- Página inicial
- /
- Artigo
Guia de implantação do Conector de diretórios
Visão geral do conector de diretórios
O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.
Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.
Veja todos os recursos, descrições e benefícios na tabela:
Recurso | Descrição e benefício |
---|---|
Painel fácil de usar | O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão. |
Simulação antes de sincronizar com a nuvem | Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera. |
Sincronização completa e incremental | Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização. |
Sincronizar vários domínios (floresta única ou várias florestas) |
O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade. |
Sincronização agendada | Defina uma agenda de sincronização por dia, hora e minuto. |
Filtros LDAP (Lightweight Directory Access Protocol) | Defina critérios de pesquisa LDAP e forneça importações eficientes. |
mapeamento de atributos do Active Directory | Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante). |
Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex |
Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.
|
visualizador de Eventos | Use o visualizador de eventos para determinar se houve algum problema com a sincronização. |
Ferramenta de diagnóstico e solução de problemas | Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte. Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico. |
Atualização automática | Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada. |
Alta disponibilidade | Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia. |
O Conector de diretórios é dividido em três áreas:
Control Hub é a interface única que permite gerenciar todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.
Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.
Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.
Consulte este diagrama para entender a arquitetura do Conector de diretórios:
Requisitos do conector de diretórios
Requisitos do Windows e do Active Directory
Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:
Windows Server 2012
Windows Server 2019
Windows Server 2016
Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 . |
O Conector de diretórios é compatível com os seguintes serviços do Active Directory:
Active Directory 2016
(O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Observe os seguintes requisitos adicionais:
O Conector de diretórios requer TLS1.2. Você deve instalar o seguinte:
.NET Framework v3.5 (necessário para o aplicativo Conector de diretórios. Se você tiver problemas, use as instruções em Ativar .NET Framework 3.5 usando o Assistente Adicionar funções e recursos .)
.NET Framework v.4.5 (necessário para TLS1.2)
O nível funcional da floresta do Active Directory 2 (Windows Server 2003) ou superior é necessário. (Consulte Quais são os níveis funcionais do Active Directory? para obter mais informações.)
Requisitos de hardware
Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:
8 GB de RAM
50 GB de armazenamento
Nenhum mínimo para a CPU
Requisitos de rede
Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.
Requisitos da organização Webex
Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.
(Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:
Adicione, verifique e, opcionalmente, reivindique os domínios que contêm os endereços de e-mail do usuário que você deseja sincronizar na nuvem.
Faça uma integração de registro único (SSO) do seu Provedor de identidade (IdP) com a sua organização Webex.
Suprima convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail e você possa fazer sua própria campanha de e-mail. (Este recurso requer a integração de SSO.)
Para obter mais informações, consulte Status e ações do usuário no Control Hub . |
Requisitos de instalação
Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).
Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.
Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)
Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)
Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .
Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.
Vários requisitos de domínio
Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:
Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.
O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.
Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)
Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.
Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)
Recomendações do grupo Active Directory para atribuição automática de licenças
Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Existem dois tipos de grupos no Active Directory:
Grupos de distribuição —Usados para criar listas de distribuição de e-mail.
Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.
Considere as seguintes diretrizes ao criar grupos no Active Directory:
Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).
Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.
Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.
Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.
Informações de Dimensionamento
O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.
Alguns fatores podem afetar a velocidade da sincronização:
O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)
Velocidade da rede e largura de banda.
Carga de trabalho do sistema e especificações.
Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância. |
Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará. |
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de você começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas. |
1 | Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 | Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 | Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Integração de proxy da web
Integração de proxy da web
Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.
Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.
Você pode fazer uma dessas abordagens:
Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)
Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)
Proxy transparente que funciona com o conector sem alterações
Usar um proxy da web por meio do navegador
Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.
Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.
1 | No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN . | ||
2 | Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web. | ||
3 | Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.
| ||
4 | Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Configurar o proxy da web por meio de um arquivo PAC
Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.
1 | Para que o conector se conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação do proxy esteja desativada para | ||
2 | Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector.
| ||
3 | Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Proxy NTLM
O Conector de diretórios suporta NT LAN Manager (NTLM). O NTLM é uma abordagem para oferecer suporte à autenticação do Windows entre os dispositivos de domínio e garantir sua segurança.
Design NTLM
Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.
Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge
e Response
:
Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.
Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.
Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.
Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.
Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.
O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.
O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração. |
Configurar proxy transparente
Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.
1 | Implante um proxy transparente para que o conector possa conectar e sincronizar usuários. |
2 | Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector. |
Definir autenticação de proxy
Adicionar a URL cloudconnector.webex.com
para sua lista de permissões, criando uma lista de controle de acesso.
No servidor de firewall corporativo:
1 | Ative a pesquisa DNS se ainda não estiver ativada. |
2 | Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário. |
3 | Crie uma lista de controle de acesso para aplicar ao host do conector e especifique Por exemplo: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
4 | Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector. |
5 | Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada. |
Fluxo de tarefas de implantação do conector de diretório da Cisco
Antes de você começar
1 | Instalar o Directory Connector O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Directory Connector, sempre acesse o Control Hub ( https://admin.webex.com) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
2 | Iniciar Sessão No Conector De Diretórios Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial. |
3 | Definir atualizações automáticas É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
4 | Escolha os objetos do Active Directory para sincronizar Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios. |
5 |
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid. |
6 | Sincronize avatares de diretório usando um dos seguintes procedimentos:
Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos. |
7 | Sincronizar informações de sala no local com o Webex Cloud Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board |
8 | Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:
Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex. |
Instalar o Directory Connector
O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.
Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:
Antes de você começar
Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da web através do navegador
Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .
1 | No Control Hub , acesse , e escolha Next . | ||
2 | Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows. Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione.
| ||
3 | No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração. | ||
4 | Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta. | ||
5 | Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:
Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:
| ||
6 | Clique em Instalar. Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar . |
O que fazer em seguida
Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.
Iniciar Sessão No Conector De Diretórios
Antes de você começar
Certifique-se de ter suas credenciais de proxy.
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.
Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .
1 | Abra o conector e adicione | ||||
2 | Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next . | ||||
3 | Confirme sua organização e domínio.
| ||||
4 | Depois que a tela Confirmar organização for exibida, clique em Confirmar . Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida. | ||||
5 | Clique Confirmar . | ||||
6 | Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:
|
O que fazer em seguida
Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.
Painel do conector de diretórios
Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.
Se a sua sessão expirar, inicie sessão novamente. |
Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.
Componente | Descrição |
---|---|
Sincronização atual |
Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa. |
Próxima sincronização |
Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido. |
Última sincronização |
Exibe o status das duas últimas sincronizações executadas. |
Status de sincronização atual |
Exibe o status geral da sincronização. |
Conectores |
Exibe os conectores locais atuais que estão disponíveis para a nuvem. |
Estatísticas da nuvem |
Exibe o status geral da sincronização. |
Agenda de sincronização |
Exibe a agenda de sincronização para sincronização incremental e completa. |
Resumo da configuração |
Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
|
Ação | Descrição | ||
---|---|---|---|
Iniciar sincronização incremental | Iniciar manualmente uma sincronização incremental
|
||
Sincronizar execução seca |
Execute uma sincronização de simulação. |
||
Iniciar visualizador de eventos |
Inicie o Microsoft Event Viewer. |
||
Atualizar |
Atualizar o painel do conector de diretórios da Cisco |
Ação | Descrição |
---|---|
Sincronizar Agora | Inicie uma sincronização completa instantaneamente. |
Modo de sincronização |
Selecione o modo de sincronização completa ou incremental. |
Redefinir segredo do conector |
Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente. |
Simulação |
Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa. |
Solução de problemas |
Ative/desative a solução de problemas. |
Atualizar |
Atualize a tela principal do conector de diretórios da Cisco. |
Sair |
Saia do conector de diretórios da Cisco. |
Combinação De Chave | Ação |
---|---|
Alt +A |
Mostrar o menu Ações |
|
Sincronização agora |
|
Redefinir segredo do conector |
|
Simulação seca |
|
Sincronização incremental |
|
Sincronização completa |
|
Mostrar menu Help |
|
Ajuda |
|
Sobre |
|
Perguntas frequentes |
Definir atualizações automáticas
1 | No Conector de diretórios, vá para Atualizar automaticamente para a nova versão do Cisco Directory Connector . e, em seguida, marque |
2 | Clique em Aplicar para salvar suas alterações. |
Novas versões do conector são instaladas automaticamente quando estão disponíveis.
Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações. |
Escolha os objetos do Active Directory para sincronizar
Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.
Grupos para atribuição automática de licenças
O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.
Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:
(&(cn=Example)(objectclass=Group))*
Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.
Grupos para implantações de segurança de dados híbridos
No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.
Antes de você começar
Recomendações do grupo Active Directory para atribuição automática de licenças
1 | No Conector de diretórios, vá para Configuração e clique em Seleção de objeto . | ||
2 | Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários. Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:
| ||
3 | Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala. Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud . | ||
4 | Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem. Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem.
| ||
5 | Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem.
| ||
6 | Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP. | ||
7 | Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar. | ||
8 | Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar . Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou. Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs . | ||
9 | Clique em Aplicar. Escolha uma opção:
Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory . Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem . |
Mapear atributos do usuário
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.
Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName
no Active Directory ou em uma expressão de atributo personalizado a displayName
na nuvem.
As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o |
Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.
1 | No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho. | ||||
2 | Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :
Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios .
| ||||
3 | Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo.
Neste exemplo, vamos mapear os atributos do Active Directory
| ||||
4 | (Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex. Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário. Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores). | ||||
5 | Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:
Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário: Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato . Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub | ||||
6 | Depois de fazer suas escolhas, clique em Aplicar . |
Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente. |
Ativos do Active Directory e da nuvem
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .
Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.
Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.
Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.
Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário. |
Nomes de atributos do Active Directory | Nomes de atributos do Webex Cloud | Notas |
---|---|---|
— |
buildingName |
— |
c |
c |
Esse atributo especifica a abreviatura do país do usuário. |
número de departamento |
número de departamento |
Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas . |
displayName |
displayName |
Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas . |
userAccountControl |
ds-pwp-account-disabled |
Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente. |
EmployeeNumber |
EmployeeNumber |
— |
ileileTelephoneNumber |
ileileTelephoneNumber |
— |
— |
jabberID |
Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses. |
l |
l |
Esse atributo especifica a cidade do usuário. |
— |
localidade |
— |
manager |
manager |
Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas . |
móvel |
móvel |
Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato . |
o |
o |
Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato . |
ocê |
ocê |
Esse atributo especifica o nome da unidade organizacional. |
Entrega física OfficeName |
Entrega física OfficeName |
Esse atributo especifica o local do escritório do usuário. |
Postalcode |
Postalcode |
Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico. |
Idioma preferido |
Idioma preferido |
Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_EUA, en_ GB, fr-CA. Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização. |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=enterprise |
Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex. |
sn |
sn |
Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas . |
st. |
st. |
Este atributo especifica o estado ou a província do usuário. |
Streetaddress |
rua |
Esse atributo especifica o endereço do usuário para entrega de correio físico. |
Telephonenumber |
Telephonenumber |
Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato . |
— |
fuso horário |
Este atributo em nuvem especifica o fuso horário do usuário. |
cargo |
cargo |
Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas . |
tipo |
empresa |
— |
*userPrincipalName |
UID |
Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor. Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo. |
*userPrincipalName <custom attribute=""> |
e-mails;tipo de trabalho |
Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário. |
<New attribute="" for="" Azure="" user="" objectId=""> |
ID externa |
Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente. Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex . |
Mapeamento de endereço de e-mail alternativo
Expressões para atributos personalizados
Operador | Descrição e exemplo |
---|---|
% | Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.
|
- | Tira a parte de trás da string de entrada do final da string especificada.
|
+ | Concatena sequências de entrada ou expressões.
|
| | Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.
|
Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.
1 | No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 | Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem. |
3 | Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário . O avatar aparece à direita. |
4 | Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações. |
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar avatares de diretório de um servidor de recursos para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.
Antes de você começar
O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.
O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.
A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.
1 | No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 | Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do avatar —Por exemplo, Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:
|
3 | (Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha. |
4 | Insira o Valor da variável —Por exemplo: |
5 | Clique em Test para garantir que o padrão de URI do avatar funcione corretamente. Neste exemplo, se o valor de correio de uma entrada AD for |
6 | Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar . Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft . |
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar informações de sala no local com o Webex Cloud
Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).
1 | No Conector de diretórios, vá para Sincronizar , clique em mais | ||
2 | Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização. Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário. | ||
3 | Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise .
| ||
4 | Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas. | ||
5 | De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip: | ||
6 | Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector. Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas . Os resultados da simulação mostram todos os recursos de sala que foram correspondidos. Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem. |
O que fazer em seguida
Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.
No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.
O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita. |
Enviar relatórios de e-mail nos resultados da sincronização de diretórios
Por padrão, os contatos ou administradores da organização sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.
1 | No Conector de diretórios, clique em Configuração e escolha Notificação . |
2 | No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório . |
3 | Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail. |
4 | Clique em Adicionar e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
5 | Clique em Adicionar e-mail e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
6 | Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias. |
7 | Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar . |
8 | Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar . |
O que fazer em seguida
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.
Provisionar Usuários Do Active Directory Para O Control Hub
Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.
1 | Fazer uma sincronização de execução seca em seus usuários do Active Directory Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem. |
2 | Faça uma sincronização completa dos usuários do Active Directory na nuvem Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados. |
3 | Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial. |
Fazer uma sincronização de execução seca em seus usuários do Active Directory
Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.
Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.
Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.
Antes de você começar
Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.
1 | Escolha uma das opções:
Quando a simulação for concluída, você verá um dos seguintes resultados: O Resumo contém informações sobre a correspondência de objetos:
A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local. | ||
2 | Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:
| ||
3 | No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados. Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched . Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail. Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo . | ||
4 | Se os resultados forem esperados, vá para Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto. e, em seguida, clique em
|
O que fazer em seguida
Para qualquer objeto de usuário incompatível que você reteve, você deve adicioná-lo ao Active Directory para que haja uma correspondência exata entre o local e a nuvem.
Escolha um tipo de sincronização:
Faça uma sincronização completa dos usuários do Active Directory na nuvem para quando você sincronizar novos usuários pela primeira vez na nuvem. Você faz isso de , e então os usuários do domínio atual são sincronizados.
Defina a Agenda do conector e Execute uma sincronização incremental depois de executar uma sincronização completa e se desejar continuar as alterações após a sincronização inicial. Este tipo de sincronização é recomendado para captar pequenas alterações feitas na fonte de usuário do Active Directory.
Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa.
Se você tiver vários domínios, repita essas etapas em qualquer outro Conector de diretório que tenha instalado.
Coisas a se manter em mente
Execute uma simulação antes de ativar a sincronização completa ou ao alterar os parâmetros da sincronização. Se a simulação tiver sido iniciada por uma alteração de configuração, você poderá salvar as configurações depois que a simulação for concluída. Se você já tiver adicionado usuários manualmente, executar uma sincronização do Active Directory pode fazer com que usuários adicionados anteriormente sejam removidos. Você pode verificar os relatórios de execução a seco do Conector de diretórios para verificar se todos os usuários esperados estão presentes antes de sincronizar totalmente com a nuvem.
Se os usuários correspondentes estiverem marcados para serem excluídos e você não tiver certeza de como continuar, consulte as informações de solução de problemas e como entrar em contato com o suporte em Solução de problemas e correções do Conector de diretórios .
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Faça uma sincronização completa dos usuários do Active Directory na nuvem
Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.
Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.
O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.
Antes de você começar
Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:
Integre o Registro Único com sua organização Webex. Consulte
Registro único com os serviços Cisco Webex e o provedor de identidade da sua organização
para obter mais informações.Use o Control Hub para verificar e, opcionalmente, reivindicar domínios contidos nos endereços de e-mail. Consulte
Adicionar, verificar e reivindicar domínios
.Suprima convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail no aplicativo Webex. (Você pode fazer sua própria campanha de e-mail.)
Os usuários ativados que não iniciaram sessão aparecem com um status Verified no Control Hub. Depois de se inscreverem, eles aparecem como ativos. Para obter mais informações sobre o status do usuário, consulte Status do usuário e ações no Cisco Webex Control Hub .
Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.
1 | Escolha uma das opções:
| ||
2 | No Conector de diretórios, vá para Sincronizar , clique em mais | ||
3 | Confirme o início da sincronização. Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização.
| ||
4 | Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .) | ||
5 | Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. | ||
6 | Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental . |
Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.
Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.
A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.
Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.
Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.
Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.
Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.
O que fazer em seguida
Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário torna-se
Inactive
mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).Quando você verifica A conta está desativada no Active Directory, o usuário se torna
Inactive
após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub
Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.
Antes de você começar
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Execute uma sincronização de simulação nos usuários do Active Directory.
Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.
No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida. |
1 | Na exibição do cliente em https://admin.webex.com, vá para , clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo... |
2 | Escolha uma opção:
|
O que fazer em seguida
Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.
Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.
Problemas conhecidos com o Conector de diretórios
As versões do Windows Server antes de 2012 R2 têm um problema de cookie que afeta o Conector de diretórios. Esse problema foi corrigido nas versões 2012 R2 e 2016 .
Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
Quando um usuário usa o aplicativo Webex no desktop ou celular para pesquisar e ligar para uma Sala que tem apenas um SIP URI sincronizado, a chamada toca indefinidamente neste momento.
Executar uma sincronização incremental
Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.
Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.
Antes de você começar
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Observe estas exceções que a sincronização incremental não suporta (siga Faça uma sincronização completa dos usuários do Active Directory na nuvem em vez disso):
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
Para novas alterações de configuração no mapeamento de atributos, DN base, filtro e configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.
1 | No Conector de diretórios, clique em Painel .
| ||
2 | Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora. | ||
3 | Em Ações , clique em Sincronizar agora > Incremental . Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
| ||
4 | Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
O que fazer em seguida
Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.
Recuperar usuários excluídos acidentalmente
O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, acidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.
Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.
Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível. Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias. |
1 | |
2 | Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada. Para obter mais informações, consulte Status e ações do usuário no Control Hub . |
3 | Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios. O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem. |
4 | Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub. Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço. |
O que fazer em seguida
Retornar ao Control Hub, vá para
, e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.Excluir usuários permanentemente após a exclusão suave
Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.
1 | Após a conclusão de uma simulação, selecione Objetos excluídos por software . |
2 | Marque a caixa de seleção ao lado dos usuários que você deseja excluir. |
3 | Selecione Concluído. |
O que fazer em seguida
Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.
Alterar um endereço de e-mail do aplicativo Webex
Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.
Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos. |
O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .
Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.
Alterar o domínio do Active Directory
Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.
1 | Configure um novo domínio do Active Directory (AD). | ||
2 | Desative as sincronizações em todos os seus conectores. | ||
3 | Desinstale todos os seus conectores. | ||
4 | Abra um caso para alterar o domínio . No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização.
| ||
5 | Depois que o caso for resolvido: Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real. |
Reivindicação de domínio
Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).
Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.
Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório
Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários ao Active Directory com o endereço de e-mail exato e, em seguida, sincroniza com a nuvem.
Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.
Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro <email address=""> não poderá ser convertida
será exibida. Para evitar o problema, você pode usar essas etapas como uma solução alternativa.
Alguns usuários reivindicados podem aparecer com o Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem. |
1 | Desative a sincronização de diretório do Conector de diretórios. | ||
2 | Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa. Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de relar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes. | ||
3 | No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos.
| ||
4 | Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios. |
As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.
Contas de usuários do aplicativo Webex embarcadas
Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.
Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .
Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório
Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.
Depois de executar uma sincronização de diretório, você poderá encontrar os nomes de usuário exibidos no formato <lastName, firstName="">.
Este nome de usuário pode aparecer se o displayName
o atributo no Active Directory é configurado dessa forma. Quando o atributo é mapeado para displayName
na nuvem, os nomes aparecem no formato <lastName, firstName=""> no Control Hub.
Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapear o atributo do Active Directory givenName sn
(ou sn givenName
) para displayName
nos nomes de atributos da Nuvem Cisco.
Como alternativa, mapeie o atributo sn givenName
para displayName
:
Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizada para displayName
.
Por exemplo, insira givenName + "" + sn
(nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName
na nuvem.
Permitir que os usuários alterem nomes de exibição no Webex Meetings
Você pode desmapear o displayName
atributo da sincronização para a nuvem no Conector de diretórios, se você quiser permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.
1 | No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . |
2 | Selecione displayName sob Nome do atributo da Cisco Cloud . |
3 | Selecione Não sincronizar este atributo . |
O que fazer em seguida
Os usuários agora podem editar seus nomes de exibição no site Webex .
Atualizar para a versão mais recente do software
Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .
O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.
Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente. |
1 | Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização. |
2 | Siga as instruções para concluir a atualização. |
3 | Reinicie o conector e inicie sessão com suas credenciais de administrador. |
4 | Verifique o número da versão do software em . |
O que fazer em seguida
Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.
Definir configurações gerais para o conector de diretórios
Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.
1 | No Conector de diretórios, vá para Configuração e clique em Geral . | ||
2 | No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector. | ||
3 | Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:
| ||
4 | Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades. Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário. | ||
5 | Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram. É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. | ||
6 | Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão.
LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura. |
Configurar a política do conector
Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.
Por exemplo, você definiu 1
como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.
1 | No Conector de diretórios, clique em Configuração e escolha Política . | ||
2 | Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite. A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
| ||
3 | Insira o número máximo de exclusões que você deseja. A predefinição é 20.
| ||
4 | Clique em Aplicar. |
Definir a agenda do conector
Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.
1 | No Conector de diretórios, clique em Configuração e escolha Agendar . |
2 | Especifique o Intervalo de sincronização incremental em minutos. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa. |
3 | Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados. |
4 | Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra. |
5 | Especifique o Intervalo de failover em minutos. |
6 | Clique em Aplicar. |
Vários cenários de domínio
Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.
Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.
O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .
Exemplo de caso de uso para vários domínios
Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.
Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.
Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.
Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.
Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.
- Sincronização no exemplo1.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.
O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.
- Sincronização em example1.com e example2.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Considere estas etapas:
- Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
- Faça uma sincronização completa ou incremental, por exemplo1.com.
Resultado: As informações do usuário não são alteradas em https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.
- Faça uma sincronização incremental, por exemplo2.com.
Resultado: As informações do usuário não são alteradas em https://admin.webex.com.
- Faça uma sincronização completa, por exemplo2.com.
Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.
Sincronizar um novo domínio E Preservar um domínio existente
Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.
Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).
Definir a prioridade do domínio
Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.
Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.
Antes de você começar
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo de https://admin.webex.com.
1 | No conector de diretórios da Cisco, clique em Dashboard . | ||
2 | Vá para Ações e clique em Definir prioridade de domínio . | ||
3 | Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração.
|
Alternar domínios
Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.
Antes de você começar
Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .
1 | No conector de diretórios da Cisco, clique em Dashboard . |
2 | Vá para Ações e clique em Alternar domínio . |
3 | Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim . Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas. |
4 | Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio. |
Desativar a sincronização do diretório
Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.
1 | Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório e escolha uma opção:
|
2 | Depois de ler o aviso, clique em Desativar . A sincronização para até que você a reative no Conector de diretórios. |
Remover o mapeamento de atributos do usuário
Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.
1 | No Conector de diretórios, clique em Painel . |
2 | Vá para Ações e clique em . |
3 | Selecione o mapeamento a ser removido da lista Attribute Name . |
4 | Em Escopo de usuário afetado , selecione uma das seguintes opções:
|
5 | Clique em Aplicar. |
Gerenciar fotos de perfil
Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.
1 | No Conector de diretórios, clique em Painel . |
2 | Vá para Ações e clique em . |
3 | Em Ações , selecione uma das seguintes opções:
|
4 | Clique em Aplicar. |
Desinstalar e desativar o Conector de diretórios
Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:
Você não deseja mais usar a sincronização de diretório.
Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).
Você deseja alterar o domínio e instalar outro conector.
Antes de você começar
Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.
Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.
1 | Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos . |
2 | Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções. Você pode ter que reinicializar o sistema para concluir a desinstalação. |
3 | Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório , clique em mais |
4 | Depois de ler o aviso, clique em Desativar . A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas. |
Executar a ferramenta de diagnóstico
Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.
Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o LDAP para que você mesmo possa diagnosticar os erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.
Solução de problemas e correções para o conector de diretórios
Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.
Instalar
O conector de diretório parou de funcionar
Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.
O Conector de diretórios pode não estar instalado corretamente.
O Conector de diretórios pode não estar em execução.
A rede pode não estar disponível.
Tente o seguinte:
Abrir
. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a.Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.
Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.
Erro de reinstalação
Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.
Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.
Solução —Após algum tempo passar, tente a instalação novamente.
Iniciar sessão
O Conector de diretórios falha durante o início de sessão do SSO
Problema
O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.
Solução
Tente o seguinte:
Execute estas etapas para configurar uma nova política de grupo:
Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).
Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…
Dê um nome à política, clique com o botão direito do mouse e escolha Edit .
Execute estas etapas para alterar a política no nível da máquina:
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direitoPara Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .
Insira
Disable Script Debugger
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
Execute estas etapas para alterar a política no nível do usuário:
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direitoPara Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .
Insira
Disable Script Debugger
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
As alterações entram em vigor após a execução |
O Conector do serviço Cisco DirSync não pôde ser registrado
Problema
Falha ao iniciar sessão e esta mensagem é exibida: "O conector do serviço Cisco DirSync não pôde ser registrado."
Solução
O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.
Nenhuma página de logon é exibida
Problema
Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.
Solução
Tente as seguintes etapas:
No Internet Explorer, vá para https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.
Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)
O aviso de início de sessão é exibido
Problema
Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.
Causas possíveis
O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.
Solução
Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.
Não foi possível conectar-se ao servidor remoto
Problema
Durante a operação normal, a mensagem de erro é exibida: "Não foi possível conectar ao servidor remoto."
Causas possíveis
Você pode ter problemas de proxy que precisam ser resolvidos.
Solução
Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.
Não foi possível registrar o conector
Problema
Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."
Causas possíveis
Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.
Solução
Tente o seguinte:
Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .
Clique Bind como atualmente conectado ao usuário , e clique em OK .
, escolhaClique OK .
, insira DC=arbonneintl,DC=ad como BaseDN e clique emSe o problema persistir, abra um caso com o suporte .
Sincronização
Avatares não sincronizados
Problema
O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.
Causas possíveis
Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.
Solução
Exclua o cache local seguindo estas etapas:
Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Excluir DirSyncPluginAvatar.dll-cache.bin .
Execute novamente a sincronização do avatar do conector de diretórios da Cisco.
Conflitas de e-mail do usuário em conflito
Problema
Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.
Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.
Se os e-mails dos usuários já foram sincronizados em outra organização.
Se os e-mails do usuário existirem em vários domínios que pertencem à organização.
Solução
Tente o seguinte:
Siga estas etapas se estiver tentando reivindicar usuários:
Certifique-se de ter verificado o domínio no Control Hub .
Desative temporariamente o Conector de diretórios da Cisco.
Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.
Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório
Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.
Usuário convertido marcado como inativo
Problema
No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.
Causas possíveis
Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.
Solução
Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.
Falha na sincronização incremental
Problema
Uma sincronização incremental falha.
Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:
Você oferece suporte a atualizações de valor incremental.
O filtro que você usa faz referência a um atributo de valor vinculado.
Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.
Solução
O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.
Valor inválido para o atributo
Problema
Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].
Causas possíveis
Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.
Solução
Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.
Usuários correspondentes a serem excluídos
Problema
Os usuários correspondentes são marcados para serem excluídos.
Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.
Solução
Escolha uma correção apropriada:
Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.
Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .
Atributo ausente
Problema
O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.
Causas possíveis
O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.
Solução
Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.
O grupo aninhado não sincronizará
Problema
Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.
Causas possíveis
É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Solução
Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Conflito de nomeação do usuário
Problema
Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].
Causas possíveis
Um usuário com esse endereço de e-mail já existe no Control Hub.
Solução
Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.
Control Hub
Lista de usuários ausente no Control Hub
Problema
Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.
Solução
Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.
Os grupos não serão sincronizados com o Control Hub
Problema
Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.
Causas possíveis
O grupo não está marcado como isCriticalSystemObject
no Active Directory.
Solução
Certifique-se de que esse atributo isCriticalSystemObject
está definido como TRUE
no Active Directory.
Ativar solução de problemas para o Conector de diretórios
Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego da rede e salvá-las em um arquivo.
Os arquivos de log que são: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 | Execute o | ||
2 | Reinicie o serviço. Consulte Como iniciar serviços para obter orientação. | ||
3 | No Conector de diretórios, clique em Painel . | ||
4 | Vá para Ações e clique em . | ||
5 | Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados. | ||
6 | Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS.
| ||
7 | Se necessário, envie o arquivo de registro para suporte para assistência. | ||
8 | Desative o recurso de solução de problemas quando terminar. |
Iniciar o visualizador de eventos
Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.
1 | No Conector de diretórios, vá para Painel e clique em .A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro. |
2 | No Visualizador de eventos, vá para . |
3 | Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv. |
O que fazer em seguida
Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.
Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector. |
Ativar TLS no Internet Explorer
Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:
Ocorreu um erro ao fazer logon no serviço
Ocorreu um erro no script nesta página
Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.
