

Se você decidiu que deseja remover endereços de e-mail, poderá clicar em Remover ao lado de entradas específicas de endereços de e-mail.

Provisionar usuários do Active Directory no Control Hub

Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuários correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.

1

Executar uma sincronização de simulação em seus usuários do Active Directory

Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

2

Faça uma sincronização completa de usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

3

Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub

Depois de concluir uma sincronização de usuário completa do Conector de diretórios no Control Hub, você poderá atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial.

Executar uma sincronização de simulação em seus usuários do Active Directory

Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.

Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer esta etapa em cada uma das instâncias do conector de diretório da Cisco que você instalou para cada domínio do Active Directory.

Antes de você começar

Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto local do Active Directory e receber licenças para serviços. Mas alguns podem ser usuários de teste que você deseja excluir enquanto faz uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.

1

Escolha uma das opções:

  • Após iniciar sessão pela primeira vez, clique em Sim no aviso para executar uma simulação.
  • Se você perder um lembrete para executar uma simulação, a qualquer momento no Conector de diretórios, clique em Painel, escolha Sincronizar simulação e clique em OK para iniciar uma sincronização de simulação.

Quando a simulação for concluída, você verá um dos seguintes resultados:

  • Objetos incompatíveis detectados no Conector de diretórios

    Objetos incompatíveis detectados no Conector de diretórios

  • Resumo dos resultados do relatório de simulação e objetos incompatíveis no Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

O Resumo contém informações sobre a correspondência do objeto:

  • Objetos correspondentes - Um usuário que está no Webex Common Identity e também existe no domínio do Active Directory, ou seja, se someuser@cisco.com foi sincronizado com o Webex e exibido no Control Hub e o mesmo usuário (someuser@cisco.com) existe no Active Directory. Isso significa que o usuário foi correspondido.

  • Objetos incompatíveis - Um usuário que está no Webex, não importa como o usuário foi adicionado na Identidade Comum, mas não existe no Active Directory. É chamado de objeto incompatível. Por exemplo, se someuser@cisco.com foi sincronizado no Webex e exibido no Control Hub, mas o mesmo usuário (someuser@cisco.com) não for gerenciado pelo Active Directory, o relatório mostrará que o usuário está incompatível.

A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo pode identificar os usuários se eles pertencem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou mantê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não existentes no Active Directory local.

2

Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:

  • Domínio único—Decida se deseja manter os usuários incompatíveis. Se desejar mantê-los, escolha Não, reter objetos; se não desejar, escolha Sim, excluir objetos. Depois de fazer essas etapas e executar manualmente uma sincronização completa para que haja uma correspondência exata entre o local e a nuvem, o Conector de diretórios ativa automaticamente tarefas de sincronização automática agendadas.
  • Vários domínios—Para uma organização com Domínio A e Domínio B, primeiro faça uma simulação do Domínio A. Se você quiser manter usuários incompatíveis, escolha Não, reter objetos. (Esses usuários incompatíveis podem ser membros do Domínio B.) Se você quiser excluir, escolha Sim, excluir objetos.

    Se você manter os usuários, execute uma sincronização completa para o Domínio A primeiro e, em seguida, execute uma simulação para o Domínio B. Se ainda houver usuários incompatíveis, adicione esses usuários no Active Directory e, em seguida, faça uma sincronização completa para o Domínio B. Quando houver uma correspondência exata entre o local e a nuvem, o Conector de diretórios ativará automaticamente tarefas de sincronização automática agendadas.

3

No prompt Confirmar simulação, clique em Sim para refazer a sincronização da simulação e visualizar o painel para ver os resultados.

Todas as contas que foram sincronizadas com êxito na simulação aparecem em Objetos correspondentes.

Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos. Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail.

Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes. Para salvar as informações do resumo, clique em Salvar resultados no arquivo.

4

Se os resultados forem esperados, vá para Ações > Modo de sincronização > Ativar sincronização e clique em Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto.

Depois de fazer uma sincronização no último domínio do Active Directory em sua implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você poderá ativar o modo automático somente quando os objetos forem completamente combinados entre a nuvem Webex e todos os Diretórios ativos locais.

O que fazer em seguida

Coisas a se manter em mente

Faça uma sincronização completa de usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

Se você tiver vários domínios, deverá fazer esta etapa em cada uma das instâncias do Conector de diretório que você instalou para cada domínio do Active Directory.

O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.

Antes de você começar

  • Se você quiser que as contas de usuário do aplicativo Webex estejam no status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve seguir estas etapas para ignorar a validação de e-mail:

  • Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar possíveis erros.

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

    Se você não usar modelos de atribuição automática de licenças, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles poderão usar os mesmos recursos gratuitos daqueles com contas gratuitas.

1

Escolha uma das opções:

  • Após o primeiro início de sessão, se a simulação estiver concluída e parecer correta para todos os domínios, clique em Ativar agora para permitir que a sincronização automática ocorra.
  • No Conector de diretórios, vá para o Painel, clique em Ações, escolha Modo de sincronização > Ativar sincronização e, em seguida, clique em Sincronizar agora > Completo para iniciar a sincronização.
2

No Conector de diretórios, vá para Sincronizar, clique em mais More Options button ao lado de um domínio sincronizado, clique em Configuração e escolha Sincronização completa.

3

Confirme o início da sincronização.

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações até 72 horas depois de executar a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, a hora em que ela começou e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções de Última sincronização e Estatísticas da nuvem são atualizadas com as novas informações. Os dados do usuário são sincronizados com a nuvem.

  • Se ocorrerem erros durante a sincronização, a esfera indicador de status ficará vermelha.

4

Clique em Atualizar se você quiser atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas da nuvem.)

5

Para obter informações sobre erros, selecione o Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros.

6

Para definir uma agenda de sincronização para sincronizações incrementais contínuas para a nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental.

  • Após a conclusão da sincronização completa, o status das atualizações da sincronização do diretório de Desativado para Operacional na página de Configurações no Control Hub.

  • Quando todos os dados são combinados entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.

  • A menos que você integre registro único, verifique domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e elimine e-mails automatizados, as contas de usuário do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de começar para obter orientação sobre como sincronizar as contas como usuários ativos.

  • Se você tiver vários domínios, faça esta etapa em qualquer outro conector de diretório que você tenha instalado. Após a sincronização, os usuários em todos os domínios que você adicionou serão listados no Control Hub.

  • Se você integrou o registro único com o Webex e notificações por e-mail suprimidas, os convites por e-mail não serão enviados aos usuários recém-sincronizados.

  • Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Uma vez ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.

  • Todos os grupos sincronizados aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários nesse grupo recebam licenças.

O que fazer em seguida

  • Quando você remove um usuário do Active Directory, ele é excluído de software após a próxima sincronização. O usuário fica Inativo, mas o perfil de identidade da nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).

    Quando você marca A conta está desabilitada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade da nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.

  • Observe estas exceções para uma sincronização incremental (em vez disso, siga os passos completos de sincronização acima):

    • No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.

    • As alterações de configuração no mapeamento de atributos, DN base, filtro e configuração de avatar requerem uma sincronização completa.

Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub

Depois de concluir uma sincronização completa de usuários do conector de diretórios da Cisco no Control Hub, você poderá usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma só vez ou adicionar licenças adicionais a novos usuários se já tiver configurado um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você poderá usar métodos no Control Hub para atribuir licenças de serviço Webex globalmente a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já tiver configurado um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Quando você atribuir uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Registro Único (SSO) com sua organização Webex, você também pode suprimir essas notificações automáticas por e-mail se preferir entrar em contato com seus usuários diretamente.

Antes de você começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Execute uma sincronização de simulação nos seus usuários do Active Directory.

  • Depois de confirmar os resultados da simulação, faça uma sincronização completa em seus usuários do Active Directory.

No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuários padrão no Control Hub, como importação de CSV, atualização manual de usuários ou através da conclusão automática da atribuição bem-sucedida.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Usuários, clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizados e clique em Próximo.

2

Escolha uma opção:

O que fazer em seguida

  • Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.

  • Se você selecionou os mesmos serviços Webex para todos os usuários, posteriormente você poderá alterar a licença atribuída individualmente ou em massa.

Problemas conhecidos com o Conector de diretórios

Gerenciar usuários do aplicativo Webex

Executar uma sincronização incremental

Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Esta etapa agrupa essas alterações e as envia para o serviço do conector. As alterações incluem a modificação de atribuição de usuários e quando um usuário é adicionado ou excluído.

Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização inicial completa, recomendamos a opção incremental para sincronizações subsequentes.

Antes de começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Observe estas exceções para as quais a sincronização incremental não é compatível (em vez disso, siga Fazer uma sincronização completa de usuários do Active Directory na nuvem ):

    • No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.

    • Para novas alterações de configuração no mapeamento de atributos, no DN base, no filtro e na configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.

1

No Conector de diretórios, clique em Painel.

Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro.

2

Em Ações, clique em Modo de sincronização > Ativar sincronização se ainda não estiver habilitado.

Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental é acumulado, o programa verifica as alterações com base no último carimbo de data/hora.

3

Em Ações, clique em Sincronizar agora > Incremental.

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações 72 horas a partir de quando você executa a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, a hora em que ela começou e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções de Última sincronização e Estatísticas da nuvem são atualizadas com as novas informações.

  • Se ocorrerem erros durante a sincronização, a esfera indicador de status ficará vermelha.

4

Para obter informações sobre erros, clique em Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros.

O que fazer em seguida

Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretório que você instalou.

Recuperar usuários excluídos acidentalmente

O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão forçada pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.

Por padrão, essa função está habilitada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um aviso de objetos incompatíveis ou notou que os usuários foram excluídos, você poderá recuperá-los se agir rapidamente.

Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas do Active Directory. O serviço de nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.

Os usuários que estão desabilitados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.

1

Inicie sessão no Control Hub.

2

Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não listada.

Para obter mais informações, consulte Status e ações do usuário no Control Hub.

3

Se os usuários foram excluídos no Control Hub ou você notou usuários em um estado Inativo, vá para o Active Directory, adicione as contas de usuário ausentes e, em seguida, execute uma sincronização de simulação no Conector de diretórios.

O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem.

4

Faça uma sincronização completa para ressincronizar as contas de usuário temporariamente excluídas no Control Hub.

Os usuários são recuperados e acessam o status original, incluindo o status da conta e as atribuições de serviço.

O que fazer em seguida

Retorne ao Control Hub, vá para Gerenciamento > Usuários e confirme se as contas de usuários excluídos anteriormente estão aparecendo na lista de usuários.

Excluir usuários permanentemente após a exclusão soft

Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos soft na próxima sincronização.

1

Após a conclusão de uma simulação, selecione Objetos soft-excluídos.

2

Marque a caixa de seleção ao lado dos usuários que deseja excluir.

3

Selecione Concluído.

O que fazer em seguida

Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.

Alterar um endereço de e-mail do aplicativo Webex

Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento cobre como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.

Se você quiser apenas alterar o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e, em seguida, recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário e os espaços do usuário e outros dados na nuvem serão perdidos.

  • Para alterar os endereços de e-mail dos usuários sem alterar o domínio:

    1. Abra a conta de usuário (exemplo, user1@example.com) no Active Directory e altere o endereço de e-mail (exemplo, user2@example.com).

    2. Retomar a sincronização no Directory Connector.

      Após a próxima sincronização, as alterações aparecem na sua lista de usuários no Control Hub e para os usuários no aplicativo Webex após a atualização do cache.

      Não há perda de dados ou espaços usando este método. O identificador exclusivo do usuário será definido na nuvem após a primeira sincronização. Todas as sincronizações subsequentes são baseadas neste identificador.

  • Em uma implantação de vários domínios com o Conector de diretórios, para alterar os endereços de e-mail do usuário ao alterar o domínio (considere example1.com o domínio antigo e example2.com o novo domínio):

    1. Para a conta de usuário antiga (user1@example1.com), observe o atributo do Active Directory que mapeia para o atributo uid cloud. Você precisa usar esse mesmo valor do Active Directory para a nova conta. Para este exemplo, usaremos user1@example1.com como o atributo local para mapear para uid na nuvem.

    2. Pause a sincronização no Conector de diretórios para domínios de exemplo1.com e exemplo2.com.

    3. Crie uma nova conta de usuário no example2.com e use o mesmo atributo acima. (Por exemplo, user1@example1.com).

    4. No Directory Connector, retome a sincronização por exemplo2.com

      Antes de continuar, verifique se a conta de usuário1@exemplo2.com é sincronizada no Control Hub. Recomendamos que você instrua o usuário a verificar a alteração do e-mail no aplicativo Webex e que todos os dados (espaços, mensagens, reuniões, arquivos e assim por diante) sejam retidos.

      Não há perda de dados ou espaços usando este método, mas na nova conta de usuário, você deve garantir que o atributo do Active Directory que mapeia para o atributo uid da nuvem seja preservado da conta de usuário antiga. Se você alterar o valor do Active Directory, a nova conta não retém os dados da conta antiga.

    5. Depois de verificar a alteração do endereço de e-mail e os dados estiverem intactos, exclua a conta de usuário antiga no example1.com e, em seguida, use o Conector de diretórios para retomar a sincronização do example1.com.

      Neste ponto, você pode atualizar com segurança o endereço de e-mail no novo domínio do Active Directory para user1@example2.com.

O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincroniza novamente para a nuvem, o estado do usuário depende se o novo domínio é verificado em sua organização. Se o domínio não for verificado em sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios.

Se sua organização não usa o Conector de diretórios, você pode alterar os endereços de e-mail do aplicativo Webex através da página de configurações da conta. Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.

Alterar o domínio do Active Directory

Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles se sincronizam com o serviço de identidade na nuvem.

1

Configure um novo domínio do Active Directory (AD).

2

Desative as sincronizações em todos os seus conectores.

3

Desinstale todos os seus conectores.

4

Abra um caso para alterar o domínio.

No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização na sua organização.

Antes de abrir um caso para alterar o domínio, certifique-se de que você não tenha uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido.

5

Depois que o caso for resolvido:

  1. Instale o Conector de diretórios no mesmo servidor que o com o novo domínio do Active Directory.

  2. Configure o conector de diretórios para que ele aponte para o novo domínio do Active Directory.

    Se houver usuários existentes no Control Hub (https://admin.webex.com), certifique-se de que os usuários com endereços de e-mail correspondentes também estejam presentes no Active Directory. Se sua organização desativou a alternância de softDelete no DirSync, os endereços de e-mail dos usuários que estão no Control Hub, mas não no Active Directory, correm o risco de exclusão.

Execute um teste executado com o Directory Connector antes de fazer a sincronização atual.

Reivindicação de domínio

Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail para uma organização de modo que qualquer conta lateral seja criada na organização do cliente pago e não na organização do consumidor gratuita. Você só pode fazer uma reivindicação de domínio por meio de um caso de suporte (consulte o link abaixo para obter mais informações).

Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas laterais não serão criadas na organização do cliente ou na organização do consumidor gratuito. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar sideboard uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o conector de diretórios para provisionar a conta no Control Hub.

Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório

Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram na versão gratuita do aplicativo Webex, sua conta existe na organização de consumidores gratuita. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre (converta)-os para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.

Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.

Se você tentar converter um usuário enquanto a sincronização de diretórios estiver ativada, a mensagem de erro não pôde ser convertida será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.

Alguns usuários reivindicados podem aparecer com o atributo movedfrom ao fazer uma simulação. Esses usuários estarão na lista de Objeto excluído em vez de MismatchedObject. Você precisará adicionar esses usuários à sua lista AD se desejar movê-los para sua organização.

Se você não adicionar esses usuários, eles serão excluídos no próximo que você sincronizar com a nuvem.

1

Desative a sincronização de diretórios do Conector de diretórios.

2

Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuita para a organização empresarial.

Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios faz do Active Directory a única fonte de verdade para as contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes.

3

No Directory Connector, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos.

Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferencia maiúsculas e minúsculas e exclui usuários convertidos que detecta com endereços de e-mail incompatíveis (por exemplo, user1@example.com e User1@example.com).

Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex.

4

Quando você tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretórios do Directory Connector.

As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativou o modelo de licença de atribuição automática e, em seguida, ativou o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até confirmarem seus endereços de e-mail.

Contas de usuário do aplicativo Webex lateral

Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("painel lateral"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuita.

Se você quiser gerenciar a conta lateral usando o Conector de diretórios, é necessário converter a conta.

Alterar o formato do nome de usuário do aplicativo Webex após a sincronização do diretório

Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.

Depois de executar uma sincronização de diretório, você pode descobrir que nomes de usuário são exibidos no formato .

Esse nome de usuário pode aparecer se o atributo displayName no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName na nuvem, os nomes aparecem no formato no Control Hub.

Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo do Active Directory givenName sn (ou sn givenName) para displayName nos Nomes de atributos do Cisco Cloud.

Alterar o formato do Nome do atributo do Cisco Cloud

Como alternativa, mapeie o atributo sn givenName para displayName:

Alterar o formato do Nome do atributo do Cisco Cloud

Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizada para displayName.

Personalizar o formato do nome do atributo do Cisco Cloud

Por exemplo, insira givenName + "" + sn (nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName na nuvem.

Mapeie atributos do seu Active Directory local

Permitir que os usuários alterem nomes de exibição no Webex Meetings

Você pode desmapear o atributo displayName da sincronização com a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante as reuniões Webex, em vez do nome e do sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário.

2

Selecione displayName em Nome do atributo do Cisco Cloud.

3

Selecione Não sincronizar este atributo.

Permitir que os usuários alterem nomes de exibição no Webex Meetings

O que fazer em seguida

Os usuários agora podem editar seus nomes de exibição no site Webex.

Solução de problemas do conector de diretórios

Atualizar para a versão de software mais recente

Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e aprimoramentos de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Directory Connector. Se você não atualizar para a versão mais recente que está disponível, poderá enfrentar problemas, como o Conector de diretórios não sincronizar mais corretamente ou estar em uma versão que não suporta o requisito de TLS 1.2 obrigatório.

O Conector de diretórios notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.

Embora você possa instalar manualmente as atualizações do software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.

1

Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone do Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização.

2

Siga as instruções para concluir a atualização.

3

Reinicie o conector e inicie sessão com suas credenciais de administrador.

4

Verifique o número da versão do software em Ajuda > Sobre.

O que fazer em seguida

Para uma nova instalação do Conector de diretórios, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.

Definir configurações gerais do Conector de diretórios

Use este procedimento para definir configurações gerais, como o nome do servidor executando o Conector de diretórios, os níveis de registro, atualizações automáticas e as configurações preferidas para os controladores de domínio. O nome do conector aparece no painel na seção conectores, juntamente com quaisquer outros conectores que estejam em execução.

1

No Conector de diretórios, vá para Configuração e clique em Geral.

2

No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está executando o conector no momento.

3

Escolha o nível de log no menu suspenso. Por padrão, o nível de registro é definido como Informações. Os níveis de registro disponíveis são:

  • Informações (Padrão) — Mostra mensagens informativas que destacam o progresso do aplicativo em um nível elevado. Use esta configuração se desejar receber relatórios após todas as sincronizações completas.

  • Avisar—Mostra situações potencialmente perigosas.

  • Depuração — Mostra eventos informativos detalhados que são mais úteis para depuração de um aplicativo. Quando você vir algum problema, defina esse nível de registro e envie o registro de eventos ao suporte ao abrir um caso.

  • Erro — Mostra eventos de erro que ainda podem permitir que o aplicativo continue em execução. Quando você escolhe esta opção, os relatórios de sincronização são enviados apenas quando os erros são relatados.

Essas configurações afetam o relatório de sincronização enviado por e-mail. Se você definir o nível de log como Erro, somente erros serão relatados no relatório de sincronização; se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Lembre-se de que, para sincronização incremental, nenhum relatório será enviado quando nenhum erro for relatado.)

4

Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades.

Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador principal.

5

Marque Atualizar automaticamente para a nova versão do Cisco Directory Connector se desejar que ocorram atualizações automáticas.

É sempre importante manter o software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

6

Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão.

Se você não verificar LDAP sobre SSL, o Conector de diretórios continuará a usar o protocolo de conexão LDAP.

LDAP (Lightweight Directory Application Protocol) e LDAP seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o controlador de domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

Configurar a política do conector

Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A execução da sincronização não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.

Por exemplo, você define 1 como o valor de gatilho de limite de exclusão. Ao fazer a sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretório mostrará um aviso. Se você clicar em Substituir limite, poderá iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.

1

No Conector de diretórios, clique em Configuração e escolha Política.

2

Marque a caixa Ativar excluir gatilho de limite se você quiser adicionar um gatilho de limite.

A escolha desta opção aciona um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão exceder aquela que você definir, a sincronização falhará.
3

Insira o número máximo de exclusões que você deseja. O padrão é 20.

Recomendamos que você não aumente o valor padrão.

4

Clique em Aplicar.

Definir a agenda do conector

Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, mudaremos para outro conector de espera após o intervalo predefinido.

1

No Conector de diretórios, clique em Configuração e escolha Agendar.

2

Especifique o Intervalo de sincronização incremental em minutos.

Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa.

3

Altere o valor Enviar relatórios por hora se desejar alterar a frequência com que os relatórios são enviados.

4

Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra.

5

Especifique o Intervalo de failover em minutos.

6

Clique em Aplicar.

Cenários de vários domínios

Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor de chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta reescrevem os dados do domínio de prioridade mais baixa.

Os objetos que têm o mesmo valor de chave são vinculados em um registro no banco de dados.

Cenários de vários domínios

O valor da chave para "Usuário" é Endereço de e-mail; o valor da chave para "Grupo" é Nome do grupo.

Exemplo de caso de uso para vários domínios

Este exemplo assume uma organização com dois domínios — example1.com e example2.com, em ordem de prioridade.

  • Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.

  • Adicionar grupo1 (nome do grupo: Teste) para o Active Directory do example1.com.

  • Adicionar usuário2(e-mail: user@example2.com) para o Active Directory de example2.com.

  • Adicionar grupo2 (nome do grupo: Teste) para o Active Directory do example2.com.

Sincronização em example1.com

Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.

Se você fizer uma sincronização completa ou incremental, por exemplo1.com, user1 e group1 serão sincronizados. Além disso, user2 e group2 são substituídas pelas informações de user1 e group1.

Usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; grupo1 vincula o grupo2 como o mesmo registro no banco de dados.

Sincronização em example1.com e example2.com

Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.

Considere estas etapas:

  1. Exclua usuário1 e grupo1 no Active Directory por exemplo1.com.
  2. Faça uma sincronização completa ou incremental, por exemplo1.com.

    Resultado: as informações do usuário não são alteradas em https://admin.webex.com. Usuário2 não está vinculado ao usuário1 e grupo2 não está vinculado ao grupo1.

  3. Faça uma sincronização incremental, por exemplo2.com.

    Resultado: as informações do usuário não são alteradas em https://admin.webex.com.

  4. Faça uma sincronização completa, por exemplo2.com.

    Resultado: As informações de usuário2 e group2 estão listadas em https://admin.webex.com.

Sincronizar um novo domínio e preservar um domínio existente

Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar o Conector de diretórios para sincronização de domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem inalteradas.

Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1)e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro é em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Assim, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).

Definir a prioridade do domínio

Use este procedimento para alterar a prioridade dos seus domínios do Active Directory. A prioridade do domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado com uma organização.

Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem informando que a prioridade do domínio não é necessária.

Antes de começar

Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo de https://admin.webex.com.

1

No conector de diretórios da Cisco, clique em Painel.

2

Vá para Ações e clique em Definir prioridade do domínio.

3

Realce um domínio na lista, clique em Para cima ou Para baixo para alterar a prioridade deste domínio e clique em Salvar para salvar essa alteração.

Os domínios são classificados por prioridade de cima para baixo.

Alternar domínios

Use este procedimento para revincular o conector de diretórios da Cisco a um domínio diferente.

Antes de começar

  • Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar de domínios.

  • Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo do Control Hub.

1

No conector de diretórios da Cisco, clique em Painel.

2

Vá para Ações e clique em Alternar domínio.

3

Depois de ler o cuidado, se você entender o efeito que essa alteração tem na sua implantação e ainda tem certeza, clique em Sim.

Se você alternar um domínio, será desconectado do atual conector de diretórios da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas.

4

Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio.

Desligar sincronização do diretório

Se você precisar interromper a sincronização do Directory Connector, poderá desativá-lo temporariamente do Control Hub.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretórios e escolha uma:

  • Clique em mais Botão de Mais opções e, em seguida, clique em Desativar ao lado da ocorrência do conector que você deseja desligar.
  • Clique em Desligar todas as sincronizações de diretório para interromper a sincronização de todas as ocorrências do conector.
2

Depois de ler o aviso, clique em Desativar.

A sincronização é interrompida até que você a reative do Directory Connector.

Remover Mapeamento de Atributos do Usuário

Use o Conector de diretórios para remover o mapeamento dos atributos do Active Directory anteriormente mapeados na nuvem e sincronizados com o Webex. Depois de remover o mapeamento de atributos, os valores dos atributos serão removidos da nuvem e não serão mais sincronizados com o Webex. Esses valores podem então ser editados manualmente.

1

No Conector de diretórios, clique em Painel.

2

Vá para Ações e clique em Utilitários > Remover mapeamento de atributos do usuário.

3

Selecione o mapeamento a ser removido da lista Nome do atributo .

4

Em Escopo do usuário afetado, selecione uma das seguintes opções:

  • Somente usuários sincronizados pelo Conector de diretório: o mapeamento será removido apenas dos usuários que o Conector de diretórios sincronizaram anteriormente.
  • Todos usuários: o mapeamento será removido de todos os usuários do Active Directory.
5

Clique em Aplicar.

Gerenciar fotos de perfil

Use o Conector de diretórios para atualizar as imagens do perfil do usuário ou remover as imagens do perfil do usuário em branco.

1

No Conector de diretórios, clique em Painel.

2

Vá para Ações e clique em Utilitários > Gerenciar imagens de perfil.

3

Em Ações, selecione uma das seguintes opções:

  • Remova imagens de perfil para fontes de avatar vazias: se a imagem do perfil do Active Directory estiver em branco, essa opção garantirá que as imagens do perfil do usuário sejam removidas da nuvem, mesmo que o usuário tenha carregado anteriormente a própria imagem no Webex.
  • Carregue novamente da fonte sincronizada para substituir imagens em cache: O Conector de diretórios usa o mesmo Active Directory anterior para atualizar as imagens de perfil de todos os usuários. Isso garante que não haja incompatibilidade entre as imagens de perfil no Active Directory e a nuvem.
4

Clique em Aplicar.

Desinstalar e desativar o Conector de diretórios

Depois de desinstalar uma ocorrência do Directory Connector, você deve cancelar o registro dela. Remova completamente um Conector de diretórios para qualquer um desses cenários:

  • Você não deseja mais usar a sincronização de diretórios.

  • Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).

  • Você deseja alterar o domínio e instalar outro conector.

Antes de começar

  • Você pode ter várias ocorrências do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Directory Connector.

  • Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.

1

Na sua máquina Windows, vá para o Painel de controle e clique em Programas e recursos.

2

Na lista de programas, clique em Conector de diretórios, escolha Desinstalar e siga as instruções.

Você pode ter que reiniciar o sistema para concluir a desinstalação.

3

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretórios, clique em mais Botão de Mais opções e, em seguida, clique em Desativar ao lado da ocorrência do conector de diretório que você deseja desinstalar.

4

Depois de ler o aviso, clique em Desativar.

A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuário não serão mais sincronizadas.

Executar a ferramenta de diagnóstico

Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas da implantação do Conector de diretórios. Essa ferramenta é instalada como parte do conector de diretórios 3.4 em diante.

Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar algum erro, você poderá enviar os resultados de registro detalhados para suporte.

  • Para executar testes para serviços de domínio do Active Directory:

    1. Vá para o menu Iniciar, localize o Cisco Directory Connector, clique em Cisco Directory - Diagnóstico. Clique na guia do AD-DS , insira seu Domínio e clique em Carregar controladores de domínio.

    2. Escolha um controlador de domínio na lista.

      Não altere a entrada mais tarde, pois a pesquisa incremental deve sempre ser executada no mesmo controlador de domínio.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e clicar em Testar para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como objetos de Usuários e Grupo e filtros de pesquisa.

    5. Marque Preencher cookie automaticamente para gerar automaticamente um cookie para uma pesquisa.

    6. Clique em Consulta para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode levar alguns segundos.

    7. Quando o teste estiver concluído, clique em Salvar para salvar uma entrada de registro, que você pode enviar à equipe de suporte para análise ao abrir um ticket.

    Executar testes para serviços do Active Directory Lightweight Directory

  • Para executar testes para serviços do Active Directory Lightweight Directory:

    1. Vá para o menu Iniciar, localize o Cisco Directory Connector, clique em Cisco Directory - Diagnóstico. Clique na guia do AD-LDS , insira seu Organizador e Porta e, em seguida, clique em Carregar partições.

    2. Escolha uma Partição na lista e clique em Conectar.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e clicar em Testar para verificar esse valor.

    4. Configure mais filtros na seção de Consultas do Active Directory , como Usuário, UserProxy e UserProxyFull e filtros de pesquisa.

    5. Marque Preencher cookie automaticamente para gerar automaticamente um cookie para uma pesquisa.

    6. Clique em Consulta para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode levar alguns segundos.

    7. Quando o teste estiver concluído, clique em Salvar para salvar uma entrada de registro, que você pode enviar à equipe de suporte para análise ao abrir um ticket.

    executar testes para serviços do Active Directory Lightweight Directory

  • Para executar testes para o protocolo LDAP (Lightweight Directory Access Protocol):

    1. Vá para o menu Iniciar, localize o Cisco Directory Connector, clique em Cisco Directory - Diagnóstico. Clique na guia LDAP RAW , insira seu Caminho raiz, Filtro e escolha uma entrada de Atributos e clique em Carregar partições.

    2. Marque as seguintes opções, conforme necessário:

      • ObjectSecurity—Se esta opção estiver presente, o chamador não exigirá direitos e poderá ver apenas objetos e atributos acessíveis ao chamador. Se essa opção não estiver presente, o autor da chamada terá direito de replicar as alterações.

      • Pais em primeiro lugar—Garante que todos os pais das crianças vêm antes dos filhos.

    3. Escolha um valor para ExtendedDN.

      Esse valor é usado com uma pesquisa LDAP estendida para solicitar uma forma estendida de Nome distinto do objeto.

    4. Escolha um valor para ReferralChasing.

      Uma perseguição de referência é iniciada quando um controlador de domínio retorna uma referência de uma consulta - por exemplo, para detalhes de um resultado de consulta que pode estar fora do espaço de nomes (como membros do grupo em outro domínio ou floresta).

    5. Clique em Consulta para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode levar alguns segundos.

    6. Quando o teste estiver concluído, clique em Salvar para salvar uma entrada de registro, que você pode enviar à equipe de suporte para análise ao abrir um ticket.

Solução de problemas no Conector de diretórios Ciso

Solução de problemas e correções do Conector de diretórios

Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, depois que o Conector de diretórios sincroniza as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para ver problemas que podem surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.

Instalar

O Conector de diretórios parou de funcionar

Você recebeu e-mails de alerta notificando que seu Conector de diretórios não está funcionando.

  • O Conector de diretórios pode não estar instalado corretamente.

  • O Conector de diretórios pode não estar em execução.

  • A rede pode não estar disponível.

Tente o seguinte:

  • Abra o Painel de controle > Programas e recursos. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a.

  • Abra o Serviço e localize o serviço Cisco DirSync. Certifique-se de que exibe o status como Iniciado. Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.

  • Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.

Erro de reinstalação

Problema—Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.

Causa possível—No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.

Solução—Depois de algum tempo, tente a instalação novamente.

Iniciar sessão

O conector de diretórios falha durante o início de sessão por SSO

Problema

O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão do SSO.

Solução

Tente o seguinte:

Execute estas etapas para configurar uma nova política de grupo:

  1. Vá para o controlador do domínio e abra o Gerenciamento de políticas de grupo (gpedit.msc).

  2. Clique com o botão direito do mouse em um OU ou domínio específico, selecione Criar um GPO neste domínio e Vinculá-lo aqui

  3. Dê um nome à política, clique com o botão direito do mouse e escolha Editar.

Execute estas etapas para alterar a política no nível da máquina:

  1. Vá para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito do mouse em Registro, escolha Novo e, em seguida, Item do registro.

  2. Para Caminho da chave, insira ou navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.

  3. Insira Desativar depurador de script para Valor e insira nenhum para Dados de valor.

    As configurações devem corresponder a esta captura de tela:

    O conector de diretórios falha durante o início de sessão por SSO

Execute estas etapas para alterar a política no nível do usuário:

  1. Vá para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito do mouse em Registro, escolha Novo e, em seguida, Item do registro.

  2. Para Caminho da chave, insira ou navegue até HKEY_ATUAL_USER\SOFTWARE\Microsoft\Internet Explorer\Main.

  3. Insira Desativar depurador de script para Valor e insira nenhum para Dados de valor.

    As configurações devem corresponder a esta captura de tela:

    O conector de diretórios falha durante o início de sessão por SSO

As alterações entram em vigor depois que você executa gpupdate /force, a máquina reiniciada (para alterações da máquina) ou o usuário inicia sessão novamente (para alterações do usuário).

Não foi possível registrar o conector do serviço Cisco DirSync

Problema

O início de sessão falha e esta mensagem é exibida: "O conector do serviço Cisco DirSync não pôde ser registrado".

Solução

O sistema Windows no qual o Conector de diretórios está instalado deve ser um membro do Active Directory.

Nenhuma página de início de sessão é exibida

Problema

Você abriu o Conector de diretórios e a página de início de sessão não foi exibida.

Solução de problemas: Nenhuma página de início de sessão é exibida

Solução

Tente as seguintes etapas:

  1. No Internet Explorer, vá para https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.

  2. Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Habilitar o TLS no Internet Explorer .)

O aviso de início de sessão é exibido

Problema

Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.

Causas possíveis

O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo será exibida para pedir o nome de usuário e a senha de autenticação.

Solução

Ao ver a janela pop-up de início de sessão, você precisa fornecer uma conta válida com autenticação correta para passar a segurança.

Não foi possível conectar-se ao servidor remoto

Problema

Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".

Causas possíveis

Você pode ter problemas de proxy que precisam ser resolvidos.

Solução

Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.

Não foi possível registrar o conector

Problema

Você vê a mensagem de erro "Não foi possível registrar o conector. Uma exceção geral ocorreu."

Causas possíveis

Na maioria dos casos, o problema é porque o conector de diretórios não tem privilégio para se conectar ao contexto raiz LDAP.

Solução

Tente o seguinte:

  1. Execute um prompt de comando (cmd) e insira ldp.exe.

  2. Clique em Conexão > Vincular, escolha Vincular como atualmente conectado no usuário e clique em OK.

  3. Clique em Exibir > Árvore, insira DC=arbonneintl,DC=ad como BaseDN e clique em OK.

  4. Se o problema persistir, abra um caso com o suporte.

Sincronização

Avatares não sincronizados

Problema

O conector de diretórios da Cisco sincronizou os dados do AD do usuário com a nuvem Webex. Mas nenhum dado de avatar foi sincronizado com êxito.

Causas possíveis

Se você reutilizou um servidor avatar existente e os avatares do usuário já estiverem sincronizados, o cache local os capturará e evitará o reenvio para economizar largura de banda.

Solução

Exclua o cache local seguindo estas etapas:

  1. Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\

  2. Exclua DirSyncPluginAvatar.dll-cache.bin.

  3. Execute novamente a sincronização do avatar do conector de diretórios da Cisco.

Contas de e-mail de usuários conflitantes

Problema

Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.

  • Se os usuários experimentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização gratuita do consumidor.

  • Se os e-mails dos usuários já tiverem sido sincronizados em outra organização.

  • Se os e-mails do usuário existirem em vários domínios que pertencem à organização.

Solução

Tente o seguinte:

  • Siga estas etapas se estiver tentando reivindicar usuários:

    1. Certifique-se de verificar o domínio no Control Hub.

    2. Desative temporariamente o Conector de diretórios da Cisco.

    3. Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidores gratuita. Consulte Reivindicar usuários em sua organização (Converter usuários) para obter mais informações.

    4. Faça uma simulação no Cisco Directory Connector e reative a sincronização de diretórios

  • Para o último caso, verifique duas vezes os dados do usuário nas fontes do Active Directory.

Usuário convertido marcado como inativo

Problema

No seu ambiente sincronizado por diretório, você converteu um usuário gratuito (organização do consumidor) em sua organização empresarial, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.

Causas possíveis

Quando o usuário gratuito é convertido na organização empresarial, ele é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e será marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.

Solução

Você deve tomar medidas caso não queira que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no seu Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização do Cisco Directory Connector. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.

Falha na sincronização incremental

Problema

Uma sincronização incremental falha.

Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:

  • Você suporta atualizações de valores incrementais.

  • O filtro que você usa faz referência a um atributo de valor vinculado.

  • Os valores de resultados desse atributo foram atualizados desde a última vez que uma sincronização completa foi executada.

Solução

O Windows Server 2008 R2 tem um erro relacionado a esse problema. O erro foi corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para, pelo menos, 2012 R2.

Valor inválido para atributo

Problema

Para [usuário dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].

Causas possíveis

Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.

Solução

Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.

Usuários correspondentes a serem excluídos

Problema

Os usuários correspondentes estão marcados para serem excluídos.

Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você poderá ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.

Solução

Escolha uma correção apropriada:

  • Se estiver tudo bem para excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.

  • Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte.

Atributo ausente

Problema

O atributo obrigatório [attribute_name] ao adicionar entrada no local [dn de usuário (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.

Causas possíveis

O endereço de e-mail do atributo obrigatório está faltando. Ao adicionar a entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.

Solução

Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.

O grupo aninhado não sincronizará

Problema

Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.

Causas possíveis

É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)

Solução

Você deve reconfigurar o filtro que sincroniza grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGrupo,CN=Usuários,DC=rktest2008,DC=org)

Conflito de nomes de usuários

Problema

Há um conflito de nomes para [usuário dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].

Causas possíveis

Um usuário com esse endereço de e-mail já existe no Control Hub.

Solução

Crie um usuário no seu Active Directory com o mesmo endereço de e-mail da conta que você se registrou através do Control Hub.

Hub de controle

Lista de usuários ausente no Control Hub

Problema

Se você tiver uma organização Webex com mais de 1.000 usuários sincronizados, talvez não veja a lista de usuários no Control Hub.

Solução

Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Usuários, clique em Procurar Botão Procurar e insira critérios de pesquisa para localizar um usuário específico.

Os grupos não serão sincronizados com o Control Hub

Problema

Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.

Causas possíveis

O grupo não está marcado como isCriticalSystemObject no Active Directory.

Solução

Certifique-se de que o atributo isCriticalSystemObject esteja definido como VERDADEIRO no Active Directory.

Ativar a solução de problemas do Conector de diretórios

Você pode habilitar a solução de problemas para ajudar a diagnosticar quaisquer erros encontrados no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.

Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

Execute o arquivo services.msc para alterar a conta em execução do serviço Conector de diretório do sistema local para uma conta de domínio que tenha privilégios para acessar seu AD DS ou AD LDS.

2

Reinicie o serviço.

Consulte Como iniciar serviços para obter orientação.

3

No Conector de diretórios, clique em Painel.

4

Vá para Ações e clique em Utilitários > Solução de problemas.

5

Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que possam ser examinados.

6

Examine os ficheiros de registo: se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS.

A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com o envio do registro de eventos para o sistema.

7

Se necessário, envie o arquivo de registro ao suporte para obter assistência.

8

Desative o recurso de solução de problemas quando terminar.

Iniciar o Visualizador de eventos

Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.

1

No Conector de diretórios, vá para Painel e clique em Ação > Iniciar visualizador de eventos.

A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro.

2

No Visualizador de eventos, vá para Registros de aplicativos e serviços > Conector de diretórios da Cisco.

Visualizador de eventos para ver os eventos que ocorreram durante uma sincronização completa ou incremental

3

Em Ações, clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo de Eventos (*.evtx) ou outro formato, como xml ou csv.

O que fazer em seguida

Se você precisar abrir um caso, entre em contato com o suporte, descreva o problema com o conector e anexe o arquivo de Eventos ao seu caso.

Os registros de eventos capturam as ações do usuário. Para obter ajuda com o gerenciamento do tráfego de rede, ative a solução de problemas no conector.

Ativar o TLS no Internet Explorer

Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:

  • Ocorreu um erro ao fazer logon no serviço

  • Ocorreu um erro no script nesta página

Se você vir esses erros, você deve habilitar uma configuração de TLS em seu navegador.

1

Abra o Internet Explorer e escolha Ferramentas. Agora marque as caixas para a versão TLS/SSL que você deseja habilitar Clique em OK Feche o navegador e abra-o novamente

2

Clique em Opções da Internet , vá para Avançado e role até Segurança.

3

Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK.

Ativar o TLS no Internet Explorer

4

Reinicie seu sistema para que as alterações tenham efeito.

Solucionar problemas de início de sessão da conta de serviço

Se você não conseguir iniciar sessão no Cisco Directory Connector ou não conseguir executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.

1

Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL no seu navegador da web.

2

Escolha um, dependendo dos resultados:

  • Se você não conseguir visitar o link do navegador, verifique as configurações de rede. Se seu ambiente usar proxy, verifique as configurações de proxy.
  • Se você puder visitar o link do seu navegador, mas não conseguir abrir o conector de diretórios da Cisco (Não é possível abrir o conector e abrir a mensagem de erro com 407), clique aqui para obter a versão mais recente do conector de diretórios da Cisco.
  • Se você puder visitar o link do navegador, mas não conseguir executar uma sincronização do conector de diretórios da Cisco, altere a conta de logon de serviço para administrador de domínio.

    Verifique se a conta que você usou para iniciar sessão no sistema Windows é a mesma conta que você definiu no "Serviço Cisco DirSync". Se forem 2 contas diferentes, certifique-se de que ambas as contas possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Se o seu ambiente usa proxy, certifique-se de que ambas as contas estejam configuradas para proxy no Internet Explorer e que possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL com êxito.

3

No mínimo, certifique-se de que a conta configurada para o serviço Cisco DirSync (que pode ser encontrada nos serviços Windows) tenha um nível de privilégio que lhe permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais da conta de logon do Windows e a autenticação.

Verificar o SafeDllSearchMode no registro do Windows

O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter.

2

Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager.

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado—Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado—Certifique-se de que o valor esteja definido como 1.

Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.

Visão geral do Conector de diretórios da Cisco

Visão geral do conector de diretórios

O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Você baixa o software do conector do Control Hub e o instala em sua máquina local.

Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.

Veja todos os recursos, descrições e benefícios na tabela:

RecursoDescrição e benefício
Painel fácil de usar O painel fornece uma agenda de sincronização, um resumo e o status da sincronização, bem como o status do Conector de diretórios. Você pode visualizar o painel a qualquer momento que iniciar sessão.
Faça uma simulação antes de sincronizar com a nuvem Faça uma simulação das alterações no diretório antes de elas serem implementadas na nuvem. Em seguida, execute um relatório para ver que as alterações que você deseja fazer são o que você espera.
Sincronização completa e incremental Sincronize o diretório inteiro. Ou apenas sincronize as alterações incrementais para economizar no poder de processamento e encurtar o tempo de sincronização.

Sincronize vários domínios (uma única floresta ou várias florestas)

O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade do AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado de sincronização de vários Conector de diretórios, permite que você desative a sincronização de um domínio específico e desative um Conector de diretórios em uma implantação de alta disponibilidade.

Sincronização agendada Defina uma agenda de sincronização por dia, hora e minuto.
Filtros do Protocolo LDAP (Lightweight Directory Access Protocol) Defina critérios de pesquisa LDAP e forneça importações eficientes.
Mapeamento de atributos do Active Directory Mapeie os atributos do Microsoft Active Directory com os atributos correspondentes da nuvem Webex. Você pode mapear atributos relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear na nuvem. Os atributos dos locais formam vários dados na nuvem, como informações da conta do usuário, números de telefone da empresa no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante).

Diretório corporativo para recursos de salas locais e usuários do Cisco Webex Calling (PSTN em nuvem) e contatos corporativos sem licenças Webex

Se parte da sua organização usar o Cisco Webex Calling em nuvem PSTN para serviço de chamadas ou se você tiver dispositivos de sala locais, esse recurso permitirá que os usuários pesquisem no diretório de contatos corporativos dos telefones Cisco Webex Calling (PSTN em nuvem) ou dos recursos de sala.

Recursos da sala
Após sincronizar as informações da sala, os dispositivos de sala do local com um endereço SIP configurado e mapeado, aparece como entrada pesquisável em dispositivos de sala registrados em nuvem, como um dispositivo de Cisco Webex Room ou Cisco Webex Board.

Quando os usuários fizerem uma pesquisa em um dispositivo Cisco Webex Room ou Cisco Webex Board, você verá as entradas de salas sincronizadas que são configuradas com endereços SIP. Quando eles fazem uma chamada do dispositivo Webex nessa entrada, uma chamada será feita para o endereço SIP que foi configurado para a sala.

Chamadas
Os usuários podem fazer chamadas para contatos corporativos, além dos contatos do aplicativo Webex. Por meio do Conector de diretórios, os usuários corporativos e seus números de telefone são adicionados à sua organização Webex. Eles não precisam estar licenciados para os serviços Webex para que esse recurso funcione.

Os usuários que não estiverem licenciados para o Webex aparecerão na pesquisa de diretório executada a partir do telefone de um usuário Cisco Webex Calling, contanto que haja um URI ou um número de telefone sincronizado com o Webex por meio do Conector de diretórios. A funcionalidade de chamadas se comporta da mesma maneira para ambos os tipos de usuários. Esse recurso também fornece a funcionalidade de edição de discagem para contatos apenas com números de telefone.

No resultado da pesquisa de contatos:

  • Se os contatos tiverem um URI discável (endereço SIP Webex) e um número de telefone, o URI associado ao contato será exibido.

  • Se os contatos não tiverem um URI discável, mas um número de telefone, o número de telefone será exibido. Eles também têm uma tecla de função Editar discagem.

  • Se os contatos não tiverem nenhum, eles não serão exibidos no diretório.

Visualizador de eventos Use o visualizador de eventos para determinar se houve algum problema com a sincronização.
Ferramenta de diagnóstico e solução de problemas Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar os erros antes de entrar em contato com o suporte.

Depois de habilitar a solução de problemas no Conector de diretórios, os registros são gravados e podem ser enviados ao suporte técnico.

Atualização automática Depois de instalar o Conector de diretórios, você receberá uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada.
Alta disponibilidade Configure vários conectores para que haja um backup, caso o conector principal ou a máquina que o hospeda desligue.

O Conector de diretórios é dividido em três áreas:

  • O Control Hub é a única interface que permite gerenciar todos os aspectos da sua organização Webex: visualize os usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.

  • Interface de gerenciamento do conector de diretórios é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.

  • O Serviço de sincronização de diretórios consulta seu Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.

Consulte este diagrama para entender a arquitetura do Conector de diretórios:

Arquitetura do Conector de diretórios
Arquitetura do Conector de diretórios

Preparar seu ambiente para o Conector de diretórios

Requisitos do Conector de diretórios

Requisitos do Windows e do Active Directory

Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Para resolver um problema de cookie, recomendamos que você atualize seu controlador de domínio para uma versão que contém a correção — Windows Server 2012 R2 ou 2016.

O Conector de diretórios é compatível com os seguintes serviços do Active Directory:

  • Active Directory 2016

    (O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)

  • Active Directory 2012

  • Active Directory 2008 R2

  • Active Directory 2008

Observe os seguintes requisitos adicionais:

Requisitos de hardware

Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:

  • 8 GB de RAM

  • 50 GB de armazenamento

  • Nenhum mínimo para a CPU

Requisitos de rede

Se a sua rede estiver atrás de um firewall, certifique-se de que o sistema tenha acesso HTTPS (porta 443) à Internet.

Requisitos da organização Webex

  • Para acessar o software Directory Connector do Control Hub, você precisa de uma organização Webex com um teste ou qualquer assinatura paga.

  • (Opcional) Se desejar que as novas contas de usuário do aplicativo Webex estejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:

Para obter mais informações, consulte Status e ações do usuário no Control Hub.

Requisitos de instalação

  • Para um ambiente de vários domínios (uma única floresta ou várias florestas), você deve instalar um conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de ter um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).

  • Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completo no Control Hub.

    Iniciar sessão no Conector de diretórios

    Esse usuário local deve ter privilégios nessa máquina com Windows para se conectar ao controlador de domínio e ler objetos do usuário do Active Directory. A conta de logon da máquina deve ser um administrador do computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)

    Iniciar sessão no Conector de diretórios

  • Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completo do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) do Windows esteja ativado usando este procedimento: Verifique o SafeDllSearchMode no registro do Windows.

  • Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.

Requisitos de vários domínios

Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco, tenha em mente os seguintes requisitos e recomendações se você estiver sincronizando informações do Active Directory de vários domínios para a nuvem:

  • Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.

  • O software do Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.

  • Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios.)

  • Se você quiser sincronizar mais de 50 domínios, deverá abrir um ticket para transferir sua organização para uma grande lista de organizações.

  • Se desejar, você pode sincronizar as informações de recursos da sala juntamente com as contas de usuário. (Consulte Sincronizar informações da sala no local com o Webex Cloud.)

Recomendações do grupo do Active Directory para atribuição automática de licenças

Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.