1 | Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente |
2 | Clique em Opções da Internet , vá para Avançado , role até a Segurança . |
3 | Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK . |
4 | Reinicie o sistema para que as alterações tenham efeito. |
Solucionar problemas de início de sessão da conta de serviço
Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.
1 | Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web. | ||
2 | Escolha um, dependendo dos resultados:
| ||
3 | No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows. |
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de você começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas. |
1 | Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 | Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 | Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Visão geral do conector de diretórios da Cisco
Visão geral do conector de diretórios
O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.
Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.
Veja todos os recursos, descrições e benefícios na tabela:
Recurso | Descrição e benefício |
---|---|
Painel fácil de usar | O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão. |
Simulação antes de sincronizar com a nuvem | Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera. |
Sincronização completa e incremental | Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização. |
Sincronizar vários domínios (floresta única ou várias florestas) |
O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade. |
Sincronização agendada | Defina uma agenda de sincronização por dia, hora e minuto. |
Filtros LDAP (Lightweight Directory Access Protocol) | Defina critérios de pesquisa LDAP e forneça importações eficientes. |
mapeamento de atributos do Active Directory | Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante). |
Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex |
Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.
|
visualizador de Eventos | Use o visualizador de eventos para determinar se houve algum problema com a sincronização. |
Ferramenta de diagnóstico e solução de problemas | Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte. Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico. |
Atualização automática | Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada. |
Alta disponibilidade | Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia. |
O Conector de diretórios é dividido em três áreas:
-
Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.
-
Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.
-
Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.
Consulte este diagrama para entender a arquitetura do Conector de diretórios:
Preparar seu ambiente para o conector de diretórios
Requisitos do conector de diretórios
Requisitos do Windows e do Active Directory
Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .
O Conector de diretórios é compatível com os seguintes serviços do Active Directory:
-
Active Directory 2016
(O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Observe os seguintes requisitos adicionais:
-
O Conector de diretórios requer TLS1.2. Você deve instalar o seguinte:
-
.NET Framework v3.5 (necessário para o aplicativo Conector de diretórios. Se você tiver problemas, use as instruções em Ativar .NET Framework 3.5 usando o Assistente Adicionar funções e recursos .)
-
.NET Framework v.4.5 (necessário para TLS1.2)
-
-
O nível funcional da floresta do Active Directory 2 (Windows Server 2003) ou superior é necessário. (Consulte Quais são os níveis funcionais do Active Directory? para obter mais informações.)
Requisitos de hardware
Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de armazenamento
-
Nenhum mínimo para a CPU
Requisitos de rede
Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.
Requisitos da organização Webex
-
Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.
-
(Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:
-
Adicionar, verificar e, opcionalmente, reivindicar domínios que contêm os endereços de e-mail do usuário que você deseja sincronizar na nuvem.
-
Faça uma integração de registro único (SSO) do seu Provedor de identidade (IdP) com a sua organização Webex.
-
Suprimir convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail e você possa fazer sua própria campanha de e-mail. (Este recurso requer a integração de SSO.)
-
Para obter mais informações, consulte Status e ações do usuário no Control Hub .
Requisitos de instalação
-
Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).
-
Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.
Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .
-
Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.
Vários requisitos de domínio
Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:
-
Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.
-
O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.
-
Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)
-
Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.
-
Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)
Recomendações do grupo Active Directory para atribuição automática de licenças
Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Existem dois tipos de grupos no Active Directory:
-
Grupos de distribuição —Usados para criar listas de distribuição por e-mail.
-
Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.
Considere as seguintes diretrizes ao criar grupos no Active Directory:
-
Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).
-
Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.
-
Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.
-
Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.
Informações de Dimensionamento
O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.
Alguns fatores podem afetar a velocidade da sincronização:
-
O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)
-
Velocidade da rede e largura de banda.
-
Carga de trabalho do sistema e especificações.
Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.
Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Integração de proxy da web
Integração de proxy da web
Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.
Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.
Você pode fazer uma dessas abordagens:
-
Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)
-
Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)
-
Proxy transparente que funciona com o conector sem alterações
Usar um proxy da web por meio do navegador
Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.
Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.
1 |
No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN . |
2 |
Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web. |
3 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
4 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Configurar o proxy da web por meio de um arquivo PAC
Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.
1 |
Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para |
2 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
3 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Proxy NTLM
O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.
Design NTLM
Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.
Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge
e Response
:
-
Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.
Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.
-
Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.
-
Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.
-
Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.
-
O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.
O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.
Configurar proxy transparente
Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.
1 |
Implante um proxy transparente para que o conector possa conectar e sincronizar usuários. |
2 |
Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector. |
Definir autenticação de proxy
Adicione a URL cloudconnector.webex.com
à sua lista de permissões criando uma lista de controle de acesso.
No servidor de firewall corporativo:
1 |
Ative a pesquisa DNS se ainda não estiver ativada. |
2 |
Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário. |
3 |
Crie uma lista de controle de acesso para aplicar ao host do conector e especifique Por exemplo: Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https |
4 |
Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector. |
5 |
Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada. |
Implantar o conector de diretórios
Fluxo de tarefas de implantação do conector de diretório da Cisco
Antes de começar
1 |
Instalar o Conector de diretórios O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
2 |
Iniciar Sessão No Conector De Diretórios Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial. |
3 |
Definir atualizações automáticas É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
4 |
Escolha os objetos do Active Directory para sincronizar Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios. |
5 |
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid. |
6 |
Sincronize avatares de diretório usando um dos seguintes procedimentos:
Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos. |
7 |
Sincronizar informações de sala no local com o Webex Cloud Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board |
8 |
Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:
Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex. |
Instalar o Conector de diretórios
O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.
Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:
Antes de começar
Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador
-
Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .
1 |
No Control Hub , vá para e escolha Next . |
2 |
Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows. Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione. Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
3 |
No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração. |
4 |
Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta. |
5 |
Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:
Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:
|
6 |
Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar . |
O que fazer em seguida
Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.
Iniciar Sessão No Conector De Diretórios
Antes de começar
Certifique-se de ter suas credenciais de proxy.
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.
-
Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .
1 |
Abra o conector e adicione |
2 |
Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next . |
3 |
Confirme sua organização e domínio.
|
4 |
Depois que a tela Confirmar organização for exibida, clique em Confirmar . Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida. |
5 |
Clique em Confirmar . |
6 |
Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:
|
O que fazer em seguida
Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.
Painel do conector de diretórios
Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.
Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.
Componente |
Descrição |
---|---|
Sincronização atual |
Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa. |
Próxima sincronização |
Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido. |
Última sincronização |
Exibe o status das duas últimas sincronizações executadas. |
Status de sincronização atual |
Exibe o status geral da sincronização. |
Conectores |
Exibe os conectores locais atuais que estão disponíveis para a nuvem. |
Estatísticas da nuvem |
Exibe o status geral da sincronização. |
Agenda de sincronização |
Exibe a agenda de sincronização para sincronização incremental e completa. |
Resumo da configuração |
Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
|
Ação | Descrição |
---|---|
Iniciar sincronização incremental |
Iniciar manualmente uma sincronização incremental Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento. |
Sincronizar execução seca |
Execute uma sincronização de simulação. |
Iniciar visualizador de eventos |
Inicie o Microsoft Event Viewer. |
Atualização |
Atualizar o painel do conector de diretórios da Cisco |
Ação |
Descrição |
---|---|
Sincronizar agora |
Inicie uma sincronização completa instantaneamente. |
Modo de sincronização |
Selecione o modo de sincronização completa ou incremental. |
Redefinir segredo do conector |
Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente. |
Simulação |
Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa. |
Solução de problemas |
Ative/desative a solução de problemas. |
Atualização |
Atualize a tela principal do conector de diretórios da Cisco. |
Sair |
Saia do conector de diretórios da Cisco. |
Combinação De Chave |
Ação |
---|---|
Alt +A |
Mostrar o menu Ações |
|
Sincronização agora |
|
Redefinir segredo do conector |
|
Simulação seca |
|
Sincronização incremental |
|
Sincronização completa |
|
Mostrar menu Help |
|
Ajuda |
|
Sobre |
|
Perguntas frequentes |
Definir atualizações automáticas
1 |
No Conector de diretórios, vá para Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco . e, em seguida, marque |
2 |
Clique em Aplicar para salvar suas alterações. |
Novas versões do conector são instaladas automaticamente quando estão disponíveis.
Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.
Escolha os objetos do Active Directory para sincronizar
Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.
Grupos para atribuição automática de licenças
O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.
Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:
(&(cn=Exemplo)(objectclass=Grupo))*
Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.
Grupos para implantações de segurança de dados híbridos
No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.
1 |
No Conector de diretórios, vá para Configuração e clique em Seleção de objeto . |
2 |
Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários. Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:
|
3 |
Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala. Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud . |
4 |
Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem. Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem. Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança. |
5 |
Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem. O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub. |
6 |
Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP. |
7 |
Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar. |
8 |
Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar . Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou. Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs . |
9 |
Clique em Aplicar . Escolha uma opção:
Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory . Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem . |
Mapear atributos do usuário
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.
Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.
As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).
Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho. |
2 |
Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :
Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios . Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados. |
3 |
Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo. Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações. Neste exemplo, vamos mapear os atributos do Active Directory O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem: Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário: |
4 |
(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex. Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário. Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores). |
5 |
Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:
Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário: Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato . Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub |
6 |
Depois de fazer suas escolhas, clique em Aplicar . |
Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Ativos do Active Directory e da nuvem
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .
Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.
Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.
Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.
Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.
Nomes de atributos do Active Directory |
Nomes de atributos do Webex Cloud |
Notas |
---|---|---|
— |
buildingName |
— |
c |
c |
Esse atributo especifica a abreviatura do país do usuário. |
número de departamento |
número de departamento |
Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas . |
nome de exibição |
nome de exibição |
Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas . |
userAccountControl |
ds-pwp-account-disabled |
Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente. |
EmployeeNumber |
EmployeeNumber |
— |
fasimileTelephoneNumber |
fasimileTelephoneNumber |
— |
— |
jabberID |
Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses. |
l |
l |
Esse atributo especifica a cidade do usuário. |
— |
localidade |
— |
administrador |
administrador |
Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas . |
móvel |
móvel |
Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato . |
o |
o |
Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato . |
ou |
ou |
Esse atributo especifica o nome da unidade organizacional. |
Entrega física OfficeName |
Entrega física OfficeName |
Esse atributo especifica o local do escritório do usuário. |
Código postalCode |
Código postalCode |
Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico. |
preferredLanguage |
preferredLanguage |
Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA. Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização. |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=enterprise |
Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex. |
sn |
sn |
Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas . |
st. |
st. |
Este atributo especifica o estado ou a província do usuário. |
streetAddress |
rua |
Esse atributo especifica o endereço do usuário para entrega de correio físico. |
telefone |
telefone |
Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato . |
— |
fuso horário |
Este atributo em nuvem especifica o fuso horário do usuário. |
título |
título |
Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas . |
tipo |
empresa |
— |
*userPrincipalName |
uid |
Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor. Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo. |
*userPrincipalName <atributo personalizado> |
e-mails;tipo de trabalho |
Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário. |
<Novo atributo para o usuário do Azure objectId> |
externalId |
Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente. Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex . |
Mapeamento de endereço de e-mail alternativo
Expressões para atributos personalizados
Operador |
Descrição e exemplo |
---|---|
% |
Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.
|
- |
Tira a parte de trás da string de entrada do final da string especificada.
|
+ |
Concatena sequências de entrada ou expressões.
|
| |
Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.
|
Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem. |
3 |
Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário . O avatar aparece à direita. |
4 |
Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações. |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar avatares de diretório de um servidor de recursos para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.
Antes de começar
-
O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.
-
O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.
-
A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:
|
3 |
(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha. |
4 |
Insira o Valor da variável —Por exemplo: |
5 |
Clique em Test para garantir que o padrão de URI do avatar funcione corretamente. Neste exemplo, se o valor de correio de uma entrada AD é |
6 |
Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar . Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft . |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar informações de sala no local com o Webex Cloud
Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).
1 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
2 |
Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização. Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário. |
3 |
Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise . Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")
|
4 |
Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas. |
5 |
De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip: |
6 |
Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector. Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas . Os resultados da simulação mostram todos os recursos de sala que foram correspondidos. Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem. |
O que fazer em seguida
Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.
No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.
O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.
Enviar relatórios de e-mail nos resultados da sincronização de diretórios
Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.
1 |
No Conector de diretórios, clique em Configuração e escolha Notificação . |
2 |
No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório . |
3 |
Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail. |
4 |
Clique em Adicionar e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
5 |
Clique em Adicionar e-mail e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
6 |
Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias. |
7 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar . |
8 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar . |
O que fazer em seguida
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.
Provisionar Usuários Do Active Directory Para O Control Hub
Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.
1 |
Fazer uma sincronização de execução seca no seu Active Directory Usuários Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem. |
2 |
Faça uma sincronização completa dos usuários do Active Directory na nuvem Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados. |
3 |
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial. |
Fazer uma sincronização de execução seca no seu Active Directory Usuários
Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.
Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.
Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.
Antes de começar
Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.
1 |
Escolha uma opção:
Quando a simulação for concluída, você verá um dos seguintes resultados: O Resumo contém informações sobre a correspondência de objetos:
A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local. |
2 |
Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:
|
3 |
No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados. Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched . Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail. Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo . |
4 |
Se os resultados forem esperados, vá para Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto. e clique emDepois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais. |
O que fazer em seguida
-
Para qualquer objeto de usuário incompatível que você reteve, você deve adicioná-lo ao Active Directory para que haja uma correspondência exata entre o local e a nuvem.
-
Escolha um tipo de sincronização:
-
Faça uma sincronização completa dos usuários do Active Directory na nuvem para quando você sincronizar novos usuários pela primeira vez com a nuvem. Você o faz a partir de , e então os usuários do domínio atual são sincronizados.
-
Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa.
-
-
Se você tiver vários domínios, repita essas etapas em qualquer outro Conector de diretório que tenha instalado.
Coisas a se Manter em mente
-
Execute uma simulação antes de ativar a sincronização completa ou ao alterar os parâmetros da sincronização. Se a simulação tiver sido iniciada por uma alteração de configuração, você poderá salvar as configurações depois que a simulação for concluída. Se você já tiver adicionado usuários manualmente, executar uma sincronização do Active Directory pode fazer com que usuários adicionados anteriormente sejam removidos. Você pode verificar os relatórios de execução a seco do Conector de diretórios para verificar se todos os usuários esperados estão presentes antes de sincronizar totalmente com a nuvem.
-
Se os usuários correspondentes estiverem marcados para serem excluídos e você não tiver certeza de como continuar, consulte as informações de solução de problemas e como entrar em contato com o suporte em Solução de problemas e correções do Conector de diretórios .
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Faça uma sincronização completa dos usuários do Active Directory na nuvem
Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.
Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.
O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.
Antes de começar
-
Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:
-
Integre o Registro Único com sua organização Webex. Ver
Registro único com os serviços Cisco Webex e o provedor de identidade da sua organização
para obter mais informações. -
Use o Control Hub para verificar e, opcionalmente, reivindicar domínios contidos nos endereços de e-mail. Ver
Adicionar, verificar e reivindicar domínios
. -
Suprima convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail no aplicativo Webex. (Você pode fazer sua própria campanha de e-mail.)
Os usuários ativados que não iniciaram sessão aparecem com um status Verified no Control Hub. Depois de iniciarem sessão, eles aparecem como Active . Para obter mais informações sobre o status do usuário, consulte Status do usuário e ações no Cisco Webex Control Hub .
-
-
Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.
1 |
Escolha uma opção:
|
2 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
3 |
Confirme o início da sincronização. Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização. Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
|
4 |
Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .) |
5 |
Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
6 |
Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental . |
-
Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.
-
Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.
-
A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.
-
Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.
-
Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.
-
Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.
-
Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.
O que fazer em seguida
-
Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).
Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.
-
Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.
-
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub
Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Execute uma sincronização de simulação nos usuários do Active Directory.
-
Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.
No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo... |
2 |
Escolha uma opção: |
O que fazer em seguida
-
Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.
-
Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.
Problemas conhecidos com o Conector de diretórios
-
As versões do Windows Server antes de 2012 R2 têm um problema de cookie que afeta o Conector de diretórios. Esse problema foi corrigido nas versões 2012 R2 e 2016 .
-
Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
-
Quando um usuário usa o aplicativo Webex no desktop ou celular para pesquisar e ligar para uma Sala que tem apenas um SIP URI sincronizado, a chamada toca indefinidamente neste momento.
Gerenciar usuários do aplicativo Webex
Executar uma sincronização incremental
Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.
Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Observe estas exceções que a sincronização incremental não suporta (siga Faça uma sincronização completa dos usuários do Active Directory na nuvem em vez disso):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
Para novas alterações de configuração no mapeamento de atributos, DN base, filtro e configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.
-
1 |
No Conector de diretórios, clique em Painel . Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. |
2 |
Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora. |
3 |
Em Ações , clique em Sincronizar agora > Incremental . Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
|
4 |
Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
O que fazer em seguida
Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.
Recuperar usuários excluídos acidentalmente
O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.
Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.
Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.
Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.
1 | |
2 |
Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada. Para obter mais informações, consulte Status e ações do usuário no Control Hub . |
3 |
Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios. O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem. |
4 |
Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub. Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço. |
O que fazer em seguida
Retorne ao Control Hub, vá até
e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.Excluir usuários permanentemente após a exclusão suave
Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.
1 |
Após a conclusão de uma simulação, selecione Objetos excluídos por software . |
2 |
Marque a caixa de seleção ao lado dos usuários que você deseja excluir. |
3 |
Selecione Concluído. |
O que fazer em seguida
Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.
Alterar um endereço de e-mail do aplicativo Webex
Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.
Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.
O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .
Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.
Alterar o domínio do Active Directory
Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.
1 |
Configure um novo domínio do Active Directory (AD). |
2 |
Desative as sincronizações em todos os seus conectores. |
3 |
Desinstale todos os seus conectores. |
4 |
Abra um caso para alterar o domínio . No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização. Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido. |
5 |
Depois que o caso for resolvido: Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real. |
Reivindicação de domínio
Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).
Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.
Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório
Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.
Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.
Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida
será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.
Alguns usuários reivindicados podem aparecer com o movedfrom
atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído
em vez de MismatchedObject
. Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.
Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.
1 |
Desative a sincronização de diretório do Conector de diretórios. |
2 |
Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa. Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes. |
3 |
No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos. Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com). Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex. |
4 |
Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios. |
As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.
Contas de usuários do aplicativo Webex embarcadas
Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.
Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .
Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório
Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.
Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .
Esse nome de usuário pode aparecer se o atributo displayName
no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName
na nuvem, os nomes aparecem no formato no Control Hub.
Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn
(ou sn givenName
) para displayName
nos nomes de atributos da Cisco Cloud.
Como alternativa, mapeie o atributo sn givenName
para displayName
:
Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName
.
Por exemplo, insira givenName + "" + sn
(nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName
na nuvem.
Permitir que os usuários alterem nomes de exibição no Webex Meetings
Você pode desmapear o atributo displayName
da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . |
2 |
Selecione displayName sob Nome do atributo da Cisco Cloud . |
3 |
Selecione Não sincronizar este atributo . |
O que fazer em seguida
Os usuários agora podem editar seus nomes de exibição no site Webex .
Solução de problemas do conector de diretório
Atualizar para a versão mais recente do software
Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .
O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.
Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.
1 |
Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização. |
2 |
Siga as instruções para concluir a atualização. |
3 |
Reinicie o conector e inicie sessão com suas credenciais de administrador. |
4 |
Verifique o número da versão do software em . |
O que fazer em seguida
Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.
Definir configurações gerais para o conector de diretórios
Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.
1 |
No Conector de diretórios, vá para Configuração e clique em Geral . |
2 |
No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector. |
3 |
Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:
Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.) |
4 |
Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades. Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário. |
5 |
Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram. É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
6 |
Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão. Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP. LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura. |
Configurar a política do conector
Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.
Por exemplo, você define 1
como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.
1 |
No Conector de diretórios, clique em Configuração e escolha Política . |
2 |
Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite. A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
|
3 |
Insira o número máximo de exclusões que você deseja. A predefinição é 20. Recomendamos que você não aumente o valor padrão. |
4 |
Clique em Aplicar. |
Definir a agenda do conector
Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.
1 |
No Conector de diretórios, clique em Configuração e escolha Agendar . |
2 |
Especifique o Intervalo de sincronização incremental em minutos. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa. |
3 |
Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados. |
4 |
Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra. |
5 |
Especifique o Intervalo de failover em minutos. |
6 |
Clique em Aplicar. |
Vários cenários de domínio
Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.
Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.
O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .
Exemplo de caso de uso para vários domínios
Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.
-
Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.
-
Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.
-
Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.
-
Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.
- Sincronização no exemplo1.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.
O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.
- Sincronização em example1.com e example2.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Considere estas etapas:
- Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
- Faça uma sincronização completa ou incremental, por exemplo1.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.
- Faça uma sincronização incremental, por exemplo2.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com.
- Faça uma sincronização completa, por exemplo2.com.
Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.
Sincronizar um novo domínio E Preservar um domínio existente
Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.
Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).
Definir a prioridade do domínio
Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.
Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.
Antes de começar
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Definir prioridade de domínio . |
3 |
Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração. Os domínios são classificados por prioridade de cima para baixo. |
Alternar domínios
Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.
Antes de começar
-
Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.
-
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Alternar domínio . |
3 |
Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim . Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas. |
4 |
Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio. |
Desativar a sincronização do diretório
Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório e escolha uma:
|
2 |
Depois de ler o aviso, clique em Desativar . A sincronização para até que você a reative no Conector de diretórios. |
Remover Mapeamento de Atributos do Usuário
Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Selecione o mapeamento a ser removido da lista Attribute Name . |
4 |
Em Escopo de usuário afetado , selecione uma das seguintes opções:
|
5 |
Clique em Aplicar. |
Gerenciar fotos de perfil
Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Em Ações , selecione uma das seguintes opções:
|
4 |
Clique em Aplicar. |
Desinstalar e desativar o Conector de diretórios
Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:
-
Você não deseja mais usar a sincronização de diretório.
-
Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).
-
Você deseja alterar o domínio e instalar outro conector.
Antes de começar
-
Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.
-
Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.
1 |
Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos . |
2 |
Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções. Você pode ter que reinicializar o sistema para concluir a desinstalação. |
3 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório, clique em mais |
4 |
Depois de ler o aviso, clique em Desativar . A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas. |
Executar a ferramenta de diagnóstico
Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.
Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.
Solucionar problemas no Ciso Directory Connector
Solução de problemas e correções para o conector de diretórios
Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.
Instalar
O conector de diretório parou de funcionar
Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.
-
O Conector de diretórios pode não estar instalado corretamente.
-
O Conector de diretórios pode não estar em execução.
-
A rede pode não estar disponível.
Tente o seguinte:
-
Abra
. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a. -
Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.
-
Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.
Erro de reinstalação
Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.
Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.
Solução —Após algum tempo passar, tente a instalação novamente.
Iniciar sessão
O Conector de diretórios falha durante o início de sessão do SSO
Problema
O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.
Solução
Tente o seguinte:
Execute estas etapas para configurar uma nova política de grupo:
-
Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).
-
Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…
-
Dê um nome à política, clique com o botão direito do mouse e escolha Edit .
Execute estas etapas para alterar a política no nível da máquina:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
Execute estas etapas para alterar a política no nível do usuário:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
As alterações têm efeito depois de executar gpupdate /force
, a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).
O Conector do serviço Cisco DirSync não pôde ser registrado
Problema
Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."
Solução
O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.
Nenhuma página de logon é exibida
Problema
Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.
Solução
Tente as seguintes etapas:
-
No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.
-
Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)
O aviso de início de sessão é exibido
Problema
Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.
Causas possíveis
O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.
Solução
Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.
Não foi possível conectar-se ao servidor remoto
Problema
Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".
Causas possíveis
Você pode ter problemas de proxy que precisam ser resolvidos.
Solução
Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.
Não foi possível registrar o conector
Problema
Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."
Causas possíveis
Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.
Solução
Tente o seguinte:
-
Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .
-
Clique em Vincular como atualmente conectado ao usuário , e clique em OK .
, escolha -
Clique OK .
, digite DC=arbonneintl,DC=ad como BaseDN e clique em -
Se o problema persistir, abra um caso com o suporte .
Sincronização
Avatares não sincronizados
Problema
O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.
Causas possíveis
Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.
Solução
Exclua o cache local seguindo estas etapas:
-
Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Excluir DirSyncPluginAvatar.dll-cache.bin .
-
Execute novamente a sincronização do avatar do conector de diretórios da Cisco.
Conflitas de e-mail do usuário em conflito
Problema
Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.
-
Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.
-
Se os e-mails dos usuários já foram sincronizados em outra organização.
-
Se os e-mails do usuário existirem em vários domínios que pertencem à organização.
Solução
Tente o seguinte:
-
Siga estas etapas se estiver tentando reivindicar usuários:
-
Certifique-se de ter verificado o domínio no Control Hub .
-
Desative temporariamente o Conector de diretórios da Cisco.
-
Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.
-
Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório
-
-
Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.
Usuário convertido marcado como inativo
Problema
No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.
Causas possíveis
Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.
Solução
Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.
Falha na sincronização incremental
Problema
Uma sincronização incremental falha.
Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:
-
Você oferece suporte a atualizações de valor incremental.
-
O filtro que você usa faz referência a um atributo de valor vinculado.
-
Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.
Solução
O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.
Valor inválido para o atributo
Problema
Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].
Causas possíveis
Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.
Solução
Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.
Usuários correspondentes a serem excluídos
Problema
Os usuários correspondentes são marcados para serem excluídos.
Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.
Solução
Escolha uma correção apropriada:
-
Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.
-
Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .
Atributo ausente
Problema
O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.
Causas possíveis
O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.
Solução
Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.
O grupo aninhado não sincronizará
Problema
Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.
Causas possíveis
É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)
Solução
Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)
Conflito de nomeação do usuário
Problema
Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].
Causas possíveis
Um usuário com esse endereço de e-mail já existe no Control Hub.
Solução
Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.
Hub de controle
Lista de usuários ausente no Control Hub
Problema
Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.
Solução
Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.
Os grupos não serão sincronizados com o Control Hub
Problema
Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.
Causas possíveis
O grupo não está marcado como isCriticalSystemObject
no Active Directory.
Solução
Certifique-se de que o atributo isCriticalSystemObject
esteja definido como TRUE
no Active Directory.
Ativar solução de problemas para o Conector de diretórios
Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.
Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
Execute o arquivo |
2 |
Reinicie o serviço. Consulte Como iniciar serviços para obter orientação. |
3 |
No Conector de diretórios, clique em Painel . |
4 |
Vá para Ações e clique em . |
5 |
Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados. |
6 |
Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS. A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema. |
7 |
Se necessário, envie o arquivo de registro para suporte para assistência. |
8 |
Desative o recurso de solução de problemas quando terminar. |
Iniciar o Visualizador de eventos
Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.
1 |
No Conector de diretórios, vá para Painel e clique em .A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro. |
2 |
No Visualizador de eventos, vá para . |
3 |
Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv. |
O que fazer em seguida
Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.
Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.
Ativar TLS no Internet Explorer
Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:
-
Ocorreu um erro ao fazer logon no serviço
-
Ocorreu um erro no script nesta página
Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.
1 |
Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente |
2 |
Clique em Opções da Internet , vá para Avançado , role até a Segurança . |
3 |
Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK . |
4 |
Reinicie o sistema para que as alterações tenham efeito. |
Solucionar problemas de início de sessão da conta de serviço
Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.
1 |
Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web. |
2 |
Escolha um, dependendo dos resultados:
|
3 |
No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows. |
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Visão geral do conector de diretórios da Cisco
Visão geral do conector de diretórios
O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.
Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.
Veja todos os recursos, descrições e benefícios na tabela:
Recurso | Descrição e benefício |
---|---|
Painel fácil de usar | O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão. |
Simulação antes de sincronizar com a nuvem | Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera. |
Sincronização completa e incremental | Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização. |
Sincronizar vários domínios (floresta única ou várias florestas) |
O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade. |
Sincronização agendada | Defina uma agenda de sincronização por dia, hora e minuto. |
Filtros LDAP (Lightweight Directory Access Protocol) | Defina critérios de pesquisa LDAP e forneça importações eficientes. |
mapeamento de atributos do Active Directory | Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante). |
Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex |
Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.
|
visualizador de Eventos | Use o visualizador de eventos para determinar se houve algum problema com a sincronização. |
Ferramenta de diagnóstico e solução de problemas | Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte. Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico. |
Atualização automática | Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada. |
Alta disponibilidade | Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia. |
O Conector de diretórios é dividido em três áreas:
-
Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.
-
Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.
-
Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.
Consulte este diagrama para entender a arquitetura do Conector de diretórios:
Preparar seu ambiente para o conector de diretórios
Requisitos do conector de diretórios
Requisitos do Windows e do Active Directory
Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .
O Conector de diretórios é compatível com os seguintes serviços do Active Directory:
-
Active Directory 2016
(O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Observe os seguintes requisitos adicionais:
-
O Conector de diretórios requer TLS1.2. Você deve instalar o seguinte:
-
.NET Framework v3.5 (necessário para o aplicativo Conector de diretórios. Se você tiver problemas, use as instruções em Ativar .NET Framework 3.5 usando o Assistente Adicionar funções e recursos .)