Existem dois tipos de grupos no Active Directory:

  • Grupos de distribuição—Usado para criar listas de distribuição por e-mail.​

  • Grupos de segurança—Usado para atribuir permissões a recursos compartilhados.

Tipos de grupo do Active Directory

Considere as seguintes diretrizes ao criar grupos no Active Directory:

  • Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex e assim por diante).​

  • Use as convenções de nomenclatura padrão em toda a organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes dos grupos podem incluir detalhes sobre o grupo, como o nível de acesso, tipo de recurso, nível de segurança, escopo do grupo, capacidade de correio e assim por diante. por exemplo, o nome do grupo "GSG_Webex_Licensing_EMEAR" refere-se a um Grupo de segurança global para usuários do Webex Licensing EMEAR.​

  • Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.

  • Antes de adicionar usuários a grupos recém-provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo automático de atribuição de licença para obter mais informações.

Informações de dimensionamento

O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior de quantos objetos do Active Directory podem ser sincronizados com a nuvem. Quaisquer limites em objetos de diretório locais estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.

Alguns fatores podem afetar a velocidade da sincronização:

  • O número total de objetos do Active Directory. (Um trabalho de sincronização de 5000 usuários não levará até 50000.)

  • Velocidade da rede e largura de banda.

  • Carga de trabalho e especificações do sistema.

Se você estiver sincronizando mais de 50.000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.

Como vários fatores estão envolvidos com a sincronização e como cada implantação varia dependendo dos fatores acima, não podemos fornecer valores de tempo específicos para quanto tempo levará uma sincronização de objeto.

Verificar o SafeDllSearchMode no registro do Windows

O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter.

2

Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager.

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado—Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado—Certifique-se de que o valor esteja definido como 1.

Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.

Integração de proxy da web

Integração de proxy da web

Se a autenticação de proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.

Se sua organização usar um proxy da web transparente, ele não suporta autenticação. O conector conecta e sincroniza os usuários com êxito.

Você pode adotar uma destas abordagens:

  • Proxy web explícito por meio do Internet Explorer (o conector herda as configurações de proxy web)

  • Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)

  • Proxy transparente que funciona com o conector sem nenhuma alteração

Usar um Proxy Da Web Através Do Navegador

Você pode configurar o Conector de diretórios para usar um proxy da web por meio do Internet Explorer.

Se o serviço Cisco DirSync for executado a partir de uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy web.

1

No Internet Explorer, vá para Opções da Internet, clique em Conexões e escolha Configurações de LAN.

2

Aponte a instância do Windows onde o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web.

3

Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

4

Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex.

Configurar o proxy da web por meio de um arquivo PAC

Você pode configurar um navegador de cliente para usar um arquivo .pac. Esse arquivo fornece o endereço do proxy web e as informações da porta. O Conector de diretórios herda diretamente a configuração do proxy web específica da empresa.

1

Para que o conector se conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy esteja desabilitada no cloudconnector.webex.com na configuração do arquivo .pac para o host onde o conector está instalado.

2

Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

3

Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex.

Proxy NTLM

O conector de diretórios suporta o NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.

Projeto NTLM

Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.

Geralmente, o design técnico do NTLM é baseado em um mecanismo de Desafio e Resposta:

  1. Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha no cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor de hash da senha de entrada. Se ambos forem iguais, a autenticação passa.

    Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.

  2. Quando o servidor recebe a solicitação, ele gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes que o servidor envie de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.

  3. Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor hash mencionado na etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.

  4. Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio simples original.

  5. O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador de doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se forem iguais, a verificação será bem-sucedida.

O Windows tem autenticação de segurança integrada no sistema operacional, facilitando a autenticação de segurança por aplicativos. Como resultado, você não precisa concluir a configuração adicional.

Configurar o Proxy Transparente

Nesse cenário, o navegador não está ciente de que um proxy da web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.

1

Implante um proxy transparente para que o conector possa conectar e sincronizar os usuários.

2

Confirme se o proxy foi bem-sucedido — você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector.

Definir autenticação proxy

Adicione a URL cloudconnector.webex.com à sua lista de permissões criando uma Lista de controle de acesso.

No servidor de firewall corporativo:

1

Ative a pesquisa de DNS se ainda não estiver habilitada.

2

Determine uma largura de banda estimada para essa conexão (em aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário.

3

Crie uma Lista de controle de acesso para aplicar ao host do conector e especifique cloudconnector.webex.com como o destino a ser adicionado à lista de permissões.

Por exemplo:

lista de acesso 2000 acl-dentro de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https
4

Aplique esta ACL à interface de firewall apropriada, que é aplicável apenas a esse host de conector único.

5

Certifique-se de que o resto dos organizadores da sua empresa ainda seja obrigado a usar o proxy da web, configurando a declaração de negação implícita apropriada.

Implantar o Conector de diretórios

Fluxo de tarefa de implantação do conector de diretórios da Cisco

1

Instalar o Directory Connector

O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre vá para o Control Hub (https://admin.webex.com) para obter a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis.

2

Iniciar sessão no Conector De Diretórios

Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial.

3

Definir atualizações automáticas

É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

4

Escolha os objetos do Active Directory a serem sincronizados

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

5

Mapear atributos do usuário

Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid.

6

Sincronize os avatares do diretório usando um dos seguintes procedimentos:

Você pode sincronizar os avatares dos seus usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos.

7

Sincronizar informações da sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala locais com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem, como um dispositivo Webex Room ou Cisco Webex Board

8

Para Provisionar Usuários Do Active Directory No Control Hub, execute estas etapas:

Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex.Você pode provisionar usuários de uma implantação do Active Directory de várias florestas ou de vários domínios no Conector de diretórios 3.0 e posterior. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.

Instalar o Directory Connector

O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa.

Você deve instalar um conector para cada domínio do Active Directory que você deseja sincronizar. Uma única ocorrência do Conector de diretório só pode atender a um único domínio. Consulte o diagrama a seguir para entender o fluxo da sincronização de vários domínios:

Multiple Domain Flow for Directory Connector
Fluxo de vários domínios para o conector de diretórios

Antes de você começar

Se você se autenticar por meio de um servidor proxy, verifique se você tem suas credenciais de proxy:

  • Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de instalar uma ocorrência do conector. A configuração de proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um Proxy Web Através Do Navegador

  • Para proxy NTLM, você pode ver um erro ao abrir o conector pela primeira vez. Consulte Usar um Proxy Da Web Pelo Navegador.

1

No Control Hub, vá para Usuários > Gerenciar usuários > Ativar sincronização de diretórios e escolha Próximo.

2

Clique no link Baixar e instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu VMware ou servidor Windows.

Você pode obter o arquivo .zip diretamente deste link, mas deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione.

Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis.

3

No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração.

4

Clique em Próximo, marque a caixa para aceitar o contrato de licença e, em seguida, clique em Próximo até que você veja a tela do tipo de conta.

5

Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:

  • Sistema local—A opção padrão. Você pode usar esta opção se tiver um proxy configurado por meio do Internet Explorer.
  • Conta de domínio—Use esta opção se o computador for parte do domínio. O conector de diretórios deve interagir com os serviços de rede para acessar os recursos de domínio. Você pode inserir as informações da conta e clicar em OK. Ao inserir o Nome de usuário, use o formato {domain}\{user_name}

    Para um proxy que se integra ao AD (NTLMv2 ou Kerberos), você deve usar a opção conta de domínio. A conta usada para executar o Serviço de conector de diretórios deve ter privilégios suficientes para passar proxy e acessar o AD.

Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:

  • O servidor faz parte do domínio

  • A conta de domínio pode acessar os dados do AD no local e os dados de avatares. A conta também deve ter a função de administrador local, pois ela deve acessar arquivos de acesso em C:\Program Files.

  • Para um logon de máquina virtual, o privilégio da conta de administrador deve pelo menos ser capaz de ler informações de domínio.

6

Clique em Instalar. Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas do proxy, clique em OK e, em seguida, clique em Concluir.

O que fazer em seguida

Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.

Iniciar sessão no Conector De Diretórios

Antes de você começar

Verifique se você tem suas credenciais de proxy.

  • Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.

  • Para proxy NTLM, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções da Internet > Conexões > configurações da LAN, certifique-se de que as informações do servidor proxy sejam adicionadas e, em seguida, clique em OK. Consulte Usar um Proxy Da Web Pelo Navegador.

1

Abra o conector e adicione https://idbroker.webex.com à sua lista de sites confiáveis se você vir um aviso.

2

Se solicitado, inicie sessão com suas credenciais de autenticação de proxy, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Próximo.

3

Confirme sua organização e o domínio.

  • Se você escolher AD DS, marque LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão, escolha o domínio do qual deseja sincronizar e clique em Confirmar.

    Se você não verificar LDAP sobre SSL, o DirSync continuará a usar o protocolo de conexão LDAP.

    LDAP (Lightweight Directory Application Protocol) e LDAP seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o controlador de domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

  • Se você escolher AD LDS, insira o host, domínio e porta e clique em Atualizar para carregar todas as partições de aplicativos. Em seguida, selecione a partição na lista suspensa e clique em Confirmar. Consulte a seção do AD LDS para obter mais informações.

    No arquivo de configuração CloudConnectorCommon.dll, certifique-se de adicionar a configuração ADAuthLevel ao nó appSetting. Os valores podem ser 1, 2 ou 3. Consulte este artigo da Microsoft para saber mais sobre os AuthenticationTypes. Aqui está um exemplo da configuração com um valor de 1:

    <appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>
4

Depois que a tela Confirmar organização for exibida, clique em Confirmar.

Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida.

5

Clique em Confirmar.

6

Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:

  • Se você tiver um único domínio que seja o AD LDS, vincule-se à fonte do AD LDS existente e clique em Confirmar.
  • Se você tiver um único domínio que seja o AD DS, vincule-o ao domínio existente ou a um novo domínio. Se você escolher Vincular a um novo domínio, clique em Próximo.

    Como o tipo de origem existente é AD DS, não é possível selecionar AD LDS para a nova vinculação.

  • Se você tiver mais de um domínio, escolha um domínio existente na lista ou Vincular a um novo domínio e clique em Próximo.

    Como você tem mais de um domínio, o tipo de origem existente deve ser o AD DS. Se você escolher Vincular a um novo domínio e clicar em Próximo, não poderá selecionar o AD LDS para a nova vinculação.

O que fazer em seguida

Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.

Painel do conector de diretórios

Quando você inicia sessão no Conector de diretórios pela primeira vez, o painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar as estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver as informações de erro.

Se o tempo de sua sessão expirar, inicie sessão novamente.

Você pode executar facilmente essas tarefas na barra de ferramentas de ações ou no menu de ações.

Tabela 1. Componentes do painel

Componente

Descrição

Sincronização atual

Exibe as informações de status sobre a sincronização que está atualmente em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status fica ociosa.

Próxima sincronização

Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma agenda for definida, Não agendada será exibida.

Última sincronização

Exibe o status das duas últimas sincronizações executadas.

Status de sincronização atual

Exibe o status geral da sincronização.

Conectores

Exibe os atuais conectores locais que estão disponíveis para a nuvem.

Estatísticas da nuvem

Exibe o status geral da sincronização.

Agenda de sincronização

Exibe a agenda de sincronização para sincronização incremental e completa.

Resumo da configuração

Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
  • Todos os objetos serão sincronizados

  • Todos os usuários serão sincronizados

  • O limite excluído foi desativado.

Tabela 2. Barra de ferramentas de ações
AçãoDescrição
Iniciar sincronização incremental

Iniciar manualmente uma sincronização incremental

Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento.

Simulação de sincronização

Execute uma sincronização de simulação.

Iniciar o visualizador de eventos

Inicie o Visualizador de eventos da Microsoft.

Atualizar

Atualizar o painel do conector de diretórios da Cisco

Quadro 3. Menu de Acções

Ação

Descrição

Sincronizar agora

Inicie uma sincronização completa instantaneamente.

Modo de sincronização

Selecione o modo de sincronização incremental ou completo.

Redefinir senha do conector

Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, o salvará localmente.

Simulação

Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa.

Solução de problemas

Ative/desative a solução de problemas.

Atualizar

Atualize a tela principal do conector de diretórios da Cisco.

Sair

Saia do conector de diretórios da Cisco.

Quadro 4. Combinações de teclas

Combinação de teclas

Ação

Alt +A

Mostrar o menu de Ações

Alt+A+S

Sincronizar agora

Alt+A+R

Redefinir senha do conector

Alt+A+D

Simulação

Alt +A + S + I

Sincronização incremental

Alt +A + S + F

Sincronização completa

Alt + H

Mostrar menu de Ajuda

Alt + H + H

Ajuda

Alt + H + A

Sobre

Alt + H + F

Perguntas frequentes

Definir atualizações automáticas

1

No Conector de diretórios, vá para Configuração > Geral e, em seguida, marque Atualizar automaticamente para a nova versão do Cisco Directory Connector.

2

Clique em Aplicar para salvar suas alterações.

Novas versões do conector são instaladas automaticamente quando estão disponíveis.

Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.

Escolha os objetos do Active Directory a serem sincronizados

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

Grupos para atribuição automática de licenças

O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para grupos do Active Directory que você sincroniza com a nuvem. No ponto da criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença para esse novo usuário.

Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro para:

(&(cn=Exemplo)(objectclass=Grupo))*

Este filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.

Tela de seleção de objeto no Conector de diretórios

Grupos para implantações de segurança de dados híbridos

No Conector de diretórios, você deve marcar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. Essa configuração do Conector de diretórios não afeta a sincronização de outros usuários na nuvem.

1

No Conector de diretórios, vá para Configuração e clique em Seleção de objeto.

2

Na seção Tipo de objeto, marque Usuários e considere limitar o número de contêineres pesquisáveis para usuários.

Se você quiser sincronizar apenas os usuários em um determinado grupo, por exemplo, deverá inserir um filtro LDAP no campo Filtros LDAP de Usuários. Se você quiser sincronizar os usuários que estão no grupo Gerenciador de exemplo, use um filtro como este:

(&(sAMAccountName=*)(memberOf=cn=Exemplo-manager,ou=Exemplo,ou=Grupo de segurança,dc=EMPRESA))

3

Marque Identificar sala para separar os dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar dados do usuário como dados da sala.

Use esta configuração se desejar sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem. Para obter mais informações, consulte Sincronizar informações da sala no local com o Webex Cloud.

4

Marque Grupos se você quiser sincronizar seus grupos de usuários do Active Directory com a nuvem.

Não adicione um filtro LDAP de sincronização de usuários ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os próprios dados do grupo com a nuvem.

Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupos. Você também deve sincronizar grupos de segurança.

5

Marque Contatos se você quiser sincronizar as informações de contato dos usuários com a nuvem.

O Conector de diretórios gerencia apenas os Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não os excluirá. Se os contatos forem removidos do escopo da sincronização, as informações de contato dos usuários também serão removidas do Control Hub.

6

Configure os filtros LDAP. Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP.

7

Especifique os DNs da base local a serem sincronizados clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar.

8

Verifique os objetos que você deseja adicionar nesta configuração e clique em Selecionar.

Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para ativar todos os recipientes filhos. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que um filho foi verificado. Você pode então clicar em Selecionar para aceitar os contêineres do Active Directory que você marcou.

Se sua organização colocar todos os usuários e grupos no contentor Usuários, você não precisará pesquisar outros contentores. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs.

9

Clique em Aplicar.

Escolha uma opção:

  • Aplicar alterações de configuração

  • Simulação

  • Cancelar

Para obter informações sobre simulações, consulte Fazer uma sincronização de simulação nos seus usuários do Active Directory.

Para a sincronização de grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa de usuários do Active Directory na nuvem.

Mapear atributos do usuário

Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.

Você pode escolher qual atributo do Active Directory mapear para a nuvem - por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.

As contas no Active Directory devem ter um endereço de e-mail; o uid é mapeado por padrão para o campo ad de correio (não sAMAccountName).

Se você optar por ter o idioma preferido vindo do seu Active Directory, então o Active Directory é a única fonte de verdade: os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário.

Esta página mostra os nomes dos atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos obrigatórios são marcados com um asterisco vermelho.

2

Role para a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo uid da nuvem:

  • correio—Usado pela maioria das implantações para formato de e-mail.
  • userPrincipalName—Uma escolha alternativa se o atributo de correio for usado para outros fins no Active Directory. Esse atributo deve estar em formato de e-mail.

Você pode mapear qualquer um dos outros atributos do Active Directory para o uid, mas recomendamos que você use mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeando atributos do Active Directory no Conector de diretórios.

Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados.

3

Se os atributos predefinidos do Active Directory não funcionarem para sua implantação, clique no menu suspenso de atributos, role para a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo.

Clique em Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações.

Neste exemplo, vamos mapear os atributos do Active Directory givenName e Sn para o atributo displayName da nuvem:

  1. Defina a expressão do atributo como givenName + "" + Sn (as aspas sendo um espaço extra) e, em seguida, forneça um e-mail de usuário existente para verificação.

  2. Clique em Verificar e veja se o resultado corresponde ao que você estava esperando.

    Um resultado bem-sucedido se parece com este:

    Mapeie atributos do seu Active Directory local

  3. Se os resultados forem o que você esperava, clique em OK para salvar o novo atributo personalizado.

    Mais tarde, se você quiser alterar o displayName, poderá inserir uma nova expressão de atributo

O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro de usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem:

A mensagem de informações no Active Directory para os usuários têm um formato de e-mail válido

Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário:

Mensagem de aviso se o atributo não puder ser verificado

4

(Opcional) Escolha mapeamentos para celular e telephoneNumber se desejar que os números de celular e comercial apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex.

Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário.

Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação de chamadas no Webex (Unified CM) (administradores).

5

Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:

  • número do departamento
  • displayName
  • manager
  • cargo

Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário:

Visualizar as informações de contato de alguém

Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato.

Depois que esses atributos forem sincronizados com cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais uns sobre os outros. Para obter mais informações sobre o recurso e como ativá-lo, consulte os Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (novo) no Control Hub

6

Depois de fazer suas escolhas, clique em Aplicar.

Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deverá ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.

Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.

Atributos do Active Directory e da nuvem

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia de Mapeamento de atributos do usuário.

Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos do Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher diferentes atributos nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.

Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo de nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição de seus usuários - por exemplo, você pode adicionar uma expressão que crie um atributo personalizado com base no título do funcionário, nome e sobrenome no Active Directory.

Você também pode especificar qualquer um dos atributos do Active Directory a serem mapeados como uid na nuvem. No entanto, você deve certificar-se de que o atributo local siga um formato de e-mail válido.

Você também pode usar endereços de e-mail alternativos, se, por exemplo, desejar usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário for usado para gerenciar o calendário dele. Nesse caso, mapeie outro endereço de e-mail para o atributo e-mails;type-work. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário.

Nomes de atributos do Active Directory

Nomes de atributos da nuvem Webex

Notas

edifícioName

c

c

Esse atributo especifica a abreviatura do país do usuário.

número do departamento

número do departamento

Esse atributo é usado para o número do departamento do usuário que aparece no cartão de contato e no People Insights.

displayName

displayName

Esse atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no People Insights.

controle conta usuário

ds-pwp-account-desabilitado

Este atributo é usado para sincronização do usuário. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente.

número do funcionário

número do funcionário

ileileTelephoneNumber

ileileTelephoneNumber

jabberID

Esse atributo de nuvem se refere a endereços de IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses.

l

l

Esse atributo especifica a cidade do usuário.

localidade

manager

manager

Esse atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e no People Insights.

móvel

móvel

Esse atributo é usado como o número de celular que aparece para chamar o usuário do cartão de contato.

o

o

Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato.

ou

ou

Esse atributo especifica o nome da unidade organizacional.

physicalDeliveryOfficeName

physicalDeliveryOfficeName

Esse atributo especifica o local do escritório do usuário.

Postalcode

Postalcode

Esse atributo especifica o código postal ou o CEP do usuário para entrega física de correio.

idioma preferido

idioma preferido

Esse atributo define o idioma preferido do usuário e os seguintes formatos são compatíveis: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA.

Se você usar um idioma não compatível ou um formato inválido, o idioma preferido dos usuários será alterado para o idioma definido na organização.

MSRTCSIP-PrimaryUserAddress

telefone ip

SipAddresses;type=empresa

Esse atributo é usado para sincronizar informações da sala no local do Active Directory para a nuvem Cisco Webex.

sn

sn

Esse atributo é usado para o sobrenome da conta de usuário que aparece no Control Hub, no cartão de contato e no People Insights.

são

são

Esse atributo especifica o estado ou província do usuário.

Streetaddress

rua

Esse atributo especifica o endereço do usuário para entrega física de correio.

Telephonenumber

Telephonenumber

Esse atributo especifica o número de telefone principal (comercial) do usuário que é usado para ligar para o usuário do cartão de contato.

fuso horário

Este atributo de nuvem especifica o fuso horário do usuário.

cargo

cargo

Esse atributo especifica o título do usuário que aparece no cartão de contato e no People Insights.

tipo

empresa

*correio

*userPrincipalName

UID

Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory mapeia para um uid exclusivo na nuvem.

Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento de atributos SAML correto esteja ativado.

Consulte o mapeamento de atributos de exemplo abaixo para saber como você pode mapear um endereço de e-mail alternativo.

*userPrincipalName

*correio

<atributo personalizado>

e-mails;digitar-trabalho

Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário.

<Novo atributo do usuário objectId do Azure>

ID externa

Crie um novo atributo do Active Directory para manter o objectId do usuário do Azure, para que ele não entre em conflito com um existente.

Em seguida, esse atributo mapeia para o atributo externalId, garantindo que quando os usuários Webex criarem grupos no Microsoft 365 criem automaticamente equipes no Webex.

Mapeamento alternativo de endereços de e-mail
Alternative email address mapping

Expressões para atributos personalizados

Quadro 5. Expressões para atributos personalizados

Operador

Descrição e exemplo

%

Remove todos os caracteres do início da string até a posição do caractere ou argumento da string, se corresponder.

Expressão de exemplo
"abc@exemplo.com" % "@"
Resultado
example.com

-

Risca a parte de trás da string de entrada do final da string especificada.

Expressão de exemplo
"abc@exemplo.com" - "@"
Resultado
abc

+

Concatena strings ou expressões de entrada.

Expressão de exemplo
"abc" + "" + "def"
Resultado
abc def

|

Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.

Expressão de exemplo
"" | "abc"
Resultado
abc

Sincronizar avatares de diretórios de um atributo do Active Directory para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar brutos de um atributo do Active Directory.

1

No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar.

2

Para Obter o avatar, escolha o atributo AD e, em seguida, escolha o atributo Avatar que contém os dados do avatar brutos que você deseja sincronizar com a nuvem.

3

Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário.

O avatar aparece à direita.

4

Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações.

  • As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.

  • Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.

Sincronizar avatares de diretório de um servidor de recursos para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.

Antes de você começar

  • O padrão de URI e o valor da variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.

  • O padrão URI do avatar e o servidor onde os avatares residem devem ser acessíveis no aplicativo Conector de diretórios. O conector precisa ter acesso http ou https às imagens, mas as imagens não precisam ser publicamente acessíveis na internet.

  • A sincronização de dados do avatar é separada dos perfis de usuário do Active Directory. Se você executar um proxy, deverá garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou autenticação básica.

1

No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar.

2

Para Obter o avatar de, escolha Servidor de recursos e, em seguida, insira o Padrão de URI do avatar—Por exemplo, http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}.jpg

Vamos ver cada parte do padrão de URI do avatar e o que eles significam:

  • http://www.example.com/dir/photo/zoom/—O caminho para onde todas as fotos que serão sincronizadas está localizado. Deve ser uma URL à qual o serviço do Conector de diretórios em seu servidor deve ser capaz de acessar.
  • mail:—Informa o Conector de diretório para obter o valor do atributo de correio do Active Directory
  • .*?(?=@.*)—Uma sintaxe regex que executa estas funções:
    • .*—Qualquer caractere, repetindo zero ou mais vezes.

    • ? — Indica que a variável anterior corresponda ao máximo de caracteres possível.

    • (?= ... ) — corresponde a um grupo após a expressão principal sem incluí-la no resultado. O Conector de diretórios procura uma correspondência e não a inclui na saída.

    • @.* — O símbolo de at, seguido por qualquer caractere, repetindo zero ou mais vezes.

  • .jpg—A extensão de arquivo para os avatares dos seus usuários. Consulte os tipos de arquivo compatíveis neste documento e altere a extensão de acordo.
3

(Opcional) Se o servidor de recursos exigir credenciais, marque Definir credencial do usuário para avatar, em seguida, escolha Usar usuário de logon de serviço atual ou Usar este usuário e insira a senha.

4

Insira o Valor da variável—Por exemplo: abcd@exemplo.com.

5

Clique em Testar para certificar-se de que o padrão de URI do avatar funciona corretamente.

Neste exemplo, se o valor do correio para uma entrada do AD for abcd@example.com e as imagens jpg estavam sendo sincronizadas, o URI final do avatar será http://www.example.com/dir/photo/zoom/abcd.jpg

6

Depois que as informações do URI forem verificadas e parecerem corretas, clique em Aplicar.

Para obter informações detalhadas sobre o uso de expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft.

  • As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.

  • Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.

Sincronizar informações da sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).

1

No Conector de diretórios, vá para Sincronizar, clique em mais More Options button ao lado de um domínio sincronizado, clique em Configuração e escolha Seleção de objeto.

2

Marque Sincronizar informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização.

Quando essa configuração estiver desativada, os dados da sala serão tratados da mesma maneira que os dados sincronizados pelo usuário.

3

Vá para Mapeamento de atributos e altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise.

Para usar a validação de valor, o valor do endereço SIP deve ser Pattern.compile("^([^@])(.*)@(.*)$")

  • Escolha MSRTCSIP-PrimaryUserAddress, se disponível.
  • Se você não tiver o atributo acima no esquema do Active Directory, use outro campo, como ipPhone.
4

Crie uma caixa de correio de Recurso de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector então usa para identificar as salas.

Crie uma caixa de correio de Recurso de sala no Exchange.

5

Em computadores e usuários do Active Directory, navegue até e edite as propriedades da sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip:

Adicionar o SIP URI totalmente qualificado com um prefixo de sip

6

Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector.

Os novos objetos de sala estão listados em Objetos adicionados e os objetos de sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão em Salas excluídas.

Lista de objetos de sala correspondentes no relatório de simulação

Os resultados da simulação mostram todos os recursos de sala que foram combinados.

Resultados da simulação do Conector de diretórios mostrando os objetos correspondentes

Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas da nuvem no painel do conector mostram os dados da sala que foram sincronizados com a nuvem.

Painel do conector de diretórios destacando a janela de estatísticas da nuvem. As estatísticas da nuvem incluem usuários, grupos, salas e contatos.

O que fazer em seguida

Agora que você fez essas etapas, ao fazer uma pesquisa em um dispositivo Webex registrado na nuvem, você verá as entradas de salas sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.

No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.

O terminal não pode retornar uma chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em algum outro lugar que não o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no dispositivo Webex Room, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.

Enviar relatórios de e-mail sobre os resultados da sincronização de diretórios

Por padrão, os contatos ou administradores da organização sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.

1

No Conector de diretórios, clique em Configuração e escolha Notificação.

2

No Conector de diretórios, clique em Configurações e, ao lado de Receptor de e-mail, ative Ativar sincronização de relatório.

3

Marque Ativar notificação se você quiser substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail.

4

Clique em Adicionar e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações.

5

Clique em Adicionar e-mail e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações.

6

Se você precisar editar qualquer endereço de e-mail inserido, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias.

7

Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar.

8

Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar.

O que fazer em seguida

Se você decidiu que deseja remover endereços de e-mail, poderá clicar em um e-mail para destacar essa entrada e, em seguida, clicar em Remover.

Se você decidiu que deseja remover endereços de e-mail, poderá clicar em Remover ao lado de entradas específicas de endereços de e-mail.

Provisionar usuários do Active Directory no Control Hub

Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuários correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.

1

Executar uma sincronização de simulação em seus usuários do Active Directory

Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

2

Faça uma sincronização completa de usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

3

Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub

Depois de concluir uma sincronização de usuário completa do Conector de diretórios no Control Hub, você poderá atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial.

Executar uma sincronização de simulação em seus usuários do Active Directory

Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.

Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer esta etapa em cada uma das instâncias do conector de diretório da Cisco que você instalou para cada domínio do Active Directory.

Antes de você começar

Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto local do Active Directory e receber licenças para serviços. Mas alguns podem ser usuários de teste que você deseja excluir enquanto faz uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.

1

Escolha uma das opções:

  • Após iniciar sessão pela primeira vez, clique em Sim no aviso para executar uma simulação.
  • Se você perder um lembrete para executar uma simulação, a qualquer momento no Conector de diretórios, clique em Painel, escolha Sincronizar simulação e clique em OK para iniciar uma sincronização de simulação.

Quando a simulação for concluída, você verá um dos seguintes resultados:

  • Objetos incompatíveis detectados no Conector de diretórios

    Objetos incompatíveis detectados no Conector de diretórios

  • Resumo dos resultados do relatório de simulação e objetos incompatíveis no Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

O Resumo contém informações sobre a correspondência do objeto:

  • Objetos correspondentes - Um usuário que está no Webex Common Identity e também existe no domínio do Active Directory, ou seja, se someuser@cisco.com foi sincronizado com o Webex e exibido no Control Hub e o mesmo usuário (someuser@cisco.com) existe no Active Directory. Isso significa que o usuário foi correspondido.

  • Objetos incompatíveis - Um usuário que está no Webex, não importa como o usuário foi adicionado na Identidade Comum, mas não existe no Active Directory. É chamado de objeto incompatível. Por exemplo, se someuser@cisco.com foi sincronizado no Webex e exibido no Control Hub, mas o mesmo usuário (someuser@cisco.com) não for gerenciado pelo Active Directory, o relatório mostrará que o usuário está incompatível.

A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo pode identificar os usuários se eles pertencem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou mantê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não existentes no Active Directory local.

2

Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:

  • Domínio único—Decida se deseja manter os usuários incompatíveis. Se desejar mantê-los, escolha Não, reter objetos; se não desejar, escolha Sim, excluir objetos. Depois de fazer essas etapas e executar manualmente uma sincronização completa para que haja uma correspondência exata entre o local e a nuvem, o Conector de diretórios ativa automaticamente tarefas de sincronização automática agendadas.
  • Vários domínios—Para uma organização com Domínio A e Domínio B, primeiro faça uma simulação do Domínio A. Se você quiser manter usuários incompatíveis, escolha Não, reter objetos. (Esses usuários incompatíveis podem ser membros do Domínio B.) Se você quiser excluir, escolha Sim, excluir objetos.

    Se você manter os usuários, execute uma sincronização completa para o Domínio A primeiro e, em seguida, execute uma simulação para o Domínio B. Se ainda houver usuários incompatíveis, adicione esses usuários no Active Directory e, em seguida, faça uma sincronização completa para o Domínio B. Quando houver uma correspondência exata entre o local e a nuvem, o Conector de diretórios ativará automaticamente tarefas de sincronização automática agendadas.

3

No prompt Confirmar simulação, clique em Sim para refazer a sincronização da simulação e visualizar o painel para ver os resultados.

Todas as contas que foram sincronizadas com êxito na simulação aparecem em Objetos correspondentes.

Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos. Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail.

Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes. Para salvar as informações do resumo, clique em Salvar resultados no arquivo.

4

Se os resultados forem esperados, vá para Ações > Modo de sincronização > Ativar sincronização e clique em Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto.

Depois de fazer uma sincronização no último domínio do Active Directory em sua implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você poderá ativar o modo automático somente quando os objetos forem completamente combinados entre a nuvem Webex e todos os Diretórios ativos locais.

O que fazer em seguida

Coisas a se manter em mente

Faça uma sincronização completa de usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

Se você tiver vários domínios, deverá fazer esta etapa em cada uma das instâncias do Conector de diretório que você instalou para cada domínio do Active Directory.

O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.

Antes de você começar

  • Se você quiser que as contas de usuário do aplicativo Webex estejam no status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve seguir estas etapas para ignorar a validação de e-mail:

  • Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar possíveis erros.

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

    Se você não usar modelos de atribuição automática de licenças, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles poderão usar os mesmos recursos gratuitos daqueles com contas gratuitas.

1

Escolha uma das opções:

  • Após o primeiro início de sessão, se a simulação estiver concluída e parecer correta para todos os domínios, clique em Ativar agora para permitir que a sincronização automática ocorra.
  • No Conector de diretórios, vá para o Painel, clique em Ações, escolha Modo de sincronização > Ativar sincronização e, em seguida, clique em Sincronizar agora > Completo para iniciar a sincronização.
2

No Conector de diretórios, vá para Sincronizar, clique em mais More Options button ao lado de um domínio sincronizado, clique em Configuração e escolha Sincronização completa.

3

Confirme o início da sincronização.

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações até 72 horas depois de executar a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, a hora em que ela começou e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções de Última sincronização e Estatísticas da nuvem são atualizadas com as novas informações. Os dados do usuário são sincronizados com a nuvem.

  • Se ocorrerem erros durante a sincronização, a esfera indicador de status ficará vermelha.

4

Clique em Atualizar se você quiser atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas da nuvem.)

5

Para obter informações sobre erros, selecione o Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros.

6

Para definir uma agenda de sincronização para sincronizações incrementais contínuas para a nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental.

  • Após a conclusão da sincronização completa, o status das atualizações da sincronização do diretório de Desativado para Operacional na página de Configurações no Control Hub.

  • Quando todos os dados são combinados entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.

  • A menos que você integre registro único, verifique domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e elimine e-mails automatizados, as contas de usuário do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de começar para obter orientação sobre como sincronizar as contas como usuários ativos.

  • Se você tiver vários domínios, faça esta etapa em qualquer outro conector de diretório que você tenha instalado. Após a sincronização, os usuários em todos os domínios que você adicionou serão listados no Control Hub.

  • Se você integrou o registro único com o Webex e notificações por e-mail suprimidas, os convites por e-mail não serão enviados aos usuários recém-sincronizados.

  • Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Uma vez ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.

  • Todos os grupos sincronizados aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários nesse grupo recebam licenças.

O que fazer em seguida

  • Quando você remove um usuário do Active Directory, ele é excluído de software após a próxima sincronização. O usuário fica Inativo, mas o perfil de identidade da nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).

    Quando você marca A conta está desabilitada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade da nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.

  • Observe estas exceções para uma sincronização incremental (em vez disso, siga os passos completos de sincronização acima):

    • No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.

    • As alterações de configuração no mapeamento de atributos, DN base, filtro e configuração de avatar requerem uma sincronização completa.

Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub

Depois de concluir uma sincronização completa de usuários do conector de diretórios da Cisco no Control Hub, você poderá usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma só vez ou adicionar licenças adicionais a novos usuários se já tiver configurado um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você poderá usar métodos no Control Hub para atribuir licenças de serviço Webex globalmente a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já tiver configurado um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Quando você atribuir uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Registro Único (SSO) com sua organização Webex, você também pode suprimir essas notificações automáticas por e-mail se preferir entrar em contato com seus usuários diretamente.

Antes de você começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Execute uma sincronização de simulação nos seus usuários do Active Directory.

  • Depois de confirmar os resultados da simulação, faça uma sincronização completa em seus usuários do Active Directory.

No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuários padrão no Control Hub, como importação de CSV, atualização manual de usuários ou através da conclusão automática da atribuição bem-sucedida.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Usuários, clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizados e clique em Próximo.

2

Escolha uma opção:

O que fazer em seguida

  • Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.

  • Se você selecionou os mesmos serviços Webex para todos os usuários, posteriormente você poderá alterar a licença atribuída individualmente ou em massa.

Problemas conhecidos com o Conector de diretórios

Gerenciar usuários do aplicativo Webex

Executar uma sincronização incremental

Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Esta etapa agrupa essas alterações e as envia para o serviço do conector. As alterações incluem a modificação de atribuição de usuários e quando um usuário é adicionado ou excluído.

Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização inicial completa, recomendamos a opção incremental para sincronizações subsequentes.

Antes de começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Observe estas exceções para as quais a sincronização incremental não é compatível (em vez disso, siga Fazer uma sincronização completa de usuários do Active Directory na nuvem ):

    • No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.

    • Para novas alterações de configuração no mapeamento de atributos, no DN base, no filtro e na configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.

1

No Conector de diretórios, clique em Painel.

Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro.

2

Em Ações, clique em Modo de sincronização > Ativar sincronização se ainda não estiver habilitado.

Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental é acumulado, o programa verifica as alterações com base no último carimbo de data/hora.

3

Em Ações, clique em Sincronizar agora > Incremental.

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações 72 horas a partir de quando você executa a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, a hora em que ela começou e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções de Última sincronização e Estatísticas da nuvem são atualizadas com as novas informações.

  • Se ocorrerem erros durante a sincronização, a esfera indicador de status ficará vermelha.

4

Para obter informações sobre erros, clique em Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros.

O que fazer em seguida

Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretório que você instalou.

Recuperar usuários excluídos acidentalmente

O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão forçada pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.

Por padrão, essa função está habilitada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um aviso de objetos incompatíveis ou notou que os usuários foram excluídos, você poderá recuperá-los se agir rapidamente.

Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas do Active Directory. O serviço de nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.

Os usuários que estão desabilitados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.

1

Inicie sessão no Control Hub.

2

Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não listada.

Para obter mais informações, consulte Status e ações do usuário no Control Hub.

3

Se os usuários foram excluídos no Control Hub ou você notou usuários em um estado Inativo, vá para o Active Directory, adicione as contas de usuário ausentes e, em seguida, execute uma sincronização de simulação no Conector de diretórios.

O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem.

4

Faça uma sincronização completa para ressincronizar as contas de usuário temporariamente excluídas no Control Hub.

Os usuários são recuperados e acessam o status original, incluindo o status da conta e as atribuições de serviço.

O que fazer em seguida

Retorne ao Control Hub, vá para Gerenciamento > Usuários e confirme se as contas de usuários excluídos anteriormente estão aparecendo na lista de usuários.

Excluir usuários permanentemente após a exclusão soft

Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos soft na próxima sincronização.

1

Após a conclusão de uma simulação, selecione Objetos soft-excluídos.

2

Marque a caixa de seleção ao lado dos usuários que deseja excluir.

3

Selecione Concluído.

O que fazer em seguida

Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.

Alterar um endereço de e-mail do aplicativo Webex

Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento cobre como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.

Se você quiser apenas alterar o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e, em seguida, recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário e os espaços do usuário e outros dados na nuvem serão perdidos.

  • Para alterar os endereços de e-mail dos usuários sem alterar o domínio:

    1. Abra a conta de usuário (exemplo, user1@example.com) no Active Directory e altere o endereço de e-mail (exemplo, user2@example.com).

    2. Retomar a sincronização no Directory Connector.

      Após a próxima sincronização, as alterações aparecem na sua lista de usuários no Control Hub e para os usuários no aplicativo Webex após a atualização do cache.

      Não há perda de dados ou espaços usando este método. O identificador exclusivo do usuário será definido na nuvem após a primeira sincronização. Todas as sincronizações subsequentes são baseadas neste identificador.

  • Em uma implantação de vários domínios com o Conector de diretórios, para alterar os endereços de e-mail do usuário ao alterar o domínio (considere example1.com o domínio antigo e example2.com o novo domínio):

    1. Para a conta de usuário antiga (user1@example1.com), observe o atributo do Active Directory que mapeia para o atributo uid cloud. Você precisa usar esse mesmo valor do Active Directory para a nova conta. Para este exemplo, usaremos user1@example1.com como o atributo local para mapear para uid na nuvem.

    2. Pause a sincronização no Conector de diretórios para domínios de exemplo1.com e exemplo2.com.

    3. Crie uma nova conta de usuário no example2.com e use o mesmo atributo acima. (Por exemplo, user1@example1.com).

    4. No Directory Connector, retome a sincronização por exemplo2.com

      Antes de continuar, verifique se a conta de usuário1@exemplo2.com é sincronizada no Control Hub. Recomendamos que você instrua o usuário a verificar a alteração do e-mail no aplicativo Webex e que todos os dados (espaços, mensagens, reuniões, arquivos e assim por diante) sejam retidos.

      Não há perda de dados ou espaços usando este método, mas na nova conta de usuário, você deve garantir que o atributo do Active Directory que mapeia para o atributo uid da nuvem seja preservado da conta de usuário antiga. Se você alterar o valor do Active Directory, a nova conta não retém os dados da conta antiga.

    5. Depois de verificar a alteração do endereço de e-mail e os dados estiverem intactos, exclua a conta de usuário antiga no example1.com e, em seguida, use o Conector de diretórios para retomar a sincronização do example1.com.

      Neste ponto, você pode atualizar com segurança o endereço de e-mail no novo domínio do Active Directory para user1@example2.com.

O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincroniza novamente para a nuvem, o estado do usuário depende se o novo domínio é verificado em sua organização. Se o domínio não for verificado em sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios.

Se sua organização não usa o Conector de diretórios, você pode alterar os endereços de e-mail do aplicativo Webex através da página de configurações da conta. Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.

Alterar o domínio do Active Directory

Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles se sincronizam com o serviço de identidade na nuvem.

1

Configure um novo domínio do Active Directory (AD).

2

Desative as sincronizações em todos os seus conectores.

3

Desinstale todos os seus conectores.

4

Abra um caso para alterar o domínio.

No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização na sua organização.

Antes de abrir um caso para alterar o domínio, certifique-se de que você não tenha uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido.

5

Depois que o caso for resolvido:

  1. Instale o Conector de diretórios no mesmo servidor que o com o novo domínio do Active Directory.

  2. Configure o conector de diretórios para que ele aponte para o novo domínio do Active Directory.

    Se houver usuários existentes no Control Hub (https://admin.webex.com), certifique-se de que os usuários com endereços de e-mail correspondentes também estejam presentes no Active Directory. Se sua organização desativou a alternância de softDelete no DirSync, os endereços de e-mail dos usuários que estão no Control Hub, mas não no Active Directory, correm o risco de exclusão.

Execute um teste executado com o Directory Connector antes de fazer a sincronização atual.

Reivindicação de domínio

Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail para uma organização de modo que qualquer conta lateral seja criada na organização do cliente pago e não na organização do consumidor gratuita. Você só pode fazer uma reivindicação de domínio por meio de um caso de suporte (consulte o link abaixo para obter mais informações).

Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas laterais não serão criadas na organização do cliente ou na organização do consumidor gratuito. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar sideboard uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o conector de diretórios para provisionar a conta no Control Hub.

Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório

Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram na versão gratuita do aplicativo Webex, sua conta existe na organização de consumidores gratuita. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre (converta)-os para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.

Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.

Se você tentar converter um usuário enquanto a sincronização de diretórios estiver ativada, a mensagem de erro não pôde ser convertida será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.

Alguns usuários reivindicados podem aparecer com o atributo movedfrom ao fazer uma simulação. Esses usuários estarão na lista de Objeto excluído em vez de MismatchedObject. Você precisará adicionar esses usuários à sua lista AD se desejar movê-los para sua organização.

Se você não adicionar esses usuários, eles serão excluídos no próximo que você sincronizar com a nuvem.

1

Desative a sincronização de diretórios do Conector de diretórios.

2

Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuita para a organização empresarial.

Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios faz do Active Directory a única fonte de verdade para as contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes.

3

No Directory Connector, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos.

Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferencia maiúsculas e minúsculas e exclui usuários convertidos que detecta com endereços de e-mail incompatíveis (por exemplo, user1@example.com e User1@example.com).

Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex.

4

Quando você tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretórios do Directory Connector.

As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativou o modelo de licença de atribuição automática e, em seguida, ativou o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até confirmarem seus endereços de e-mail.

Contas de usuário do aplicativo Webex lateral

Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("painel lateral"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuita.

Se você quiser gerenciar a conta lateral usando o Conector de diretórios, é necessário converter a conta.

Alterar o formato do nome de usuário do aplicativo Webex após a sincronização do diretório

Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.

Depois de executar uma sincronização de diretório, você pode descobrir que nomes de usuário são exibidos no formato .

Esse nome de usuário pode aparecer se o atributo displayName no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName na nuvem, os nomes aparecem no formato no Control Hub.

Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo do Active Directory givenName sn (ou sn givenName) para displayName nos Nomes de atributos do Cisco Cloud.

Alterar o formato do Nome do atributo do Cisco Cloud

Como alternativa, mapeie o atributo sn givenName para displayName:

Alterar o formato do Nome do atributo do Cisco Cloud

Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizada para displayName.

Personalizar o formato do nome do atributo do Cisco Cloud

Por exemplo, insira givenName + "" + sn (nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName na nuvem.

Mapeie atributos do seu Active Directory local

Permitir que os usuários alterem nomes de exibição no Webex Meetings

Você pode desmapear o atributo displayName da sincronização com a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante as reuniões Webex, em vez do nome e do sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário.

2

Selecione displayName em Nome do atributo do Cisco Cloud.

3

Selecione Não sincronizar este atributo.

Permitir que os usuários alterem nomes de exibição no Webex Meetings

O que fazer em seguida

Os usuários agora podem editar seus nomes de exibição no site Webex.

Solução de problemas do conector de diretórios

Atualizar para a versão de software mais recente

Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e aprimoramentos de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Directory Connector. Se você não atualizar para a versão mais recente que está disponível, poderá enfrentar problemas, como o Conector de diretórios não sincronizar mais corretamente ou estar em uma versão que não suporta o requisito de TLS 1.2 obrigatório.

O Conector de diretórios notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.

Embora você possa instalar manualmente as atualizações do software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.

1

Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone do Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização.

2

Siga as instruções para concluir a atualização.

3

Reinicie o conector e inicie sessão com suas credenciais de administrador.

4

Verifique o número da versão do software em Ajuda > Sobre.

O que fazer em seguida

Para uma nova instalação do Conector de diretórios, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.

Definir configurações gerais do Conector de diretórios

Use este procedimento para definir configurações gerais, como o nome do servidor executando o Conector de diretórios, os níveis de registro, atualizações automáticas e as configurações preferidas para os controladores de domínio. O nome do conector aparece no painel na seção conectores, juntamente com quaisquer outros conectores que estejam em execução.

1

No Conector de diretórios, vá para Configuração e clique em Geral.

2

No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está executando o conector no momento.

3

Escolha o nível de log no menu suspenso. Por padrão, o nível de registro é definido como Informações. Os níveis de registro disponíveis são:

  • Informações (Padrão) — Mostra mensagens informativas que destacam o progresso do aplicativo em um nível elevado. Use esta configuração se desejar receber relatórios após todas as sincronizações completas.

  • Avisar—Mostra situações potencialmente perigosas.

  • Depuração — Mostra eventos informativos detalhados que são mais úteis para depuração de um aplicativo. Quando você vir algum problema, defina esse nível de registro e envie o registro de eventos ao suporte ao abrir um caso.

  • Erro — Mostra eventos de erro que ainda podem permitir que o aplicativo continue em execução. Quando você escolhe esta opção, os relatórios de sincronização são enviados apenas quando os erros são relatados.

Essas configurações afetam o relatório de sincronização enviado por e-mail. Se você definir o nível de log como Erro, somente erros serão relatados no relatório de sincronização; se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Lembre-se de que, para sincronização incremental, nenhum relatório será enviado quando nenhum erro for relatado.)

4

Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades.

Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador principal.

5

Marque Atualizar automaticamente para a nova versão do Cisco Directory Connector se desejar que ocorram atualizações automáticas.

É sempre importante manter o software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

6

Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão.

Se você não verificar LDAP sobre SSL, o Conector de diretórios continuará a usar o protocolo de conexão LDAP.

LDAP (Lightweight Directory Application Protocol) e LDAP seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o controlador de domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

Configurar a política do conector

Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A execução da sincronização não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.

Por exemplo, você define 1 como o valor de gatilho de limite de exclusão. Ao fazer a sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretório mostrará um aviso. Se você clicar em Substituir limite, poderá iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.

1

No Conector de diretórios, clique em Configuração e escolha Política.

2

Marque a caixa Ativar excluir gatilho de limite se você quiser adicionar um gatilho de limite.

A escolha desta opção aciona um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão exceder aquela que você definir, a sincronização falhará.
3

Insira o número máximo de exclusões que você deseja. O padrão é 20.

Recomendamos que você não aumente o valor padrão.

4

Clique em Aplicar.

Definir a agenda do conector

Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, mudaremos para outro conector de espera após o intervalo predefinido.

1

No Conector de diretórios, clique em Configuração e escolha Agendar.

2

Especifique o Intervalo de sincronização incremental em minutos.

Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa.

3

Altere o valor Enviar relatórios por hora se desejar alterar a frequência com que os relatórios são enviados.

4

Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra.

5

Especifique o Intervalo de failover em minutos.

6

Clique em Aplicar.

Cenários de vários domínios

Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor de chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta reescrevem os dados do domínio de prioridade mais baixa.

Os objetos que têm o mesmo valor de chave são vinculados em um registro no banco de dados.

Cenários de vários domínios

O valor da chave para "Usuário" é Endereço de e-mail; o valor da chave para "Grupo" é Nome do grupo.

Exemplo de caso de uso para vários domínios

Este exemplo assume uma organização com dois domínios — example1.com e example2.com, em ordem de prioridade.

  • Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.

  • Adicionar grupo1 (nome do grupo: Teste) para o Active Directory do example1.com.

  • Adicionar usuário2(e-mail: user@example2.com) para o Active Directory de example2.com.

  • Adicionar grupo2 (nome do grupo: Teste) para o Active Directory do example2.com.