-
.NET Framework v.4.5 (necessário para TLS1.2)
-
-
O nível funcional da floresta do Active Directory 2 (Windows Server 2003) ou superior é necessário. (Consulte Quais são os níveis funcionais do Active Directory? para obter mais informações.)
Requisitos de hardware
Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de armazenamento
-
Nenhum mínimo para a CPU
Requisitos de rede
Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.
Requisitos da organização Webex
-
Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.
-
(Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:
-
Adicionar, verificar e, opcionalmente, reivindicar domínios que contêm os endereços de e-mail do usuário que você deseja sincronizar na nuvem.
-
Faça uma integração de registro único (SSO) do seu Provedor de identidade (IdP) com a sua organização Webex.
-
Suprimir convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail e você possa fazer sua própria campanha de e-mail. (Este recurso requer a integração de SSO.)
-
Para obter mais informações, consulte Status e ações do usuário no Control Hub .
Requisitos de instalação
-
Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).
-
Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.
Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .
-
Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.
Vários requisitos de domínio
Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:
-
Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.
-
O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.
-
Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)
-
Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.
-
Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)
Recomendações do grupo Active Directory para atribuição automática de licenças
Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Existem dois tipos de grupos no Active Directory:
-
Grupos de distribuição —Usados para criar listas de distribuição por e-mail.
-
Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.
Considere as seguintes diretrizes ao criar grupos no Active Directory:
-
Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).
-
Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.
-
Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.
-
Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.
Informações de Dimensionamento
O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.
Alguns fatores podem afetar a velocidade da sincronização:
-
O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)
-
Velocidade da rede e largura de banda.
-
Carga de trabalho do sistema e especificações.
Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.
Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Integração de proxy da web
Integração de proxy da web
Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.
Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.
Você pode fazer uma dessas abordagens:
-
Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)
-
Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)
-
Proxy transparente que funciona com o conector sem alterações
Usar um proxy da web por meio do navegador
Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.
Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.
1 |
No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN . |
2 |
Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web. |
3 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
4 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Configurar o proxy da web por meio de um arquivo PAC
Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.
1 |
Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para |
2 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
3 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Proxy NTLM
O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.
Design NTLM
Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.
Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge
e Response
:
-
Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.
Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.
-
Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.
-
Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.
-
Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.
-
O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.
O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.
Configurar proxy transparente
Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.
1 |
Implante um proxy transparente para que o conector possa conectar e sincronizar usuários. |
2 |
Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector. |
Definir autenticação de proxy
Adicione a URL cloudconnector.webex.com
à sua lista de permissões criando uma lista de controle de acesso.
No servidor de firewall corporativo:
1 |
Ative a pesquisa DNS se ainda não estiver ativada. |
2 |
Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário. |
3 |
Crie uma lista de controle de acesso para aplicar ao host do conector e especifique Por exemplo: Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https |
4 |
Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector. |
5 |
Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada. |
Implantar o conector de diretórios
Fluxo de tarefas de implantação do conector de diretório da Cisco
Antes de começar
1 |
Instalar o Conector de diretórios O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
2 |
Iniciar Sessão No Conector De Diretórios Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial. |
3 |
Definir atualizações automáticas É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
4 |
Escolha os objetos do Active Directory para sincronizar Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios. |
5 |
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid. |
6 |
Sincronize avatares de diretório usando um dos seguintes procedimentos:
Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos. |
7 |
Sincronizar informações de sala no local com o Webex Cloud Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board |
8 |
Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:
Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex. |
Instalar o Conector de diretórios
O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.
Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:
Antes de começar
Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador
-
Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .
1 |
No Control Hub , vá para e escolha Next . |
2 |
Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows. Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione. Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
3 |
No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração. |
4 |
Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta. |
5 |
Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:
Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:
|
6 |
Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar . |
O que fazer em seguida
Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.
Iniciar Sessão No Conector De Diretórios
Antes de começar
Certifique-se de ter suas credenciais de proxy.
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.
-
Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .
1 |
Abra o conector e adicione |
2 |
Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next . |
3 |
Confirme sua organização e domínio.
|
4 |
Depois que a tela Confirmar organização for exibida, clique em Confirmar . Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida. |
5 |
Clique em Confirmar . |
6 |
Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:
|
O que fazer em seguida
Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.
Painel do conector de diretórios
Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.
Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.
Componente |
Descrição |
---|---|
Sincronização atual |
Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa. |
Próxima sincronização |
Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido. |
Última sincronização |
Exibe o status das duas últimas sincronizações executadas. |
Status de sincronização atual |
Exibe o status geral da sincronização. |
Conectores |
Exibe os conectores locais atuais que estão disponíveis para a nuvem. |
Estatísticas da nuvem |
Exibe o status geral da sincronização. |
Agenda de sincronização |
Exibe a agenda de sincronização para sincronização incremental e completa. |
Resumo da configuração |
Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
|
Ação | Descrição |
---|---|
Iniciar sincronização incremental |
Iniciar manualmente uma sincronização incremental Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento. |
Sincronizar execução seca |
Execute uma sincronização de simulação. |
Iniciar visualizador de eventos |
Inicie o Microsoft Event Viewer. |
Atualização |
Atualizar o painel do conector de diretórios da Cisco |
Ação |
Descrição |
---|---|
Sincronizar agora |
Inicie uma sincronização completa instantaneamente. |
Modo de sincronização |
Selecione o modo de sincronização completa ou incremental. |
Redefinir segredo do conector |
Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente. |
Simulação |
Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa. |
Solução de problemas |
Ative/desative a solução de problemas. |
Atualização |
Atualize a tela principal do conector de diretórios da Cisco. |
Sair |
Saia do conector de diretórios da Cisco. |
Combinação De Chave |
Ação |
---|---|
Alt +A |
Mostrar o menu Ações |
|
Sincronização agora |
|
Redefinir segredo do conector |
|
Simulação seca |
|
Sincronização incremental |
|
Sincronização completa |
|
Mostrar menu Help |
|
Ajuda |
|
Sobre |
|
Perguntas frequentes |
Definir atualizações automáticas
1 |
No Conector de diretórios, vá para Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco . e, em seguida, marque |
2 |
Clique em Aplicar para salvar suas alterações. |
Novas versões do conector são instaladas automaticamente quando estão disponíveis.
Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.
Escolha os objetos do Active Directory para sincronizar
Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.
Grupos para atribuição automática de licenças
O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.
Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:
(&(cn=Exemplo)(objectclass=Grupo))*
Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.
Grupos para implantações de segurança de dados híbridos
No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.
1 |
No Conector de diretórios, vá para Configuração e clique em Seleção de objeto . |
2 |
Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários. Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:
|
3 |
Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala. Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud . |
4 |
Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem. Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem. Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança. |
5 |
Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem. O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub. |
6 |
Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP. |
7 |
Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar. |
8 |
Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar . Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou. Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs . |
9 |
Clique em Aplicar . Escolha uma opção:
Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory . Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem . |
Mapear atributos do usuário
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.
Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.
As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).
Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho. |
2 |
Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :
Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios . Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados. |
3 |
Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo. Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações. Neste exemplo, vamos mapear os atributos do Active Directory O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem: Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário: |
4 |
(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex. Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário. Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores). |
5 |
Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:
Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário: Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato . Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub |
6 |
Depois de fazer suas escolhas, clique em Aplicar . |
Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Ativos do Active Directory e da nuvem
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .
Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.
Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.
Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.
Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.
Nomes de atributos do Active Directory |
Nomes de atributos do Webex Cloud |
Notas |
---|---|---|
— |
buildingName |
— |
c |
c |
Esse atributo especifica a abreviatura do país do usuário. |
número de departamento |
número de departamento |
Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas . |
nome de exibição |
nome de exibição |
Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas . |
userAccountControl |
ds-pwp-account-disabled |
Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente. |
EmployeeNumber |
EmployeeNumber |
— |
fasimileTelephoneNumber |
fasimileTelephoneNumber |
— |
— |
jabberID |
Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses. |
l |
l |
Esse atributo especifica a cidade do usuário. |
— |
localidade |
— |
administrador |
administrador |
Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas . |
móvel |
móvel |
Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato . |
o |
o |
Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato . |
ou |
ou |
Esse atributo especifica o nome da unidade organizacional. |
Entrega física OfficeName |
Entrega física OfficeName |
Esse atributo especifica o local do escritório do usuário. |
Código postalCode |
Código postalCode |
Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico. |
preferredLanguage |
preferredLanguage |
Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA. Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização. |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=enterprise |
Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex. |
sn |
sn |
Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas . |
st. |
st. |
Este atributo especifica o estado ou a província do usuário. |
streetAddress |
rua |
Esse atributo especifica o endereço do usuário para entrega de correio físico. |
telefone |
telefone |
Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato . |
— |
fuso horário |
Este atributo em nuvem especifica o fuso horário do usuário. |
título |
título |
Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas . |
tipo |
empresa |
— |
*userPrincipalName |
uid |
Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor. Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo. |
*userPrincipalName <atributo personalizado> |
e-mails;tipo de trabalho |
Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário. |
<Novo atributo para o usuário do Azure objectId> |
externalId |
Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente. Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex . |
Mapeamento de endereço de e-mail alternativo
Expressões para atributos personalizados
Operador |
Descrição e exemplo |
---|---|
% |
Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.
|
- |
Tira a parte de trás da string de entrada do final da string especificada.
|
+ |
Concatena sequências de entrada ou expressões.
|
| |
Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.
|
Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem. |
3 |
Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário . O avatar aparece à direita. |
4 |
Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações. |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar avatares de diretório de um servidor de recursos para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.
Antes de começar
-
O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.
-
O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.
-
A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:
|
3 |
(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha. |
4 |
Insira o Valor da variável —Por exemplo: |
5 |
Clique em Test para garantir que o padrão de URI do avatar funcione corretamente. Neste exemplo, se o valor de correio de uma entrada AD é |
6 |
Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar . Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft . |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar informações de sala no local com o Webex Cloud
Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).
1 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
2 |
Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização. Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário. |
3 |
Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise . Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")
|
4 |
Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas. |
5 |
De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip: |
6 |
Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector. Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas . Os resultados da simulação mostram todos os recursos de sala que foram correspondidos. Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem. |
O que fazer em seguida
Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.
No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.
O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.
Enviar relatórios de e-mail nos resultados da sincronização de diretórios
Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.
1 |
No Conector de diretórios, clique em Configuração e escolha Notificação . |
2 |
No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório . |
3 |
Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail. |
4 |
Clique em Adicionar e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
5 |
Clique em Adicionar e-mail e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
6 |
Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias. |
7 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar . |
8 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar . |
O que fazer em seguida
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.
Provisionar Usuários Do Active Directory Para O Control Hub
Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.
1 |
Fazer uma sincronização de execução seca no seu Active Directory Usuários Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem. |
2 |
Faça uma sincronização completa dos usuários do Active Directory na nuvem Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados. |
3 |
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial. |
Fazer uma sincronização de execução seca no seu Active Directory Usuários
Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.
Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.
Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.
Antes de começar
Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.
1 |
Escolha uma opção:
Quando a simulação for concluída, você verá um dos seguintes resultados: O Resumo contém informações sobre a correspondência de objetos:
A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local. |
2 |
Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:
|
3 |
No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados. Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched . Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail. Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo . |
4 |
Se os resultados forem esperados, vá para Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto. e clique emDepois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais. |
O que fazer em seguida
-
Para qualquer objeto de usuário incompatível que você reteve, você deve adicioná-lo ao Active Directory para que haja uma correspondência exata entre o local e a nuvem.
-
Escolha um tipo de sincronização:
-
Faça uma sincronização completa dos usuários do Active Directory na nuvem para quando você sincronizar novos usuários pela primeira vez com a nuvem. Você o faz a partir de , e então os usuários do domínio atual são sincronizados.
-
Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa.
-
-
Se você tiver vários domínios, repita essas etapas em qualquer outro Conector de diretório que tenha instalado.
Coisas a se Manter em mente
-
Execute uma simulação antes de ativar a sincronização completa ou ao alterar os parâmetros da sincronização. Se a simulação tiver sido iniciada por uma alteração de configuração, você poderá salvar as configurações depois que a simulação for concluída. Se você já tiver adicionado usuários manualmente, executar uma sincronização do Active Directory pode fazer com que usuários adicionados anteriormente sejam removidos. Você pode verificar os relatórios de execução a seco do Conector de diretórios para verificar se todos os usuários esperados estão presentes antes de sincronizar totalmente com a nuvem.
-
Se os usuários correspondentes estiverem marcados para serem excluídos e você não tiver certeza de como continuar, consulte as informações de solução de problemas e como entrar em contato com o suporte em Solução de problemas e correções do Conector de diretórios .
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Faça uma sincronização completa dos usuários do Active Directory na nuvem
Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.
Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.
O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.
Antes de começar
-
Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:
-
Integre o Registro Único com sua organização Webex. Ver
Registro único com os serviços Cisco Webex e o provedor de identidade da sua organização
para obter mais informações. -
Use o Control Hub para verificar e, opcionalmente, reivindicar domínios contidos nos endereços de e-mail. Ver
Adicionar, verificar e reivindicar domínios
. -
Suprima convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail no aplicativo Webex. (Você pode fazer sua própria campanha de e-mail.)
Os usuários ativados que não iniciaram sessão aparecem com um status Verified no Control Hub. Depois de iniciarem sessão, eles aparecem como Active . Para obter mais informações sobre o status do usuário, consulte Status do usuário e ações no Cisco Webex Control Hub .
-
-
Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.
1 |
Escolha uma opção:
|
2 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
3 |
Confirme o início da sincronização. Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização. Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
|
4 |
Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .) |
5 |
Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
6 |
Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental . |
-
Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.
-
Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.
-
A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.
-
Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.
-
Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.
-
Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.
-
Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.
O que fazer em seguida
-
Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).
Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.
-
Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.
-
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub
Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Execute uma sincronização de simulação nos usuários do Active Directory.
-
Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.
No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo... |
2 |
Escolha uma opção: |
O que fazer em seguida
-
Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.
-
Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.
Problemas conhecidos com o Conector de diretórios
-
As versões do Windows Server antes de 2012 R2 têm um problema de cookie que afeta o Conector de diretórios. Esse problema foi corrigido nas versões 2012 R2 e 2016 .
-
Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
-
Quando um usuário usa o aplicativo Webex no desktop ou celular para pesquisar e ligar para uma Sala que tem apenas um SIP URI sincronizado, a chamada toca indefinidamente neste momento.
Gerenciar usuários do aplicativo Webex
Executar uma sincronização incremental
Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.
Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Observe estas exceções que a sincronização incremental não suporta (siga Faça uma sincronização completa dos usuários do Active Directory na nuvem em vez disso):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
Para novas alterações de configuração no mapeamento de atributos, DN base, filtro e configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.
-
1 |
No Conector de diretórios, clique em Painel . Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. |
2 |
Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora. |
3 |
Em Ações , clique em Sincronizar agora > Incremental . Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
|
4 |
Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
O que fazer em seguida
Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.
Recuperar usuários excluídos acidentalmente
O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.
Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.
Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.
Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.
1 | |
2 |
Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada. Para obter mais informações, consulte Status e ações do usuário no Control Hub . |
3 |
Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios. O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem. |
4 |
Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub. Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço. |
O que fazer em seguida
Retorne ao Control Hub, vá até
e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.Excluir usuários permanentemente após a exclusão suave
Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.
1 |
Após a conclusão de uma simulação, selecione Objetos excluídos por software . |
2 |
Marque a caixa de seleção ao lado dos usuários que você deseja excluir. |
3 |
Selecione Concluído. |
O que fazer em seguida
Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.
Alterar um endereço de e-mail do aplicativo Webex
Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.
Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.
O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .
Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.
Alterar o domínio do Active Directory
Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.
1 |
Configure um novo domínio do Active Directory (AD). |
2 |
Desative as sincronizações em todos os seus conectores. |
3 |
Desinstale todos os seus conectores. |
4 |
Abra um caso para alterar o domínio . No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização. Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido. |
5 |
Depois que o caso for resolvido: Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real. |
Reivindicação de domínio
Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).
Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.
Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório
Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.
Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.
Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida
será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.
Alguns usuários reivindicados podem aparecer com o movedfrom
atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído
em vez de MismatchedObject
. Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.
Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.
1 |
Desative a sincronização de diretório do Conector de diretórios. |
2 |
Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa. Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes. |
3 |
No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos. Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com). Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex. |
4 |
Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios. |
As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.
Contas de usuários do aplicativo Webex embarcadas
Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.
Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .
Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório
Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.
Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .
Esse nome de usuário pode aparecer se o atributo displayName
no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName
na nuvem, os nomes aparecem no formato no Control Hub.
Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn
(ou sn givenName
) para displayName
nos nomes de atributos da Cisco Cloud.
Como alternativa, mapeie o atributo sn givenName
para displayName
:
Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName
.
Por exemplo, insira givenName + "" + sn
(nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName
na nuvem.
Permitir que os usuários alterem nomes de exibição no Webex Meetings
Você pode desmapear o atributo displayName
da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . |
2 |
Selecione displayName sob Nome do atributo da Cisco Cloud . |
3 |
Selecione Não sincronizar este atributo . |
O que fazer em seguida
Os usuários agora podem editar seus nomes de exibição no site Webex .
Solução de problemas do conector de diretório
Atualizar para a versão mais recente do software
Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .
O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.
Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.
1 |
Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização. |
2 |
Siga as instruções para concluir a atualização. |
3 |
Reinicie o conector e inicie sessão com suas credenciais de administrador. |
4 |
Verifique o número da versão do software em . |
O que fazer em seguida
Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.
Definir configurações gerais para o conector de diretórios
Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.
1 |
No Conector de diretórios, vá para Configuração e clique em Geral . |
2 |
No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector. |
3 |
Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:
Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.) |
4 |
Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades. Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário. |
5 |
Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram. É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
6 |
Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão. Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP. LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura. |
Configurar a política do conector
Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.
Por exemplo, você define 1
como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.
1 |
No Conector de diretórios, clique em Configuração e escolha Política . |
2 |
Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite. A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
|
3 |
Insira o número máximo de exclusões que você deseja. A predefinição é 20. Recomendamos que você não aumente o valor padrão. |
4 |
Clique em Aplicar. |
Definir a agenda do conector
Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.
1 |
No Conector de diretórios, clique em Configuração e escolha Agendar . |
2 |
Especifique o Intervalo de sincronização incremental em minutos. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa. |
3 |
Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados. |
4 |
Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra. |
5 |
Especifique o Intervalo de failover em minutos. |
6 |
Clique em Aplicar. |
Vários cenários de domínio
Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.
Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.
O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .
Exemplo de caso de uso para vários domínios
Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.
-
Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.
-
Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.
-
Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.
-
Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.
- Sincronização no exemplo1.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.
O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.
- Sincronização em example1.com e example2.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Considere estas etapas:
- Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
- Faça uma sincronização completa ou incremental, por exemplo1.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.
- Faça uma sincronização incremental, por exemplo2.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com.
- Faça uma sincronização completa, por exemplo2.com.
Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.
Sincronizar um novo domínio E Preservar um domínio existente
Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.
Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).
Definir a prioridade do domínio
Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.
Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.
Antes de começar
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Definir prioridade de domínio . |
3 |
Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração. Os domínios são classificados por prioridade de cima para baixo. |
Alternar domínios
Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.
Antes de começar
-
Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.
-
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Alternar domínio . |
3 |
Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim . Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas. |
4 |
Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio. |
Desativar a sincronização do diretório
Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório e escolha uma:
|
2 |
Depois de ler o aviso, clique em Desativar . A sincronização para até que você a reative no Conector de diretórios. |
Remover Mapeamento de Atributos do Usuário
Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Selecione o mapeamento a ser removido da lista Attribute Name . |
4 |
Em Escopo de usuário afetado , selecione uma das seguintes opções:
|
5 |
Clique em Aplicar. |
Gerenciar fotos de perfil
Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Em Ações , selecione uma das seguintes opções:
|
4 |
Clique em Aplicar. |
Desinstalar e desativar o Conector de diretórios
Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:
-
Você não deseja mais usar a sincronização de diretório.
-
Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).
-
Você deseja alterar o domínio e instalar outro conector.
Antes de começar
-
Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.
-
Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.
1 |
Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos . |
2 |
Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções. Você pode ter que reinicializar o sistema para concluir a desinstalação. |
3 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório, clique em mais |
4 |
Depois de ler o aviso, clique em Desativar . A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas. |
Executar a ferramenta de diagnóstico
Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.
Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.
Solucionar problemas no Ciso Directory Connector
Solução de problemas e correções para o conector de diretórios
Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.
Instalar
O conector de diretório parou de funcionar
Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.
-
O Conector de diretórios pode não estar instalado corretamente.
-
O Conector de diretórios pode não estar em execução.
-
A rede pode não estar disponível.
Tente o seguinte:
-
Abra
. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a. -
Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.
-
Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.
Erro de reinstalação
Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.
Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.
Solução —Após algum tempo passar, tente a instalação novamente.
Iniciar sessão
O Conector de diretórios falha durante o início de sessão do SSO
Problema
O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.
Solução
Tente o seguinte:
Execute estas etapas para configurar uma nova política de grupo:
-
Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).
-
Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…
-
Dê um nome à política, clique com o botão direito do mouse e escolha Edit .
Execute estas etapas para alterar a política no nível da máquina:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
Execute estas etapas para alterar a política no nível do usuário:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
As alterações têm efeito depois de executar gpupdate /force
, a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).
O Conector do serviço Cisco DirSync não pôde ser registrado
Problema
Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."
Solução
O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.
Nenhuma página de logon é exibida
Problema
Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.
Solução
Tente as seguintes etapas:
-
No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.
-
Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)
O aviso de início de sessão é exibido
Problema
Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.
Causas possíveis
O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.
Solução
Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.
Não foi possível conectar-se ao servidor remoto
Problema
Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".
Causas possíveis
Você pode ter problemas de proxy que precisam ser resolvidos.
Solução
Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.
Não foi possível registrar o conector
Problema
Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."
Causas possíveis
Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.
Solução
Tente o seguinte:
-
Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .
-
Clique em Vincular como atualmente conectado ao usuário , e clique em OK .
, escolha -
Clique OK .
, digite DC=arbonneintl,DC=ad como BaseDN e clique em -
Se o problema persistir, abra um caso com o suporte .
Sincronização
Avatares não sincronizados
Problema
O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.
Causas possíveis
Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.
Solução
Exclua o cache local seguindo estas etapas:
-
Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Excluir DirSyncPluginAvatar.dll-cache.bin .
-
Execute novamente a sincronização do avatar do conector de diretórios da Cisco.
Conflitas de e-mail do usuário em conflito
Problema
Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.
-
Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.
-
Se os e-mails dos usuários já foram sincronizados em outra organização.
-
Se os e-mails do usuário existirem em vários domínios que pertencem à organização.
Solução
Tente o seguinte:
-
Siga estas etapas se estiver tentando reivindicar usuários:
-
Certifique-se de ter verificado o domínio no Control Hub .
-
Desative temporariamente o Conector de diretórios da Cisco.
-
Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.
-
Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório
-
-
Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.
Usuário convertido marcado como inativo
Problema
No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.
Causas possíveis
Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.
Solução
Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.
Falha na sincronização incremental
Problema
Uma sincronização incremental falha.
Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:
-
Você oferece suporte a atualizações de valor incremental.
-
O filtro que você usa faz referência a um atributo de valor vinculado.
-
Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.
Solução
O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.
Valor inválido para o atributo
Problema
Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].
Causas possíveis
Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.
Solução
Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.
Usuários correspondentes a serem excluídos
Problema
Os usuários correspondentes são marcados para serem excluídos.
Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.
Solução
Escolha uma correção apropriada:
-
Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.
-
Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .
Atributo ausente
Problema
O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.
Causas possíveis
O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.
Solução
Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.
O grupo aninhado não sincronizará
Problema
Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.
Causas possíveis
É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)
Solução
Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)
Conflito de nomeação do usuário
Problema
Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].
Causas possíveis
Um usuário com esse endereço de e-mail já existe no Control Hub.
Solução
Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.
Hub de controle
Lista de usuários ausente no Control Hub
Problema
Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.
Solução
Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.
Os grupos não serão sincronizados com o Control Hub
Problema
Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.
Causas possíveis
O grupo não está marcado como isCriticalSystemObject
no Active Directory.
Solução
Certifique-se de que o atributo isCriticalSystemObject
esteja definido como TRUE
no Active Directory.
Ativar solução de problemas para o Conector de diretórios
Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.
Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
Execute o arquivo |
2 |
Reinicie o serviço. Consulte Como iniciar serviços para obter orientação. |
3 |
No Conector de diretórios, clique em Painel . |
4 |
Vá para Ações e clique em . |
5 |
Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados. |
6 |
Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS. A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema. |
7 |
Se necessário, envie o arquivo de registro para suporte para assistência. |
8 |
Desative o recurso de solução de problemas quando terminar. |
Iniciar o Visualizador de eventos
Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.
1 |
No Conector de diretórios, vá para Painel e clique em .A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro. |
2 |
No Visualizador de eventos, vá para . |
3 |
Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv. |
O que fazer em seguida
Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.
Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.
Ativar TLS no Internet Explorer
Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:
-
Ocorreu um erro ao fazer logon no serviço
-
Ocorreu um erro no script nesta página
Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.
1 |
Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente |
2 |
Clique em Opções da Internet , vá para Avançado , role até a Segurança . |
3 |
Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK . |
4 |
Reinicie o sistema para que as alterações tenham efeito. |
Solucionar problemas de início de sessão da conta de serviço
Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.
1 |
Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web. |
2 |
Escolha um, dependendo dos resultados:
|
3 |
No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows. |
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Visão geral do conector de diretórios da Cisco
Visão geral do conector de diretórios
O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.
Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.
Veja todos os recursos, descrições e benefícios na tabela:
Recurso | Descrição e benefício |
---|---|
Painel fácil de usar | O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão. |
Simulação antes de sincronizar com a nuvem | Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera. |
Sincronização completa e incremental | Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização. |
Sincronizar vários domínios (floresta única ou várias florestas) |
O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade. |
Sincronização agendada | Defina uma agenda de sincronização por dia, hora e minuto. |
Filtros LDAP (Lightweight Directory Access Protocol) | Defina critérios de pesquisa LDAP e forneça importações eficientes. |
mapeamento de atributos do Active Directory | Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante). |
Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex |
Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.
|
visualizador de Eventos | Use o visualizador de eventos para determinar se houve algum problema com a sincronização. |
Ferramenta de diagnóstico e solução de problemas | Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte. Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico. |
Atualização automática | Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada. |
Alta disponibilidade | Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia. |
O Conector de diretórios é dividido em três áreas:
-
Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.
-
Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.
-
Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.
Consulte este diagrama para entender a arquitetura do Conector de diretórios:
Preparar seu ambiente para o conector de diretórios
Requisitos do conector de diretórios
Requisitos do Windows e do Active Directory
Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .
O Conector de diretórios é compatível com os seguintes serviços do Active Directory:
-
Active Directory 2016
(O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Observe os seguintes requisitos adicionais:
-
O Conector de diretórios requer TLS1.2. Você deve instalar o seguinte:
-
.NET Framework v3.5 (necessário para o aplicativo Conector de diretórios. Se você tiver problemas, use as instruções em Ativar .NET Framework 3.5 usando o Assistente Adicionar funções e recursos .)
-
.NET Framework v.4.5 (necessário para TLS1.2)
-
-
O nível funcional da floresta do Active Directory 2 (Windows Server 2003) ou superior é necessário. (Consulte Quais são os níveis funcionais do Active Directory? para obter mais informações.)
Requisitos de hardware
Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de armazenamento
-
Nenhum mínimo para a CPU
Requisitos de rede
Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.
Requisitos da organização Webex
-
Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.
-
(Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:
-
Adicionar, verificar e, opcionalmente, reivindicar domínios que contêm os endereços de e-mail do usuário que você deseja sincronizar na nuvem.
-
Faça uma integração de registro único (SSO) do seu Provedor de identidade (IdP) com a sua organização Webex.
-
Suprimir convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail e você possa fazer sua própria campanha de e-mail. (Este recurso requer a integração de SSO.)
-
Para obter mais informações, consulte Status e ações do usuário no Control Hub .
Requisitos de instalação
-
Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).
-
Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.
Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .
-
Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.
Vários requisitos de domínio
Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:
-
Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.
-
O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.
-
Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)
-
Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.
-
Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)
Recomendações do grupo Active Directory para atribuição automática de licenças
Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Existem dois tipos de grupos no Active Directory:
-
Grupos de distribuição —Usados para criar listas de distribuição por e-mail.
-
Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.
Considere as seguintes diretrizes ao criar grupos no Active Directory:
-
Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).
-
Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.
-
Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.
-
Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.
Informações de Dimensionamento
O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.
Alguns fatores podem afetar a velocidade da sincronização:
-
O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)
-
Velocidade da rede e largura de banda.
-
Carga de trabalho do sistema e especificações.
Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.
Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Integração de proxy da web
Integração de proxy da web
Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.
Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.
Você pode fazer uma dessas abordagens:
-
Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)
-
Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)
-
Proxy transparente que funciona com o conector sem alterações
Usar um proxy da web por meio do navegador
Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.
Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.
1 |
No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN . |
2 |
Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web. |
3 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
4 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Configurar o proxy da web por meio de um arquivo PAC
Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.
1 |
Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para |
2 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
3 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Proxy NTLM
O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.
Design NTLM
Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.
Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge
e Response
:
-
Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.
Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.
-
Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.
-
Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.
-
Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.
-
O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.
O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.
Configurar proxy transparente
Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.
1 |
Implante um proxy transparente para que o conector possa conectar e sincronizar usuários. |
2 |
Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector. |
Definir autenticação de proxy
Adicione a URL cloudconnector.webex.com
à sua lista de permissões criando uma lista de controle de acesso.
No servidor de firewall corporativo:
1 |
Ative a pesquisa DNS se ainda não estiver ativada. |
2 |
Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário. |
3 |
Crie uma lista de controle de acesso para aplicar ao host do conector e especifique Por exemplo: Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https |
4 |
Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector. |
5 |
Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada. |
Implantar o conector de diretórios
Fluxo de tarefas de implantação do conector de diretório da Cisco
Antes de começar
1 |
Instalar o Conector de diretórios O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
2 |
Iniciar Sessão No Conector De Diretórios Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial. |
3 |
Definir atualizações automáticas É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
4 |
Escolha os objetos do Active Directory para sincronizar Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios. |
5 |
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid. |
6 |
Sincronize avatares de diretório usando um dos seguintes procedimentos:
Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos. |
7 |
Sincronizar informações de sala no local com o Webex Cloud Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board |
8 |
Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:
Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex. |
Instalar o Conector de diretórios
O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.
Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:
Antes de começar
Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador
-
Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .
1 |
No Control Hub , vá para e escolha Next . |
2 |
Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows. Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione. Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
3 |
No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração. |
4 |
Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta. |
5 |
Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:
Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:
|
6 |
Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar . |
O que fazer em seguida
Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.
Iniciar Sessão No Conector De Diretórios
Antes de começar
Certifique-se de ter suas credenciais de proxy.
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.
-
Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .
1 |
Abra o conector e adicione |
2 |
Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next . |
3 |
Confirme sua organização e domínio.
|
4 |
Depois que a tela Confirmar organização for exibida, clique em Confirmar . Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida. |
5 |
Clique em Confirmar . |
6 |
Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:
|
O que fazer em seguida
Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.
Painel do conector de diretórios
Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.
Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.
Componente |
Descrição |
---|---|
Sincronização atual |
Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa. |
Próxima sincronização |
Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido. |
Última sincronização |
Exibe o status das duas últimas sincronizações executadas. |
Status de sincronização atual |
Exibe o status geral da sincronização. |
Conectores |
Exibe os conectores locais atuais que estão disponíveis para a nuvem. |
Estatísticas da nuvem |
Exibe o status geral da sincronização. |
Agenda de sincronização |
Exibe a agenda de sincronização para sincronização incremental e completa. |
Resumo da configuração |
Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
|
Ação | Descrição |
---|---|
Iniciar sincronização incremental |
Iniciar manualmente uma sincronização incremental Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento. |
Sincronizar execução seca |
Execute uma sincronização de simulação. |
Iniciar visualizador de eventos |
Inicie o Microsoft Event Viewer. |
Atualização |
Atualizar o painel do conector de diretórios da Cisco |
Ação |
Descrição |
---|---|
Sincronizar agora |
Inicie uma sincronização completa instantaneamente. |
Modo de sincronização |
Selecione o modo de sincronização completa ou incremental. |
Redefinir segredo do conector |
Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente. |
Simulação |
Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa. |
Solução de problemas |
Ative/desative a solução de problemas. |
Atualização |
Atualize a tela principal do conector de diretórios da Cisco. |
Sair |
Saia do conector de diretórios da Cisco. |
Combinação De Chave |
Ação |
---|---|
Alt +A |
Mostrar o menu Ações |
|
Sincronização agora |
|
Redefinir segredo do conector |
|
Simulação seca |
|
Sincronização incremental |
|
Sincronização completa |
|
Mostrar menu Help |
|
Ajuda |
|
Sobre |
|
Perguntas frequentes |
Definir atualizações automáticas
1 |
No Conector de diretórios, vá para Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco . e, em seguida, marque |
2 |
Clique em Aplicar para salvar suas alterações. |
Novas versões do conector são instaladas automaticamente quando estão disponíveis.
Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.
Escolha os objetos do Active Directory para sincronizar
Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.
Grupos para atribuição automática de licenças
O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.
Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:
(&(cn=Exemplo)(objectclass=Grupo))*
Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.
Grupos para implantações de segurança de dados híbridos
No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.
1 |
No Conector de diretórios, vá para Configuração e clique em Seleção de objeto . |
2 |
Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários. Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:
|
3 |
Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala. Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud . |
4 |
Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem. Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem. Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança. |
5 |
Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem. O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub. |
6 |
Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP. |
7 |
Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar. |
8 |
Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar . Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou. Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs . |
9 |
Clique em Aplicar . Escolha uma opção:
Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory . Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem . |
Mapear atributos do usuário
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.
Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.
As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).
Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho. |
2 |
Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :
Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios . Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados. |
3 |
Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo. Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações. Neste exemplo, vamos mapear os atributos do Active Directory O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem: Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário: |
4 |
(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex. Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário. Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores). |
5 |
Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:
Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário: Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato . Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub |
6 |
Depois de fazer suas escolhas, clique em Aplicar . |
Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Ativos do Active Directory e da nuvem
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .
Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.
Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.
Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.
Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.
Nomes de atributos do Active Directory |
Nomes de atributos do Webex Cloud |
Notas |
---|---|---|
— |
buildingName |
— |
c |
c |
Esse atributo especifica a abreviatura do país do usuário. |
número de departamento |
número de departamento |
Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas . |
nome de exibição |
nome de exibição |
Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas . |
userAccountControl |
ds-pwp-account-disabled |
Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente. |
EmployeeNumber |
EmployeeNumber |
— |
fasimileTelephoneNumber |
fasimileTelephoneNumber |
— |
— |
jabberID |
Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses. |
l |
l |
Esse atributo especifica a cidade do usuário. |
— |
localidade |
— |
administrador |
administrador |
Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas . |
móvel |
móvel |
Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato . |
o |
o |
Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato . |
ou |
ou |
Esse atributo especifica o nome da unidade organizacional. |
Entrega física OfficeName |
Entrega física OfficeName |
Esse atributo especifica o local do escritório do usuário. |
Código postalCode |
Código postalCode |
Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico. |
preferredLanguage |
preferredLanguage |
Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA. Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização. |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=enterprise |
Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex. |
sn |
sn |
Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas . |
st. |
st. |
Este atributo especifica o estado ou a província do usuário. |
streetAddress |
rua |
Esse atributo especifica o endereço do usuário para entrega de correio físico. |
telefone |
telefone |
Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato . |
— |
fuso horário |
Este atributo em nuvem especifica o fuso horário do usuário. |
título |
título |
Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas . |
tipo |
empresa |
— |
*userPrincipalName |
uid |
Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor. Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo. |
*userPrincipalName <atributo personalizado> |
e-mails;tipo de trabalho |
Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário. |
<Novo atributo para o usuário do Azure objectId> |
externalId |
Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente. Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex . |
Mapeamento de endereço de e-mail alternativo
Expressões para atributos personalizados
Operador |
Descrição e exemplo |
---|---|
% |
Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.
|
- |
Tira a parte de trás da string de entrada do final da string especificada.
|
+ |
Concatena sequências de entrada ou expressões.
|
| |
Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.
|
Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem. |
3 |
Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário . O avatar aparece à direita. |
4 |
Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações. |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar avatares de diretório de um servidor de recursos para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.
Antes de começar
-
O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.
-
O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.
-
A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:
|
3 |
(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha. |
4 |
Insira o Valor da variável —Por exemplo: |
5 |
Clique em Test para garantir que o padrão de URI do avatar funcione corretamente. Neste exemplo, se o valor de correio de uma entrada AD é |
6 |
Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar . Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft . |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar informações de sala no local com o Webex Cloud
Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).
1 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
2 |
Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização. Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário. |
3 |
Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise . Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")
|
4 |
Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas. |
5 |
De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip: |
6 |
Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector. Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas . Os resultados da simulação mostram todos os recursos de sala que foram correspondidos. Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem. |
O que fazer em seguida
Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.
No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.
O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.
Enviar relatórios de e-mail nos resultados da sincronização de diretórios
Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.
1 |
No Conector de diretórios, clique em Configuração e escolha Notificação . |
2 |
No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório . |
3 |
Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail. |
4 |
Clique em Adicionar e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
5 |
Clique em Adicionar e-mail e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
6 |
Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias. |
7 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar . |
8 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar . |
O que fazer em seguida
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.
Provisionar Usuários Do Active Directory Para O Control Hub
Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.
1 |
Fazer uma sincronização de execução seca no seu Active Directory Usuários Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem. |
2 |
Faça uma sincronização completa dos usuários do Active Directory na nuvem Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados. |
3 |
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial. |
Fazer uma sincronização de execução seca no seu Active Directory Usuários
Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.
Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.
Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.
Antes de começar
Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.
1 |
Escolha uma opção:
Quando a simulação for concluída, você verá um dos seguintes resultados: O Resumo contém informações sobre a correspondência de objetos:
A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local. |
2 |
Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:
|
3 |
No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados. Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched . Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail. Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo . |
4 |
Se os resultados forem esperados, vá para Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto. e clique emDepois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais. |
O que fazer em seguida
-
Para qualquer objeto de usuário incompatível que você reteve, você deve adicioná-lo ao Active Directory para que haja uma correspondência exata entre o local e a nuvem.
-
Escolha um tipo de sincronização:
-
Faça uma sincronização completa dos usuários do Active Directory na nuvem para quando você sincronizar novos usuários pela primeira vez com a nuvem. Você o faz a partir de , e então os usuários do domínio atual são sincronizados.
-
Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa.
-
-
Se você tiver vários domínios, repita essas etapas em qualquer outro Conector de diretório que tenha instalado.
Coisas a se Manter em mente
-
Execute uma simulação antes de ativar a sincronização completa ou ao alterar os parâmetros da sincronização. Se a simulação tiver sido iniciada por uma alteração de configuração, você poderá salvar as configurações depois que a simulação for concluída. Se você já tiver adicionado usuários manualmente, executar uma sincronização do Active Directory pode fazer com que usuários adicionados anteriormente sejam removidos. Você pode verificar os relatórios de execução a seco do Conector de diretórios para verificar se todos os usuários esperados estão presentes antes de sincronizar totalmente com a nuvem.
-
Se os usuários correspondentes estiverem marcados para serem excluídos e você não tiver certeza de como continuar, consulte as informações de solução de problemas e como entrar em contato com o suporte em Solução de problemas e correções do Conector de diretórios .
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Faça uma sincronização completa dos usuários do Active Directory na nuvem
Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.
Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.
O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.
Antes de começar
-
Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:
-
Integre o Registro Único com sua organização Webex. Ver
Registro único com os serviços Cisco Webex e o provedor de identidade da sua organização
para obter mais informações. -
Use o Control Hub para verificar e, opcionalmente, reivindicar domínios contidos nos endereços de e-mail. Ver
Adicionar, verificar e reivindicar domínios
. -
Suprima convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail no aplicativo Webex. (Você pode fazer sua própria campanha de e-mail.)
Os usuários ativados que não iniciaram sessão aparecem com um status Verified no Control Hub. Depois de iniciarem sessão, eles aparecem como Active . Para obter mais informações sobre o status do usuário, consulte Status do usuário e ações no Cisco Webex Control Hub .
-
-
Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.
1 |
Escolha uma opção:
|
2 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
3 |
Confirme o início da sincronização. Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização. Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
|
4 |
Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .) |
5 |
Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
6 |
Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental . |
-
Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.
-
Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.
-
A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.
-
Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.
-
Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.
-
Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.
-
Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.
O que fazer em seguida
-
Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).
Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.
-
Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.
-
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub
Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Execute uma sincronização de simulação nos usuários do Active Directory.
-
Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.
No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo... |
2 |
Escolha uma opção: |
O que fazer em seguida
-
Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.
-
Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.
Problemas conhecidos com o Conector de diretórios
-
As versões do Windows Server antes de 2012 R2 têm um problema de cookie que afeta o Conector de diretórios. Esse problema foi corrigido nas versões 2012 R2 e 2016 .
-
Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
-
Quando um usuário usa o aplicativo Webex no desktop ou celular para pesquisar e ligar para uma Sala que tem apenas um SIP URI sincronizado, a chamada toca indefinidamente neste momento.
Gerenciar usuários do aplicativo Webex
Executar uma sincronização incremental
Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.
Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Observe estas exceções que a sincronização incremental não suporta (siga Faça uma sincronização completa dos usuários do Active Directory na nuvem em vez disso):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
Para novas alterações de configuração no mapeamento de atributos, DN base, filtro e configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.
-
1 |
No Conector de diretórios, clique em Painel . Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. |
2 |
Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora. |
3 |
Em Ações , clique em Sincronizar agora > Incremental . Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
|
4 |
Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
O que fazer em seguida
Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.
Recuperar usuários excluídos acidentalmente
O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.
Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.
Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.
Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.
1 | |
2 |
Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada. Para obter mais informações, consulte Status e ações do usuário no Control Hub . |
3 |
Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios. O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem. |
4 |
Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub. Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço. |
O que fazer em seguida
Retorne ao Control Hub, vá até
e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.Excluir usuários permanentemente após a exclusão suave
Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.
1 |
Após a conclusão de uma simulação, selecione Objetos excluídos por software . |
2 |
Marque a caixa de seleção ao lado dos usuários que você deseja excluir. |
3 |
Selecione Concluído. |
O que fazer em seguida
Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.
Alterar um endereço de e-mail do aplicativo Webex
Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.
Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.
O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .
Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.
Alterar o domínio do Active Directory
Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.
1 |
Configure um novo domínio do Active Directory (AD). |
2 |
Desative as sincronizações em todos os seus conectores. |
3 |
Desinstale todos os seus conectores. |
4 |
Abra um caso para alterar o domínio . No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização. Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido. |
5 |
Depois que o caso for resolvido: Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real. |
Reivindicação de domínio
Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).
Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.
Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório
Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.
Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.
Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida
será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.
Alguns usuários reivindicados podem aparecer com o movedfrom
atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído
em vez de MismatchedObject
. Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.
Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.
1 |
Desative a sincronização de diretório do Conector de diretórios. |
2 |
Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa. Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes. |
3 |
No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos. Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com). Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex. |
4 |
Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios. |
As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.
Contas de usuários do aplicativo Webex embarcadas
Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.
Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .
Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório
Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.
Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .
Esse nome de usuário pode aparecer se o atributo displayName
no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName
na nuvem, os nomes aparecem no formato no Control Hub.
Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn
(ou sn givenName
) para displayName
nos nomes de atributos da Cisco Cloud.
Como alternativa, mapeie o atributo sn givenName
para displayName
:
Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName
.
Por exemplo, insira givenName + "" + sn
(nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName
na nuvem.
Permitir que os usuários alterem nomes de exibição no Webex Meetings
Você pode desmapear o atributo displayName
da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . |
2 |
Selecione displayName sob Nome do atributo da Cisco Cloud . |
3 |
Selecione Não sincronizar este atributo . |
O que fazer em seguida
Os usuários agora podem editar seus nomes de exibição no site Webex .
Solução de problemas do conector de diretório
Atualizar para a versão mais recente do software
Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .
O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.
Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.
1 |
Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização. |
2 |
Siga as instruções para concluir a atualização. |
3 |
Reinicie o conector e inicie sessão com suas credenciais de administrador. |
4 |
Verifique o número da versão do software em . |
O que fazer em seguida
Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.
Definir configurações gerais para o conector de diretórios
Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.
1 |
No Conector de diretórios, vá para Configuração e clique em Geral . |
2 |
No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector. |
3 |
Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:
Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.) |
4 |
Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades. Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário. |
5 |
Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram. É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
6 |
Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão. Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP. LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura. |
Configurar a política do conector
Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.
Por exemplo, você define 1
como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.
1 |
No Conector de diretórios, clique em Configuração e escolha Política . |
2 |
Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite. A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
|
3 |
Insira o número máximo de exclusões que você deseja. A predefinição é 20. Recomendamos que você não aumente o valor padrão. |
4 |
Clique em Aplicar. |
Definir a agenda do conector
Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.
1 |
No Conector de diretórios, clique em Configuração e escolha Agendar . |
2 |
Especifique o Intervalo de sincronização incremental em minutos. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa. |
3 |
Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados. |
4 |
Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra. |
5 |
Especifique o Intervalo de failover em minutos. |
6 |
Clique em Aplicar. |
Vários cenários de domínio
Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.
Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.
O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .
Exemplo de caso de uso para vários domínios
Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.
-
Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.
-
Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.
-
Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.
-
Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.
- Sincronização no exemplo1.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.
O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.
- Sincronização em example1.com e example2.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Considere estas etapas:
- Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
- Faça uma sincronização completa ou incremental, por exemplo1.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.
- Faça uma sincronização incremental, por exemplo2.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com.
- Faça uma sincronização completa, por exemplo2.com.
Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.
Sincronizar um novo domínio E Preservar um domínio existente
Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.
Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).
Definir a prioridade do domínio
Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.
Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.
Antes de começar
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Definir prioridade de domínio . |
3 |
Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração. Os domínios são classificados por prioridade de cima para baixo. |
Alternar domínios
Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.
Antes de começar
-
Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.
-
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Alternar domínio . |
3 |
Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim . Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas. |
4 |
Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio. |
Desativar a sincronização do diretório
Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório e escolha uma:
|
2 |
Depois de ler o aviso, clique em Desativar . A sincronização para até que você a reative no Conector de diretórios. |
Remover Mapeamento de Atributos do Usuário
Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Selecione o mapeamento a ser removido da lista Attribute Name . |
4 |
Em Escopo de usuário afetado , selecione uma das seguintes opções:
|
5 |
Clique em Aplicar. |
Gerenciar fotos de perfil
Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Em Ações , selecione uma das seguintes opções:
|
4 |
Clique em Aplicar. |
Desinstalar e desativar o Conector de diretórios
Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:
-
Você não deseja mais usar a sincronização de diretório.
-
Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).
-
Você deseja alterar o domínio e instalar outro conector.
Antes de começar
-
Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.
-
Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.
1 |
Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos . |
2 |
Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções. Você pode ter que reinicializar o sistema para concluir a desinstalação. |
3 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório, clique em mais |
4 |
Depois de ler o aviso, clique em Desativar . A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas. |
Executar a ferramenta de diagnóstico
Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.
Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.
Solucionar problemas no Ciso Directory Connector
Solução de problemas e correções para o conector de diretórios
Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.
Instalar
O conector de diretório parou de funcionar
Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.
-
O Conector de diretórios pode não estar instalado corretamente.
-
O Conector de diretórios pode não estar em execução.
-
A rede pode não estar disponível.
Tente o seguinte:
-
Abra
. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a. -
Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.
-
Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.
Erro de reinstalação
Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.
Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.
Solução —Após algum tempo passar, tente a instalação novamente.
Iniciar sessão
O Conector de diretórios falha durante o início de sessão do SSO
Problema
O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.
Solução
Tente o seguinte:
Execute estas etapas para configurar uma nova política de grupo:
-
Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).
-
Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…
-
Dê um nome à política, clique com o botão direito do mouse e escolha Edit .
Execute estas etapas para alterar a política no nível da máquina:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
Execute estas etapas para alterar a política no nível do usuário:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
As alterações têm efeito depois de executar gpupdate /force
, a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).
O Conector do serviço Cisco DirSync não pôde ser registrado
Problema
Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."
Solução
O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.
Nenhuma página de logon é exibida
Problema
Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.
Solução
Tente as seguintes etapas:
-
No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.
-
Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)
O aviso de início de sessão é exibido
Problema
Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.
Causas possíveis
O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.
Solução
Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.
Não foi possível conectar-se ao servidor remoto
Problema
Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".
Causas possíveis
Você pode ter problemas de proxy que precisam ser resolvidos.
Solução
Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.
Não foi possível registrar o conector
Problema
Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."
Causas possíveis
Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.
Solução
Tente o seguinte:
-
Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .
-
Clique em Vincular como atualmente conectado ao usuário , e clique em OK .
, escolha -
Clique OK .
, digite DC=arbonneintl,DC=ad como BaseDN e clique em -
Se o problema persistir, abra um caso com o suporte .
Sincronização
Avatares não sincronizados
Problema
O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.
Causas possíveis
Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.
Solução
Exclua o cache local seguindo estas etapas:
-
Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Excluir DirSyncPluginAvatar.dll-cache.bin .
-
Execute novamente a sincronização do avatar do conector de diretórios da Cisco.
Conflitas de e-mail do usuário em conflito
Problema
Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.
-
Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.
-
Se os e-mails dos usuários já foram sincronizados em outra organização.
-
Se os e-mails do usuário existirem em vários domínios que pertencem à organização.
Solução
Tente o seguinte:
-
Siga estas etapas se estiver tentando reivindicar usuários:
-
Certifique-se de ter verificado o domínio no Control Hub .
-
Desative temporariamente o Conector de diretórios da Cisco.
-
Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.
-
Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório
-
-
Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.
Usuário convertido marcado como inativo
Problema
No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.
Causas possíveis
Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.
Solução
Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.
Falha na sincronização incremental
Problema
Uma sincronização incremental falha.
Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:
-
Você oferece suporte a atualizações de valor incremental.
-
O filtro que você usa faz referência a um atributo de valor vinculado.
-
Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.
Solução
O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.
Valor inválido para o atributo
Problema
Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].
Causas possíveis
Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.
Solução
Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.
Usuários correspondentes a serem excluídos
Problema
Os usuários correspondentes são marcados para serem excluídos.
Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.
Solução
Escolha uma correção apropriada:
-
Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.
-
Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .
Atributo ausente
Problema
O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.
Causas possíveis
O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.
Solução
Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.
O grupo aninhado não sincronizará
Problema
Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.
Causas possíveis
É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)
Solução
Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)
Conflito de nomeação do usuário
Problema
Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].
Causas possíveis
Um usuário com esse endereço de e-mail já existe no Control Hub.
Solução
Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.
Hub de controle
Lista de usuários ausente no Control Hub
Problema
Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.
Solução
Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.
Os grupos não serão sincronizados com o Control Hub
Problema
Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.
Causas possíveis
O grupo não está marcado como isCriticalSystemObject
no Active Directory.
Solução
Certifique-se de que o atributo isCriticalSystemObject
esteja definido como TRUE
no Active Directory.
Ativar solução de problemas para o Conector de diretórios
Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.
Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
Execute o arquivo |
2 |
Reinicie o serviço. Consulte Como iniciar serviços para obter orientação. |
3 |
No Conector de diretórios, clique em Painel . |
4 |
Vá para Ações e clique em . |
5 |
Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados. |
6 |
Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS. A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema. |
7 |
Se necessário, envie o arquivo de registro para suporte para assistência. |
8 |
Desative o recurso de solução de problemas quando terminar. |
Iniciar o Visualizador de eventos
Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.
1 |
No Conector de diretórios, vá para Painel e clique em .A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro. |
2 |
No Visualizador de eventos, vá para . |
3 |
Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv. |
O que fazer em seguida
Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.
Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.
Ativar TLS no Internet Explorer
Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:
-
Ocorreu um erro ao fazer logon no serviço
-
Ocorreu um erro no script nesta página
Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.
1 |
Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente |
2 |
Clique em Opções da Internet , vá para Avançado , role até a Segurança . |
3 |
Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK . |
4 |
Reinicie o sistema para que as alterações tenham efeito. |
Solucionar problemas de início de sessão da conta de serviço
Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.
1 |
Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web. |
2 |
Escolha um, dependendo dos resultados:
|
3 |
No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows. |
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Visão geral do conector de diretórios da Cisco
Visão geral do conector de diretórios
O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.
Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.
Veja todos os recursos, descrições e benefícios na tabela:
Recurso | Descrição e benefício |
---|---|
Painel fácil de usar | O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão. |
Simulação antes de sincronizar com a nuvem | Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera. |
Sincronização completa e incremental | Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização. |
Sincronizar vários domínios (floresta única ou várias florestas) |
O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade. |
Sincronização agendada | Defina uma agenda de sincronização por dia, hora e minuto. |
Filtros LDAP (Lightweight Directory Access Protocol) | Defina critérios de pesquisa LDAP e forneça importações eficientes. |
mapeamento de atributos do Active Directory | Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante). |
Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex |
Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.
|
visualizador de Eventos | Use o visualizador de eventos para determinar se houve algum problema com a sincronização. |
Ferramenta de diagnóstico e solução de problemas | Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte. Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico. |
Atualização automática | Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada. |
Alta disponibilidade | Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia. |
O Conector de diretórios é dividido em três áreas:
-
Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.
-
Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.
-
Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.
Consulte este diagrama para entender a arquitetura do Conector de diretórios:
Preparar seu ambiente para o conector de diretórios
Requisitos do conector de diretórios
Requisitos do Windows e do Active Directory
Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .
O Conector de diretórios é compatível com os seguintes serviços do Active Directory:
-
Active Directory 2016
(O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Observe os seguintes requisitos adicionais:
-
O Conector de diretórios requer TLS1.2. Você deve instalar o seguinte:
-
.NET Framework v3.5 (necessário para o aplicativo Conector de diretórios. Se você tiver problemas, use as instruções em Ativar .NET Framework 3.5 usando o Assistente Adicionar funções e recursos .)
-
.NET Framework v.4.5 (necessário para TLS1.2)
-
-
O nível funcional da floresta do Active Directory 2 (Windows Server 2003) ou superior é necessário. (Consulte Quais são os níveis funcionais do Active Directory? para obter mais informações.)
Requisitos de hardware
Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de armazenamento
-
Nenhum mínimo para a CPU
Requisitos de rede
Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.
Requisitos da organização Webex
-
Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.
-
(Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:
-
Adicionar, verificar e, opcionalmente, reivindicar domínios que contêm os endereços de e-mail do usuário que você deseja sincronizar na nuvem.
-
Faça uma integração de registro único (SSO) do seu Provedor de identidade (IdP) com a sua organização Webex.
-
Suprimir convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail e você possa fazer sua própria campanha de e-mail. (Este recurso requer a integração de SSO.)
-
Para obter mais informações, consulte Status e ações do usuário no Control Hub .
Requisitos de instalação
-
Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).
-
Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.
Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .
-
Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.
Vários requisitos de domínio
Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:
-
Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.
-
O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.
-
Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)
-
Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.
-
Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)
Recomendações do grupo Active Directory para atribuição automática de licenças
Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Existem dois tipos de grupos no Active Directory:
-
Grupos de distribuição —Usados para criar listas de distribuição por e-mail.
-
Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.
Considere as seguintes diretrizes ao criar grupos no Active Directory:
-
Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).
-
Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.
-
Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.
-
Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.
Informações de Dimensionamento
O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.
Alguns fatores podem afetar a velocidade da sincronização:
-
O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)
-
Velocidade da rede e largura de banda.
-
Carga de trabalho do sistema e especificações.
Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.
Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Integração de proxy da web
Integração de proxy da web
Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.
Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.
Você pode fazer uma dessas abordagens:
-
Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)
-
Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)
-
Proxy transparente que funciona com o conector sem alterações
Usar um proxy da web por meio do navegador
Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.
Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.
1 |
No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN . |
2 |
Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web. |
3 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
4 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Configurar o proxy da web por meio de um arquivo PAC
Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.
1 |
Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para |
2 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
3 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Proxy NTLM
O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.
Design NTLM
Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.
Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge
e Response
:
-
Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.
Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.
-
Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.
-
Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.
-
Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.
-
O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.
O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.
Configurar proxy transparente
Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.
1 |
Implante um proxy transparente para que o conector possa conectar e sincronizar usuários. |
2 |
Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector. |
Definir autenticação de proxy
Adicione a URL cloudconnector.webex.com
à sua lista de permissões criando uma lista de controle de acesso.
No servidor de firewall corporativo:
1 |
Ative a pesquisa DNS se ainda não estiver ativada. |
2 |
Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário. |
3 |
Crie uma lista de controle de acesso para aplicar ao host do conector e especifique Por exemplo: Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https |
4 |
Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector. |
5 |
Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada. |
Implantar o conector de diretórios
Fluxo de tarefas de implantação do conector de diretório da Cisco
Antes de começar
1 |
Instalar o Conector de diretórios O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
2 |
Iniciar Sessão No Conector De Diretórios Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial. |
3 |
Definir atualizações automáticas É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
4 |
Escolha os objetos do Active Directory para sincronizar Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios. |
5 |
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid. |
6 |
Sincronize avatares de diretório usando um dos seguintes procedimentos:
Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos. |
7 |
Sincronizar informações de sala no local com o Webex Cloud Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board |
8 |
Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:
Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex. |
Instalar o Conector de diretórios
O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.
Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:
Antes de começar
Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador
-
Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .
1 |
No Control Hub , vá para e escolha Next . |
2 |
Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows. Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione. Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
3 |
No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração. |
4 |
Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta. |
5 |
Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:
Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:
|
6 |
Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar . |
O que fazer em seguida
Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.
Iniciar Sessão No Conector De Diretórios
Antes de começar
Certifique-se de ter suas credenciais de proxy.
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.
-
Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .
1 |
Abra o conector e adicione |
2 |
Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next . |
3 |
Confirme sua organização e domínio.
|
4 |
Depois que a tela Confirmar organização for exibida, clique em Confirmar . Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida. |
5 |
Clique em Confirmar . |
6 |
Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:
|
O que fazer em seguida
Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.
Painel do conector de diretórios
Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.
Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.
Componente |
Descrição |
---|---|
Sincronização atual |
Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa. |
Próxima sincronização |
Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido. |
Última sincronização |
Exibe o status das duas últimas sincronizações executadas. |
Status de sincronização atual |
Exibe o status geral da sincronização. |
Conectores |
Exibe os conectores locais atuais que estão disponíveis para a nuvem. |
Estatísticas da nuvem |
Exibe o status geral da sincronização. |
Agenda de sincronização |
Exibe a agenda de sincronização para sincronização incremental e completa. |
Resumo da configuração |
Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
|
Ação | Descrição |
---|---|
Iniciar sincronização incremental |
Iniciar manualmente uma sincronização incremental Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento. |
Sincronizar execução seca |
Execute uma sincronização de simulação. |
Iniciar visualizador de eventos |
Inicie o Microsoft Event Viewer. |
Atualização |
Atualizar o painel do conector de diretórios da Cisco |
Ação |
Descrição |
---|---|
Sincronizar agora |
Inicie uma sincronização completa instantaneamente. |
Modo de sincronização |
Selecione o modo de sincronização completa ou incremental. |
Redefinir segredo do conector |
Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente. |
Simulação |
Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa. |
Solução de problemas |
Ative/desative a solução de problemas. |
Atualização |
Atualize a tela principal do conector de diretórios da Cisco. |
Sair |
Saia do conector de diretórios da Cisco. |
Combinação De Chave |
Ação |
---|---|
Alt +A |
Mostrar o menu Ações |
|
Sincronização agora |
|
Redefinir segredo do conector |
|
Simulação seca |
|
Sincronização incremental |
|
Sincronização completa |
|
Mostrar menu Help |
|
Ajuda |
|
Sobre |
|
Perguntas frequentes |
Definir atualizações automáticas
1 |
No Conector de diretórios, vá para Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco . e, em seguida, marque |
2 |
Clique em Aplicar para salvar suas alterações. |
Novas versões do conector são instaladas automaticamente quando estão disponíveis.
Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.
Escolha os objetos do Active Directory para sincronizar
Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.
Grupos para atribuição automática de licenças
O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.
Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:
(&(cn=Exemplo)(objectclass=Grupo))*
Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.
Grupos para implantações de segurança de dados híbridos
No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.
1 |
No Conector de diretórios, vá para Configuração e clique em Seleção de objeto . |
2 |
Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários. Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:
|
3 |
Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala. Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud . |
4 |
Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem. Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem. Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança. |
5 |
Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem. O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub. |
6 |
Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP. |
7 |
Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar. |
8 |
Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar . Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou. Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs . |
9 |
Clique em Aplicar . Escolha uma opção:
Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory . Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem . |
Mapear atributos do usuário
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.
Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.
As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).
Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho. |
2 |
Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :
Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios . Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados. |
3 |
Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo. Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações. Neste exemplo, vamos mapear os atributos do Active Directory O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem: Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário: |
4 |
(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex. Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário. Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores). |
5 |
Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:
Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário: Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato . Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub |
6 |
Depois de fazer suas escolhas, clique em Aplicar . |
Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Ativos do Active Directory e da nuvem
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .
Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.
Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.
Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.
Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.
Nomes de atributos do Active Directory |
Nomes de atributos do Webex Cloud |
Notas |
---|---|---|
— |
buildingName |
— |
c |
c |
Esse atributo especifica a abreviatura do país do usuário. |
número de departamento |
número de departamento |
Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas . |
nome de exibição |
nome de exibição |
Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas . |
userAccountControl |
ds-pwp-account-disabled |
Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente. |
EmployeeNumber |
EmployeeNumber |
— |
fasimileTelephoneNumber |
fasimileTelephoneNumber |
— |
— |
jabberID |
Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses. |
l |
l |
Esse atributo especifica a cidade do usuário. |
— |
localidade |
— |
administrador |
administrador |
Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas . |
móvel |
móvel |
Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato . |
o |
o |
Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato . |
ou |
ou |
Esse atributo especifica o nome da unidade organizacional. |
Entrega física OfficeName |
Entrega física OfficeName |
Esse atributo especifica o local do escritório do usuário. |
Código postalCode |
Código postalCode |
Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico. |
preferredLanguage |
preferredLanguage |
Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA. Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização. |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=enterprise |
Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex. |
sn |
sn |
Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas . |
st. |
st. |
Este atributo especifica o estado ou a província do usuário. |
streetAddress |
rua |
Esse atributo especifica o endereço do usuário para entrega de correio físico. |
telefone |
telefone |
Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato . |
— |
fuso horário |
Este atributo em nuvem especifica o fuso horário do usuário. |
título |
título |
Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas . |
tipo |
empresa |
— |
*userPrincipalName |
uid |
Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor. Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo. |
*userPrincipalName <atributo personalizado> |
e-mails;tipo de trabalho |
Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário. |
<Novo atributo para o usuário do Azure objectId> |
externalId |
Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente. Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex . |
Mapeamento de endereço de e-mail alternativo
Expressões para atributos personalizados
Operador |
Descrição e exemplo |
---|---|
% |
Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.
|
- |
Tira a parte de trás da string de entrada do final da string especificada.
|
+ |
Concatena sequências de entrada ou expressões.
|
| |
Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.
|
Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem. |
3 |
Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário . O avatar aparece à direita. |
4 |
Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações. |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar avatares de diretório de um servidor de recursos para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.
Antes de começar
-
O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.
-
O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.
-
A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:
|
3 |
(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha. |
4 |
Insira o Valor da variável —Por exemplo: |
5 |
Clique em Test para garantir que o padrão de URI do avatar funcione corretamente. Neste exemplo, se o valor de correio de uma entrada AD é |
6 |
Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar . Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft . |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar informações de sala no local com o Webex Cloud
Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).
1 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
2 |
Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização. Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário. |
3 |
Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise . Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")
|
4 |
Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas. |
5 |
De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip: |
6 |
Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector. Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas . Os resultados da simulação mostram todos os recursos de sala que foram correspondidos. Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem. |
O que fazer em seguida
Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.
No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.
O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.
Enviar relatórios de e-mail nos resultados da sincronização de diretórios
Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.
1 |
No Conector de diretórios, clique em Configuração e escolha Notificação . |
2 |
No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório . |
3 |
Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail. |
4 |
Clique em Adicionar e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
5 |
Clique em Adicionar e-mail e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
6 |
Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias. |
7 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar . |
8 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar . |
O que fazer em seguida
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.
Provisionar Usuários Do Active Directory Para O Control Hub
Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.
1 |
Fazer uma sincronização de execução seca no seu Active Directory Usuários Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem. |
2 |
Faça uma sincronização completa dos usuários do Active Directory na nuvem Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados. |
3 |
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial. |
Fazer uma sincronização de execução seca no seu Active Directory Usuários
Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.
Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.
Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.
Antes de começar
Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.
1 |
Escolha uma opção:
Quando a simulação for concluída, você verá um dos seguintes resultados: O Resumo contém informações sobre a correspondência de objetos:
A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local. |
2 |
Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:
|
3 |
No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados. Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched . Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail. Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo . |
4 |
Se os resultados forem esperados, vá para Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto. e clique emDepois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais. |
O que fazer em seguida
-
Para qualquer objeto de usuário incompatível que você reteve, você deve adicioná-lo ao Active Directory para que haja uma correspondência exata entre o local e a nuvem.
-
Escolha um tipo de sincronização:
-
Faça uma sincronização completa dos usuários do Active Directory na nuvem para quando você sincronizar novos usuários pela primeira vez com a nuvem. Você o faz a partir de , e então os usuários do domínio atual são sincronizados.
-
Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa.
-
-
Se você tiver vários domínios, repita essas etapas em qualquer outro Conector de diretório que tenha instalado.
Coisas a se Manter em mente
-
Execute uma simulação antes de ativar a sincronização completa ou ao alterar os parâmetros da sincronização. Se a simulação tiver sido iniciada por uma alteração de configuração, você poderá salvar as configurações depois que a simulação for concluída. Se você já tiver adicionado usuários manualmente, executar uma sincronização do Active Directory pode fazer com que usuários adicionados anteriormente sejam removidos. Você pode verificar os relatórios de execução a seco do Conector de diretórios para verificar se todos os usuários esperados estão presentes antes de sincronizar totalmente com a nuvem.
-
Se os usuários correspondentes estiverem marcados para serem excluídos e você não tiver certeza de como continuar, consulte as informações de solução de problemas e como entrar em contato com o suporte em Solução de problemas e correções do Conector de diretórios .
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Faça uma sincronização completa dos usuários do Active Directory na nuvem
Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.
Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.
O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.
Antes de começar
-
Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:
-
Integre o Registro Único com sua organização Webex. Ver
Registro único com os serviços Cisco Webex e o provedor de identidade da sua organização
para obter mais informações. -
Use o Control Hub para verificar e, opcionalmente, reivindicar domínios contidos nos endereços de e-mail. Ver
Adicionar, verificar e reivindicar domínios
. -
Suprima convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail no aplicativo Webex. (Você pode fazer sua própria campanha de e-mail.)
Os usuários ativados que não iniciaram sessão aparecem com um status Verified no Control Hub. Depois de iniciarem sessão, eles aparecem como Active . Para obter mais informações sobre o status do usuário, consulte Status do usuário e ações no Cisco Webex Control Hub .
-
-
Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.
1 |
Escolha uma opção:
|
2 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
3 |
Confirme o início da sincronização. Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização. Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
|
4 |
Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .) |
5 |
Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
6 |
Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental . |
-
Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.
-
Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.
-
A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.
-
Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.
-
Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.
-
Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.
-
Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.
O que fazer em seguida
-
Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).
Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.
-
Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.
-
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub
Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Execute uma sincronização de simulação nos usuários do Active Directory.
-
Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.
No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo... |
2 |
Escolha uma opção: |
O que fazer em seguida
-
Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.
-
Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.
Problemas conhecidos com o Conector de diretórios
-
As versões do Windows Server antes de 2012 R2 têm um problema de cookie que afeta o Conector de diretórios. Esse problema foi corrigido nas versões 2012 R2 e 2016 .
-
Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
-
Quando um usuário usa o aplicativo Webex no desktop ou celular para pesquisar e ligar para uma Sala que tem apenas um SIP URI sincronizado, a chamada toca indefinidamente neste momento.
Gerenciar usuários do aplicativo Webex
Executar uma sincronização incremental
Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.
Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Observe estas exceções que a sincronização incremental não suporta (siga Faça uma sincronização completa dos usuários do Active Directory na nuvem em vez disso):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
Para novas alterações de configuração no mapeamento de atributos, DN base, filtro e configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.
-
1 |
No Conector de diretórios, clique em Painel . Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. |
2 |
Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora. |
3 |
Em Ações , clique em Sincronizar agora > Incremental . Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
|
4 |
Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
O que fazer em seguida
Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.
Recuperar usuários excluídos acidentalmente
O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.
Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.
Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.
Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.
1 | |
2 |
Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada. Para obter mais informações, consulte Status e ações do usuário no Control Hub . |
3 |
Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios. O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem. |
4 |
Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub. Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço. |
O que fazer em seguida
Retorne ao Control Hub, vá até
e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.Excluir usuários permanentemente após a exclusão suave
Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.
1 |
Após a conclusão de uma simulação, selecione Objetos excluídos por software . |
2 |
Marque a caixa de seleção ao lado dos usuários que você deseja excluir. |
3 |
Selecione Concluído. |
O que fazer em seguida
Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.
Alterar um endereço de e-mail do aplicativo Webex
Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.
Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.
O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .
Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.
Alterar o domínio do Active Directory
Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.
1 |
Configure um novo domínio do Active Directory (AD). |
2 |
Desative as sincronizações em todos os seus conectores. |
3 |
Desinstale todos os seus conectores. |
4 |
Abra um caso para alterar o domínio . No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização. Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido. |
5 |
Depois que o caso for resolvido: Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real. |
Reivindicação de domínio
Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).
Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.
Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório
Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.
Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.
Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida
será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.
Alguns usuários reivindicados podem aparecer com o movedfrom
atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído
em vez de MismatchedObject
. Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.
Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.
1 |
Desative a sincronização de diretório do Conector de diretórios. |
2 |
Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa. Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes. |
3 |
No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos. Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com). Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex. |
4 |
Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios. |
As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.
Contas de usuários do aplicativo Webex embarcadas
Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.
Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .
Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório
Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.
Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .
Esse nome de usuário pode aparecer se o atributo displayName
no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName
na nuvem, os nomes aparecem no formato no Control Hub.
Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn
(ou sn givenName
) para displayName
nos nomes de atributos da Cisco Cloud.
Como alternativa, mapeie o atributo sn givenName
para displayName
:
Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName
.
Por exemplo, insira givenName + "" + sn
(nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName
na nuvem.
Permitir que os usuários alterem nomes de exibição no Webex Meetings
Você pode desmapear o atributo displayName
da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . |
2 |
Selecione displayName sob Nome do atributo da Cisco Cloud . |
3 |
Selecione Não sincronizar este atributo . |
O que fazer em seguida
Os usuários agora podem editar seus nomes de exibição no site Webex .
Solução de problemas do conector de diretório
Atualizar para a versão mais recente do software
Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .
O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.
Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.
1 |
Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização. |
2 |
Siga as instruções para concluir a atualização. |
3 |
Reinicie o conector e inicie sessão com suas credenciais de administrador. |
4 |
Verifique o número da versão do software em . |
O que fazer em seguida
Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.
Definir configurações gerais para o conector de diretórios
Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.
1 |
No Conector de diretórios, vá para Configuração e clique em Geral . |
2 |
No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector. |
3 |
Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:
Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.) |
4 |
Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades. Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário. |
5 |
Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram. É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
6 |
Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão. Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP. LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura. |
Configurar a política do conector
Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.
Por exemplo, você define 1
como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.
1 |
No Conector de diretórios, clique em Configuração e escolha Política . |
2 |
Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite. A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
|
3 |
Insira o número máximo de exclusões que você deseja. A predefinição é 20. Recomendamos que você não aumente o valor padrão. |
4 |
Clique em Aplicar. |
Definir a agenda do conector
Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.
1 |
No Conector de diretórios, clique em Configuração e escolha Agendar . |
2 |
Especifique o Intervalo de sincronização incremental em minutos. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa. |
3 |
Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados. |
4 |
Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra. |
5 |
Especifique o Intervalo de failover em minutos. |
6 |
Clique em Aplicar. |
Vários cenários de domínio
Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.
Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.
O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .
Exemplo de caso de uso para vários domínios
Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.
-
Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.
-
Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.
-
Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.
-
Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.
- Sincronização no exemplo1.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.
O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.
- Sincronização em example1.com e example2.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Considere estas etapas:
- Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
- Faça uma sincronização completa ou incremental, por exemplo1.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.
- Faça uma sincronização incremental, por exemplo2.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com.
- Faça uma sincronização completa, por exemplo2.com.
Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.
Sincronizar um novo domínio E Preservar um domínio existente
Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.
Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).
Definir a prioridade do domínio
Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.
Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.
Antes de começar
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Definir prioridade de domínio . |
3 |
Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração. Os domínios são classificados por prioridade de cima para baixo. |
Alternar domínios
Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.
Antes de começar
-
Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.
-
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Alternar domínio . |
3 |
Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim . Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas. |
4 |
Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio. |
Desativar a sincronização do diretório
Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório e escolha uma:
|
2 |
Depois de ler o aviso, clique em Desativar . A sincronização para até que você a reative no Conector de diretórios. |
Remover Mapeamento de Atributos do Usuário
Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Selecione o mapeamento a ser removido da lista Attribute Name . |
4 |
Em Escopo de usuário afetado , selecione uma das seguintes opções:
|
5 |
Clique em Aplicar. |
Gerenciar fotos de perfil
Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Em Ações , selecione uma das seguintes opções:
|
4 |
Clique em Aplicar. |
Desinstalar e desativar o Conector de diretórios
Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:
-
Você não deseja mais usar a sincronização de diretório.
-
Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).
-
Você deseja alterar o domínio e instalar outro conector.
Antes de começar
-
Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.
-
Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.
1 |
Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos . |
2 |
Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções. Você pode ter que reinicializar o sistema para concluir a desinstalação. |
3 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório, clique em mais |
4 |
Depois de ler o aviso, clique em Desativar . A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas. |
Executar a ferramenta de diagnóstico
Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.
Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.
Solucionar problemas no Ciso Directory Connector
Solução de problemas e correções para o conector de diretórios
Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.
Instalar
O conector de diretório parou de funcionar
Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.
-
O Conector de diretórios pode não estar instalado corretamente.
-
O Conector de diretórios pode não estar em execução.
-
A rede pode não estar disponível.
Tente o seguinte:
-
Abra
. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a. -
Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.
-
Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.
Erro de reinstalação
Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.
Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.
Solução —Após algum tempo passar, tente a instalação novamente.
Iniciar sessão
O Conector de diretórios falha durante o início de sessão do SSO
Problema
O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.
Solução
Tente o seguinte:
Execute estas etapas para configurar uma nova política de grupo:
-
Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).
-
Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…
-
Dê um nome à política, clique com o botão direito do mouse e escolha Edit .
Execute estas etapas para alterar a política no nível da máquina:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
Execute estas etapas para alterar a política no nível do usuário:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
As alterações têm efeito depois de executar gpupdate /force
, a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).
O Conector do serviço Cisco DirSync não pôde ser registrado
Problema
Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."
Solução
O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.
Nenhuma página de logon é exibida
Problema
Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.
Solução
Tente as seguintes etapas:
-
No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.
-
Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)
O aviso de início de sessão é exibido
Problema
Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.
Causas possíveis
O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.
Solução
Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.
Não foi possível conectar-se ao servidor remoto
Problema
Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".
Causas possíveis
Você pode ter problemas de proxy que precisam ser resolvidos.
Solução
Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.
Não foi possível registrar o conector
Problema
Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."
Causas possíveis
Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.
Solução
Tente o seguinte:
-
Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .
-
Clique em Vincular como atualmente conectado ao usuário , e clique em OK .
, escolha -
Clique OK .
, digite DC=arbonneintl,DC=ad como BaseDN e clique em -
Se o problema persistir, abra um caso com o suporte .
Sincronização
Avatares não sincronizados
Problema
O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.
Causas possíveis
Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.
Solução
Exclua o cache local seguindo estas etapas:
-
Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Excluir DirSyncPluginAvatar.dll-cache.bin .
-
Execute novamente a sincronização do avatar do conector de diretórios da Cisco.
Conflitas de e-mail do usuário em conflito
Problema
Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.
-
Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.
-
Se os e-mails dos usuários já foram sincronizados em outra organização.
-
Se os e-mails do usuário existirem em vários domínios que pertencem à organização.
Solução
Tente o seguinte:
-
Siga estas etapas se estiver tentando reivindicar usuários:
-
Certifique-se de ter verificado o domínio no Control Hub .
-
Desative temporariamente o Conector de diretórios da Cisco.
-
Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.
-
Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório
-
-
Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.
Usuário convertido marcado como inativo
Problema
No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.
Causas possíveis
Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.
Solução
Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.
Falha na sincronização incremental
Problema
Uma sincronização incremental falha.
Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:
-
Você oferece suporte a atualizações de valor incremental.
-
O filtro que você usa faz referência a um atributo de valor vinculado.
-
Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.
Solução
O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.
Valor inválido para o atributo
Problema
Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].
Causas possíveis
Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.
Solução
Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.
Usuários correspondentes a serem excluídos
Problema
Os usuários correspondentes são marcados para serem excluídos.
Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.
Solução
Escolha uma correção apropriada:
-
Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.
-
Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .
Atributo ausente
Problema
O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.
Causas possíveis
O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.
Solução
Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.
O grupo aninhado não sincronizará
Problema
Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.
Causas possíveis
É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)
Solução
Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)
Conflito de nomeação do usuário
Problema
Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].
Causas possíveis
Um usuário com esse endereço de e-mail já existe no Control Hub.
Solução
Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.
Hub de controle
Lista de usuários ausente no Control Hub
Problema
Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.
Solução
Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.
Os grupos não serão sincronizados com o Control Hub
Problema
Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.
Causas possíveis
O grupo não está marcado como isCriticalSystemObject
no Active Directory.
Solução
Certifique-se de que o atributo isCriticalSystemObject
esteja definido como TRUE
no Active Directory.
Ativar solução de problemas para o Conector de diretórios
Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.
Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
Execute o arquivo |
2 |
Reinicie o serviço. Consulte Como iniciar serviços para obter orientação. |
3 |
No Conector de diretórios, clique em Painel . |
4 |
Vá para Ações e clique em . |
5 |
Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados. |
6 |
Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS. A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema. |
7 |
Se necessário, envie o arquivo de registro para suporte para assistência. |
8 |
Desative o recurso de solução de problemas quando terminar. |
Iniciar o Visualizador de eventos
Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.
1 |
No Conector de diretórios, vá para Painel e clique em .A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro. |
2 |
No Visualizador de eventos, vá para . |
3 |
Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv. |
O que fazer em seguida
Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.
Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.
Ativar TLS no Internet Explorer
Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:
-
Ocorreu um erro ao fazer logon no serviço
-
Ocorreu um erro no script nesta página
Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.
1 |
Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente |
2 |
Clique em Opções da Internet , vá para Avançado , role até a Segurança . |
3 |
Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK . |
4 |
Reinicie o sistema para que as alterações tenham efeito. |
Solucionar problemas de início de sessão da conta de serviço
Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.
1 |
Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web. |
2 |
Escolha um, dependendo dos resultados:
|
3 |
No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows. |
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Visão geral do conector de diretórios da Cisco
Visão geral do conector de diretórios
O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.
Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.
Veja todos os recursos, descrições e benefícios na tabela:
Recurso | Descrição e benefício |
---|---|
Painel fácil de usar | O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão. |
Simulação antes de sincronizar com a nuvem | Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera. |
Sincronização completa e incremental | Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização. |
Sincronizar vários domínios (floresta única ou várias florestas) |
O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade. |
Sincronização agendada | Defina uma agenda de sincronização por dia, hora e minuto. |
Filtros LDAP (Lightweight Directory Access Protocol) | Defina critérios de pesquisa LDAP e forneça importações eficientes. |
mapeamento de atributos do Active Directory | Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante). |
Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex |
Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.
|
visualizador de Eventos | Use o visualizador de eventos para determinar se houve algum problema com a sincronização. |
Ferramenta de diagnóstico e solução de problemas | Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte. Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico. |
Atualização automática | Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada. |
Alta disponibilidade | Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia. |
O Conector de diretórios é dividido em três áreas:
-
Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.
-
Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.
-
Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.
Consulte este diagrama para entender a arquitetura do Conector de diretórios:
Preparar seu ambiente para o conector de diretórios
Requisitos do conector de diretórios
Requisitos do Windows e do Active Directory
Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .
O Conector de diretórios é compatível com os seguintes serviços do Active Directory:
-
Active Directory 2016
(O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Observe os seguintes requisitos adicionais:
-
O Conector de diretórios requer TLS1.2. Você deve instalar o seguinte:
-
.NET Framework v3.5 (necessário para o aplicativo Conector de diretórios. Se você tiver problemas, use as instruções em Ativar .NET Framework 3.5 usando o Assistente Adicionar funções e recursos .)
-
.NET Framework v.4.5 (necessário para TLS1.2)
-
-
O nível funcional da floresta do Active Directory 2 (Windows Server 2003) ou superior é necessário. (Consulte Quais são os níveis funcionais do Active Directory? para obter mais informações.)
Requisitos de hardware
Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de armazenamento
-
Nenhum mínimo para a CPU
Requisitos de rede
Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.
Requisitos da organização Webex
-
Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.
-
(Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:
-
Adicionar, verificar e, opcionalmente, reivindicar domínios que contêm os endereços de e-mail do usuário que você deseja sincronizar na nuvem.
-
Faça uma integração de registro único (SSO) do seu Provedor de identidade (IdP) com a sua organização Webex.
-
Suprimir convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail e você possa fazer sua própria campanha de e-mail. (Este recurso requer a integração de SSO.)
-
Para obter mais informações, consulte Status e ações do usuário no Control Hub .
Requisitos de instalação
-
Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).
-
Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.
Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .
-
Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.
Vários requisitos de domínio
Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:
-
Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.
-
O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.
-
Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)
-
Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.
-
Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)
Recomendações do grupo Active Directory para atribuição automática de licenças
Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Existem dois tipos de grupos no Active Directory:
-
Grupos de distribuição —Usados para criar listas de distribuição por e-mail.
-
Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.
Considere as seguintes diretrizes ao criar grupos no Active Directory:
-
Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).
-
Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.
-
Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.
-
Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.
Informações de Dimensionamento
O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.
Alguns fatores podem afetar a velocidade da sincronização:
-
O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)
-
Velocidade da rede e largura de banda.
-
Carga de trabalho do sistema e especificações.
Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.
Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Integração de proxy da web
Integração de proxy da web
Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.
Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.
Você pode fazer uma dessas abordagens:
-
Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)
-
Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)
-
Proxy transparente que funciona com o conector sem alterações
Usar um proxy da web por meio do navegador
Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.
Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.
1 |
No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN . |
2 |
Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web. |
3 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
4 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Configurar o proxy da web por meio de um arquivo PAC
Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.
1 |
Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para |
2 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
3 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Proxy NTLM
O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.
Design NTLM
Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.
Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge
e Response
:
-
Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.
Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.
-
Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.
-
Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.
-
Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.
-
O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.
O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.
Configurar proxy transparente
Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.
1 |
Implante um proxy transparente para que o conector possa conectar e sincronizar usuários. |
2 |
Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector. |
Definir autenticação de proxy
Adicione a URL cloudconnector.webex.com
à sua lista de permissões criando uma lista de controle de acesso.
No servidor de firewall corporativo:
1 |
Ative a pesquisa DNS se ainda não estiver ativada. |
2 |
Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário. |
3 |
Crie uma lista de controle de acesso para aplicar ao host do conector e especifique Por exemplo: Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https |
4 |
Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector. |
5 |
Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada. |
Implantar o conector de diretórios
Fluxo de tarefas de implantação do conector de diretório da Cisco
Antes de começar
1 |
Instalar o Conector de diretórios O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
2 |
Iniciar Sessão No Conector De Diretórios Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial. |
3 |
Definir atualizações automáticas É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
4 |
Escolha os objetos do Active Directory para sincronizar Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios. |
5 |
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid. |
6 |
Sincronize avatares de diretório usando um dos seguintes procedimentos:
Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos. |
7 |
Sincronizar informações de sala no local com o Webex Cloud Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board |
8 |
Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:
Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex. |
Instalar o Conector de diretórios
O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.
Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:
Antes de começar
Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador
-
Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .
1 |
No Control Hub , vá para e escolha Next . |
2 |
Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows. Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione. Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
3 |
No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração. |
4 |
Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta. |
5 |
Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:
Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:
|
6 |
Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar . |
O que fazer em seguida
Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.
Iniciar Sessão No Conector De Diretórios
Antes de começar
Certifique-se de ter suas credenciais de proxy.
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.
-
Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .
1 |
Abra o conector e adicione |
2 |
Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next . |
3 |
Confirme sua organização e domínio.
|
4 |
Depois que a tela Confirmar organização for exibida, clique em Confirmar . Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida. |
5 |
Clique em Confirmar . |
6 |
Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:
|
O que fazer em seguida
Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.
Painel do conector de diretórios
Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.
Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.
Componente |
Descrição |
---|---|
Sincronização atual |
Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa. |
Próxima sincronização |
Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido. |
Última sincronização |
Exibe o status das duas últimas sincronizações executadas. |
Status de sincronização atual |
Exibe o status geral da sincronização. |
Conectores |
Exibe os conectores locais atuais que estão disponíveis para a nuvem. |
Estatísticas da nuvem |
Exibe o status geral da sincronização. |
Agenda de sincronização |
Exibe a agenda de sincronização para sincronização incremental e completa. |
Resumo da configuração |
Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
|
Ação | Descrição |
---|---|
Iniciar sincronização incremental |
Iniciar manualmente uma sincronização incremental Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento. |
Sincronizar execução seca |
Execute uma sincronização de simulação. |
Iniciar visualizador de eventos |
Inicie o Microsoft Event Viewer. |
Atualização |
Atualizar o painel do conector de diretórios da Cisco |
Ação |
Descrição |
---|---|
Sincronizar agora |
Inicie uma sincronização completa instantaneamente. |
Modo de sincronização |
Selecione o modo de sincronização completa ou incremental. |
Redefinir segredo do conector |
Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente. |
Simulação |
Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa. |
Solução de problemas |
Ative/desative a solução de problemas. |
Atualização |
Atualize a tela principal do conector de diretórios da Cisco. |
Sair |
Saia do conector de diretórios da Cisco. |
Combinação De Chave |
Ação |
---|---|
Alt +A |
Mostrar o menu Ações |
|
Sincronização agora |
|
Redefinir segredo do conector |
|
Simulação seca |
|
Sincronização incremental |
|
Sincronização completa |
|
Mostrar menu Help |
|
Ajuda |
|
Sobre |
|
Perguntas frequentes |
Definir atualizações automáticas
1 |
No Conector de diretórios, vá para Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco . e, em seguida, marque |
2 |
Clique em Aplicar para salvar suas alterações. |
Novas versões do conector são instaladas automaticamente quando estão disponíveis.
Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.
Escolha os objetos do Active Directory para sincronizar
Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.
Grupos para atribuição automática de licenças
O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.
Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:
(&(cn=Exemplo)(objectclass=Grupo))*
Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.
Grupos para implantações de segurança de dados híbridos
No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.
1 |
No Conector de diretórios, vá para Configuração e clique em Seleção de objeto . |
2 |
Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários. Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:
|
3 |
Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala. Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud . |
4 |
Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem. Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem. Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança. |
5 |
Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem. O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub. |
6 |
Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP. |
7 |
Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar. |
8 |
Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar . Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou. Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs . |
9 |
Clique em Aplicar . Escolha uma opção:
Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory . Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem . |
Mapear atributos do usuário
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.
Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.
As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).
Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho. |
2 |
Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :
Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios . Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados. |
3 |
Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo. Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações. Neste exemplo, vamos mapear os atributos do Active Directory O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem: Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário: |
4 |
(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex. Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário. Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores). |
5 |
Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:
Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário: Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato . Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub |
6 |
Depois de fazer suas escolhas, clique em Aplicar . |
Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Ativos do Active Directory e da nuvem
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .
Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.
Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.
Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.
Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.
Nomes de atributos do Active Directory |
Nomes de atributos do Webex Cloud |
Notas |
---|---|---|
— |
buildingName |
— |
c |
c |
Esse atributo especifica a abreviatura do país do usuário. |
número de departamento |
número de departamento |
Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas . |
nome de exibição |
nome de exibição |
Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas . |
userAccountControl |
ds-pwp-account-disabled |
Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente. |
EmployeeNumber |
EmployeeNumber |
— |
fasimileTelephoneNumber |
fasimileTelephoneNumber |
— |
— |
jabberID |
Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses. |
l |
l |
Esse atributo especifica a cidade do usuário. |
— |
localidade |
— |
administrador |
administrador |
Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas . |
móvel |
móvel |
Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato . |
o |
o |
Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato . |
ou |
ou |
Esse atributo especifica o nome da unidade organizacional. |
Entrega física OfficeName |
Entrega física OfficeName |
Esse atributo especifica o local do escritório do usuário. |
Código postalCode |
Código postalCode |
Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico. |
preferredLanguage |
preferredLanguage |
Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA. Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização. |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=enterprise |
Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex. |
sn |
sn |
Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas . |
st. |
st. |
Este atributo especifica o estado ou a província do usuário. |
streetAddress |
rua |
Esse atributo especifica o endereço do usuário para entrega de correio físico. |
telefone |
telefone |
Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato . |
— |
fuso horário |
Este atributo em nuvem especifica o fuso horário do usuário. |
título |
título |
Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas . |
tipo |
empresa |
— |
*userPrincipalName |
uid |
Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor. Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo. |
*userPrincipalName <atributo personalizado> |
e-mails;tipo de trabalho |
Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário. |
<Novo atributo para o usuário do Azure objectId> |
externalId |
Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente. Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex . |
Mapeamento de endereço de e-mail alternativo
Expressões para atributos personalizados
Operador |
Descrição e exemplo |
---|---|
% |
Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.
|
- |
Tira a parte de trás da string de entrada do final da string especificada.
|
+ |
Concatena sequências de entrada ou expressões.
|
| |
Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.
|
Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem. |
3 |
Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário . O avatar aparece à direita. |
4 |
Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações. |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar avatares de diretório de um servidor de recursos para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.
Antes de começar
-
O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.
-
O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.
-
A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:
|
3 |
(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha. |
4 |
Insira o Valor da variável —Por exemplo: |
5 |
Clique em Test para garantir que o padrão de URI do avatar funcione corretamente. Neste exemplo, se o valor de correio de uma entrada AD é |
6 |
Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar . Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft . |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar informações de sala no local com o Webex Cloud
Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).
1 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
2 |
Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização. Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário. |
3 |
Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise . Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")
|
4 |
Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas. |
5 |
De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip: |
6 |
Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector. Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas . Os resultados da simulação mostram todos os recursos de sala que foram correspondidos. Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem. |
O que fazer em seguida
Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.
No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.
O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.
Enviar relatórios de e-mail nos resultados da sincronização de diretórios
Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.
1 |
No Conector de diretórios, clique em Configuração e escolha Notificação . |
2 |
No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório . |
3 |
Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail. |
4 |
Clique em Adicionar e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
5 |
Clique em Adicionar e-mail e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
6 |
Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias. |
7 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar . |
8 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar . |
O que fazer em seguida
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.
Provisionar Usuários Do Active Directory Para O Control Hub
Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.
1 |
Fazer uma sincronização de execução seca no seu Active Directory Usuários Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem. |
2 |
Faça uma sincronização completa dos usuários do Active Directory na nuvem Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados. |
3 |
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial. |
Fazer uma sincronização de execução seca no seu Active Directory Usuários
Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.
Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.
Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.
Antes de começar
Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.
1 |
Escolha uma opção:
Quando a simulação for concluída, você verá um dos seguintes resultados: O Resumo contém informações sobre a correspondência de objetos:
A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local. |
2 |
Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:
|
3 |
No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados. Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched . Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail. Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo . |
4 |
Se os resultados forem esperados, vá para Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto. e clique emDepois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais. |
O que fazer em seguida
-
Para qualquer objeto de usuário incompatível que você reteve, você deve adicioná-lo ao Active Directory para que haja uma correspondência exata entre o local e a nuvem.
-
Escolha um tipo de sincronização:
-
Faça uma sincronização completa dos usuários do Active Directory na nuvem para quando você sincronizar novos usuários pela primeira vez com a nuvem. Você o faz a partir de , e então os usuários do domínio atual são sincronizados.
-
Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa.
-
-
Se você tiver vários domínios, repita essas etapas em qualquer outro Conector de diretório que tenha instalado.
Coisas a se Manter em mente
-
Execute uma simulação antes de ativar a sincronização completa ou ao alterar os parâmetros da sincronização. Se a simulação tiver sido iniciada por uma alteração de configuração, você poderá salvar as configurações depois que a simulação for concluída. Se você já tiver adicionado usuários manualmente, executar uma sincronização do Active Directory pode fazer com que usuários adicionados anteriormente sejam removidos. Você pode verificar os relatórios de execução a seco do Conector de diretórios para verificar se todos os usuários esperados estão presentes antes de sincronizar totalmente com a nuvem.
-
Se os usuários correspondentes estiverem marcados para serem excluídos e você não tiver certeza de como continuar, consulte as informações de solução de problemas e como entrar em contato com o suporte em Solução de problemas e correções do Conector de diretórios .
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Faça uma sincronização completa dos usuários do Active Directory na nuvem
Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.
Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.
O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.
Antes de começar
-
Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:
-
Integre o Registro Único com sua organização Webex. Ver
Registro único com os serviços Cisco Webex e o provedor de identidade da sua organização
para obter mais informações. -
Use o Control Hub para verificar e, opcionalmente, reivindicar domínios contidos nos endereços de e-mail. Ver
Adicionar, verificar e reivindicar domínios
. -
Suprima convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail no aplicativo Webex. (Você pode fazer sua própria campanha de e-mail.)
Os usuários ativados que não iniciaram sessão aparecem com um status Verified no Control Hub. Depois de iniciarem sessão, eles aparecem como Active . Para obter mais informações sobre o status do usuário, consulte Status do usuário e ações no Cisco Webex Control Hub .
-
-
Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.
1 |
Escolha uma opção:
|
2 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
3 |
Confirme o início da sincronização. Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização. Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
|
4 |
Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .) |
5 |
Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
6 |
Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental . |
-
Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.
-
Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.
-
A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.
-
Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.
-
Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.
-
Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.
-
Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.
O que fazer em seguida
-
Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).
Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.
-
Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.
-
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub
Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Execute uma sincronização de simulação nos usuários do Active Directory.
-
Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.
No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo... |
2 |
Escolha uma opção: |
O que fazer em seguida
-
Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.
-
Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.
Problemas conhecidos com o Conector de diretórios
-
As versões do Windows Server antes de 2012 R2 têm um problema de cookie que afeta o Conector de diretórios. Esse problema foi corrigido nas versões 2012 R2 e 2016 .
-
Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
-
Quando um usuário usa o aplicativo Webex no desktop ou celular para pesquisar e ligar para uma Sala que tem apenas um SIP URI sincronizado, a chamada toca indefinidamente neste momento.
Gerenciar usuários do aplicativo Webex
Executar uma sincronização incremental
Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.
Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Observe estas exceções que a sincronização incremental não suporta (siga Faça uma sincronização completa dos usuários do Active Directory na nuvem em vez disso):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
Para novas alterações de configuração no mapeamento de atributos, DN base, filtro e configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.
-
1 |
No Conector de diretórios, clique em Painel . Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. |
2 |
Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora. |
3 |
Em Ações , clique em Sincronizar agora > Incremental . Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
|
4 |
Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
O que fazer em seguida
Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.
Recuperar usuários excluídos acidentalmente
O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.
Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.
Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.
Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.
1 | |
2 |
Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada. Para obter mais informações, consulte Status e ações do usuário no Control Hub . |
3 |
Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios. O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem. |
4 |
Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub. Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço. |
O que fazer em seguida
Retorne ao Control Hub, vá até
e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.Excluir usuários permanentemente após a exclusão suave
Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.
1 |
Após a conclusão de uma simulação, selecione Objetos excluídos por software . |
2 |
Marque a caixa de seleção ao lado dos usuários que você deseja excluir. |
3 |
Selecione Concluído. |
O que fazer em seguida
Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.
Alterar um endereço de e-mail do aplicativo Webex
Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.
Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.
O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .
Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.
Alterar o domínio do Active Directory
Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.
1 |
Configure um novo domínio do Active Directory (AD). |
2 |
Desative as sincronizações em todos os seus conectores. |
3 |
Desinstale todos os seus conectores. |
4 |
Abra um caso para alterar o domínio . No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização. Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido. |
5 |
Depois que o caso for resolvido: Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real. |
Reivindicação de domínio
Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).
Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.
Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório
Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.
Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.
Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida
será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.
Alguns usuários reivindicados podem aparecer com o movedfrom
atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído
em vez de MismatchedObject
. Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.
Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.
1 |
Desative a sincronização de diretório do Conector de diretórios. |
2 |
Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa. Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes. |
3 |
No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos. Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com). Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex. |
4 |
Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios. |
As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.
Contas de usuários do aplicativo Webex embarcadas
Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.
Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .
Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório
Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.
Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .
Esse nome de usuário pode aparecer se o atributo displayName
no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName
na nuvem, os nomes aparecem no formato no Control Hub.
Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn
(ou sn givenName
) para displayName
nos nomes de atributos da Cisco Cloud.
Como alternativa, mapeie o atributo sn givenName
para displayName
:
Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName
.
Por exemplo, insira givenName + "" + sn
(nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName
na nuvem.
Permitir que os usuários alterem nomes de exibição no Webex Meetings
Você pode desmapear o atributo displayName
da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . |
2 |
Selecione displayName sob Nome do atributo da Cisco Cloud . |
3 |
Selecione Não sincronizar este atributo . |
O que fazer em seguida
Os usuários agora podem editar seus nomes de exibição no site Webex .
Solução de problemas do conector de diretório
Atualizar para a versão mais recente do software
Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .
O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.
Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.
1 |
Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização. |
2 |
Siga as instruções para concluir a atualização. |
3 |
Reinicie o conector e inicie sessão com suas credenciais de administrador. |
4 |
Verifique o número da versão do software em . |
O que fazer em seguida
Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.
Definir configurações gerais para o conector de diretórios
Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.
1 |
No Conector de diretórios, vá para Configuração e clique em Geral . |
2 |
No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector. |
3 |
Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:
Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.) |
4 |
Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades. Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário. |
5 |
Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram. É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
6 |
Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão. Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP. LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura. |
Configurar a política do conector
Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.
Por exemplo, você define 1
como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.
1 |
No Conector de diretórios, clique em Configuração e escolha Política . |
2 |
Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite. A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
|
3 |
Insira o número máximo de exclusões que você deseja. A predefinição é 20. Recomendamos que você não aumente o valor padrão. |
4 |
Clique em Aplicar. |
Definir a agenda do conector
Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.
1 |
No Conector de diretórios, clique em Configuração e escolha Agendar . |
2 |
Especifique o Intervalo de sincronização incremental em minutos. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa. |
3 |
Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados. |
4 |
Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra. |
5 |
Especifique o Intervalo de failover em minutos. |
6 |
Clique em Aplicar. |
Vários cenários de domínio
Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.
Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.
O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .
Exemplo de caso de uso para vários domínios
Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.
-
Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.
-
Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.
-
Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.
-
Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.
- Sincronização no exemplo1.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.
O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.
- Sincronização em example1.com e example2.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Considere estas etapas:
- Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
- Faça uma sincronização completa ou incremental, por exemplo1.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.
- Faça uma sincronização incremental, por exemplo2.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com.
- Faça uma sincronização completa, por exemplo2.com.
Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.
Sincronizar um novo domínio E Preservar um domínio existente
Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.
Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).
Definir a prioridade do domínio
Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.
Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.
Antes de começar
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Definir prioridade de domínio . |
3 |
Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração. Os domínios são classificados por prioridade de cima para baixo. |
Alternar domínios
Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.
Antes de começar
-
Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.
-
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Alternar domínio . |
3 |
Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim . Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas. |
4 |
Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio. |
Desativar a sincronização do diretório
Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório e escolha uma:
|
2 |
Depois de ler o aviso, clique em Desativar . A sincronização para até que você a reative no Conector de diretórios. |
Remover Mapeamento de Atributos do Usuário
Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Selecione o mapeamento a ser removido da lista Attribute Name . |
4 |
Em Escopo de usuário afetado , selecione uma das seguintes opções:
|
5 |
Clique em Aplicar. |
Gerenciar fotos de perfil
Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Em Ações , selecione uma das seguintes opções:
|
4 |
Clique em Aplicar. |
Desinstalar e desativar o Conector de diretórios
Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:
-
Você não deseja mais usar a sincronização de diretório.
-
Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).
-
Você deseja alterar o domínio e instalar outro conector.
Antes de começar
-
Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.
-
Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.
1 |
Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos . |
2 |
Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções. Você pode ter que reinicializar o sistema para concluir a desinstalação. |
3 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório, clique em mais |
4 |
Depois de ler o aviso, clique em Desativar . A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas. |
Executar a ferramenta de diagnóstico
Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.
Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.
Solucionar problemas no Ciso Directory Connector
Solução de problemas e correções para o conector de diretórios
Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.
Instalar
O conector de diretório parou de funcionar
Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.
-
O Conector de diretórios pode não estar instalado corretamente.
-
O Conector de diretórios pode não estar em execução.
-
A rede pode não estar disponível.
Tente o seguinte:
-
Abra
. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a. -
Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.
-
Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.
Erro de reinstalação
Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.
Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.
Solução —Após algum tempo passar, tente a instalação novamente.
Iniciar sessão
O Conector de diretórios falha durante o início de sessão do SSO
Problema
O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.
Solução
Tente o seguinte:
Execute estas etapas para configurar uma nova política de grupo:
-
Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).
-
Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…
-
Dê um nome à política, clique com o botão direito do mouse e escolha Edit .
Execute estas etapas para alterar a política no nível da máquina:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
Execute estas etapas para alterar a política no nível do usuário:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
As alterações têm efeito depois de executar gpupdate /force
, a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).
O Conector do serviço Cisco DirSync não pôde ser registrado
Problema
Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."
Solução
O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.
Nenhuma página de logon é exibida
Problema
Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.
Solução
Tente as seguintes etapas:
-
No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.
-
Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)
O aviso de início de sessão é exibido
Problema
Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.
Causas possíveis
O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.
Solução
Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.
Não foi possível conectar-se ao servidor remoto
Problema
Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".
Causas possíveis
Você pode ter problemas de proxy que precisam ser resolvidos.
Solução
Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.
Não foi possível registrar o conector
Problema
Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."
Causas possíveis
Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.
Solução
Tente o seguinte:
-
Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .
-
Clique em Vincular como atualmente conectado ao usuário , e clique em OK .
, escolha -
Clique OK .
, digite DC=arbonneintl,DC=ad como BaseDN e clique em -
Se o problema persistir, abra um caso com o suporte .
Sincronização
Avatares não sincronizados
Problema
O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.
Causas possíveis
Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.
Solução
Exclua o cache local seguindo estas etapas:
-
Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Excluir DirSyncPluginAvatar.dll-cache.bin .
-
Execute novamente a sincronização do avatar do conector de diretórios da Cisco.
Conflitas de e-mail do usuário em conflito
Problema
Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.
-
Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.
-
Se os e-mails dos usuários já foram sincronizados em outra organização.
-
Se os e-mails do usuário existirem em vários domínios que pertencem à organização.
Solução
Tente o seguinte:
-
Siga estas etapas se estiver tentando reivindicar usuários:
-
Certifique-se de ter verificado o domínio no Control Hub .
-
Desative temporariamente o Conector de diretórios da Cisco.
-
Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.
-
Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório
-
-
Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.
Usuário convertido marcado como inativo
Problema
No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.
Causas possíveis
Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.
Solução
Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.
Falha na sincronização incremental
Problema
Uma sincronização incremental falha.
Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:
-
Você oferece suporte a atualizações de valor incremental.
-
O filtro que você usa faz referência a um atributo de valor vinculado.
-
Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.
Solução
O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.
Valor inválido para o atributo
Problema
Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].
Causas possíveis
Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.
Solução
Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.
Usuários correspondentes a serem excluídos
Problema
Os usuários correspondentes são marcados para serem excluídos.
Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.
Solução
Escolha uma correção apropriada:
-
Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.
-
Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .
Atributo ausente
Problema
O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.
Causas possíveis
O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.
Solução
Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.
O grupo aninhado não sincronizará
Problema
Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.
Causas possíveis
É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)
Solução
Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)
Conflito de nomeação do usuário
Problema
Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].
Causas possíveis
Um usuário com esse endereço de e-mail já existe no Control Hub.
Solução
Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.
Hub de controle
Lista de usuários ausente no Control Hub
Problema
Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.
Solução
Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.
Os grupos não serão sincronizados com o Control Hub
Problema
Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.
Causas possíveis
O grupo não está marcado como isCriticalSystemObject
no Active Directory.
Solução
Certifique-se de que o atributo isCriticalSystemObject
esteja definido como TRUE
no Active Directory.
Ativar solução de problemas para o Conector de diretórios
Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.
Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
Execute o arquivo |
2 |
Reinicie o serviço. Consulte Como iniciar serviços para obter orientação. |
3 |
No Conector de diretórios, clique em Painel . |
4 |
Vá para Ações e clique em . |
5 |
Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados. |
6 |
Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS. A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema. |
7 |
Se necessário, envie o arquivo de registro para suporte para assistência. |
8 |
Desative o recurso de solução de problemas quando terminar. |
Iniciar o Visualizador de eventos
Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.
1 |
No Conector de diretórios, vá para Painel e clique em .A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro. |
2 |
No Visualizador de eventos, vá para . |
3 |
Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv. |
O que fazer em seguida
Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.
Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.
Ativar TLS no Internet Explorer
Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:
-
Ocorreu um erro ao fazer logon no serviço
-
Ocorreu um erro no script nesta página
Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.
1 |
Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente |
2 |
Clique em Opções da Internet , vá para Avançado , role até a Segurança . |
3 |
Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK . |
4 |
Reinicie o sistema para que as alterações tenham efeito. |
Solucionar problemas de início de sessão da conta de serviço
Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.
1 |
Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web. |
2 |
Escolha um, dependendo dos resultados:
|
3 |
No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows. |
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Visão geral do conector de diretórios da Cisco
Visão geral do conector de diretórios
O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Baixe o software do conector do Control Hub e instale-o em sua máquina local.
Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.
Veja todos os recursos, descrições e benefícios na tabela:
Recurso | Descrição e benefício |
---|---|
Painel fácil de usar | O painel fornece uma agenda de sincronização, um resumo e o status da sincronização e o status do Conector de diretórios. Você poderá visualizar o painel sempre que iniciar sessão. |
Simulação antes de sincronizar com a nuvem | Conduza uma simulação das alterações no diretório antes de serem implementadas na nuvem. Em seguida, execute um relatório para ver se as alterações que você deseja fazer são o que você espera. |
Sincronização completa e incremental | Sincronize todo o diretório. Ou apenas sincronize as alterações incrementais para economizar energia de processamento e encurtar o tempo de sincronização. |
Sincronizar vários domínios (floresta única ou várias florestas) |
O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade de AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e, em seguida, sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado da sincronização para vários conectores de diretório, permite que você desative a sincronização para um domínio específico e desative um conector de diretório em uma implantação de alta disponibilidade. |
Sincronização agendada | Defina uma agenda de sincronização por dia, hora e minuto. |
Filtros LDAP (Lightweight Directory Access Protocol) | Defina critérios de pesquisa LDAP e forneça importações eficientes. |
mapeamento de atributos do Active Directory | Mapeie os atributos do Microsoft Active Directory para os atributos correspondentes da nuvem Webex. Você pode mapear atributos que são relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear para a nuvem. Os atributos do local formam vários dados na nuvem, como informações de conta de usuário, números de telefone enteprise no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante). |
Diretório corporativo para recursos de sala no local e usuários do Cisco Webex Calling (Cloud PSTN) e contatos corporativos sem licenças Webex |
Se parte da sua organização usar o PSTN em nuvem do Cisco Webex Calling para serviço de chamadas ou se você tiver dispositivos de Sala locais, esse recurso permitirá que os usuários pesquisem o diretório de contatos corporativos de seus telefones Cisco Webex Calling (PSTN em nuvem) ou recursos de Sala.
|
visualizador de Eventos | Use o visualizador de eventos para determinar se houve algum problema com a sincronização. |
Ferramenta de diagnóstico e solução de problemas | Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar erros antes de entrar em contato com o suporte. Depois de habilitar a solução de problemas no Conector de diretórios, são gravados os registros que podem ser enviados ao suporte técnico. |
Atualização automática | Depois de instalar o Conector de diretórios, você recebe uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada. |
Alta disponibilidade | Configure vários conectores para que haja um backup, caso o conector principal ou a máquina de hospedagem ele caia. |
O Conector de diretórios é dividido em três áreas:
-
Control Hub é a interface única que permite que você gerencie todos os aspectos da sua organização Webex: visualize usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.
-
Interface de gerenciamento do Directory Connector é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.
-
Serviço de sincronização de diretório consulta o Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.
Consulte este diagrama para entender a arquitetura do Conector de diretórios:
Preparar seu ambiente para o conector de diretórios
Requisitos do conector de diretórios
Requisitos do Windows e do Active Directory
Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver um problema de cookie, recomendamos que você atualize o controlador de domínio para uma versão que contém a correção— Windows Server 2012 R2 ou 2016 .
O Conector de diretórios é compatível com os seguintes serviços do Active Directory:
-
Active Directory 2016
(O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Observe os seguintes requisitos adicionais:
-
O Conector de diretórios requer TLS1.2. Você deve instalar o seguinte:
-
.NET Framework v3.5 (necessário para o aplicativo Conector de diretórios. Se você tiver problemas, use as instruções em Ativar .NET Framework 3.5 usando o Assistente Adicionar funções e recursos .)
-
.NET Framework v.4.5 (necessário para TLS1.2)
-
-
O nível funcional da floresta do Active Directory 2 (Windows Server 2003) ou superior é necessário. (Consulte Quais são os níveis funcionais do Active Directory? para obter mais informações.)
Requisitos de hardware
Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de armazenamento
-
Nenhum mínimo para a CPU
Requisitos de rede
Se sua rede estiver atrás de um firewall, certifique-se de que seu sistema tenha acesso HTTPS (porta 443) à internet.
Requisitos da organização Webex
-
Para acessar o software Conector de diretórios do Control Hub, você precisa de uma organização Webex com uma avaliação ou qualquer assinatura paga.
-
(Opcional) Se você deseja que as novas contas de usuário do aplicativo Webex sejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:
-
Adicionar, verificar e, opcionalmente, reivindicar domínios que contêm os endereços de e-mail do usuário que você deseja sincronizar na nuvem.
-
Faça uma integração de registro único (SSO) do seu Provedor de identidade (IdP) com a sua organização Webex.
-
Suprimir convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail e você possa fazer sua própria campanha de e-mail. (Este recurso requer a integração de SSO.)
-
Para obter mais informações, consulte Status e ações do usuário no Control Hub .
Requisitos de instalação
-
Para um ambiente de vários domínios (floresta única ou florestas múltiplas), você deve instalar um Conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de que você tenha um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).
-
Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completa no Control Hub.
Este usuário local deve ter privilégios nessa máquina Windows para se conectar ao Controlador de domínio e ler objetos de usuário do Active Directory. A conta de login da máquina deve ser um administrador de computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completa do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos (DLL) do Windows esteja ativado usando este procedimento: Verifique SafeDllSearchMode no registro do Windows .
-
Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.
Vários requisitos de domínio
Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco , tenha em mente os seguintes requisitos e recomendações se quiser sincronizar as informações do Active Directory de vários domínios na nuvem:
-
Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.
-
O software Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.
-
Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios .)
-
Se desejar sincronizar mais de 50 domínios, você deve abrir um ticket para que sua organização seja movida para uma grande lista de organizações.
-
Se desejar, você poderá sincronizar as informações de recursos de sala juntamente com as contas de usuário. (Consulte Sincronizar informações de salas locais no Webex Cloud .)
Recomendações do grupo Active Directory para atribuição automática de licenças
Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Existem dois tipos de grupos no Active Directory:
-
Grupos de distribuição —Usados para criar listas de distribuição por e-mail.
-
Grupos de segurança —Usados para atribuir permissões a recursos compartilhados.
Considere as seguintes diretrizes ao criar grupos no Active Directory:
-
Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex, etc.).
-
Use convenções de nomenclatura padrão em sua organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes de grupos podem incluir detalhes sobre o grupo, como o nível de acesso, o tipo de recurso, o nível de segurança, o escopo do grupo, a capacidade de e-mail e assim por diante. Por exemplo, o nome do grupo "GSG _ W ebex_ L icensing_ EMEAR" refere-se a um grupo de segurança global para usuários de Licenciamento Webex EMEAR.
-
Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.
-
Antes de adicionar usuários aos grupos recém provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo de atribuição automática de licenças para obter mais informações.
Informações de Dimensionamento
O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior para quantos objetos do Active Directory podem ser sincronizados com a nuvem. Todos os limites nos objetos do diretório local estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.
Alguns fatores podem afetar a velocidade da sincronização:
-
O número total de objetos do Active Directory. (Uma tarefa de sincronização de 5000 usuários não levará tanto tempo quanto 50000.)
-
Velocidade da rede e largura de banda.
-
Carga de trabalho do sistema e especificações.
Se você estiver sincronizando mais de 50000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.
Como vários fatores estão envolvidos com a sincronização e como cada implantação varia de acordo com os fatores acima, não podemos fornecer valores de tempo específicos por quanto tempo uma sincronização de objeto levará.
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Integração de proxy da web
Integração de proxy da web
Se a autenticação do proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.
Se sua organização usa um proxy web transparente, ela não oferece suporte à autenticação. O conector se conecta e sincroniza com êxito os usuários.
Você pode fazer uma dessas abordagens:
-
Proxy da Web explícito por meio do Internet Explorer (o conector herda as configurações de proxy da Web)
-
Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)
-
Proxy transparente que funciona com o conector sem alterações
Usar um proxy da web por meio do navegador
Você pode configurar o Conector de diretórios para usar um proxy da Web pelo Internet Explorer.
Se o serviço Cisco DirSync for executado em uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy da web.
1 |
No Internet Explorer, vá para Opções de Internet , clique em Conexões , e escolha Configurações de LAN . |
2 |
Aponte a instância do Windows em que o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web. |
3 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
4 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Configurar o proxy da web por meio de um arquivo PAC
Você pode configurar um navegador cliente para usar um arquivo .pac. Esse arquivo fornece o endereço de proxy da Web e as informações da porta. O Conector de diretórios herda diretamente a configuração de proxy da web específica para a empresa.
1 |
Para que o conector conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy está desativada para |
2 |
Se seu ambiente usar autenticação de proxy, adicione essas URLs à sua lista de permissões:
Você pode executar este site em todo (para todos os organizadores) ou apenas para o organizador que tem o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
3 |
Se seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex . |
Proxy NTLM
O Conector de diretórios suporta NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.
Design NTLM
Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.
Geralmente, o design técnico de NTLM é baseado em um mecanismo de Challenge
e Response
:
-
Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha para o cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor hash da senha de entrada. Se ambos forem iguais, a autenticação passa.
Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.
-
Quando o servidor recebe a solicitação, o servidor gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes de o servidor enviar de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.
-
Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor de hash mencionado na Etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.
-
Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio original simples.
-
O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se eles forem iguais, a verificação será bem-sucedida.
O Windows tem autenticação de segurança incorporada no sistema operacional, tornando mais fácil para os aplicativos suportar a autenticação de segurança. Como resultado, você não precisa concluir mais a configuração.