Sincronização em example1.com

Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.

Se você fizer uma sincronização completa ou incremental, por exemplo1.com, user1 e group1 serão sincronizados. Além disso, user2 e group2 são substituídas pelas informações de user1 e group1.

Usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; grupo1 vincula o grupo2 como o mesmo registro no banco de dados.

Sincronização em example1.com e example2.com

Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.

Considere estas etapas:

  1. Exclua usuário1 e grupo1 no Active Directory por exemplo1.com.
  2. Faça uma sincronização completa ou incremental, por exemplo1.com.

    Resultado: as informações do usuário não são alteradas em https://admin.webex.com. Usuário2 não está vinculado ao usuário1 e grupo2 não está vinculado ao grupo1.

  3. Faça uma sincronização incremental, por exemplo2.com.

    Resultado: as informações do usuário não são alteradas em https://admin.webex.com.

  4. Faça uma sincronização completa, por exemplo2.com.

    Resultado: As informações de usuário2 e group2 estão listadas em https://admin.webex.com.

Sincronizar um novo domínio e preservar um domínio existente

Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar o Conector de diretórios para sincronização de domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem inalteradas.

Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1)e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro é em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Assim, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).

Definir a prioridade do domínio

Use este procedimento para alterar a prioridade dos seus domínios do Active Directory. A prioridade do domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado com uma organização.

Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem informando que a prioridade do domínio não é necessária.

Antes de começar

Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo de https://admin.webex.com.

1

No conector de diretórios da Cisco, clique em Painel.

2

Vá para Ações e clique em Definir prioridade do domínio.

3

Realce um domínio na lista, clique em Para cima ou Para baixo para alterar a prioridade deste domínio e clique em Salvar para salvar essa alteração.

Os domínios são classificados por prioridade de cima para baixo.

Alternar domínios

Use este procedimento para revincular o conector de diretórios da Cisco a um domínio diferente.

Antes de começar

  • Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar de domínios.

  • Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo do Control Hub.

1

No conector de diretórios da Cisco, clique em Painel.

2

Vá para Ações e clique em Alternar domínio.

3

Depois de ler o cuidado, se você entender o efeito que essa alteração tem na sua implantação e ainda tem certeza, clique em Sim.

Se você alternar um domínio, será desconectado do atual conector de diretórios da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas.

4

Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio.

Desligar sincronização do diretório

Se você precisar interromper a sincronização do Directory Connector, poderá desativá-lo temporariamente do Control Hub.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretórios e escolha uma:

  • Clique em mais Botão de Mais opções e, em seguida, clique em Desativar ao lado da ocorrência do conector que você deseja desligar.
  • Clique em Desligar todas as sincronizações de diretório para interromper a sincronização de todas as ocorrências do conector.
2

Depois de ler o aviso, clique em Desativar.

A sincronização é interrompida até que você a reative do Directory Connector.

Remover Mapeamento de Atributos do Usuário

Use o Conector de diretórios para remover o mapeamento dos atributos do Active Directory anteriormente mapeados na nuvem e sincronizados com o Webex. Depois de remover o mapeamento de atributos, os valores dos atributos serão removidos da nuvem e não serão mais sincronizados com o Webex. Esses valores podem então ser editados manualmente.

1

No Conector de diretórios, clique em Painel.

2

Vá para Ações e clique em Utilitários > Remover mapeamento de atributos do usuário.

3

Selecione o mapeamento a ser removido da lista Nome do atributo .

4

Em Escopo do usuário afetado, selecione uma das seguintes opções:

  • Somente usuários sincronizados pelo Conector de diretório: o mapeamento será removido apenas dos usuários que o Conector de diretórios sincronizaram anteriormente.
  • Todos usuários: o mapeamento será removido de todos os usuários do Active Directory.
5

Clique em Aplicar.

Gerenciar fotos de perfil

Use o Conector de diretórios para atualizar as imagens do perfil do usuário ou remover as imagens do perfil do usuário em branco.

1

No Conector de diretórios, clique em Painel.

2

Vá para Ações e clique em Utilitários > Gerenciar imagens de perfil.

3

Em Ações, selecione uma das seguintes opções:

  • Remova imagens de perfil para fontes de avatar vazias: se a imagem do perfil do Active Directory estiver em branco, essa opção garantirá que as imagens do perfil do usuário sejam removidas da nuvem, mesmo que o usuário tenha carregado anteriormente a própria imagem no Webex.
  • Carregue novamente da fonte sincronizada para substituir imagens em cache: O Conector de diretórios usa o mesmo Active Directory anterior para atualizar as imagens de perfil de todos os usuários. Isso garante que não haja incompatibilidade entre as imagens de perfil no Active Directory e a nuvem.
4

Clique em Aplicar.

Desinstalar e desativar o Conector de diretórios

Depois de desinstalar uma ocorrência do Directory Connector, você deve cancelar o registro dela. Remova completamente um Conector de diretórios para qualquer um desses cenários:

  • Você não deseja mais usar a sincronização de diretórios.

  • Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).

  • Você deseja alterar o domínio e instalar outro conector.

Antes de começar

  • Você pode ter várias ocorrências do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Directory Connector.

  • Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.

1

Na sua máquina Windows, vá para o Painel de controle e clique em Programas e recursos.

2

Na lista de programas, clique em Conector de diretórios, escolha Desinstalar e siga as instruções.

Você pode ter que reiniciar o sistema para concluir a desinstalação.

3

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretórios, clique em mais Botão de Mais opções e, em seguida, clique em Desativar ao lado da ocorrência do conector de diretório que você deseja desinstalar.

4

Depois de ler o aviso, clique em Desativar.

A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuário não serão mais sincronizadas.

Executar a ferramenta de diagnóstico

Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas da implantação do Conector de diretórios. Essa ferramenta é instalada como parte do conector de diretórios 3.4 em diante.

Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar algum erro, você poderá enviar os resultados de registro detalhados para suporte.

  • Para executar testes para serviços de domínio do Active Directory:

    1. Vá para o menu Iniciar, localize o Cisco Directory Connector, clique em Cisco Directory - Diagnóstico. Clique na guia do AD-DS , insira seu Domínio e clique em Carregar controladores de domínio.

    2. Escolha um controlador de domínio na lista.

      Não altere a entrada mais tarde, pois a pesquisa incremental deve sempre ser executada no mesmo controlador de domínio.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e clicar em Testar para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como objetos de Usuários e Grupo e filtros de pesquisa.

    5. Marque Preencher cookie automaticamente para gerar automaticamente um cookie para uma pesquisa.

    6. Clique em Consulta para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode levar alguns segundos.

    7. Quando o teste estiver concluído, clique em Salvar para salvar uma entrada de registro, que você pode enviar à equipe de suporte para análise ao abrir um ticket.

    Executar testes para serviços do Active Directory Lightweight Directory

  • Para executar testes para serviços do Active Directory Lightweight Directory:

    1. Vá para o menu Iniciar, localize o Cisco Directory Connector, clique em Cisco Directory - Diagnóstico. Clique na guia do AD-LDS , insira seu Organizador e Porta e, em seguida, clique em Carregar partições.

    2. Escolha uma Partição na lista e clique em Conectar.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e clicar em Testar para verificar esse valor.

    4. Configure mais filtros na seção de Consultas do Active Directory , como Usuário, UserProxy e UserProxyFull e filtros de pesquisa.

    5. Marque Preencher cookie automaticamente para gerar automaticamente um cookie para uma pesquisa.

    6. Clique em Consulta para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode levar alguns segundos.

    7. Quando o teste estiver concluído, clique em Salvar para salvar uma entrada de registro, que você pode enviar à equipe de suporte para análise ao abrir um ticket.

    executar testes para serviços do Active Directory Lightweight Directory

  • Para executar testes para o protocolo LDAP (Lightweight Directory Access Protocol):

    1. Vá para o menu Iniciar, localize o Cisco Directory Connector, clique em Cisco Directory - Diagnóstico. Clique na guia LDAP RAW , insira seu Caminho raiz, Filtro e escolha uma entrada de Atributos e clique em Carregar partições.

    2. Marque as seguintes opções, conforme necessário:

      • ObjectSecurity—Se esta opção estiver presente, o chamador não exigirá direitos e poderá ver apenas objetos e atributos acessíveis ao chamador. Se essa opção não estiver presente, o autor da chamada terá direito de replicar as alterações.

      • Pais em primeiro lugar—Garante que todos os pais das crianças vêm antes dos filhos.

    3. Escolha um valor para ExtendedDN.

      Esse valor é usado com uma pesquisa LDAP estendida para solicitar uma forma estendida de Nome distinto do objeto.

    4. Escolha um valor para ReferralChasing.

      Uma perseguição de referência é iniciada quando um controlador de domínio retorna uma referência de uma consulta - por exemplo, para detalhes de um resultado de consulta que pode estar fora do espaço de nomes (como membros do grupo em outro domínio ou floresta).

    5. Clique em Consulta para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode levar alguns segundos.

    6. Quando o teste estiver concluído, clique em Salvar para salvar uma entrada de registro, que você pode enviar à equipe de suporte para análise ao abrir um ticket.

Solução de problemas no Conector de diretórios Ciso

Solução de problemas e correções do Conector de diretórios

Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, depois que o Conector de diretórios sincroniza as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para ver problemas que podem surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.

Instalar

O Conector de diretórios parou de funcionar

Você recebeu e-mails de alerta notificando que seu Conector de diretórios não está funcionando.

  • O Conector de diretórios pode não estar instalado corretamente.

  • O Conector de diretórios pode não estar em execução.

  • A rede pode não estar disponível.

Tente o seguinte:

  • Abra o Painel de controle > Programas e recursos. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a.

  • Abra o Serviço e localize o serviço Cisco DirSync. Certifique-se de que exibe o status como Iniciado. Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.

  • Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.

Erro de reinstalação

Problema—Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.

Causa possível—No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.

Solução—Depois de algum tempo, tente a instalação novamente.

Iniciar sessão

O conector de diretórios falha durante o início de sessão por SSO

Problema

O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão do SSO.

Solução

Tente o seguinte:

Execute estas etapas para configurar uma nova política de grupo:

  1. Vá para o controlador do domínio e abra o Gerenciamento de políticas de grupo (gpedit.msc).

  2. Clique com o botão direito do mouse em um OU ou domínio específico, selecione Criar um GPO neste domínio e Vinculá-lo aqui

  3. Dê um nome à política, clique com o botão direito do mouse e escolha Editar.

Execute estas etapas para alterar a política no nível da máquina:

  1. Vá para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito do mouse em Registro, escolha Novo e, em seguida, Item do registro.

  2. Para Caminho da chave, insira ou navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.

  3. Insira Desativar depurador de script para Valor e insira nenhum para Dados de valor.

    As configurações devem corresponder a esta captura de tela:

    O conector de diretórios falha durante o início de sessão por SSO

Execute estas etapas para alterar a política no nível do usuário:

  1. Vá para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito do mouse em Registro, escolha Novo e, em seguida, Item do registro.

  2. Para Caminho da chave, insira ou navegue até HKEY_ATUAL_USER\SOFTWARE\Microsoft\Internet Explorer\Main.

  3. Insira Desativar depurador de script para Valor e insira nenhum para Dados de valor.

    As configurações devem corresponder a esta captura de tela:

    O conector de diretórios falha durante o início de sessão por SSO

As alterações entram em vigor depois que você executa gpupdate /force, a máquina reiniciada (para alterações da máquina) ou o usuário inicia sessão novamente (para alterações do usuário).

Não foi possível registrar o conector do serviço Cisco DirSync

Problema

O início de sessão falha e esta mensagem é exibida: "O conector do serviço Cisco DirSync não pôde ser registrado".

Solução

O sistema Windows no qual o Conector de diretórios está instalado deve ser um membro do Active Directory.

Nenhuma página de início de sessão é exibida

Problema

Você abriu o Conector de diretórios e a página de início de sessão não foi exibida.

Solução de problemas: Nenhuma página de início de sessão é exibida

Solução

Tente as seguintes etapas:

  1. No Internet Explorer, vá para https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.

  2. Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Habilitar o TLS no Internet Explorer .)

O aviso de início de sessão é exibido

Problema

Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.

Causas possíveis

O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo será exibida para pedir o nome de usuário e a senha de autenticação.

Solução

Ao ver a janela pop-up de início de sessão, você precisa fornecer uma conta válida com autenticação correta para passar a segurança.

Não foi possível conectar-se ao servidor remoto

Problema

Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".

Causas possíveis

Você pode ter problemas de proxy que precisam ser resolvidos.

Solução

Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.

Não foi possível registrar o conector

Problema

Você vê a mensagem de erro "Não foi possível registrar o conector. Uma exceção geral ocorreu."

Causas possíveis

Na maioria dos casos, o problema é porque o conector de diretórios não tem privilégio para se conectar ao contexto raiz LDAP.

Solução

Tente o seguinte:

  1. Execute um prompt de comando (cmd) e insira ldp.exe.

  2. Clique em Conexão > Vincular, escolha Vincular como atualmente conectado no usuário e clique em OK.

  3. Clique em Exibir > Árvore, insira DC=arbonneintl,DC=ad como BaseDN e clique em OK.

  4. Se o problema persistir, abra um caso com o suporte.

Sincronização

Avatares não sincronizados

Problema

O conector de diretórios da Cisco sincronizou os dados do AD do usuário com a nuvem Webex. Mas nenhum dado de avatar foi sincronizado com êxito.

Causas possíveis

Se você reutilizou um servidor avatar existente e os avatares do usuário já estiverem sincronizados, o cache local os capturará e evitará o reenvio para economizar largura de banda.

Solução

Exclua o cache local seguindo estas etapas:

  1. Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\

  2. Exclua DirSyncPluginAvatar.dll-cache.bin.

  3. Execute novamente a sincronização do avatar do conector de diretórios da Cisco.

Contas de e-mail de usuários conflitantes

Problema

Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.

  • Se os usuários experimentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização gratuita do consumidor.

  • Se os e-mails dos usuários já tiverem sido sincronizados em outra organização.

  • Se os e-mails do usuário existirem em vários domínios que pertencem à organização.

Solução

Tente o seguinte:

  • Siga estas etapas se estiver tentando reivindicar usuários:

    1. Certifique-se de verificar o domínio no Control Hub.

    2. Desative temporariamente o Conector de diretórios da Cisco.

    3. Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidores gratuita. Consulte Reivindicar usuários em sua organização (Converter usuários) para obter mais informações.

    4. Faça uma simulação no Cisco Directory Connector e reative a sincronização de diretórios

  • Para o último caso, verifique duas vezes os dados do usuário nas fontes do Active Directory.

Usuário convertido marcado como inativo

Problema

No seu ambiente sincronizado por diretório, você converteu um usuário gratuito (organização do consumidor) em sua organização empresarial, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.

Causas possíveis

Quando o usuário gratuito é convertido na organização empresarial, ele é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e será marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.

Solução

Você deve tomar medidas caso não queira que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no seu Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização do Cisco Directory Connector. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.

Falha na sincronização incremental

Problema

Uma sincronização incremental falha.

Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:

  • Você suporta atualizações de valores incrementais.

  • O filtro que você usa faz referência a um atributo de valor vinculado.

  • Os valores de resultados desse atributo foram atualizados desde a última vez que uma sincronização completa foi executada.

Solução

O Windows Server 2008 R2 tem um erro relacionado a esse problema. O erro foi corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para, pelo menos, 2012 R2.

Valor inválido para atributo

Problema

Para [usuário dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].

Causas possíveis

Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.

Solução

Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.

Usuários correspondentes a serem excluídos

Problema

Os usuários correspondentes estão marcados para serem excluídos.

Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você poderá ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.

Solução

Escolha uma correção apropriada:

  • Se estiver tudo bem para excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.

  • Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte.

Atributo ausente

Problema

O atributo obrigatório [attribute_name] ao adicionar entrada no local [dn de usuário (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.

Causas possíveis

O endereço de e-mail do atributo obrigatório está faltando. Ao adicionar a entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.

Solução

Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.

O grupo aninhado não sincronizará

Problema

Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.

Causas possíveis

É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)

Solução

Você deve reconfigurar o filtro que sincroniza grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGrupo,CN=Usuários,DC=rktest2008,DC=org)

Conflito de nomes de usuários

Problema

Há um conflito de nomes para [usuário dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].

Causas possíveis

Um usuário com esse endereço de e-mail já existe no Control Hub.

Solução

Crie um usuário no seu Active Directory com o mesmo endereço de e-mail da conta que você se registrou através do Control Hub.

Hub de controle

Lista de usuários ausente no Control Hub

Problema

Se você tiver uma organização Webex com mais de 1.000 usuários sincronizados, talvez não veja a lista de usuários no Control Hub.

Solução

Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Usuários, clique em Procurar Botão Procurar e insira critérios de pesquisa para localizar um usuário específico.

Os grupos não serão sincronizados com o Control Hub

Problema

Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.

Causas possíveis

O grupo não está marcado como isCriticalSystemObject no Active Directory.

Solução

Certifique-se de que o atributo isCriticalSystemObject esteja definido como VERDADEIRO no Active Directory.

Ativar a solução de problemas do Conector de diretórios

Você pode habilitar a solução de problemas para ajudar a diagnosticar quaisquer erros encontrados no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.

Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

Execute o arquivo services.msc para alterar a conta em execução do serviço Conector de diretório do sistema local para uma conta de domínio que tenha privilégios para acessar seu AD DS ou AD LDS.

2

Reinicie o serviço.

Consulte Como iniciar serviços para obter orientação.

3

No Conector de diretórios, clique em Painel.

4

Vá para Ações e clique em Utilitários > Solução de problemas.

5

Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que possam ser examinados.

6

Examine os ficheiros de registo: se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS.

A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com o envio do registro de eventos para o sistema.

7

Se necessário, envie o arquivo de registro ao suporte para obter assistência.

8

Desative o recurso de solução de problemas quando terminar.

Iniciar o Visualizador de eventos

Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.

1

No Conector de diretórios, vá para Painel e clique em Ação > Iniciar visualizador de eventos.

A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro.

2

No Visualizador de eventos, vá para Registros de aplicativos e serviços > Conector de diretórios da Cisco.

Visualizador de eventos para ver os eventos que ocorreram durante uma sincronização completa ou incremental

3

Em Ações, clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo de Eventos (*.evtx) ou outro formato, como xml ou csv.

O que fazer em seguida

Se você precisar abrir um caso, entre em contato com o suporte, descreva o problema com o conector e anexe o arquivo de Eventos ao seu caso.

Os registros de eventos capturam as ações do usuário. Para obter ajuda com o gerenciamento do tráfego de rede, ative a solução de problemas no conector.

Ativar o TLS no Internet Explorer

Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:

  • Ocorreu um erro ao fazer logon no serviço

  • Ocorreu um erro no script nesta página

Se você vir esses erros, você deve habilitar uma configuração de TLS em seu navegador.

1

Abra o Internet Explorer e escolha Ferramentas. Agora marque as caixas para a versão TLS/SSL que você deseja habilitar Clique em OK Feche o navegador e abra-o novamente

2

Clique em Opções da Internet , vá para Avançado e role até Segurança.

3

Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK.

Ativar o TLS no Internet Explorer

4

Reinicie seu sistema para que as alterações tenham efeito.

Solucionar problemas de início de sessão da conta de serviço

Se você não conseguir iniciar sessão no Cisco Directory Connector ou não conseguir executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.

1

Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL no seu navegador da web.

2

Escolha um, dependendo dos resultados:

  • Se você não conseguir visitar o link do navegador, verifique as configurações de rede. Se seu ambiente usar proxy, verifique as configurações de proxy.
  • Se você puder visitar o link do seu navegador, mas não conseguir abrir o conector de diretórios da Cisco (Não é possível abrir o conector e abrir a mensagem de erro com 407), clique aqui para obter a versão mais recente do conector de diretórios da Cisco.
  • Se você puder visitar o link do navegador, mas não conseguir executar uma sincronização do conector de diretórios da Cisco, altere a conta de logon de serviço para administrador de domínio.

    Verifique se a conta que você usou para iniciar sessão no sistema Windows é a mesma conta que você definiu no "Serviço Cisco DirSync". Se forem 2 contas diferentes, certifique-se de que ambas as contas possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Se o seu ambiente usa proxy, certifique-se de que ambas as contas estejam configuradas para proxy no Internet Explorer e que possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL com êxito.

3

No mínimo, certifique-se de que a conta configurada para o serviço Cisco DirSync (que pode ser encontrada nos serviços Windows) tenha um nível de privilégio que lhe permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais da conta de logon do Windows e a autenticação.

Verificar o SafeDllSearchMode no registro do Windows

O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter.

2

Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager.

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado—Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado—Certifique-se de que o valor esteja definido como 1.

Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.

Visão geral do Conector de diretórios da Cisco

Visão geral do conector de diretórios

O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Você baixa o software do conector do Control Hub e o instala em sua máquina local.

Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.

Veja todos os recursos, descrições e benefícios na tabela:

RecursoDescrição e benefício
Painel fácil de usar O painel fornece uma agenda de sincronização, um resumo e o status da sincronização, bem como o status do Conector de diretórios. Você pode visualizar o painel a qualquer momento que iniciar sessão.
Faça uma simulação antes de sincronizar com a nuvem Faça uma simulação das alterações no diretório antes de elas serem implementadas na nuvem. Em seguida, execute um relatório para ver que as alterações que você deseja fazer são o que você espera.
Sincronização completa e incremental Sincronize o diretório inteiro. Ou apenas sincronize as alterações incrementais para economizar no poder de processamento e encurtar o tempo de sincronização.

Sincronize vários domínios (uma única floresta ou várias florestas)

O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade do AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado de sincronização de vários Conector de diretórios, permite que você desative a sincronização de um domínio específico e desative um Conector de diretórios em uma implantação de alta disponibilidade.

Sincronização agendada Defina uma agenda de sincronização por dia, hora e minuto.
Filtros do Protocolo LDAP (Lightweight Directory Access Protocol) Defina critérios de pesquisa LDAP e forneça importações eficientes.
Mapeamento de atributos do Active Directory Mapeie os atributos do Microsoft Active Directory com os atributos correspondentes da nuvem Webex. Você pode mapear atributos relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear na nuvem. Os atributos dos locais formam vários dados na nuvem, como informações da conta do usuário, números de telefone da empresa no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante).

Diretório corporativo para recursos de salas locais e usuários do Cisco Webex Calling (PSTN em nuvem) e contatos corporativos sem licenças Webex

Se parte da sua organização usar o Cisco Webex Calling em nuvem PSTN para serviço de chamadas ou se você tiver dispositivos de sala locais, esse recurso permitirá que os usuários pesquisem no diretório de contatos corporativos dos telefones Cisco Webex Calling (PSTN em nuvem) ou dos recursos de sala.

Recursos da sala
Após sincronizar as informações da sala, os dispositivos de sala do local com um endereço SIP configurado e mapeado, aparece como entrada pesquisável em dispositivos de sala registrados em nuvem, como um dispositivo de Cisco Webex Room ou Cisco Webex Board.

Quando os usuários fizerem uma pesquisa em um dispositivo Cisco Webex Room ou Cisco Webex Board, você verá as entradas de salas sincronizadas que são configuradas com endereços SIP. Quando eles fazem uma chamada do dispositivo Webex nessa entrada, uma chamada será feita para o endereço SIP que foi configurado para a sala.

Chamadas
Os usuários podem fazer chamadas para contatos corporativos, além dos contatos do aplicativo Webex. Por meio do Conector de diretórios, os usuários corporativos e seus números de telefone são adicionados à sua organização Webex. Eles não precisam estar licenciados para os serviços Webex para que esse recurso funcione.

Os usuários que não estiverem licenciados para o Webex aparecerão na pesquisa de diretório executada a partir do telefone de um usuário Cisco Webex Calling, contanto que haja um URI ou um número de telefone sincronizado com o Webex por meio do Conector de diretórios. A funcionalidade de chamadas se comporta da mesma maneira para ambos os tipos de usuários. Esse recurso também fornece a funcionalidade de edição de discagem para contatos apenas com números de telefone.

No resultado da pesquisa de contatos:

  • Se os contatos tiverem um URI discável (endereço SIP Webex) e um número de telefone, o URI associado ao contato será exibido.

  • Se os contatos não tiverem um URI discável, mas um número de telefone, o número de telefone será exibido. Eles também têm uma tecla de função Editar discagem.

  • Se os contatos não tiverem nenhum, eles não serão exibidos no diretório.

Visualizador de eventos Use o visualizador de eventos para determinar se houve algum problema com a sincronização.
Ferramenta de diagnóstico e solução de problemas Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar os erros antes de entrar em contato com o suporte.

Depois de habilitar a solução de problemas no Conector de diretórios, os registros são gravados e podem ser enviados ao suporte técnico.

Atualização automática Depois de instalar o Conector de diretórios, você receberá uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada.
Alta disponibilidade Configure vários conectores para que haja um backup, caso o conector principal ou a máquina que o hospeda desligue.