Configurar proxy transparente
Neste cenário, o navegador não sabe que um proxy web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.
1 |
Implante um proxy transparente para que o conector possa conectar e sincronizar usuários. |
2 |
Confirme se o proxy foi bem-sucedido. Você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector. |
Definir autenticação de proxy
Adicione a URL cloudconnector.webex.com
à sua lista de permissões criando uma lista de controle de acesso.
No servidor de firewall corporativo:
1 |
Ative a pesquisa DNS se ainda não estiver ativada. |
2 |
Determine uma largura de banda estimada para essa conexão (aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário. |
3 |
Crie uma lista de controle de acesso para aplicar ao host do conector e especifique Por exemplo: Access-list 2000 acl-inside de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https |
4 |
Aplique este ACL à interface de firewall apropriada, que é aplicável apenas a este único host de conector. |
5 |
Certifique-se de que o restante dos organizadores em sua empresa ainda seja necessário para usar seu proxy da web configurando a declaração de negação implícita apropriada. |
Implantar o conector de diretórios
Fluxo de tarefas de implantação do conector de diretório da Cisco
Antes de começar
1 |
Instalar o Conector de diretórios O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre acesse o Control Hub ( https://admin.webex.com ) para obter a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
2 |
Iniciar Sessão No Conector De Diretórios Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial. |
3 |
Definir atualizações automáticas É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
4 |
Escolha os objetos do Active Directory para sincronizar Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios. |
5 |
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid. |
6 |
Sincronize avatares de diretório usando um dos seguintes procedimentos:
Você pode sincronizar os avatares dos usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos. |
7 |
Sincronizar informações de sala no local com o Webex Cloud Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados em nuvem, como um dispositivo Webex Room ou Cisco Webex Board |
8 |
Para Provisionar usuários do Active Directory no Control Hub , execute estas etapas:
Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex. Você pode provisionar usuários de uma implantação de várias florestas ou vários domínios do Active Directory para o Conector de diretórios 3.0 e posterior. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex. |
Instalar o Conector de diretórios
O Control Hub inicialmente mostra a sincronização de diretório como desativada. Para ativar a sincronização de diretórios na sua organização, você deve instalar e configurar o Conector de diretórios e, em seguida, executar com êxito uma sincronização completa.
Você deve instalar um conector para cada domínio do Active Directory que deseja sincronizar. Uma instância de Conector de diretório único pode servir apenas a um único domínio. Consulte o diagrama a seguir para entender o fluxo de sincronização de vários domínios:
Antes de começar
Se você se autenticar através de um servidor proxy, certifique-se de ter suas credenciais de proxy:
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de instalar uma instância do conector. A configuração do proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um proxy da Web através do navegador
-
Para NTLM proxy, pode ser que você veja um erro quando abrir o conector pela primeira vez. Consulte Usar um proxy da web através do navegador .
1 |
No Control Hub , vá para e escolha Next . |
2 |
Clique no link Baixar e Instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu servidor VMware ou Windows. Você pode obter o arquivo .zip diretamente de este link , mas você deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione. Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de erros mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instalam automaticamente quando disponíveis. |
3 |
No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração. |
4 |
Clique Next , marque a caixa para aceitar o contrato de licença e, em seguida, clique em Next até ver a tela do tipo de conta. |
5 |
Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:
Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:
|
6 |
Clique em Instalar . Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas de proxy, clique em OK e, em seguida, clique em Terminar . |
O que fazer em seguida
Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.
Iniciar Sessão No Conector De Diretórios
Antes de começar
Certifique-se de ter suas credenciais de proxy.
-
Para autenticação básica de proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.
-
Para NTLM proxy, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções de Internet > Conexões > Configurações de LAN , verifique se as informações do servidor proxy foram adicionadas e clique em OK . Consulte Usar um proxy da web através do navegador .
1 |
Abra o conector e adicione |
2 |
Se solicitado, inicie sessão com suas credenciais de autenticação de proxy e, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Next . |
3 |
Confirme sua organização e domínio.
|
4 |
Depois que a tela Confirmar organização for exibida, clique em Confirmar . Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida. |
5 |
Clique em Confirmar . |
6 |
Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:
|
O que fazer em seguida
Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.
Painel do conector de diretórios
Ao iniciar sessão no Conector de diretórios pela primeira vez, o Painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver informações de erro.
Você pode facilmente executar essas tarefas na barra de ferramentas de ações ou no menu de ações.
Componente |
Descrição |
---|---|
Sincronização atual |
Exibe as informações de status sobre a sincronização que está em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status está inativa. |
Próxima sincronização |
Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma programação for definida, Not Scheduled será exibido. |
Última sincronização |
Exibe o status das duas últimas sincronizações executadas. |
Status de sincronização atual |
Exibe o status geral da sincronização. |
Conectores |
Exibe os conectores locais atuais que estão disponíveis para a nuvem. |
Estatísticas da nuvem |
Exibe o status geral da sincronização. |
Agenda de sincronização |
Exibe a agenda de sincronização para sincronização incremental e completa. |
Resumo da configuração |
Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
|
Ação | Descrição |
---|---|
Iniciar sincronização incremental |
Iniciar manualmente uma sincronização incremental Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento. |
Sincronizar execução seca |
Execute uma sincronização de simulação. |
Iniciar visualizador de eventos |
Inicie o Microsoft Event Viewer. |
Atualização |
Atualizar o painel do conector de diretórios da Cisco |
Ação |
Descrição |
---|---|
Sincronizar agora |
Inicie uma sincronização completa instantaneamente. |
Modo de sincronização |
Selecione o modo de sincronização completa ou incremental. |
Redefinir segredo do conector |
Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, salvará o segredo localmente. |
Simulação |
Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa. |
Solução de problemas |
Ative/desative a solução de problemas. |
Atualização |
Atualize a tela principal do conector de diretórios da Cisco. |
Sair |
Saia do conector de diretórios da Cisco. |
Combinação De Chave |
Ação |
---|---|
Alt +A |
Mostrar o menu Ações |
|
Sincronização agora |
|
Redefinir segredo do conector |
|
Simulação seca |
|
Sincronização incremental |
|
Sincronização completa |
|
Mostrar menu Help |
|
Ajuda |
|
Sobre |
|
Perguntas frequentes |
Definir atualizações automáticas
1 |
No Conector de diretórios, vá para Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco . e, em seguida, marque |
2 |
Clique em Aplicar para salvar suas alterações. |
Novas versões do conector são instaladas automaticamente quando estão disponíveis.
Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.
Escolha os objetos do Active Directory para sincronizar
Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.
Grupos para atribuição automática de licenças
O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para os grupos do Active Directory que você sincroniza com a nuvem. No ponto de criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença desse novo usuário.
Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro como:
(&(cn=Exemplo)(objectclass=Grupo))*
Esse filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.
Grupos para implantações de segurança de dados híbridos
No Conector de diretórios, você deve verificar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. A configuração deste Conector de diretórios não afeta a sincronização de outros usuários na nuvem.
1 |
No Conector de diretórios, vá para Configuração e clique em Seleção de objeto . |
2 |
Na seção Tipo de objeto , verifique Usuários e considere limitar o número de contêineres pesquisáveis para os usuários. Se você quiser sincronizar apenas usuários em um determinado grupo, por exemplo, você deve inserir um filtro LDAP no campo de filtros Users LDAP. Se você quiser sincronizar usuários que estão no grupo de Gerenciador de exemplos, use um filtro como este:
|
3 |
Marque Identificar sala para separar dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar os dados do usuário como dados de sala. Use esta configuração se desejar sincronizar as informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos de sala registrados em nuvem. Para obter mais informações, consulte Sincronizar informações de salas locais no Webex Cloud . |
4 |
Marque Grupos se desejar sincronizar os grupos de usuários do Active Directory com a nuvem. Não adicione um filtro LDAP de sincronização de usuário ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os dados do grupo com a nuvem. Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupo. Você também deve sincronizar grupos de segurança. |
5 |
Verifique Contatos se você deseja sincronizar as informações de contato dos usuários com a nuvem. O Conector de diretórios gerencia apenas Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não excluirá os contatos. Se os contatos forem removidos do escopo de sincronização, as informações de contato dos usuários também serão removidas no Control Hub. |
6 |
Configure os filtros LDAP . Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP. |
7 |
Especifique os DNs da base no local para sincronizar clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar. |
8 |
Verifique se os objetos que você deseja adicionar para esta configuração e clique em Selecionar . Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para habilitar todos os recipientes filho. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que uma criança foi marcada. Você pode clicar em Selecionar para aceitar os contêineres do Active Directory que você verificou. Se sua organização colocar todos os usuários e grupos no recipiente Usuários, você não terá que procurar outros contêineres. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs . |
9 |
Clique em Aplicar . Escolha uma opção:
Para obter informações sobre execuções secas, consulte Fazer uma sincronização de execução seca em seus usuários do Active Directory . Para a sincronização do grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa dos usuários do Active Directory na nuvem . |
Mapear atributos do usuário
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.
Você pode escolher qual atributo do Active Directory mapear para a nuvem — por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.
As contas no Active Directory devem ter um endereço de e-mail; os mapas uid por padrão para o campo ad de correio (não sAMAccountName ).
Se você optar por ter o idioma preferido proveniente do seu Active Directory, o Active Directory será a única fonte de verdade: Os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . Esta página mostra os nomes de atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos necessários são marcados com um asterisco vermelho. |
2 |
Role até a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo na nuvem uid :
Você pode mapear qualquer um dos outros atributos do Active Directory para uid, mas recomendamos que você use o e-mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeamento de atributos do Active Directory no Conector de diretórios . Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados. |
3 |
Se os atributos do Active Directory predefinidos não funcionarem para sua implantação, clique na lista suspensa de atributos, role até a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo. Clique Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações. Neste exemplo, vamos mapear os atributos do Active Directory O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro do usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem: Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário: |
4 |
(Opcional) Escolha os mapeamentos para mobile e telephoneNumber se você quiser que os números móveis e de trabalho apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex. Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário. Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação do Webex (Unified CM) (administradores). |
5 |
Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:
Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário: Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato . Depois que esses atributos forem sincronizados a cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais um sobre o outro. Para obter mais informações sobre o recurso e como ativá-lo, consulte Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (Novo) no Control Hub |
6 |
Depois de fazer suas escolhas, clique em Aplicar . |
Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deve ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Ativos do Active Directory e da nuvem
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia Mapeamento de atributos do usuário .
Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos da Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher atributos diferentes nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.
Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo em nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição dos seus usuários - por exemplo, você pode adicionar uma expressão que cria um atributo personalizado com base no título do funcionário, nome fornecido e sobrenome no Active Directory.
Você também pode especificar qualquer um dos atributos do Active Directory para mapear para uid na nuvem. No entanto, você deve certificar-se de que o atributo no local segue um formato de e-mail válido.
Você também pode usar endereços de e-mail alternativos, se, por exemplo, você quiser usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Nesse caso, mapeie outro endereço de e-mail para os emails;atributo type-work . Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário.
Nomes de atributos do Active Directory |
Nomes de atributos do Webex Cloud |
Notas |
---|---|---|
— |
buildingName |
— |
c |
c |
Esse atributo especifica a abreviatura do país do usuário. |
número de departamento |
número de departamento |
Este atributo é usado para o número de departamento do usuário que aparece no cartão de contato e insights de pessoas . |
nome de exibição |
nome de exibição |
Este atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no insights de pessoas . |
userAccountControl |
ds-pwp-account-disabled |
Esse atributo é usado para sincronização de usuários. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente. |
EmployeeNumber |
EmployeeNumber |
— |
fasimileTelephoneNumber |
fasimileTelephoneNumber |
— |
— |
jabberID |
Este atributo em nuvem está relacionado aos endereços IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses. |
l |
l |
Esse atributo especifica a cidade do usuário. |
— |
localidade |
— |
administrador |
administrador |
Este atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e insights de pessoas . |
móvel |
móvel |
Este atributo é usado como o número de celular que aparece para ligar para o usuário do cartão de contato . |
o |
o |
Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato . |
ou |
ou |
Esse atributo especifica o nome da unidade organizacional. |
Entrega física OfficeName |
Entrega física OfficeName |
Esse atributo especifica o local do escritório do usuário. |
Código postalCode |
Código postalCode |
Esse atributo especifica o código postal ou zip do usuário para entrega de correio físico. |
preferredLanguage |
preferredLanguage |
Esse atributo define o idioma preferido do usuário e os seguintes formatos são suportados: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA. Se você usar um idioma não suportado ou um formato inválido, o idioma preferido dos usuários será alterado para o conjunto de idiomas da organização. |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=enterprise |
Esse atributo é usado para sincronizar informações da sala local do Active Directory para a nuvem do Cisco Webex. |
sn |
sn |
Este atributo é usado para o sobrenome da conta do usuário que aparece no Control Hub, no cartão de contato e insights de pessoas . |
st. |
st. |
Este atributo especifica o estado ou a província do usuário. |
streetAddress |
rua |
Esse atributo especifica o endereço do usuário para entrega de correio físico. |
telefone |
telefone |
Esse atributo especifica o número de telefone principal (trabalho) do usuário que é usado para chamar o usuário do cartão de contato . |
— |
fuso horário |
Este atributo em nuvem especifica o fuso horário do usuário. |
título |
título |
Esse atributo especifica o título do usuário que aparece no cartão de contato e insights de pessoas . |
tipo |
empresa |
— |
*userPrincipalName |
uid |
Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory é mapeado para um uid exclusivo na nuvem. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail dos mapas de gerenciamento de calendário para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento correto do atributo SAML esteja em vigor. Consulte o exemplo de mapeamento de atributos abaixo para saber como você pode mapear um endereço de e-mail alternativo. |
*userPrincipalName <atributo personalizado> |
e-mails;tipo de trabalho |
Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; não é usado para gerenciar seu calendário. O endereço de e-mail que você mapeia do AD deve ser de um domínio verificado na sua organização e deve ser exclusivo e não atribuído a outro usuário. |
<Novo atributo para o usuário do Azure objectId> |
externalId |
Crie um novo atributo do Active Directory para manter o usuário do Azure objectId, de modo que ele não entre em conflito com um existente. Esse atributo será mapeado para o atributo externalId, garantindo que, quando os usuários Webex criem grupos no Microsoft 365, eles criem equipes automaticamente no Webex . |
Mapeamento de endereço de e-mail alternativo
Expressões para atributos personalizados
Operador |
Descrição e exemplo |
---|---|
% |
Remove todos os caracteres do início da string para a posição do argumento caractere ou string, se correspondido.
|
- |
Tira a parte de trás da string de entrada do final da string especificada.
|
+ |
Concatena sequências de entrada ou expressões.
|
| |
Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.
|
Sincronizar os avatares do diretório de um atributo do Active Directory para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar bruto de um atributo do Active Directory.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Atributo AD e, em seguida, escolha o Avatar atributo que contém os dados do avatar bruto que você deseja sincronizar com a nuvem. |
3 |
Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário . O avatar aparece à direita. |
4 |
Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações. |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar avatares de diretório de um servidor de recursos para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.
Antes de começar
-
O padrão URI e o valor variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.
-
O padrão de URI do avatar e o servidor em que os avatares residem devem estar acessíveis a partir do aplicativo Conector de diretórios. O conector precisa de acesso http ou https às imagens, mas as imagens não precisam ser acessadas publicamente na internet.
-
A sincronização de dados do avatar é separada dos perfis de usuários do Active Directory. Se você executar um proxy, você deve garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou pela autenticação básica.
1 |
No Conector de diretórios, vá para Configuração , clique em Avatar , e depois marque Ativar . |
2 |
Para Obter avatar de , escolha Servidor de recursos e, em seguida, insira o Padrão de URI do Avatar —Por exemplo, Vamos olhar para cada parte do padrão de URI do avatar e o que eles significam:
|
3 |
(Opcional) Se o seu servidor de recursos requer credenciais, verifique Definir credencial de usuário para avatar , então escolha Usar usuário de logon do serviço atual ou Usar esse usuário e insira a senha. |
4 |
Insira o Valor da variável —Por exemplo: |
5 |
Clique em Test para garantir que o padrão de URI do avatar funcione corretamente. Neste exemplo, se o valor de correio de uma entrada AD é |
6 |
Depois que as informações da URI forem verificadas e estiverem corretas, clique em Aplicar . Para obter informações detalhadas sobre como usar expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft . |
-
As imagens sincronizadas se tornam o avatar padrão dos usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar depois que esse recurso é ativado do Conector de diretórios.
-
Os avatares do usuário são sincronizados com o aplicativo Webex e com quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para fazer com que suas contas de usuário e avatares do Active Directory sincronizem na nuvem e apareçam no Control Hub.
Sincronizar informações de sala no local com o Webex Cloud
Use este procedimento para sincronizar informações da sala local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecerão como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).
1 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
2 |
Verifique Sincronize as informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização. Quando essa configuração está desativada, os dados da sala são tratados da mesma maneira que os dados sincronizados pelo usuário. |
3 |
Vá para Mapeamento de atributos e, em seguida, altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise . Para usar a validação de valores, o valor do endereço SIP deve ser Pattern.compile ("^([^@])(.*)@(.*)$")
|
4 |
Crie uma caixa de correio de Recursos de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector usa para identificar salas. |
5 |
De usuários e computadores do Active Directory, navegue até e edite as propriedades da Sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip: |
6 |
Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector. Os novos objetos da sala são listados Objetos adicionados e os objetos da sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão sob Salas excluídas . Os resultados da simulação mostram todos os recursos de sala que foram correspondidos. Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas de nuvem no painel do conector mostram dados da sala que foram sincronizados com a nuvem. |
O que fazer em seguida
Agora que você executou essas etapas, quando fizer uma pesquisa em um dispositivo registrado na nuvem Webex, você verá as entradas de sala sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.
No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.
O terminal não pode fazer um loop de retorno de chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em outro lugar que não seja o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no Webex Room Device, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.
Enviar relatórios de e-mail nos resultados da sincronização de diretórios
Por padrão, os contatos da organização ou os administradores sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.
1 |
No Conector de diretórios, clique em Configuração e escolha Notificação . |
2 |
No Conector de diretórios, clique em Configurações e ao lado de Receptor de e-mail , ative Ativar sincronização do relatório . |
3 |
Marque Habilitar notificação se desejar substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail. |
4 |
Clique em Adicionar e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
5 |
Clique em Adicionar e-mail e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem aparecerá informando que você corrija o problema antes de salvar e aplicar as alterações. |
6 |
Se você precisar editar os endereços de e-mail inseridos, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias. |
7 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar . |
8 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar . |
O que fazer em seguida
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em um e-mail para destacar essa entrada e, em seguida, clique em Remover .
Se você decidiu que deseja remover endereços de e-mail, você pode clicar em Remover ao lado de entradas específicas de endereço de e-mail.
Provisionar Usuários Do Active Directory Para O Control Hub
Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuário correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios Ativos e a nuvem Webex.
1 |
Fazer uma sincronização de execução seca no seu Active Directory Usuários Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem. |
2 |
Faça uma sincronização completa dos usuários do Active Directory na nuvem Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados. |
3 |
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub Depois de concluir uma sincronização completa do usuário do Conector de diretórios no Control Hub, você pode atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial. |
Fazer uma sincronização de execução seca no seu Active Directory Usuários
Execute uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.
Durante o processo de integração de usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que já podem existir na nuvem Webex - por exemplo, testar contas de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus diretórios ativos e a nuvem Webex.
Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer essa etapa em cada uma das instâncias do conector de diretórios da Cisco que você instalou para cada domínio do Active Directory.
Antes de começar
Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto do Active Directory local e receber licenças de serviços. Mas alguns podem ser usuários de teste que você deseja excluir ao fazer uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.
1 |
Escolha uma opção:
Quando a simulação for concluída, você verá um dos seguintes resultados: O Resumo contém informações sobre a correspondência de objetos:
A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo poderá identificar os usuários se eles pertencerem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou retê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não no Active Directory local. |
2 |
Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:
|
3 |
No prompt Confirm Dry Run , clique em Sim para refazer a sincronização de simulação e exibir o painel para ver os resultados. Todas as contas que foram sincronizadas com êxito na simulação aparecem sob Objects Matched . Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos . Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail. Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes . Para salvar as informações do resumo, clique em Salvar resultados no arquivo . |
4 |
Se os resultados forem esperados, vá para Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto. e clique emDepois de fazer uma sincronização no último domínio do Active Directory na implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você pode ativar o modo automático apenas quando os objetos forem completamente correspondidos entre a nuvem Webex e todos os Diretórios Ativos locais. |
O que fazer em seguida
-
Para qualquer objeto de usuário incompatível que você reteve, você deve adicioná-lo ao Active Directory para que haja uma correspondência exata entre o local e a nuvem.
-
Escolha um tipo de sincronização:
-
Faça uma sincronização completa dos usuários do Active Directory na nuvem para quando você sincronizar novos usuários pela primeira vez com a nuvem. Você o faz a partir de , e então os usuários do domínio atual são sincronizados.
-
Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa.
-
-
Se você tiver vários domínios, repita essas etapas em qualquer outro Conector de diretório que tenha instalado.
Coisas a se Manter em mente
-
Execute uma simulação antes de ativar a sincronização completa ou ao alterar os parâmetros da sincronização. Se a simulação tiver sido iniciada por uma alteração de configuração, você poderá salvar as configurações depois que a simulação for concluída. Se você já tiver adicionado usuários manualmente, executar uma sincronização do Active Directory pode fazer com que usuários adicionados anteriormente sejam removidos. Você pode verificar os relatórios de execução a seco do Conector de diretórios para verificar se todos os usuários esperados estão presentes antes de sincronizar totalmente com a nuvem.
-
Se os usuários correspondentes estiverem marcados para serem excluídos e você não tiver certeza de como continuar, consulte as informações de solução de problemas e como entrar em contato com o suporte em Solução de problemas e correções do Conector de diretórios .
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Faça uma sincronização completa dos usuários do Active Directory na nuvem
Quando você executa uma sincronização completa, o serviço do conector envia todos os objetos filtrados do Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.
Se você tiver vários domínios, deverá fazer essa etapa em cada uma das instâncias do Conector de diretórios que você instalou para cada domínio do Active Directory.
O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.
Antes de começar
-
Se você quiser que as contas de usuários do aplicativo Webex estejam em status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve fazer estas etapas para ignorar a validação de e-mail:
-
Integre o Registro Único com sua organização Webex. Ver
Registro único com os serviços Cisco Webex e o provedor de identidade da sua organização
para obter mais informações. -
Use o Control Hub para verificar e, opcionalmente, reivindicar domínios contidos nos endereços de e-mail. Ver
Adicionar, verificar e reivindicar domínios
. -
Suprima convites automáticos por e-mail , para que novos usuários não recebam o convite automático por e-mail no aplicativo Webex. (Você pode fazer sua própria campanha de e-mail.)
Os usuários ativados que não iniciaram sessão aparecem com um status Verified no Control Hub. Depois de iniciarem sessão, eles aparecem como Active . Para obter mais informações sobre o status do usuário, consulte Status do usuário e ações no Cisco Webex Control Hub .
-
-
Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar quaisquer erros potenciais.
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Se você não usar modelos de licença de atribuição automática, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles serão capazes de usar os mesmos recursos gratuitos como aqueles com contas gratuitas.
1 |
Escolha uma opção:
|
2 |
No Conector de diretórios, vá para Sincronizar , clique em mais |
3 |
Confirme o início da sincronização. Para qualquer alteração que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub refletirá a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex refletirá as alterações até 72 horas depois de executar a sincronização. Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
|
4 |
Clique em Atualizar se desejar atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas de nuvem .) |
5 |
Para obter informações sobre erros, selecione Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
6 |
Para definir uma agenda de sincronização para sincronizações incrementais contínuas na nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental . |
-
Após a conclusão da sincronização completa, o status das atualizações de sincronização de diretório de Desabled para Operational na Settings página no Control Hub.
-
Quando todos os dados são correspondidos entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.
-
A menos que você integre o registro único , verifique os domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e suprime e-mails automatizados , as contas de usuários do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de iniciar para obter orientação sobre como sincronizar as contas como usuários ativos.
-
Se você tiver vários domínios, execute esta etapa em qualquer outro Conector de diretório que tenha instalado. Após a sincronização, os usuários em todos os domínios adicionados serão listados no Control Hub.
-
Se você integrou o Registro Único com o Webex e as notificações por e-mail suprimidas , os convites por e-mail não serão enviados aos usuários recém-sincronizados.
-
Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Depois de ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.
-
Todos os grupos que você sincronizou aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários desse grupo recebam licenças.
O que fazer em seguida
-
Quando você remove um usuário do Active Directory, o usuário é soft-excluído após a próxima sincronização. O usuário se torna Inativo mas o perfil de identidade em nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).
Quando você verifica A conta está desativada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade em nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.
-
Observe estas exceções para uma sincronização incremental (siga as etapas de sincronização completa acima):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
As alterações de configuração no mapeamento de atributos, na DN base, no filtro e na configuração do avatar exigem uma sincronização completa.
-
Atribuir serviços Webex a usuários sincronizados no diretório no Control Hub
Depois de concluir uma sincronização completa do usuário do conector de diretórios da Cisco no Control Hub, você pode usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma vez ou adicionar licenças adicionais a novos usuários se você já configurou um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você pode usar métodos no Control Hub para atribuir globalmente licenças de serviço Webex a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já configurou um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Quando você atribui uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Single Sign-On (SSO) à sua organização Webex, também poderá suprimir essas notificações automáticas de e-mail se preferir entrar em contato diretamente com seus usuários.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Execute uma sincronização de simulação nos usuários do Active Directory.
-
Depois de confirmar os resultados da simulação, faça uma sincronização completa nos usuários do Active Directory.
No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se os e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuário padrão no Control Hub, como importação de CSV, atualização manual do usuário ou através da conclusão da atribuição automática bem-sucedida.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizadose clique em Próximo... |
2 |
Escolha uma opção: |
O que fazer em seguida
-
Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.
-
Se você selecionou os mesmos serviços Webex para todos os seus usuários, depois você poderá alterar a licença atribuída individualmente ou em massa.
Problemas conhecidos com o Conector de diretórios
-
As versões do Windows Server antes de 2012 R2 têm um problema de cookie que afeta o Conector de diretórios. Esse problema foi corrigido nas versões 2012 R2 e 2016 .
-
Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
Você pode tentar limpar o cache local do aplicativo Webex seguindo estas instruções: Windows ou Mac .
-
Quando um usuário usa o aplicativo Webex no desktop ou celular para pesquisar e ligar para uma Sala que tem apenas um SIP URI sincronizado, a chamada toca indefinidamente neste momento.
Gerenciar usuários do aplicativo Webex
Executar uma sincronização incremental
Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Essa etapa então agrupa essas alterações e as envia ao serviço do conector. As alterações incluem a modificação de atribuição dos usuários e quando um usuário é adicionado ou excluído.
Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização completa inicial, recomendamos a opção incremental para sincronizações subsequentes.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Observe estas exceções que a sincronização incremental não suporta (siga Faça uma sincronização completa dos usuários do Active Directory na nuvem em vez disso):
-
No caso de um avatar atualizado, mas sem alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário para a nuvem.
-
Para novas alterações de configuração no mapeamento de atributos, DN base, filtro e configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.
-
1 |
No Conector de diretórios, clique em Painel . Ao habilitar a sincronização, o Conector de diretórios solicita que você execute uma simulação primeiro. |
2 |
Em Ações , clique em Modo de sincronização > Ativar sincronização se ainda não estiver ativado. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental estiver ativado, o programa verifica as alterações com base no último carimbo de data/hora. |
3 |
Em Ações , clique em Sincronizar agora > Incremental . Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualiza a exibição do usuário, mas o aplicativo Webex reflete as alterações de 72 horas a partir da hora em que você executa a sincronização.
|
4 |
Para obter informações sobre erros, clique em Iniciar visualizador de eventos na barra de ferramentas Ações para visualizar os registros de erros. |
O que fazer em seguida
Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretórios que você instalou.
Recuperar usuários excluídos acidentalmente
O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão suave pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.
Por padrão, essa função está ativada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um objeto incompatível notar ou notou que os usuários foram excluídos, você pode ser capaz de recuperá-los se você agir rápido.
Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas no Active Directory. O serviço em nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.
Os usuários desativados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.
1 | |
2 |
Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não está listada. Para obter mais informações, consulte Status e ações do usuário no Control Hub . |
3 |
Se os usuários foram excluídos no Control Hub ou você notar usuários em um estado Inativo, vá para Active Directory, adicione as contas de usuários ausentes e execute uma sincronização no Conector de diretórios. O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem. |
4 |
Faça uma sincronização completa para sincronizar novamente as contas de usuário excluídas temporariamente no Control Hub. Os usuários são recuperados e vão para o status original, incluindo o status da conta e atribuições de serviço. |
O que fazer em seguida
Retorne ao Control Hub, vá até
e confirme se as contas de usuário excluídas anteriormente estão aparecendo na lista de usuários.Excluir usuários permanentemente após a exclusão suave
Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos suavemente na próxima sincronização.