O Conector de diretórios é dividido em três áreas:

  • O Control Hub é a única interface que permite gerenciar todos os aspectos da sua organização Webex: visualize os usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.

  • Interface de gerenciamento do conector de diretórios é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.

  • O Serviço de sincronização de diretórios consulta seu Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.

Consulte este diagrama para entender a arquitetura do Conector de diretórios:

Arquitetura do Conector de diretórios
Arquitetura do Conector de diretórios

Preparar seu ambiente para o Conector de diretórios

Requisitos do Conector de diretórios

Requisitos do Windows e do Active Directory

Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Para resolver um problema de cookie, recomendamos que você atualize seu controlador de domínio para uma versão que contém a correção — Windows Server 2012 R2 ou 2016.

O Conector de diretórios é compatível com os seguintes serviços do Active Directory:

  • Active Directory 2016

    (O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)

  • Active Directory 2012

  • Active Directory 2008 R2

  • Active Directory 2008

Observe os seguintes requisitos adicionais:

Requisitos de hardware

Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:

  • 8 GB de RAM

  • 50 GB de armazenamento

  • Nenhum mínimo para a CPU

Requisitos de rede

Se a sua rede estiver atrás de um firewall, certifique-se de que o sistema tenha acesso HTTPS (porta 443) à Internet.

Requisitos da organização Webex

  • Para acessar o software Directory Connector do Control Hub, você precisa de uma organização Webex com um teste ou qualquer assinatura paga.

  • (Opcional) Se desejar que as novas contas de usuário do aplicativo Webex estejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:

Para obter mais informações, consulte Status e ações do usuário no Control Hub.

Requisitos de instalação

  • Para um ambiente de vários domínios (uma única floresta ou várias florestas), você deve instalar um conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de ter um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).

  • Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completo no Control Hub.

    Iniciar sessão no Conector de diretórios

    Esse usuário local deve ter privilégios nessa máquina com Windows para se conectar ao controlador de domínio e ler objetos do usuário do Active Directory. A conta de logon da máquina deve ser um administrador do computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)

    Iniciar sessão no Conector de diretórios

  • Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completo do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)

  • Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) do Windows esteja ativado usando este procedimento: Verifique o SafeDllSearchMode no registro do Windows.

  • Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.

Requisitos de vários domínios

Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco, tenha em mente os seguintes requisitos e recomendações se você estiver sincronizando informações do Active Directory de vários domínios para a nuvem:

  • Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.

  • O software do Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.

  • Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios.)

  • Se você quiser sincronizar mais de 50 domínios, deverá abrir um ticket para transferir sua organização para uma grande lista de organizações.

  • Se desejar, você pode sincronizar as informações de recursos da sala juntamente com as contas de usuário. (Consulte Sincronizar informações da sala no local com o Webex Cloud.)

Recomendações do grupo do Active Directory para atribuição automática de licenças

Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.

Existem dois tipos de grupos no Active Directory:

  • Grupos de distribuição—Usado para criar listas de distribuição por e-mail.​

  • Grupos de segurança—Usado para atribuir permissões a recursos compartilhados.

Tipos de grupo do Active Directory

Considere as seguintes diretrizes ao criar grupos no Active Directory:

  • Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex e assim por diante).​

  • Use as convenções de nomenclatura padrão em toda a organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes dos grupos podem incluir detalhes sobre o grupo, como o nível de acesso, tipo de recurso, nível de segurança, escopo do grupo, capacidade de correio e assim por diante. por exemplo, o nome do grupo "GSG_Webex_Licensing_EMEAR" refere-se a um Grupo de segurança global para usuários do Webex Licensing EMEAR.​

  • Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.

  • Antes de adicionar usuários a grupos recém-provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo automático de atribuição de licença para obter mais informações.

Informações de dimensionamento

O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior de quantos objetos do Active Directory podem ser sincronizados com a nuvem. Quaisquer limites em objetos de diretório locais estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.

Alguns fatores podem afetar a velocidade da sincronização:

  • O número total de objetos do Active Directory. (Um trabalho de sincronização de 5000 usuários não levará até 50000.)

  • Velocidade da rede e largura de banda.

  • Carga de trabalho e especificações do sistema.

Se você estiver sincronizando mais de 50.000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.

Como vários fatores estão envolvidos com a sincronização e como cada implantação varia dependendo dos fatores acima, não podemos fornecer valores de tempo específicos para quanto tempo levará uma sincronização de objeto.

Verificar o SafeDllSearchMode no registro do Windows

O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter.

2

Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager.

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado—Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado—Certifique-se de que o valor esteja definido como 1.

Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.

Integração de proxy da web

Integração de proxy da web

Se a autenticação de proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.

Se sua organização usar um proxy da web transparente, ele não suporta autenticação. O conector conecta e sincroniza os usuários com êxito.

Você pode adotar uma destas abordagens:

  • Proxy web explícito por meio do Internet Explorer (o conector herda as configurações de proxy web)

  • Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)

  • Proxy transparente que funciona com o conector sem nenhuma alteração

Usar um Proxy Da Web Através Do Navegador

Você pode configurar o Conector de diretórios para usar um proxy da web por meio do Internet Explorer.

Se o serviço Cisco DirSync for executado a partir de uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy web.

1

No Internet Explorer, vá para Opções da Internet, clique em Conexões e escolha Configurações de LAN.

2

Aponte a instância do Windows onde o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web.

3

Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

4

Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex.

Configurar o proxy da web por meio de um arquivo PAC

Você pode configurar um navegador de cliente para usar um arquivo .pac. Esse arquivo fornece o endereço do proxy web e as informações da porta. O Conector de diretórios herda diretamente a configuração do proxy web específica da empresa.

1

Para que o conector se conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy esteja desabilitada no cloudconnector.webex.com na configuração do arquivo .pac para o host onde o conector está instalado.

2

Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:

  • cloudconnector.webex.com para sincronização.
  • idbroker.webex.com para autenticação.
  • idbroker-static.webex.com para fornecer recursos estáticos, como fonte, componentes js, etc.

Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector.

Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente.

3

Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.godaddy.com
  • *.identrust.com
  • *.lencr.org

Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex.

Proxy NTLM

O conector de diretórios suporta o NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.

Projeto NTLM

Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.

Geralmente, o design técnico do NTLM é baseado em um mecanismo de Desafio e Resposta:

  1. Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha no cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor de hash da senha de entrada. Se ambos forem iguais, a autenticação passa.

    Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.

  2. Quando o servidor recebe a solicitação, ele gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes que o servidor envie de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.

  3. Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor hash mencionado na etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.

  4. Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio simples original.

  5. O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador de doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se forem iguais, a verificação será bem-sucedida.

O Windows tem autenticação de segurança integrada no sistema operacional, facilitando a autenticação de segurança por aplicativos. Como resultado, você não precisa concluir a configuração adicional.

Configurar o Proxy Transparente

Nesse cenário, o navegador não está ciente de que um proxy da web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.

1

Implante um proxy transparente para que o conector possa conectar e sincronizar os usuários.

2

Confirme se o proxy foi bem-sucedido — você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector.

Definir autenticação proxy

Adicione a URL cloudconnector.webex.com à sua lista de permissões criando uma Lista de controle de acesso.

No servidor de firewall corporativo:

1

Ative a pesquisa de DNS se ainda não estiver habilitada.

2

Determine uma largura de banda estimada para essa conexão (em aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário.

3

Crie uma Lista de controle de acesso para aplicar ao host do conector e especifique cloudconnector.webex.com como o destino a ser adicionado à lista de permissões.

Por exemplo:

lista de acesso 2000 acl-dentro de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https
4

Aplique esta ACL à interface de firewall apropriada, que é aplicável apenas a esse host de conector único.

5

Certifique-se de que o resto dos organizadores da sua empresa ainda seja obrigado a usar o proxy da web, configurando a declaração de negação implícita apropriada.

Implantar o Conector de diretórios

Fluxo de tarefa de implantação do conector de diretórios da Cisco

1

Instalar o Directory Connector

O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre vá para o Control Hub (https://admin.webex.com) para obter a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis.

2

Iniciar sessão no Conector De Diretórios

Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial.

3

Definir atualizações automáticas

É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

4

Escolha os objetos do Active Directory a serem sincronizados

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

5

Mapear atributos do usuário

Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid.

6

Sincronize os avatares do diretório usando um dos seguintes procedimentos:

Você pode sincronizar os avatares dos seus usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos.

7

Sincronizar informações da sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala locais com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem, como um dispositivo Webex Room ou Cisco Webex Board

8

Para Provisionar Usuários Do Active Directory No Control Hub, execute estas etapas:

Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex.Você pode provisionar usuários de uma implantação do Active Directory de várias florestas ou de vários domínios no Conector de diretórios 3.0 e posterior. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.

Instalar o Directory Connector

O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa.

Você deve instalar um conector para cada domínio do Active Directory que você deseja sincronizar. Uma única ocorrência do Conector de diretório só pode atender a um único domínio. Consulte o diagrama a seguir para entender o fluxo da sincronização de vários domínios:

Multiple Domain Flow for Directory Connector
Fluxo de vários domínios para o conector de diretórios

Antes de você começar

Se você se autenticar por meio de um servidor proxy, verifique se você tem suas credenciais de proxy:

  • Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de instalar uma ocorrência do conector. A configuração de proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um Proxy Web Através Do Navegador

  • Para proxy NTLM, você pode ver um erro ao abrir o conector pela primeira vez. Consulte Usar um Proxy Da Web Pelo Navegador.

1

No Control Hub, vá para Usuários > Gerenciar usuários > Ativar sincronização de diretórios e escolha Próximo.

2

Clique no link Baixar e instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu VMware ou servidor Windows.

Você pode obter o arquivo .zip diretamente deste link, mas deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione.

Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis.

3

No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração.

4

Clique em Próximo, marque a caixa para aceitar o contrato de licença e, em seguida, clique em Próximo até que você veja a tela do tipo de conta.

5

Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:

  • Sistema local—A opção padrão. Você pode usar esta opção se tiver um proxy configurado por meio do Internet Explorer.
  • Conta de domínio—Use esta opção se o computador for parte do domínio. O conector de diretórios deve interagir com os serviços de rede para acessar os recursos de domínio. Você pode inserir as informações da conta e clicar em OK. Ao inserir o Nome de usuário, use o formato {domain}\{user_name}

    Para um proxy que se integra ao AD (NTLMv2 ou Kerberos), você deve usar a opção conta de domínio. A conta usada para executar o Serviço de conector de diretórios deve ter privilégios suficientes para passar proxy e acessar o AD.

Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:

  • O servidor faz parte do domínio

  • A conta de domínio pode acessar os dados do AD no local e os dados de avatares. A conta também deve ter a função de administrador local, pois ela deve acessar arquivos de acesso em C:\Program Files.

  • Para um logon de máquina virtual, o privilégio da conta de administrador deve pelo menos ser capaz de ler informações de domínio.

6

Clique em Instalar. Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas do proxy, clique em OK e, em seguida, clique em Concluir.

O que fazer em seguida

Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.

Iniciar sessão no Conector De Diretórios

Antes de você começar

Verifique se você tem suas credenciais de proxy.

  • Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.

  • Para proxy NTLM, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções da Internet > Conexões > configurações da LAN, certifique-se de que as informações do servidor proxy sejam adicionadas e, em seguida, clique em OK. Consulte Usar um Proxy Da Web Pelo Navegador.

1

Abra o conector e adicione https://idbroker.webex.com à sua lista de sites confiáveis se você vir um aviso.

2

Se solicitado, inicie sessão com suas credenciais de autenticação de proxy, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Próximo.

3

Confirme sua organização e o domínio.

  • Se você escolher AD DS, marque LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão, escolha o domínio do qual deseja sincronizar e clique em Confirmar.

    Se você não verificar LDAP sobre SSL, o DirSync continuará a usar o protocolo de conexão LDAP.

    LDAP (Lightweight Directory Application Protocol) e LDAP seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o controlador de domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

  • Se você escolher AD LDS, insira o host, domínio e porta e clique em Atualizar para carregar todas as partições de aplicativos. Em seguida, selecione a partição na lista suspensa e clique em Confirmar. Consulte a seção do AD LDS para obter mais informações.

    No arquivo de configuração CloudConnectorCommon.dll, certifique-se de adicionar a configuração ADAuthLevel ao nó appSetting. Os valores podem ser 1, 2 ou 3. Consulte este artigo da Microsoft para saber mais sobre os AuthenticationTypes. Aqui está um exemplo da configuração com um valor de 1:

    <appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>
4

Depois que a tela Confirmar organização for exibida, clique em Confirmar.

Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida.

5

Clique em Confirmar.

6

Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:

  • Se você tiver um único domínio que seja o AD LDS, vincule-se à fonte do AD LDS existente e clique em Confirmar.
  • Se você tiver um único domínio que seja o AD DS, vincule-o ao domínio existente ou a um novo domínio. Se você escolher Vincular a um novo domínio, clique em Próximo.

    Como o tipo de origem existente é AD DS, não é possível selecionar AD LDS para a nova vinculação.

  • Se você tiver mais de um domínio, escolha um domínio existente na lista ou Vincular a um novo domínio e clique em Próximo.

    Como você tem mais de um domínio, o tipo de origem existente deve ser o AD DS. Se você escolher Vincular a um novo domínio e clicar em Próximo, não poderá selecionar o AD LDS para a nova vinculação.

O que fazer em seguida

Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.

Painel do conector de diretórios

Quando você inicia sessão no Conector de diretórios pela primeira vez, o painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar as estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver as informações de erro.

Se o tempo de sua sessão expirar, inicie sessão novamente.

Você pode executar facilmente essas tarefas na barra de ferramentas de ações ou no menu de ações.

Tabela 1. Componentes do painel

Componente

Descrição

Sincronização atual

Exibe as informações de status sobre a sincronização que está atualmente em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status fica ociosa.

Próxima sincronização

Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma agenda for definida, Não agendada será exibida.

Última sincronização

Exibe o status das duas últimas sincronizações executadas.

Status de sincronização atual

Exibe o status geral da sincronização.

Conectores

Exibe os atuais conectores locais que estão disponíveis para a nuvem.

Estatísticas da nuvem

Exibe o status geral da sincronização.

Agenda de sincronização

Exibe a agenda de sincronização para sincronização incremental e completa.

Resumo da configuração

Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
  • Todos os objetos serão sincronizados

  • Todos os usuários serão sincronizados

  • O limite excluído foi desativado.

Tabela 2. Barra de ferramentas de ações
AçãoDescrição
Iniciar sincronização incremental

Iniciar manualmente uma sincronização incremental

Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento.

Simulação de sincronização

Execute uma sincronização de simulação.

Iniciar o visualizador de eventos

Inicie o Visualizador de eventos da Microsoft.

Atualizar

Atualizar o painel do conector de diretórios da Cisco

Quadro 3. Menu de Acções

Ação

Descrição

Sincronizar agora

Inicie uma sincronização completa instantaneamente.

Modo de sincronização

Selecione o modo de sincronização incremental ou completo.

Redefinir senha do conector

Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, o salvará localmente.

Simulação

Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa.

Solução de problemas

Ative/desative a solução de problemas.

Atualizar

Atualize a tela principal do conector de diretórios da Cisco.

Sair

Saia do conector de diretórios da Cisco.

Quadro 4. Combinações de teclas

Combinação de teclas

Ação

Alt +A

Mostrar o menu de Ações

Alt+A+S

Sincronizar agora

Alt+A+R

Redefinir senha do conector

Alt+A+D

Simulação

Alt +A + S + I

Sincronização incremental

Alt +A + S + F

Sincronização completa

Alt + H

Mostrar menu de Ajuda

Alt + H + H

Ajuda

Alt + H + A

Sobre

Alt + H + F

Perguntas frequentes

Definir atualizações automáticas

1

No Conector de diretórios, vá para Configuração > Geral e, em seguida, marque Atualizar automaticamente para a nova versão do Cisco Directory Connector.

2

Clique em Aplicar para salvar suas alterações.

Novas versões do conector são instaladas automaticamente quando estão disponíveis.

Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.

Escolha os objetos do Active Directory a serem sincronizados

Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.

Grupos para atribuição automática de licenças

O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para grupos do Active Directory que você sincroniza com a nuvem. No ponto da criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença para esse novo usuário.

Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro para:

(&(cn=Exemplo)(objectclass=Grupo))*

Este filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.

Tela de seleção de objeto no Conector de diretórios

Grupos para implantações de segurança de dados híbridos

No Conector de diretórios, você deve marcar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. Essa configuração do Conector de diretórios não afeta a sincronização de outros usuários na nuvem.

1

No Conector de diretórios, vá para Configuração e clique em Seleção de objeto.

2

Na seção Tipo de objeto, marque Usuários e considere limitar o número de contêineres pesquisáveis para usuários.

Se você quiser sincronizar apenas os usuários em um determinado grupo, por exemplo, deverá inserir um filtro LDAP no campo Filtros LDAP de Usuários. Se você quiser sincronizar os usuários que estão no grupo Gerenciador de exemplo, use um filtro como este:

(&(sAMAccountName=*)(memberOf=cn=Exemplo-manager,ou=Exemplo,ou=Grupo de segurança,dc=EMPRESA))

3

Marque Identificar sala para separar os dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar dados do usuário como dados da sala.

Use esta configuração se desejar sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem. Para obter mais informações, consulte Sincronizar informações da sala no local com o Webex Cloud.

4

Marque Grupos se você quiser sincronizar seus grupos de usuários do Active Directory com a nuvem.

Não adicione um filtro LDAP de sincronização de usuários ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os próprios dados do grupo com a nuvem.

Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupos. Você também deve sincronizar grupos de segurança.

5

Marque Contatos se você quiser sincronizar as informações de contato dos usuários com a nuvem.

O Conector de diretórios gerencia apenas os Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não os excluirá. Se os contatos forem removidos do escopo da sincronização, as informações de contato dos usuários também serão removidas do Control Hub.

6

Configure os filtros LDAP. Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP.

7

Especifique os DNs da base local a serem sincronizados clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar.

8

Verifique os objetos que você deseja adicionar nesta configuração e clique em Selecionar.

Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para ativar todos os recipientes filhos. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que um filho foi verificado. Você pode então clicar em Selecionar para aceitar os contêineres do Active Directory que você marcou.

Se sua organização colocar todos os usuários e grupos no contentor Usuários, você não precisará pesquisar outros contentores. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs.

9

Clique em Aplicar.

Escolha uma opção:

  • Aplicar alterações de configuração

  • Simulação

  • Cancelar

Para obter informações sobre simulações, consulte Fazer uma sincronização de simulação nos seus usuários do Active Directory.

Para a sincronização de grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa de usuários do Active Directory na nuvem.

Mapear atributos do usuário

Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.

Você pode escolher qual atributo do Active Directory mapear para a nuvem - por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.

As contas no Active Directory devem ter um endereço de e-mail; o uid é mapeado por padrão para o campo ad de correio (não sAMAccountName).

Se você optar por ter o idioma preferido vindo do seu Active Directory, então o Active Directory é a única fonte de verdade: os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário.

Esta página mostra os nomes dos atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos obrigatórios são marcados com um asterisco vermelho.

2

Role para a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo uid da nuvem:

  • correio—Usado pela maioria das implantações para formato de e-mail.
  • userPrincipalName—Uma escolha alternativa se o atributo de correio for usado para outros fins no Active Directory. Esse atributo deve estar em formato de e-mail.

Você pode mapear qualquer um dos outros atributos do Active Directory para o uid, mas recomendamos que você use mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeando atributos do Active Directory no Conector de diretórios.

Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados.

3

Se os atributos predefinidos do Active Directory não funcionarem para sua implantação, clique no menu suspenso de atributos, role para a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo.

Clique em Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações.

Neste exemplo, vamos mapear os atributos do Active Directory givenName e Sn para o atributo displayName da nuvem:

  1. Defina a expressão do atributo como givenName + "" + Sn (as aspas sendo um espaço extra) e, em seguida, forneça um e-mail de usuário existente para verificação.

  2. Clique em Verificar e veja se o resultado corresponde ao que você estava esperando.

    Um resultado bem-sucedido se parece com este:

    Mapeie atributos do seu Active Directory local

  3. Se os resultados forem o que você esperava, clique em OK para salvar o novo atributo personalizado.

    Mais tarde, se você quiser alterar o displayName, poderá inserir uma nova expressão de atributo

O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro de usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem:

A mensagem de informações no Active Directory para os usuários têm um formato de e-mail válido

Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário:

Mensagem de aviso se o atributo não puder ser verificado

4

(Opcional) Escolha mapeamentos para celular e telephoneNumber se desejar que os números de celular e comercial apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex.

Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário.

Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação de chamadas no Webex (Unified CM) (administradores).

5

Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:

  • número do departamento
  • displayName
  • manager
  • cargo

Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário:

Visualizar as informações de contato de alguém

Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato.

Depois que esses atributos forem sincronizados com cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais uns sobre os outros. Para obter mais informações sobre o recurso e como ativá-lo, consulte os Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (novo) no Control Hub

6

Depois de fazer suas escolhas, clique em Aplicar.

Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deverá ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.

Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.

Atributos do Active Directory e da nuvem

Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia de Mapeamento de atributos do usuário.

Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos do Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher diferentes atributos nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.

Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo de nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição de seus usuários - por exemplo, você pode adicionar uma expressão que crie um atributo personalizado com base no título do funcionário, nome e sobrenome no Active Directory.

Você também pode especificar qualquer um dos atributos do Active Directory a serem mapeados como uid na nuvem. No entanto, você deve certificar-se de que o atributo local siga um formato de e-mail válido.

Você também pode usar endereços de e-mail alternativos, se, por exemplo, desejar usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário for usado para gerenciar o calendário dele. Nesse caso, mapeie outro endereço de e-mail para o atributo e-mails;type-work. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário.

Nomes de atributos do Active Directory

Nomes de atributos da nuvem Webex

Notas

edifícioName

c

c

Esse atributo especifica a abreviatura do país do usuário.

número do departamento

número do departamento

Esse atributo é usado para o número do departamento do usuário que aparece no cartão de contato e no People Insights.

displayName

displayName

Esse atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no People Insights.

controle conta usuário

ds-pwp-account-desabilitado

Este atributo é usado para sincronização do usuário. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente.

número do funcionário

número do funcionário

ileileTelephoneNumber

ileileTelephoneNumber

jabberID

Esse atributo de nuvem se refere a endereços de IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses.

l

l

Esse atributo especifica a cidade do usuário.

localidade

manager

manager

Esse atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e no People Insights.

móvel

móvel

Esse atributo é usado como o número de celular que aparece para chamar o usuário do cartão de contato.

o

o

Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato.

ou

ou

Esse atributo especifica o nome da unidade organizacional.

physicalDeliveryOfficeName

physicalDeliveryOfficeName

Esse atributo especifica o local do escritório do usuário.

Postalcode

Postalcode

Esse atributo especifica o código postal ou o CEP do usuário para entrega física de correio.

idioma preferido

idioma preferido

Esse atributo define o idioma preferido do usuário e os seguintes formatos são compatíveis: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA.

Se você usar um idioma não compatível ou um formato inválido, o idioma preferido dos usuários será alterado para o idioma definido na organização.

MSRTCSIP-PrimaryUserAddress

telefone ip

SipAddresses;type=empresa

Esse atributo é usado para sincronizar informações da sala no local do Active Directory para a nuvem Cisco Webex.

sn

sn

Esse atributo é usado para o sobrenome da conta de usuário que aparece no Control Hub, no cartão de contato e no People Insights.

são

são

Esse atributo especifica o estado ou província do usuário.

Streetaddress

rua

Esse atributo especifica o endereço do usuário para entrega física de correio.

Telephonenumber

Telephonenumber

Esse atributo especifica o número de telefone principal (comercial) do usuário que é usado para ligar para o usuário do cartão de contato.

fuso horário

Este atributo de nuvem especifica o fuso horário do usuário.

cargo

cargo

Esse atributo especifica o título do usuário que aparece no cartão de contato e no People Insights.

tipo

empresa

*correio

*userPrincipalName

UID

Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory mapeia para um uid exclusivo na nuvem.

Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento de atributos SAML correto esteja ativado.

Consulte o mapeamento de atributos de exemplo abaixo para saber como você pode mapear um endereço de e-mail alternativo.

*userPrincipalName

*correio

<atributo personalizado>

e-mails;digitar-trabalho

Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário.

<Novo atributo do usuário objectId do Azure>

ID externa

Crie um novo atributo do Active Directory para manter o objectId do usuário do Azure, para que ele não entre em conflito com um existente.

Em seguida, esse atributo mapeia para o atributo externalId, garantindo que quando os usuários Webex criarem grupos no Microsoft 365 criem automaticamente equipes no Webex.

Mapeamento alternativo de endereços de e-mail
Alternative email address mapping

Expressões para atributos personalizados

Quadro 5. Expressões para atributos personalizados

Operador

Descrição e exemplo

%

Remove todos os caracteres do início da string até a posição do caractere ou argumento da string, se corresponder.

Expressão de exemplo
"abc@exemplo.com" % "@"
Resultado
example.com

-

Risca a parte de trás da string de entrada do final da string especificada.

Expressão de exemplo
"abc@exemplo.com" - "@"
Resultado
abc

+

Concatena strings ou expressões de entrada.

Expressão de exemplo
"abc" + "" + "def"
Resultado
abc def

|

Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.

Expressão de exemplo
"" | "abc"
Resultado
abc

Sincronizar avatares de diretórios de um atributo do Active Directory para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar brutos de um atributo do Active Directory.

1

No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar.

2

Para Obter o avatar, escolha o atributo AD e, em seguida, escolha o atributo Avatar que contém os dados do avatar brutos que você deseja sincronizar com a nuvem.

3

Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário.

O avatar aparece à direita.

4

Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações.

  • As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.

  • Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.

Sincronizar avatares de diretório de um servidor de recursos para a nuvem

Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.

Antes de você começar

  • O padrão de URI e o valor da variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.

  • O padrão URI do avatar e o servidor onde os avatares residem devem ser acessíveis no aplicativo Conector de diretórios. O conector precisa ter acesso http ou https às imagens, mas as imagens não precisam ser publicamente acessíveis na internet.

  • A sincronização de dados do avatar é separada dos perfis de usuário do Active Directory. Se você executar um proxy, deverá garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou autenticação básica.

1

No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar.

2

Para Obter o avatar de, escolha Servidor de recursos e, em seguida, insira o Padrão de URI do avatar—Por exemplo, http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}.jpg

Vamos ver cada parte do padrão de URI do avatar e o que eles significam:

  • http://www.example.com/dir/photo/zoom/—O caminho para onde todas as fotos que serão sincronizadas está localizado. Deve ser uma URL à qual o serviço do Conector de diretórios em seu servidor deve ser capaz de acessar.
  • mail:—Informa o Conector de diretório para obter o valor do atributo de correio do Active Directory
  • .*?(?=@.*)—Uma sintaxe regex que executa estas funções:
    • .*—Qualquer caractere, repetindo zero ou mais vezes.

    • ? — Indica que a variável anterior corresponda ao máximo de caracteres possível.

    • (?= ... ) — corresponde a um grupo após a expressão principal sem incluí-la no resultado. O Conector de diretórios procura uma correspondência e não a inclui na saída.

    • @.* — O símbolo de at, seguido por qualquer caractere, repetindo zero ou mais vezes.

  • .jpg—A extensão de arquivo para os avatares dos seus usuários. Consulte os tipos de arquivo compatíveis neste documento e altere a extensão de acordo.
3

(Opcional) Se o servidor de recursos exigir credenciais, marque Definir credencial do usuário para avatar, em seguida, escolha Usar usuário de logon de serviço atual ou Usar este usuário e insira a senha.

4

Insira o Valor da variável—Por exemplo: abcd@exemplo.com.

5

Clique em Testar para certificar-se de que o padrão de URI do avatar funciona corretamente.

Neste exemplo, se o valor do correio para uma entrada do AD for abcd@example.com e as imagens jpg estavam sendo sincronizadas, o URI final do avatar será http://www.example.com/dir/photo/zoom/abcd.jpg

6

Depois que as informações do URI forem verificadas e parecerem corretas, clique em Aplicar.

Para obter informações detalhadas sobre o uso de expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft.

  • As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.

  • Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.

O que fazer em seguida

Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.

Sincronizar informações da sala no local com o Webex Cloud

Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).

1

No Conector de diretórios, vá para Sincronizar, clique em mais More Options button ao lado de um domínio sincronizado, clique em Configuração e escolha Seleção de objeto.

2

Marque Sincronizar informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização.

Quando essa configuração estiver desativada, os dados da sala serão tratados da mesma maneira que os dados sincronizados pelo usuário.

3

Vá para Mapeamento de atributos e altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise.

Para usar a validação de valor, o valor do endereço SIP deve ser Pattern.compile("^([^@])(.*)@(.*)$")

  • Escolha MSRTCSIP-PrimaryUserAddress, se disponível.
  • Se você não tiver o atributo acima no esquema do Active Directory, use outro campo, como ipPhone.
4

Crie uma caixa de correio de Recurso de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector então usa para identificar as salas.

Crie uma caixa de correio de Recurso de sala no Exchange.

5

Em computadores e usuários do Active Directory, navegue até e edite as propriedades da sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip:

Adicionar o SIP URI totalmente qualificado com um prefixo de sip

6

Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector.

Os novos objetos de sala estão listados em Objetos adicionados e os objetos de sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão em Salas excluídas.

Lista de objetos de sala correspondentes no relatório de simulação

Os resultados da simulação mostram todos os recursos de sala que foram combinados.

Resultados da simulação do Conector de diretórios mostrando os objetos correspondentes

Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas da nuvem no painel do conector mostram os dados da sala que foram sincronizados com a nuvem.

Painel do conector de diretórios destacando a janela de estatísticas da nuvem. As estatísticas da nuvem incluem usuários, grupos, salas e contatos.

O que fazer em seguida

Agora que você fez essas etapas, ao fazer uma pesquisa em um dispositivo Webex registrado na nuvem, você verá as entradas de salas sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.

No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.

O terminal não pode retornar uma chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em algum outro lugar que não o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no dispositivo Webex Room, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.

Enviar relatórios de e-mail sobre os resultados da sincronização de diretórios

Por padrão, os contatos ou administradores da organização sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.

1

No Conector de diretórios, clique em Configuração e escolha Notificação.

2

No Conector de diretórios, clique em Configurações e, ao lado de Receptor de e-mail, ative Ativar sincronização de relatório.

3

Marque Ativar notificação se você quiser substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail.

4

Clique em Adicionar e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações.

5

Clique em Adicionar e-mail e insira um endereço de e-mail.

Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações.

6

Se você precisar editar qualquer endereço de e-mail inserido, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias.

7

Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar.

8

Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar.

O que fazer em seguida

Se você decidiu que deseja remover endereços de e-mail, poderá clicar em um e-mail para destacar essa entrada e, em seguida, clicar em Remover.

Se você decidiu que deseja remover endereços de e-mail, poderá clicar em Remover ao lado de entradas específicas de endereços de e-mail.

Provisionar usuários do Active Directory no Control Hub

Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuários correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.

1

Executar uma sincronização de simulação em seus usuários do Active Directory

Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

2

Faça uma sincronização completa de usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

3

Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub

Depois de concluir uma sincronização de usuário completa do Conector de diretórios no Control Hub, você poderá atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial.

Executar uma sincronização de simulação em seus usuários do Active Directory

Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.

Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.

Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer esta etapa em cada uma das instâncias do conector de diretório da Cisco que você instalou para cada domínio do Active Directory.

Antes de você começar

Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto local do Active Directory e receber licenças para serviços. Mas alguns podem ser usuários de teste que você deseja excluir enquanto faz uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.

1

Escolha uma das opções:

  • Após iniciar sessão pela primeira vez, clique em Sim no aviso para executar uma simulação.
  • Se você perder um lembrete para executar uma simulação, a qualquer momento no Conector de diretórios, clique em Painel, escolha Sincronizar simulação e clique em OK para iniciar uma sincronização de simulação.

Quando a simulação for concluída, você verá um dos seguintes resultados:

  • Objetos incompatíveis detectados no Conector de diretórios

    Objetos incompatíveis detectados no Conector de diretórios

  • Resumo dos resultados do relatório de simulação e objetos incompatíveis no Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

    Tela de resultados da simulação do Conector de diretórios

O Resumo contém informações sobre a correspondência do objeto:

  • Objetos correspondentes - Um usuário que está no Webex Common Identity e também existe no domínio do Active Directory, ou seja, se someuser@cisco.com foi sincronizado com o Webex e exibido no Control Hub e o mesmo usuário (someuser@cisco.com) existe no Active Directory. Isso significa que o usuário foi correspondido.

  • Objetos incompatíveis - Um usuário que está no Webex, não importa como o usuário foi adicionado na Identidade Comum, mas não existe no Active Directory. É chamado de objeto incompatível. Por exemplo, se someuser@cisco.com foi sincronizado no Webex e exibido no Control Hub, mas o mesmo usuário (someuser@cisco.com) não for gerenciado pelo Active Directory, o relatório mostrará que o usuário está incompatível.

A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo pode identificar os usuários se eles pertencem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou mantê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não existentes no Active Directory local.

2

Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:

  • Domínio único—Decida se deseja manter os usuários incompatíveis. Se desejar mantê-los, escolha Não, reter objetos; se não desejar, escolha Sim, excluir objetos. Depois de fazer essas etapas e executar manualmente uma sincronização completa para que haja uma correspondência exata entre o local e a nuvem, o Conector de diretórios ativa automaticamente tarefas de sincronização automática agendadas.
  • Vários domínios—Para uma organização com Domínio A e Domínio B, primeiro faça uma simulação do Domínio A. Se você quiser manter usuários incompatíveis, escolha Não, reter objetos. (Esses usuários incompatíveis podem ser membros do Domínio B.) Se você quiser excluir, escolha Sim, excluir objetos.

    Se você manter os usuários, execute uma sincronização completa para o Domínio A primeiro e, em seguida, execute uma simulação para o Domínio B. Se ainda houver usuários incompatíveis, adicione esses usuários no Active Directory e, em seguida, faça uma sincronização completa para o Domínio B. Quando houver uma correspondência exata entre o local e a nuvem, o Conector de diretórios ativará automaticamente tarefas de sincronização automática agendadas.

3

No prompt Confirmar simulação, clique em Sim para refazer a sincronização da simulação e visualizar o painel para ver os resultados.

Todas as contas que foram sincronizadas com êxito na simulação aparecem em Objetos correspondentes.

Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos. Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail.

Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes. Para salvar as informações do resumo, clique em Salvar resultados no arquivo.

4

Se os resultados forem esperados, vá para Ações > Modo de sincronização > Ativar sincronização e clique em Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto.

Depois de fazer uma sincronização no último domínio do Active Directory em sua implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você poderá ativar o modo automático somente quando os objetos forem completamente combinados entre a nuvem Webex e todos os Diretórios ativos locais.

O que fazer em seguida

Coisas a se manter em mente

Faça uma sincronização completa de usuários do Active Directory na nuvem

Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.

Se você tiver vários domínios, deverá fazer esta etapa em cada uma das instâncias do Conector de diretório que você instalou para cada domínio do Active Directory.

O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.

Antes de você começar

  • Se você quiser que as contas de usuário do aplicativo Webex estejam no status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve seguir estas etapas para ignorar a validação de e-mail:

  • Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar possíveis erros.

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

    Se você não usar modelos de atribuição automática de licenças, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles poderão usar os mesmos recursos gratuitos daqueles com contas gratuitas.

1

Escolha uma das opções:

  • Após o primeiro início de sessão, se a simulação estiver concluída e parecer correta para todos os domínios, clique em Ativar agora para permitir que a sincronização automática ocorra.
  • No Conector de diretórios, vá para o Painel, clique em Ações, escolha Modo de sincronização > Ativar sincronização e, em seguida, clique em Sincronizar agora > Completo para iniciar a sincronização.
2

No Conector de diretórios, vá para Sincronizar, clique em mais More Options button ao lado de um domínio sincronizado, clique em Configuração e escolha Sincronização completa.

3

Confirme o início da sincronização.

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações até 72 horas depois de executar a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, a hora em que ela começou e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções de Última sincronização e Estatísticas da nuvem são atualizadas com as novas informações. Os dados do usuário são sincronizados com a nuvem.

  • Se ocorrerem erros durante a sincronização, a esfera indicador de status ficará vermelha.

4

Clique em Atualizar se você quiser atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas da nuvem.)

5

Para obter informações sobre erros, selecione o Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros.

6

Para definir uma agenda de sincronização para sincronizações incrementais contínuas para a nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental.

  • Após a conclusão da sincronização completa, o status das atualizações da sincronização do diretório de Desativado para Operacional na página de Configurações no Control Hub.

  • Quando todos os dados são combinados entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.

  • A menos que você integre registro único, verifique domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e elimine e-mails automatizados, as contas de usuário do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de começar para obter orientação sobre como sincronizar as contas como usuários ativos.

  • Se você tiver vários domínios, faça esta etapa em qualquer outro conector de diretório que você tenha instalado. Após a sincronização, os usuários em todos os domínios que você adicionou serão listados no Control Hub.

  • Se você integrou o registro único com o Webex e notificações por e-mail suprimidas, os convites por e-mail não serão enviados aos usuários recém-sincronizados.

  • Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Uma vez ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.

  • Todos os grupos sincronizados aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários nesse grupo recebam licenças.

O que fazer em seguida

  • Quando você remove um usuário do Active Directory, ele é excluído de software após a próxima sincronização. O usuário fica Inativo, mas o perfil de identidade da nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).

    Quando você marca A conta está desabilitada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade da nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.

  • Observe estas exceções para uma sincronização incremental (em vez disso, siga os passos completos de sincronização acima):

    • No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.

    • As alterações de configuração no mapeamento de atributos, DN base, filtro e configuração de avatar requerem uma sincronização completa.

Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub

Depois de concluir uma sincronização completa de usuários do conector de diretórios da Cisco no Control Hub, você poderá usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma só vez ou adicionar licenças adicionais a novos usuários se já tiver configurado um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você poderá usar métodos no Control Hub para atribuir licenças de serviço Webex globalmente a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já tiver configurado um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.

Quando você atribuir uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Registro Único (SSO) com sua organização Webex, você também pode suprimir essas notificações automáticas por e-mail se preferir entrar em contato com seus usuários diretamente.

Antes de você começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Execute uma sincronização de simulação nos seus usuários do Active Directory.

  • Depois de confirmar os resultados da simulação, faça uma sincronização completa em seus usuários do Active Directory.

No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuários padrão no Control Hub, como importação de CSV, atualização manual de usuários ou através da conclusão automática da atribuição bem-sucedida.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Usuários, clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizados e clique em Próximo.

2

Escolha uma opção:

O que fazer em seguida

  • Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.

  • Se você selecionou os mesmos serviços Webex para todos os usuários, posteriormente você poderá alterar a licença atribuída individualmente ou em massa.

Problemas conhecidos com o Conector de diretórios

Gerenciar usuários do aplicativo Webex

Executar uma sincronização incremental

Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Esta etapa agrupa essas alterações e as envia para o serviço do conector. As alterações incluem a modificação de atribuição de usuários e quando um usuário é adicionado ou excluído.

Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização inicial completa, recomendamos a opção incremental para sincronizações subsequentes.

Antes de começar

  • Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.

  • Observe estas exceções para as quais a sincronização incremental não é compatível (em vez disso, siga Fazer uma sincronização completa de usuários do Active Directory na nuvem ):

    • No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.

    • Para novas alterações de configuração no mapeamento de atributos, no DN base, no filtro e na configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.

1

No Conector de diretórios, clique em Painel.

Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro.

2

Em Ações, clique em Modo de sincronização > Ativar sincronização se ainda não estiver habilitado.

Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental é acumulado, o programa verifica as alterações com base no último carimbo de data/hora.

3

Em Ações, clique em Sincronizar agora > Incremental.

Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações 72 horas a partir de quando você executa a sincronização.

Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.

  • Durante a sincronização, o painel mostra o progresso da sincronização; isso pode incluir o tipo de sincronização, a hora em que ela começou e a fase em que a sincronização está sendo executada no momento.

  • Após a sincronização, as seções de Última sincronização e Estatísticas da nuvem são atualizadas com as novas informações.

  • Se ocorrerem erros durante a sincronização, a esfera indicador de status ficará vermelha.

4

Para obter informações sobre erros, clique em Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros.

O que fazer em seguida

Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretório que você instalou.

Recuperar usuários excluídos acidentalmente

O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão forçada pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.

Por padrão, essa função está habilitada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um aviso de objetos incompatíveis ou notou que os usuários foram excluídos, você poderá recuperá-los se agir rapidamente.

Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas do Active Directory. O serviço de nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.

Os usuários que estão desabilitados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.

1

Inicie sessão no Control Hub.

2

Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não listada.

Para obter mais informações, consulte Status e ações do usuário no Control Hub.

3

Se os usuários foram excluídos no Control Hub ou você notou usuários em um estado Inativo, vá para o Active Directory, adicione as contas de usuário ausentes e, em seguida, execute uma sincronização de simulação no Conector de diretórios.

O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem.

4

Faça uma sincronização completa para ressincronizar as contas de usuário temporariamente excluídas no Control Hub.

Os usuários são recuperados e acessam o status original, incluindo o status da conta e as atribuições de serviço.

O que fazer em seguida

Retorne ao Control Hub, vá para Gerenciamento > Usuários e confirme se as contas de usuários excluídos anteriormente estão aparecendo na lista de usuários.

Excluir usuários permanentemente após a exclusão soft

Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos soft na próxima sincronização.

1

Após a conclusão de uma simulação, selecione Objetos soft-excluídos.

2

Marque a caixa de seleção ao lado dos usuários que deseja excluir.

3

Selecione Concluído.

O que fazer em seguida

Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.

Alterar um endereço de e-mail do aplicativo Webex

Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento cobre como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.

Se você quiser apenas alterar o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e, em seguida, recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário e os espaços do usuário e outros dados na nuvem serão perdidos.

  • Para alterar os endereços de e-mail dos usuários sem alterar o domínio:

    1. Abra a conta de usuário (exemplo, user1@example.com) no Active Directory e altere o endereço de e-mail (exemplo, user2@example.com).

    2. Retomar a sincronização no Directory Connector.

      Após a próxima sincronização, as alterações aparecem na sua lista de usuários no Control Hub e para os usuários no aplicativo Webex após a atualização do cache.

      Não há perda de dados ou espaços usando este método. O identificador exclusivo do usuário será definido na nuvem após a primeira sincronização. Todas as sincronizações subsequentes são baseadas neste identificador.

  • Em uma implantação de vários domínios com o Conector de diretórios, para alterar os endereços de e-mail do usuário ao alterar o domínio (considere example1.com o domínio antigo e example2.com o novo domínio):

    1. Para a conta de usuário antiga (user1@example1.com), observe o atributo do Active Directory que mapeia para o atributo uid cloud. Você precisa usar esse mesmo valor do Active Directory para a nova conta. Para este exemplo, usaremos user1@example1.com como o atributo local para mapear para uid na nuvem.

    2. Pause a sincronização no Conector de diretórios para domínios de exemplo1.com e exemplo2.com.

    3. Crie uma nova conta de usuário no example2.com e use o mesmo atributo acima. (Por exemplo, user1@example1.com).

    4. No Directory Connector, retome a sincronização por exemplo2.com

      Antes de continuar, verifique se a conta de usuário1@exemplo2.com é sincronizada no Control Hub. Recomendamos que você instrua o usuário a verificar a alteração do e-mail no aplicativo Webex e que todos os dados (espaços, mensagens, reuniões, arquivos e assim por diante) sejam retidos.

      Não há perda de dados ou espaços usando este método, mas na nova conta de usuário, você deve garantir que o atributo do Active Directory que mapeia para o atributo uid da nuvem seja preservado da conta de usuário antiga. Se você alterar o valor do Active Directory, a nova conta não retém os dados da conta antiga.

    5. Depois de verificar a alteração do endereço de e-mail e os dados estiverem intactos, exclua a conta de usuário antiga no example1.com e, em seguida, use o Conector de diretórios para retomar a sincronização do example1.com.

      Neste ponto, você pode atualizar com segurança o endereço de e-mail no novo domínio do Active Directory para user1@example2.com.

O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincroniza novamente para a nuvem, o estado do usuário depende se o novo domínio é verificado em sua organização. Se o domínio não for verificado em sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios.

Se sua organização não usa o Conector de diretórios, você pode alterar os endereços de e-mail do aplicativo Webex através da página de configurações da conta. Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.

Alterar o domínio do Active Directory

Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles se sincronizam com o serviço de identidade na nuvem.

1

Configure um novo domínio do Active Directory (AD).

2

Desative as sincronizações em todos os seus conectores.

3

Desinstale todos os seus conectores.

4

Abra um caso para alterar o domínio.

No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização na sua organização.

Antes de abrir um caso para alterar o domínio, certifique-se de que você não tenha uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido.

5

Depois que o caso for resolvido:

  1. Instale o Conector de diretórios no mesmo servidor que o com o novo domínio do Active Directory.

  2. Configure o conector de diretórios para que ele aponte para o novo domínio do Active Directory.

    Se houver usuários existentes no Control Hub (https://admin.webex.com), certifique-se de que os usuários com endereços de e-mail correspondentes também estejam presentes no Active Directory. Se sua organização desativou a alternância de softDelete no DirSync, os endereços de e-mail dos usuários que estão no Control Hub, mas não no Active Directory, correm o risco de exclusão.

Execute um teste executado com o Directory Connector antes de fazer a sincronização atual.

Reivindicação de domínio

Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail para uma organização de modo que qualquer conta lateral seja criada na organização do cliente pago e não na organização do consumidor gratuita. Você só pode fazer uma reivindicação de domínio por meio de um caso de suporte (consulte o link abaixo para obter mais informações).

Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas laterais não serão criadas na organização do cliente ou na organização do consumidor gratuito. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar sideboard uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o conector de diretórios para provisionar a conta no Control Hub.

Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório

Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram na versão gratuita do aplicativo Webex, sua conta existe na organização de consumidores gratuita. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre (converta)-os para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.

Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.

Se você tentar converter um usuário enquanto a sincronização de diretórios estiver ativada, a mensagem de erro não pôde ser convertida será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.

Alguns usuários reivindicados podem aparecer com o atributo movedfrom ao fazer uma simulação. Esses usuários estarão na lista de Objeto excluído em vez de MismatchedObject. Você precisará adicionar esses usuários à sua lista AD se desejar movê-los para sua organização.

Se você não adicionar esses usuários, eles serão excluídos no próximo que você sincronizar com a nuvem.

1

Desative a sincronização de diretórios do Conector de diretórios.

2

Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuita para a organização empresarial.

Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios faz do Active Directory a única fonte de verdade para as contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes.

3

No Directory Connector, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos.

Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferencia maiúsculas e minúsculas e exclui usuários convertidos que detecta com endereços de e-mail incompatíveis (por exemplo, user1@example.com e User1@example.com).

Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex.

4

Quando você tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretórios do Directory Connector.

As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativou o modelo de licença de atribuição automática e, em seguida, ativou o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até confirmarem seus endereços de e-mail.

Contas de usuário do aplicativo Webex lateral

Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("painel lateral"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuita.

Se você quiser gerenciar a conta lateral usando o Conector de diretórios, é necessário converter a conta.

Alterar o formato do nome de usuário do aplicativo Webex após a sincronização do diretório

Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.

Depois de executar uma sincronização de diretório, você pode descobrir que nomes de usuário são exibidos no formato .

Esse nome de usuário pode aparecer se o atributo displayName no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName na nuvem, os nomes aparecem no formato no Control Hub.

Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo do Active Directory givenName sn (ou sn givenName) para displayName nos Nomes de atributos do Cisco Cloud.

Alterar o formato do Nome do atributo do Cisco Cloud

Como alternativa, mapeie o atributo sn givenName para displayName:

Alterar o formato do Nome do atributo do Cisco Cloud

Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizada para displayName.

Personalizar o formato do nome do atributo do Cisco Cloud

Por exemplo, insira givenName + "" + sn (nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName na nuvem.

Mapeie atributos do seu Active Directory local

Permitir que os usuários alterem nomes de exibição no Webex Meetings

Você pode desmapear o atributo displayName da sincronização com a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante as reuniões Webex, em vez do nome e do sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.

1

No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário.

2

Selecione displayName em Nome do atributo do Cisco Cloud.

3

Selecione Não sincronizar este atributo.

Permitir que os usuários alterem nomes de exibição no Webex Meetings

O que fazer em seguida

Os usuários agora podem editar seus nomes de exibição no site Webex.

Solução de problemas do conector de diretórios

Atualizar para a versão de software mais recente

Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e aprimoramentos de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Directory Connector. Se você não atualizar para a versão mais recente que está disponível, poderá enfrentar problemas, como o Conector de diretórios não sincronizar mais corretamente ou estar em uma versão que não suporta o requisito de TLS 1.2 obrigatório.

O Conector de diretórios notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.

Embora você possa instalar manualmente as atualizações do software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.

1

Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone do Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização.

2

Siga as instruções para concluir a atualização.

3

Reinicie o conector e inicie sessão com suas credenciais de administrador.

4

Verifique o número da versão do software em Ajuda > Sobre.

O que fazer em seguida

Para uma nova instalação do Conector de diretórios, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.

Definir configurações gerais do Conector de diretórios

Use este procedimento para definir configurações gerais, como o nome do servidor executando o Conector de diretórios, os níveis de registro, atualizações automáticas e as configurações preferidas para os controladores de domínio. O nome do conector aparece no painel na seção conectores, juntamente com quaisquer outros conectores que estejam em execução.

1

No Conector de diretórios, vá para Configuração e clique em Geral.

2

No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está executando o conector no momento.

3

Escolha o nível de log no menu suspenso. Por padrão, o nível de registro é definido como Informações. Os níveis de registro disponíveis são:

  • Informações (Padrão) — Mostra mensagens informativas que destacam o progresso do aplicativo em um nível elevado. Use esta configuração se desejar receber relatórios após todas as sincronizações completas.

  • Avisar—Mostra situações potencialmente perigosas.

  • Depuração — Mostra eventos informativos detalhados que são mais úteis para depuração de um aplicativo. Quando você vir algum problema, defina esse nível de registro e envie o registro de eventos ao suporte ao abrir um caso.

  • Erro — Mostra eventos de erro que ainda podem permitir que o aplicativo continue em execução. Quando você escolhe esta opção, os relatórios de sincronização são enviados apenas quando os erros são relatados.

Essas configurações afetam o relatório de sincronização enviado por e-mail. Se você definir o nível de log como Erro, somente erros serão relatados no relatório de sincronização; se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Lembre-se de que, para sincronização incremental, nenhum relatório será enviado quando nenhum erro for relatado.)

4

Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades.

Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador principal.

5

Marque Atualizar automaticamente para a nova versão do Cisco Directory Connector se desejar que ocorram atualizações automáticas.

É sempre importante manter o software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis.

6

Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão.

Se você não verificar LDAP sobre SSL, o Conector de diretórios continuará a usar o protocolo de conexão LDAP.

LDAP (Lightweight Directory Application Protocol) e LDAP seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o controlador de domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura.

Configurar a política do conector

Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A execução da sincronização não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.

Por exemplo, você define 1 como o valor de gatilho de limite de exclusão. Ao fazer a sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretório mostrará um aviso. Se você clicar em Substituir limite, poderá iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.

1

No Conector de diretórios, clique em Configuração e escolha Política.

2

Marque a caixa Ativar excluir gatilho de limite se você quiser adicionar um gatilho de limite.

A escolha desta opção aciona um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão exceder aquela que você definir, a sincronização falhará.
3

Insira o número máximo de exclusões que você deseja. O padrão é 20.

Recomendamos que você não aumente o valor padrão.

4

Clique em Aplicar.

Definir a agenda do conector

Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, mudaremos para outro conector de espera após o intervalo predefinido.

1

No Conector de diretórios, clique em Configuração e escolha Agendar.

2

Especifique o Intervalo de sincronização incremental em minutos.

Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa.

3

Altere o valor Enviar relatórios por hora se desejar alterar a frequência com que os relatórios são enviados.

4

Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra.

5

Especifique o Intervalo de failover em minutos.

6

Clique em Aplicar.

Cenários de vários domínios

Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor de chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta reescrevem os dados do domínio de prioridade mais baixa.

Os objetos que têm o mesmo valor de chave são vinculados em um registro no banco de dados.

Cenários de vários domínios

O valor da chave para "Usuário" é Endereço de e-mail; o valor da chave para "Grupo" é Nome do grupo.

Exemplo de caso de uso para vários domínios

Este exemplo assume uma organização com dois domínios — example1.com e example2.com, em ordem de prioridade.

  • Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.

  • Adicionar grupo1 (nome do grupo: Teste) para o Active Directory do example1.com.

  • Adicionar usuário2(e-mail: user@example2.com) para o Active Directory de example2.com.

  • Adicionar grupo2 (nome do grupo: Teste) para o Active Directory do example2.com.

Sincronização em example1.com

Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.

Se você fizer uma sincronização completa ou incremental, por exemplo1.com, user1 e group1 serão sincronizados. Além disso, user2 e group2 são substituídas pelas informações de user1 e group1.

Usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; grupo1 vincula o grupo2 como o mesmo registro no banco de dados.

Sincronização em example1.com e example2.com

Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.

Considere estas etapas:

  1. Exclua usuário1 e grupo1 no Active Directory por exemplo1.com.
  2. Faça uma sincronização completa ou incremental, por exemplo1.com.

    Resultado: as informações do usuário não são alteradas em https://admin.webex.com. Usuário2 não está vinculado ao usuário1 e grupo2 não está vinculado ao grupo1.

  3. Faça uma sincronização incremental, por exemplo2.com.

    Resultado: as informações do usuário não são alteradas em https://admin.webex.com.

  4. Faça uma sincronização completa, por exemplo2.com.

    Resultado: As informações de usuário2 e group2 estão listadas em https://admin.webex.com.

Sincronizar um novo domínio e preservar um domínio existente

Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar o Conector de diretórios para sincronização de domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem inalteradas.

Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1)e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro é em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Assim, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).

Definir a prioridade do domínio

Use este procedimento para alterar a prioridade dos seus domínios do Active Directory. A prioridade do domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado com uma organização.

Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem informando que a prioridade do domínio não é necessária.

Antes de começar

Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo de https://admin.webex.com.

1

No conector de diretórios da Cisco, clique em Painel.

2

Vá para Ações e clique em Definir prioridade do domínio.

3

Realce um domínio na lista, clique em Para cima ou Para baixo para alterar a prioridade deste domínio e clique em Salvar para salvar essa alteração.

Os domínios são classificados por prioridade de cima para baixo.

Alternar domínios

Use este procedimento para revincular o conector de diretórios da Cisco a um domínio diferente.

Antes de começar

  • Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar de domínios.

  • Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo do Control Hub.

1

No conector de diretórios da Cisco, clique em Painel.

2

Vá para Ações e clique em Alternar domínio.

3

Depois de ler o cuidado, se você entender o efeito que essa alteração tem na sua implantação e ainda tem certeza, clique em Sim.

Se você alternar um domínio, será desconectado do atual conector de diretórios da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas.

4

Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio.

Desligar sincronização do diretório

Se você precisar interromper a sincronização do Directory Connector, poderá desativá-lo temporariamente do Control Hub.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretórios e escolha uma:

  • Clique em mais Botão de Mais opções e, em seguida, clique em Desativar ao lado da ocorrência do conector que você deseja desligar.
  • Clique em Desligar todas as sincronizações de diretório para interromper a sincronização de todas as ocorrências do conector.
2

Depois de ler o aviso, clique em Desativar.

A sincronização é interrompida até que você a reative do Directory Connector.

Remover Mapeamento de Atributos do Usuário

Use o Conector de diretórios para remover o mapeamento dos atributos do Active Directory anteriormente mapeados na nuvem e sincronizados com o Webex. Depois de remover o mapeamento de atributos, os valores dos atributos serão removidos da nuvem e não serão mais sincronizados com o Webex. Esses valores podem então ser editados manualmente.

1

No Conector de diretórios, clique em Painel.

2

Vá para Ações e clique em Utilitários > Remover mapeamento de atributos do usuário.

3

Selecione o mapeamento a ser removido da lista Nome do atributo .

4

Em Escopo do usuário afetado, selecione uma das seguintes opções:

  • Somente usuários sincronizados pelo Conector de diretório: o mapeamento será removido apenas dos usuários que o Conector de diretórios sincronizaram anteriormente.
  • Todos usuários: o mapeamento será removido de todos os usuários do Active Directory.
5

Clique em Aplicar.

Gerenciar fotos de perfil

Use o Conector de diretórios para atualizar as imagens do perfil do usuário ou remover as imagens do perfil do usuário em branco.

1

No Conector de diretórios, clique em Painel.

2

Vá para Ações e clique em Utilitários > Gerenciar imagens de perfil.

3

Em Ações, selecione uma das seguintes opções:

  • Remova imagens de perfil para fontes de avatar vazias: se a imagem do perfil do Active Directory estiver em branco, essa opção garantirá que as imagens do perfil do usuário sejam removidas da nuvem, mesmo que o usuário tenha carregado anteriormente a própria imagem no Webex.
  • Carregue novamente da fonte sincronizada para substituir imagens em cache: O Conector de diretórios usa o mesmo Active Directory anterior para atualizar as imagens de perfil de todos os usuários. Isso garante que não haja incompatibilidade entre as imagens de perfil no Active Directory e a nuvem.
4

Clique em Aplicar.

Desinstalar e desativar o Conector de diretórios

Depois de desinstalar uma ocorrência do Directory Connector, você deve cancelar o registro dela. Remova completamente um Conector de diretórios para qualquer um desses cenários:

  • Você não deseja mais usar a sincronização de diretórios.

  • Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).

  • Você deseja alterar o domínio e instalar outro conector.

Antes de começar

  • Você pode ter várias ocorrências do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Directory Connector.

  • Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.

1

Na sua máquina Windows, vá para o Painel de controle e clique em Programas e recursos.

2

Na lista de programas, clique em Conector de diretórios, escolha Desinstalar e siga as instruções.

Você pode ter que reiniciar o sistema para concluir a desinstalação.

3

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Sincronização de diretórios, clique em mais Botão de Mais opções e, em seguida, clique em Desativar ao lado da ocorrência do conector de diretório que você deseja desinstalar.

4

Depois de ler o aviso, clique em Desativar.

A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuário não serão mais sincronizadas.

Executar a ferramenta de diagnóstico

Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas da implantação do Conector de diretórios. Essa ferramenta é instalada como parte do conector de diretórios 3.4 em diante.

Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar algum erro, você poderá enviar os resultados de registro detalhados para suporte.

  • Para executar testes para serviços de domínio do Active Directory:

    1. Vá para o menu Iniciar, localize o Cisco Directory Connector, clique em Cisco Directory - Diagnóstico. Clique na guia do AD-DS , insira seu Domínio e clique em Carregar controladores de domínio.

    2. Escolha um controlador de domínio na lista.

      Não altere a entrada mais tarde, pois a pesquisa incremental deve sempre ser executada no mesmo controlador de domínio.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e clicar em Testar para verificar esse valor.

    4. Configure mais filtros na seção Consultas do Active Directory , como objetos de Usuários e Grupo e filtros de pesquisa.

    5. Marque Preencher cookie automaticamente para gerar automaticamente um cookie para uma pesquisa.

    6. Clique em Consulta para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode levar alguns segundos.

    7. Quando o teste estiver concluído, clique em Salvar para salvar uma entrada de registro, que você pode enviar à equipe de suporte para análise ao abrir um ticket.

    Executar testes para serviços do Active Directory Lightweight Directory

  • Para executar testes para serviços do Active Directory Lightweight Directory:

    1. Vá para o menu Iniciar, localize o Cisco Directory Connector, clique em Cisco Directory - Diagnóstico. Clique na guia do AD-LDS , insira seu Organizador e Porta e, em seguida, clique em Carregar partições.

    2. Escolha uma Partição na lista e clique em Conectar.

    3. Por padrão, todos os caminhos são pesquisados, mas você pode escolher um Atributo e clicar em Testar para verificar esse valor.

    4. Configure mais filtros na seção de Consultas do Active Directory , como Usuário, UserProxy e UserProxyFull e filtros de pesquisa.

    5. Marque Preencher cookie automaticamente para gerar automaticamente um cookie para uma pesquisa.

    6. Clique em Consulta para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode levar alguns segundos.

    7. Quando o teste estiver concluído, clique em Salvar para salvar uma entrada de registro, que você pode enviar à equipe de suporte para análise ao abrir um ticket.

    executar testes para serviços do Active Directory Lightweight Directory

  • Para executar testes para o protocolo LDAP (Lightweight Directory Access Protocol):

    1. Vá para o menu Iniciar, localize o Cisco Directory Connector, clique em Cisco Directory - Diagnóstico. Clique na guia LDAP RAW , insira seu Caminho raiz, Filtro e escolha uma entrada de Atributos e clique em Carregar partições.

    2. Marque as seguintes opções, conforme necessário:

      • ObjectSecurity—Se esta opção estiver presente, o chamador não exigirá direitos e poderá ver apenas objetos e atributos acessíveis ao chamador. Se essa opção não estiver presente, o autor da chamada terá direito de replicar as alterações.

      • Pais em primeiro lugar—Garante que todos os pais das crianças vêm antes dos filhos.

    3. Escolha um valor para ExtendedDN.

      Esse valor é usado com uma pesquisa LDAP estendida para solicitar uma forma estendida de Nome distinto do objeto.

    4. Escolha um valor para ReferralChasing.

      Uma perseguição de referência é iniciada quando um controlador de domínio retorna uma referência de uma consulta - por exemplo, para detalhes de um resultado de consulta que pode estar fora do espaço de nomes (como membros do grupo em outro domínio ou floresta).

    5. Clique em Consulta para iniciar uma nova pesquisa incremental ou completa. Esta pesquisa pode levar alguns segundos.

    6. Quando o teste estiver concluído, clique em Salvar para salvar uma entrada de registro, que você pode enviar à equipe de suporte para análise ao abrir um ticket.

Solução de problemas no Conector de diretórios Ciso

Solução de problemas e correções do Conector de diretórios

Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, depois que o Conector de diretórios sincroniza as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para ver problemas que podem surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.

Instalar

O Conector de diretórios parou de funcionar

Você recebeu e-mails de alerta notificando que seu Conector de diretórios não está funcionando.

  • O Conector de diretórios pode não estar instalado corretamente.

  • O Conector de diretórios pode não estar em execução.

  • A rede pode não estar disponível.

Tente o seguinte:

  • Abra o Painel de controle > Programas e recursos. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a.

  • Abra o Serviço e localize o serviço Cisco DirSync. Certifique-se de que exibe o status como Iniciado. Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.

  • Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.

Erro de reinstalação

Problema—Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.

Causa possível—No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.

Solução—Depois de algum tempo, tente a instalação novamente.

Iniciar sessão

O conector de diretórios falha durante o início de sessão por SSO

Problema

O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão do SSO.

Solução

Tente o seguinte:

Execute estas etapas para configurar uma nova política de grupo:

  1. Vá para o controlador do domínio e abra o Gerenciamento de políticas de grupo (gpedit.msc).

  2. Clique com o botão direito do mouse em um OU ou domínio específico, selecione Criar um GPO neste domínio e Vinculá-lo aqui

  3. Dê um nome à política, clique com o botão direito do mouse e escolha Editar.

Execute estas etapas para alterar a política no nível da máquina:

  1. Vá para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito do mouse em Registro, escolha Novo e, em seguida, Item do registro.

  2. Para Caminho da chave, insira ou navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.

  3. Insira Desativar depurador de script para Valor e insira nenhum para Dados de valor.

    As configurações devem corresponder a esta captura de tela:

    O conector de diretórios falha durante o início de sessão por SSO

Execute estas etapas para alterar a política no nível do usuário:

  1. Vá para Configuração do computador > Preferências > Configurações do Windows, clique com o botão direito do mouse em Registro, escolha Novo e, em seguida, Item do registro.

  2. Para Caminho da chave, insira ou navegue até HKEY_ATUAL_USER\SOFTWARE\Microsoft\Internet Explorer\Main.

  3. Insira Desativar depurador de script para Valor e insira nenhum para Dados de valor.

    As configurações devem corresponder a esta captura de tela:

    O conector de diretórios falha durante o início de sessão por SSO

As alterações entram em vigor depois que você executa gpupdate /force, a máquina reiniciada (para alterações da máquina) ou o usuário inicia sessão novamente (para alterações do usuário).

Não foi possível registrar o conector do serviço Cisco DirSync

Problema

O início de sessão falha e esta mensagem é exibida: "O conector do serviço Cisco DirSync não pôde ser registrado".

Solução

O sistema Windows no qual o Conector de diretórios está instalado deve ser um membro do Active Directory.

Nenhuma página de início de sessão é exibida

Problema

Você abriu o Conector de diretórios e a página de início de sessão não foi exibida.

Solução de problemas: Nenhuma página de início de sessão é exibida

Solução

Tente as seguintes etapas:

  1. No Internet Explorer, vá para https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.

  2. Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Habilitar o TLS no Internet Explorer .)

O aviso de início de sessão é exibido

Problema

Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.

Causas possíveis

O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo será exibida para pedir o nome de usuário e a senha de autenticação.

Solução

Ao ver a janela pop-up de início de sessão, você precisa fornecer uma conta válida com autenticação correta para passar a segurança.

Não foi possível conectar-se ao servidor remoto

Problema

Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".

Causas possíveis

Você pode ter problemas de proxy que precisam ser resolvidos.

Solução

Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.

Não foi possível registrar o conector

Problema

Você vê a mensagem de erro "Não foi possível registrar o conector. Uma exceção geral ocorreu."

Causas possíveis

Na maioria dos casos, o problema é porque o conector de diretórios não tem privilégio para se conectar ao contexto raiz LDAP.

Solução

Tente o seguinte:

  1. Execute um prompt de comando (cmd) e insira ldp.exe.

  2. Clique em Conexão > Vincular, escolha Vincular como atualmente conectado no usuário e clique em OK.

  3. Clique em Exibir > Árvore, insira DC=arbonneintl,DC=ad como BaseDN e clique em OK.

  4. Se o problema persistir, abra um caso com o suporte.

Sincronização

Avatares não sincronizados

Problema

O conector de diretórios da Cisco sincronizou os dados do AD do usuário com a nuvem Webex. Mas nenhum dado de avatar foi sincronizado com êxito.

Causas possíveis

Se você reutilizou um servidor avatar existente e os avatares do usuário já estiverem sincronizados, o cache local os capturará e evitará o reenvio para economizar largura de banda.

Solução

Exclua o cache local seguindo estas etapas:

  1. Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\

  2. Exclua DirSyncPluginAvatar.dll-cache.bin.

  3. Execute novamente a sincronização do avatar do conector de diretórios da Cisco.

Contas de e-mail de usuários conflitantes

Problema

Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.

  • Se os usuários experimentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização gratuita do consumidor.

  • Se os e-mails dos usuários já tiverem sido sincronizados em outra organização.

  • Se os e-mails do usuário existirem em vários domínios que pertencem à organização.

Solução

Tente o seguinte:

  • Siga estas etapas se estiver tentando reivindicar usuários:

    1. Certifique-se de verificar o domínio no Control Hub.

    2. Desative temporariamente o Conector de diretórios da Cisco.

    3. Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidores gratuita. Consulte Reivindicar usuários em sua organização (Converter usuários) para obter mais informações.

    4. Faça uma simulação no Cisco Directory Connector e reative a sincronização de diretórios

  • Para o último caso, verifique duas vezes os dados do usuário nas fontes do Active Directory.

Usuário convertido marcado como inativo

Problema

No seu ambiente sincronizado por diretório, você converteu um usuário gratuito (organização do consumidor) em sua organização empresarial, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.

Causas possíveis

Quando o usuário gratuito é convertido na organização empresarial, ele é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e será marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.

Solução

Você deve tomar medidas caso não queira que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no seu Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização do Cisco Directory Connector. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.

Falha na sincronização incremental

Problema

Uma sincronização incremental falha.

Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:

  • Você suporta atualizações de valores incrementais.

  • O filtro que você usa faz referência a um atributo de valor vinculado.

  • Os valores de resultados desse atributo foram atualizados desde a última vez que uma sincronização completa foi executada.

Solução

O Windows Server 2008 R2 tem um erro relacionado a esse problema. O erro foi corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para, pelo menos, 2012 R2.

Valor inválido para atributo

Problema

Para [usuário dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].

Causas possíveis

Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.

Solução

Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.

Usuários correspondentes a serem excluídos

Problema

Os usuários correspondentes estão marcados para serem excluídos.

Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você poderá ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.

Solução

Escolha uma correção apropriada:

  • Se estiver tudo bem para excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.

  • Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte.

Atributo ausente

Problema

O atributo obrigatório [attribute_name] ao adicionar entrada no local [dn de usuário (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.

Causas possíveis

O endereço de e-mail do atributo obrigatório está faltando. Ao adicionar a entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.

Solução

Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.

O grupo aninhado não sincronizará

Problema

Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.

Causas possíveis

É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)

Solução

Você deve reconfigurar o filtro que sincroniza grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGrupo,CN=Usuários,DC=rktest2008,DC=org)

Conflito de nomes de usuários

Problema

Há um conflito de nomes para [usuário dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].

Causas possíveis

Um usuário com esse endereço de e-mail já existe no Control Hub.

Solução

Crie um usuário no seu Active Directory com o mesmo endereço de e-mail da conta que você se registrou através do Control Hub.

Hub de controle

Lista de usuários ausente no Control Hub

Problema

Se você tiver uma organização Webex com mais de 1.000 usuários sincronizados, talvez não veja a lista de usuários no Control Hub.

Solução

Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Usuários, clique em Procurar Botão Procurar e insira critérios de pesquisa para localizar um usuário específico.

Os grupos não serão sincronizados com o Control Hub

Problema

Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.

Causas possíveis

O grupo não está marcado como isCriticalSystemObject no Active Directory.

Solução

Certifique-se de que o atributo isCriticalSystemObject esteja definido como VERDADEIRO no Active Directory.

Ativar a solução de problemas do Conector de diretórios

Você pode habilitar a solução de problemas para ajudar a diagnosticar quaisquer erros encontrados no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.

Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

Execute o arquivo services.msc para alterar a conta em execução do serviço Conector de diretório do sistema local para uma conta de domínio que tenha privilégios para acessar seu AD DS ou AD LDS.

2

Reinicie o serviço.

Consulte Como iniciar serviços para obter orientação.

3

No Conector de diretórios, clique em Painel.

4

Vá para Ações e clique em Utilitários > Solução de problemas.

5

Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que possam ser examinados.

6

Examine os ficheiros de registo: se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS.

A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com o envio do registro de eventos para o sistema.

7

Se necessário, envie o arquivo de registro ao suporte para obter assistência.

8

Desative o recurso de solução de problemas quando terminar.

Iniciar o Visualizador de eventos

Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.

1

No Conector de diretórios, vá para Painel e clique em Ação > Iniciar visualizador de eventos.

A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro.

2

No Visualizador de eventos, vá para Registros de aplicativos e serviços > Conector de diretórios da Cisco.

Visualizador de eventos para ver os eventos que ocorreram durante uma sincronização completa ou incremental

3

Em Ações, clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo de Eventos (*.evtx) ou outro formato, como xml ou csv.

O que fazer em seguida

Se você precisar abrir um caso, entre em contato com o suporte, descreva o problema com o conector e anexe o arquivo de Eventos ao seu caso.

Os registros de eventos capturam as ações do usuário. Para obter ajuda com o gerenciamento do tráfego de rede, ative a solução de problemas no conector.

Ativar o TLS no Internet Explorer

Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:

  • Ocorreu um erro ao fazer logon no serviço

  • Ocorreu um erro no script nesta página

Se você vir esses erros, você deve habilitar uma configuração de TLS em seu navegador.

1

Abra o Internet Explorer e escolha Ferramentas. Agora marque as caixas para a versão TLS/SSL que você deseja habilitar Clique em OK Feche o navegador e abra-o novamente

2

Clique em Opções da Internet , vá para Avançado e role até Segurança.

3

Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK.

Ativar o TLS no Internet Explorer

4

Reinicie seu sistema para que as alterações tenham efeito.

Solucionar problemas de início de sessão da conta de serviço

Se você não conseguir iniciar sessão no Cisco Directory Connector ou não conseguir executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.

1

Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL no seu navegador da web.

2

Escolha um, dependendo dos resultados:

  • Se você não conseguir visitar o link do navegador, verifique as configurações de rede. Se seu ambiente usar proxy, verifique as configurações de proxy.
  • Se você puder visitar o link do seu navegador, mas não conseguir abrir o conector de diretórios da Cisco (Não é possível abrir o conector e abrir a mensagem de erro com 407), clique aqui para obter a versão mais recente do conector de diretórios da Cisco.
  • Se você puder visitar o link do navegador, mas não conseguir executar uma sincronização do conector de diretórios da Cisco, altere a conta de logon de serviço para administrador de domínio.

    Verifique se a conta que você usou para iniciar sessão no sistema Windows é a mesma conta que você definiu no "Serviço Cisco DirSync". Se forem 2 contas diferentes, certifique-se de que ambas as contas possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Se o seu ambiente usa proxy, certifique-se de que ambas as contas estejam configuradas para proxy no Internet Explorer e que possam visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL com êxito.

3

No mínimo, certifique-se de que a conta configurada para o serviço Cisco DirSync (que pode ser encontrada nos serviços Windows) tenha um nível de privilégio que lhe permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais da conta de logon do Windows e a autenticação.

Verificar o SafeDllSearchMode no registro do Windows

O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.

Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.

Antes de começar

As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.

1

Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter.

2

Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager.

3

Escolha uma das opções:

  • SafeDllSearchMode não está listado—Nenhuma outra ação é necessária.
  • SafeDllSearchMode está listado—Certifique-se de que o valor esteja definido como 1.

Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.

Este artigo foi útil?
Este artigo foi útil?