1 |
Após a conclusão de uma simulação, selecione Objetos excluídos por software . |
2 |
Marque a caixa de seleção ao lado dos usuários que você deseja excluir. |
3 |
Selecione Concluído. |
O que fazer em seguida
Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.
Alterar um endereço de e-mail do aplicativo Webex
Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento aborda como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.
Se você quiser alterar apenas o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário, e os espaços do usuário e outros dados na nuvem serão perdidos.
O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincronizar novamente para a nuvem, o estado do usuário dependerá se o novo domínio for verificado na sua organização. Se o domínio não for verificado na sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios .
Se sua organização não usar o Conector de diretórios, você poderá alterar seus endereços de e-mail do aplicativo Webex através da página de configurações da conta . Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.
Alterar o domínio do Active Directory
Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles sincronizam com o serviço de identidade na nuvem.
1 |
Configure um novo domínio do Active Directory (AD). |
2 |
Desative as sincronizações em todos os seus conectores. |
3 |
Desinstale todos os seus conectores. |
4 |
Abra um caso para alterar o domínio . No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização em sua organização. Antes de abrir um caso para alterar o domínio, certifique-se de que você não tem uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido. |
5 |
Depois que o caso for resolvido: Execute um teste executado com o Conector de diretórios antes de fazer a sincronização real. |
Reivindicação de domínio
Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail de uma organização para que qualquer conta paralela seja criada na organização paga do cliente e não na organização gratuita do consumidor. Você só pode fazer uma reivindicação de domínio através de um caso de suporte (consulte o link abaixo para obter mais informações).
Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas desligadas não serão criadas na organização do cliente ou na organização do consumidor livre. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar separar uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o Conector de diretórios para provisionar a conta no Control Hub.
Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório
Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram para a versão gratuita do aplicativo Webex, a conta deles existe na organização do consumidor gratuito. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre-os (converta) para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.
Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.
Se você tentar converter um usuário enquanto a sincronização de diretório estiver ativada, a mensagem de erro não poderá ser convertida
será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.
Alguns usuários reivindicados podem aparecer com o movedfrom
atributo ao fazer uma simulação. Esses usuários estarão na lista Object excluído
em vez de MismatchedObject
. Você precisará adicionar esses usuários à sua lista do AD se desejar movê-los para sua organização.
Se você não adicionar esses usuários, todos eles serão excluídos ao lado de você sincronizar com a nuvem.
1 |
Desative a sincronização de diretório do Conector de diretórios. |
2 |
Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuitos para a organização corporativa. Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios torna o Active Directory a única fonte de verdade para contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes. |
3 |
No Conector de diretórios, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos. Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferenciará maiúsculas de minúsculas e excluirá os usuários convertidos que ele detecta com endereços de e-mail incorretos (por exemplo, user1@example.com e User1@example.com). Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex. |
4 |
Quando tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretório do Conector de diretórios. |
As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativar o modelo de licença de atribuição automática e, em seguida, ativar o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até que confirmem seus endereços de e-mail.
Contas de usuários do aplicativo Webex embarcadas
Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("integrado"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuitos.
Se desejar gerenciar a conta integrada usando o Conector de diretórios, você deverá converter a conta .
Alterar o formato de nome de usuário do aplicativo Webex após a sincronização de diretório
Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.
Depois de executar uma sincronização de diretório, você poderá descobrir que os nomes de usuário são exibidos no formato .
Esse nome de usuário pode aparecer se o atributo displayName
no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName
na nuvem, os nomes aparecem no formato no Control Hub.
Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo Active Directory givenName sn
(ou sn givenName
) para displayName
nos nomes de atributos da Cisco Cloud.
Como alternativa, mapeie o atributo sn givenName
para displayName
:
Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizado para displayName
.
Por exemplo, insira givenName + "" + sn
(nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName
na nuvem.
Permitir que os usuários alterem nomes de exibição no Webex Meetings
Você pode desmapear o atributo displayName
da sincronização para a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante reuniões Webex em vez do nome e sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário . |
2 |
Selecione displayName sob Nome do atributo da Cisco Cloud . |
3 |
Selecione Não sincronizar este atributo . |
O que fazer em seguida
Os usuários agora podem editar seus nomes de exibição no site Webex .
Solução de problemas do conector de diretório
Atualizar para a versão mais recente do software
Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e melhorias de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Conector de diretórios. Se você não atualizar para a versão mais recente disponível, poderá enfrentar problemas, como o Conector de diretórios, que não sincroniza mais corretamente ou está em uma versão que não suporta o requisito obrigatório TLS 1.2 .
O Conector de diretórios o notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.
Embora você possa instalar manualmente as atualizações de software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.
1 |
Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização. |
2 |
Siga as instruções para concluir a atualização. |
3 |
Reinicie o conector e inicie sessão com suas credenciais de administrador. |
4 |
Verifique o número da versão do software em . |
O que fazer em seguida
Para uma nova instalação do Directory Connector, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.
Definir configurações gerais para o conector de diretórios
Use este procedimento para definir as configurações gerais, como o nome do servidor que está executando o Conector de diretórios, os níveis de log, as atualizações automáticas e as configurações preferidas dos controladores de domínio. O nome do conector aparece no painel na seção de conectores, juntamente com outros conectores em execução.
1 |
No Conector de diretórios, vá para Configuração e clique em Geral . |
2 |
No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está atualmente executando o conector. |
3 |
Escolha o nível do registro no menu suspenso. Por padrão, o nível do registro é definido como info . Os níveis de registro disponíveis são:
Essas configurações afetam o relatório de sincronização que é enviado por e-mail. Se você definir o nível de registro como Erro, apenas os erros serão relatados no relatório de sincronização. Se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Tenha em mente que para sincronização incremental, nenhum relatório é enviado quando nenhum erro é relatado.) |
4 |
Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades. Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador primário. |
5 |
Marque Atualizar automaticamente para a nova versão do Conector de diretórios da Cisco se desejar que as atualizações automáticas ocorram. É sempre importante manter seu software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
6 |
Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão. Se você não verificar LDAP sobre SSL , o Conector de diretórios continuará usando o protocolo de conexão LDAP. LDAP (Lightweight Directory Application Protocol) e LDAP Seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o Controlador de Domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura. |
Configurar a política do conector
Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A sincronização de execução não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.
Por exemplo, você define 1
como o valor de disparador de limite de exclusão. Quando você faz sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretórios mostrará um aviso. Se você clicar em Substituir limite , você pode iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.
1 |
No Conector de diretórios, clique em Configuração e escolha Política . |
2 |
Marque a caixa Ativar excluir disparador de limite se desejar adicionar um disparador de limite. A escolha dessa opção acionará um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão excede a que você define, a sincronização falha.
|
3 |
Insira o número máximo de exclusões que você deseja. A predefinição é 20. Recomendamos que você não aumente o valor padrão. |
4 |
Clique em Aplicar. |
Definir a agenda do conector
Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, alternaremos para outro conector em espera após o intervalo predefinido.
1 |
No Conector de diretórios, clique em Configuração e escolha Agendar . |
2 |
Especifique o Intervalo de sincronização incremental em minutos. Por padrão, uma sincronização incremental é definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa. |
3 |
Altere o valor Send Reports por... time se desejar alterar a frequência com que os relatórios são enviados. |
4 |
Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra. |
5 |
Especifique o Intervalo de failover em minutos. |
6 |
Clique em Aplicar. |
Vários cenários de domínio
Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor-chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta regravam os dados do domínio de prioridade mais baixa.
Os objetos com o mesmo valor chave são vinculados a um registro no banco de dados.
O valor da chave para "Usuário" é Endereço de e-mail ; o valor da chave para "Grupo" é Nome do grupo .
Exemplo de caso de uso para vários domínios
Este exemplo assume uma organização com dois domínios — example1.com e example2.com, na ordem de prioridade.
-
Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.
-
Adicionar grupo1(Nome do grupo: Teste) para o Active Directory de example1.com.
-
Adicionar usuário2 (e-mail: user@example2.com) para o Active Directory de example2.com.
-
Adicionar grupo2 (Nome do grupo: Teste) para o Active Directory de example2.com.
- Sincronização no exemplo1.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Se você fizer uma sincronização completa ou incremental, por exemplo1.com, o usuário1 e o grupo1 serão sincronizados. Além disso, o usuário2 e o grupo2 são substituídos pelas informações do usuário1 e do grupo1.
O usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; o grupo1 vincula o grupo2 como o mesmo registro no banco de dados.
- Sincronização em example1.com e example2.com
-
Como um caso de uso, o usuário2 e o grupo2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto o usuário1 e o grupo1 não são.
Considere estas etapas:
- Exclua o usuário1 e o grupo1 no Active Directory, por exemplo1.com.
- Faça uma sincronização completa ou incremental, por exemplo1.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com. O usuário2 não está vinculado ao usuário1 e o grupo2 não está vinculado ao grupo1.
- Faça uma sincronização incremental, por exemplo2.com.
Resultado: as informações do usuário não são alteradas https://admin.webex.com.
- Faça uma sincronização completa, por exemplo2.com.
Resultado: as informações do usuário2 e do grupo2 estão listadas em https://admin.webex.com.
Sincronizar um novo domínio E Preservar um domínio existente
Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar a sincronização do Directory Connector para o domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem não afetadas.
Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1) e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro está em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Portanto, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).
Definir a prioridade do domínio
Use este procedimento para alterar a prioridade dos domínios do Active Directory. A prioridade de domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado para uma organização.
Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem, indicando que a prioridade do domínio não é necessária.
Antes de começar
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo a partir de https://admin.webex.com.
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Definir prioridade de domínio . |
3 |
Realce um domínio na lista, clique em Up or Down para alterar a prioridade deste domínio e, em seguida, clique em Save para salvar esta alteração. Os domínios são classificados por prioridade de cima para baixo. |
Alternar domínios
Use este procedimento para vincular o conector de diretórios da Cisco a um domínio diferente.
Antes de começar
-
Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar os domínios.
-
Para evitar erros, instale ou atualize para a versão mais recente do conector de diretórios da Cisco. Você deve baixá-lo do Control Hub .
1 |
No conector de diretórios da Cisco, clique em Dashboard . |
2 |
Vá para Ações e clique em Alternar domínio . |
3 |
Depois de ler o cuidado, se você entender o efeito desta mudança tem em sua implantação e você ainda tem certeza, clique em Sim . Se você alternar um domínio, será desconectado do conector de diretórios atual da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas. |
4 |
Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio. |
Desativar a sincronização do diretório
Se precisar interromper a sincronização do Conector de diretórios, você poderá desativá-la temporariamente do Control Hub.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório e escolha uma:
|
2 |
Depois de ler o aviso, clique em Desativar . A sincronização para até que você a reative no Conector de diretórios. |
Remover Mapeamento de Atributos do Usuário
Use o Conector de diretórios para remover o mapeamento de atributos do Active Directory anteriormente mapeados para a nuvem e sincronizados ao Webex. Depois de remover o mapeamento de atributos, os valores do atributo são removidos da nuvem e não são mais sincronizados ao Webex. Esses valores podem então ser editados manualmente.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Selecione o mapeamento a ser removido da lista Attribute Name . |
4 |
Em Escopo de usuário afetado , selecione uma das seguintes opções:
|
5 |
Clique em Aplicar. |
Gerenciar fotos de perfil
Use o Conector de diretórios para atualizar imagens de perfil de usuário ou para remover imagens de perfil de usuário em branco.
1 |
No Conector de diretórios, clique em Painel . |
2 |
Vá para Ações e clique em . |
3 |
Em Ações , selecione uma das seguintes opções:
|
4 |
Clique em Aplicar. |
Desinstalar e desativar o Conector de diretórios
Depois de desinstalar uma instância do Conector de diretórios, você deve cancelar o registro. Remova completamente um Conector de diretórios para qualquer um destes cenários:
-
Você não deseja mais usar a sincronização de diretório.
-
Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).
-
Você deseja alterar o domínio e instalar outro conector.
Antes de começar
-
Você pode ter várias instâncias do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Conector de diretórios.
-
Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.
1 |
Na sua máquina Windows, vá para o Painel de controle e clique em Programas e Recursos . |
2 |
Na lista de programas, clique em Conector de diretório , escolha Desinstalar , e siga as instruções. Você pode ter que reinicializar o sistema para concluir a desinstalação. |
3 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretório, clique em mais |
4 |
Depois de ler o aviso, clique em Desativar . A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuários não são mais sincronizadas. |
Executar a ferramenta de diagnóstico
Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas de implantação do Conector de diretórios. Essa ferramenta é instalada como parte do Conector de diretórios 3.4 em diante.
Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar qualquer erro, você poderá enviar os resultados de registro detalhados para o suporte.
Solucionar problemas no Ciso Directory Connector
Solução de problemas e correções para o conector de diretórios
Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, após o Conector de diretórios sincronizar as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para obter problemas que possam surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.
Instalar
O conector de diretório parou de funcionar
Você recebeu e-mails de alerta notificando que o Conector de diretórios não está funcionando.
-
O Conector de diretórios pode não estar instalado corretamente.
-
O Conector de diretórios pode não estar em execução.
-
A rede pode não estar disponível.
Tente o seguinte:
-
Abra
. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a. -
Abra Service e localize o Cisco DirSync Service. Certifique-se de que exibe o status como Iniciado . Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.
-
Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.
Erro de reinstalação
Problema —Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.
Causa possível —No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.
Solução —Após algum tempo passar, tente a instalação novamente.
Iniciar sessão
O Conector de diretórios falha durante o início de sessão do SSO
Problema
O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão de SSO.
Solução
Tente o seguinte:
Execute estas etapas para configurar uma nova política de grupo:
-
Vá para o controlador de domínio e abra o Gerenciamento de diretivas de grupo (gpedit.msc).
-
Clique com o botão direito em um OU ou domínio específico e selecione Criar um GPO neste domínio , e Vincule-o aqui…
-
Dê um nome à política, clique com o botão direito do mouse e escolha Edit .
Execute estas etapas para alterar a política no nível da máquina:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
Execute estas etapas para alterar a política no nível do usuário:
-
Ir para Registro, escolha Novo, e então Item De Registro...
, clique com o botão direito -
Para Caminho da chave , insira ou navegue até HKEY _ CURRENT _ USUÁRIO\SOFTWARE\Microsoft\Internet Explorer\Main .
-
Insira
Desativar depurador de script
para Value , e insirano
para Dados de valor .As configurações devem corresponder a esta captura de tela:
As alterações têm efeito depois de executar gpupdate /force
, a máquina reiniciada (para alterações da máquina) ou o usuário entra novamente (para alterações do usuário).
O Conector do serviço Cisco DirSync não pôde ser registrado
Problema
Falha ao iniciar sessão e esta mensagem é exibida: "O Cisco DirSync Service Connector não pôde ser registrado."
Solução
O sistema Windows no qual o Conector de diretórios está instalado deve ser membro do Active Directory.
Nenhuma página de logon é exibida
Problema
Você abriu o Conector de diretórios e a página Iniciar sessão não foi exibida.
Solução
Tente as seguintes etapas:
-
No Internet Explorer, acesse https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.
-
Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Ativar TLS no Internet Explorer .)
O aviso de início de sessão é exibido
Problema
Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.
Causas possíveis
O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo aparecerá para solicitar o nome de usuário e a senha da autenticação.
Solução
Quando você vê a janela pop-up para iniciar sessão, é necessário fornecer uma conta válida com a autenticação correta para passar a segurança.
Não foi possível conectar-se ao servidor remoto
Problema
Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".
Causas possíveis
Você pode ter problemas de proxy que precisam ser resolvidos.
Solução
Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.
Não foi possível registrar o conector
Problema
Você vê a mensagem de erro "Não é possível registrar o conector. Ocorreu uma exceção geral."
Causas possíveis
Na maioria dos casos, o problema é porque o Conector de diretórios não tem privilégio de se conectar ao contexto raiz LDAP.
Solução
Tente o seguinte:
-
Execute um prompt de comando (cmd) e, em seguida, digite ldp.exe .
-
Clique em Vincular como atualmente conectado ao usuário , e clique em OK .
, escolha -
Clique OK .
, digite DC=arbonneintl,DC=ad como BaseDN e clique em -
Se o problema persistir, abra um caso com o suporte .
Sincronização
Avatares não sincronizados
Problema
O conector de diretórios da Cisco sincronizou dados do AD do usuário para a nuvem Webex. Mas nenhum dado do avatar foi sincronizado com êxito.
Causas possíveis
Se você reusou um servidor avatar existente e os avatares do usuário já foram sincronizados, o cache local os captura e evita o reenvio novamente para salvar a largura de banda.
Solução
Exclua o cache local seguindo estas etapas:
-
Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Excluir DirSyncPluginAvatar.dll-cache.bin .
-
Execute novamente a sincronização do avatar do conector de diretórios da Cisco.
Conflitas de e-mail do usuário em conflito
Problema
Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.
-
Se os usuários tentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização de consumidores gratuitos.
-
Se os e-mails dos usuários já foram sincronizados em outra organização.
-
Se os e-mails do usuário existirem em vários domínios que pertencem à organização.
Solução
Tente o seguinte:
-
Siga estas etapas se estiver tentando reivindicar usuários:
-
Certifique-se de ter verificado o domínio no Control Hub .
-
Desative temporariamente o Conector de diretórios da Cisco.
-
Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidor livre. Consulte Reivindicar usuários para sua organização (Converter usuários) para obter mais informações.
-
Execute no Conector de diretórios da Cisco e, em seguida, reative a sincronização do diretório
-
-
Para o último caso, verifique novamente os dados do usuário nas fontes do Active Directory.
Usuário convertido marcado como inativo
Problema
No seu ambiente de diretório sincronizado, você converteu um usuário gratuito (organização de consumidor) em sua organização corporativa, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.
Causas possíveis
Quando o usuário gratuito é convertido na organização corporativa, o usuário é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e é marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.
Solução
Você deve agir se não quiser que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização no Conector de diretórios da Cisco. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.
Falha na sincronização incremental
Problema
Uma sincronização incremental falha.
Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:
-
Você oferece suporte a atualizações de valor incremental.
-
O filtro que você usa faz referência a um atributo de valor vinculado.
-
Os valores de resultado desse atributo foram atualizados desde a última vez que uma sincronização completa foi realizada.
Solução
O Windows Server 2008 R2 tem um bug relacionado a esse problema. O bug é corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para pelo menos 2012 R2.
Valor inválido para o atributo
Problema
Para [user dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].
Causas possíveis
Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.
Solução
Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.
Usuários correspondentes a serem excluídos
Problema
Os usuários correspondentes são marcados para serem excluídos.
Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você pode ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.
Solução
Escolha uma correção apropriada:
-
Se estiver tudo bem excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.
-
Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte .
Atributo ausente
Problema
O atributo necessário [attribute_name] ao adicionar entrada local [user dn (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.
Causas possíveis
O endereço de e-mail do atributo necessário está ausente. Ao adicionar entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.
Solução
Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.
O grupo aninhado não sincronizará
Problema
Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.
Causas possíveis
É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)
Solução
Você deve reconfigurar o filtro que sincroniza os grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Usuários,DC=rktest2008,DC=org)
Conflito de nomeação do usuário
Problema
Há um conflito de nomeação para [user dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].
Causas possíveis
Um usuário com esse endereço de e-mail já existe no Control Hub.
Solução
Crie um usuário no Active Directory com o mesmo endereço de e-mail da conta que você registrou por meio do Control Hub.
Hub de controle
Lista de usuários ausente no Control Hub
Problema
Se você tiver uma organização Webex com mais de 1000 usuários sincronizados, poderá não ver a lista de usuários no Control Hub.
Solução
Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Users , clique em Pesquisar e, em seguida, insira os critérios de pesquisa para localizar um usuário específico.
Os grupos não serão sincronizados com o Control Hub
Problema
Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.
Causas possíveis
O grupo não está marcado como isCriticalSystemObject
no Active Directory.
Solução
Certifique-se de que o atributo isCriticalSystemObject
esteja definido como TRUE
no Active Directory.
Ativar solução de problemas para o Conector de diretórios
Você pode ativar a solução de problemas para ajudar a diagnosticar quaisquer erros que encontrar no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.
Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
Execute o arquivo |
2 |
Reinicie o serviço. Consulte Como iniciar serviços para obter orientação. |
3 |
No Conector de diretórios, clique em Painel . |
4 |
Vá para Ações e clique em . |
5 |
Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que eles possam ser examinados. |
6 |
Examine os arquivos de log: Se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS. A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com a saída de registro de evento para o sistema. |
7 |
Se necessário, envie o arquivo de registro para suporte para assistência. |
8 |
Desative o recurso de solução de problemas quando terminar. |
Iniciar o Visualizador de eventos
Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.
1 |
No Conector de diretórios, vá para Painel e clique em .A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro. |
2 |
No Visualizador de eventos, vá para . |
3 |
Em Ações , clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo Events (*.evtx) ou outro formato, como xml ou csv. |
O que fazer em seguida
Se você precisar abrir um caso, entre em contato com o suporte , descreva o problema com o conector e, em seguida, anexe o arquivo de Eventos ao seu caso.
Os registros do evento capturam as ações do usuário. Para obter ajuda sobre como gerenciar o tráfego da rede, habilite a solução de problemas no conector.
Ativar TLS no Internet Explorer
Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:
-
Ocorreu um erro ao fazer logon no serviço
-
Ocorreu um erro no script nesta página
Se você vir esses erros, deverá ativar uma configuração TLS no seu navegador.
1 |
Abra o Internet Explorer e escolha Tools . Agora, marque as caixas da versão TLS/SSL que você deseja ativar Clique em OK Fechar o navegador e abra-o novamente |
2 |
Clique em Opções da Internet , vá para Avançado , role até a Segurança . |
3 |
Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK . |
4 |
Reinicie o sistema para que as alterações tenham efeito. |
Solucionar problemas de início de sessão da conta de serviço
Se você não conseguir iniciar sessão no conector de diretórios da Cisco ou não puder executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.
1 |
Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL em seu navegador da web. |
2 |
Escolha um, dependendo dos resultados:
|
3 |
No mínimo, certifique-se de que a conta configurada do serviço Cisco DirSync (que pode ser encontrada em serviços Windows) tenha um nível de privilégio que permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais e a autenticação da conta de login do Windows. |
Verificar SafeDllSearchMode no registro do Windows
O modo de pesquisa de biblioteca dinâmica segura de links (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa DLL. Se este modo foi de alguma forma desativado, um invasor poderia colocar um DLL malicioso (nomeado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
Alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter . |
2 |
Vá para HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Dynamic Link Library Search Order .
Visão geral do Conector de diretórios da Cisco
Visão geral do conector de diretórios
O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Você baixa o software do conector do Control Hub e o instala em sua máquina local.
Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.
Veja todos os recursos, descrições e benefícios na tabela:
Recurso | Descrição e benefício |
---|---|
Painel fácil de usar | O painel fornece uma agenda de sincronização, um resumo e o status da sincronização, bem como o status do Conector de diretórios. Você pode visualizar o painel a qualquer momento que iniciar sessão. |
Faça uma simulação antes de sincronizar com a nuvem | Faça uma simulação das alterações no diretório antes de elas serem implementadas na nuvem. Em seguida, execute um relatório para ver que as alterações que você deseja fazer são o que você espera. |
Sincronização completa e incremental | Sincronize o diretório inteiro. Ou apenas sincronize as alterações incrementais para economizar no poder de processamento e encurtar o tempo de sincronização. |
Sincronize vários domínios (uma única floresta ou várias florestas) |
O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade do AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado de sincronização de vários Conector de diretórios, permite que você desative a sincronização de um domínio específico e desative um Conector de diretórios em uma implantação de alta disponibilidade. |
Sincronização agendada | Defina uma agenda de sincronização por dia, hora e minuto. |
Filtros do Protocolo LDAP (Lightweight Directory Access Protocol) | Defina critérios de pesquisa LDAP e forneça importações eficientes. |
Mapeamento de atributos do Active Directory | Mapeie os atributos do Microsoft Active Directory com os atributos correspondentes da nuvem Webex. Você pode mapear atributos relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear na nuvem. Os atributos dos locais formam vários dados na nuvem, como informações da conta do usuário, números de telefone da empresa no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante). |
Diretório corporativo para recursos de salas locais e usuários do Cisco Webex Calling (PSTN em nuvem) e contatos corporativos sem licenças Webex |
Se parte da sua organização usar o Cisco Webex Calling em nuvem PSTN para serviço de chamadas ou se você tiver dispositivos de sala locais, esse recurso permitirá que os usuários pesquisem no diretório de contatos corporativos dos telefones Cisco Webex Calling (PSTN em nuvem) ou dos recursos de sala.
|
Visualizador de eventos | Use o visualizador de eventos para determinar se houve algum problema com a sincronização. |
Ferramenta de diagnóstico e solução de problemas | Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar os erros antes de entrar em contato com o suporte. Depois de habilitar a solução de problemas no Conector de diretórios, os registros são gravados e podem ser enviados ao suporte técnico. |
Atualização automática | Depois de instalar o Conector de diretórios, você receberá uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada. |
Alta disponibilidade | Configure vários conectores para que haja um backup, caso o conector principal ou a máquina que o hospeda desligue. |
O Conector de diretórios é dividido em três áreas:
-
O Control Hub é a única interface que permite gerenciar todos os aspectos da sua organização Webex: visualize os usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.
-
Interface de gerenciamento do conector de diretórios é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.
-
O Serviço de sincronização de diretórios consulta seu Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.
Consulte este diagrama para entender a arquitetura do Conector de diretórios:
Preparar seu ambiente para o Conector de diretórios
Requisitos do Conector de diretórios
Requisitos do Windows e do Active Directory
Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver um problema de cookie, recomendamos que você atualize seu controlador de domínio para uma versão que contém a correção — Windows Server 2012 R2 ou 2016.
O Conector de diretórios é compatível com os seguintes serviços do Active Directory:
-
Active Directory 2016
(O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Observe os seguintes requisitos adicionais:
-
O Conector de diretórios requer TLS1.2. Você deve instalar o seguinte:
-
.NET Framework v3.5 (necessário para o aplicativo Conector de diretórios. Se você tiver algum problema, use as instruções em Ativar o .NET Framework 3.5 usando o Assistente para adicionar funções e recursos.)
-
.NET Framework v.4.5 (necessário para TLS1.2)
-
-
É necessário o nível funcional da floresta do Active Directory 2 (Windows Server 2003) ou superior. (Consulte Quais são os níveis funcionais do Active Directory? para obter mais informações.)
Requisitos de hardware
Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de armazenamento
-
Nenhum mínimo para a CPU
Requisitos de rede
Se a sua rede estiver atrás de um firewall, certifique-se de que o sistema tenha acesso HTTPS (porta 443) à Internet.
Requisitos da organização Webex
-
Para acessar o software Directory Connector do Control Hub, você precisa de uma organização Webex com um teste ou qualquer assinatura paga.
-
(Opcional) Se desejar que as novas contas de usuário do aplicativo Webex estejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:
-
Adicione, verifique e, opcionalmente, reivindique domínios que contêm os endereços de e-mail dos usuários que você deseja sincronizar na nuvem.
-
Faça uma integração de registro único (SSO) do seu provedor de identidade (IdP) com sua organização Webex.
-
Elimine convites automáticos por e-mail, para que os novos usuários não recebam o convite automático por e-mail e você possa fazer sua própria campanha por e-mail. (Este recurso requer a integração SSO.)
-
Para obter mais informações, consulte Status e ações do usuário no Control Hub.
Requisitos de instalação
-
Para um ambiente de vários domínios (uma única floresta ou várias florestas), você deve instalar um conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de ter um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).
-
Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completo no Control Hub.
Esse usuário local deve ter privilégios nessa máquina com Windows para se conectar ao controlador de domínio e ler objetos do usuário do Active Directory. A conta de logon da máquina deve ser um administrador do computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completo do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) do Windows esteja ativado usando este procedimento: Verifique o SafeDllSearchMode no registro do Windows.
-
Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.
Requisitos de vários domínios
Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco, tenha em mente os seguintes requisitos e recomendações se você estiver sincronizando informações do Active Directory de vários domínios para a nuvem:
-
Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.
-
O software do Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.
-
Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios.)
-
Se você quiser sincronizar mais de 50 domínios, deverá abrir um ticket para transferir sua organização para uma grande lista de organizações.
-
Se desejar, você pode sincronizar as informações de recursos da sala juntamente com as contas de usuário. (Consulte Sincronizar informações da sala no local com o Webex Cloud.)
Recomendações do grupo do Active Directory para atribuição automática de licenças
Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Existem dois tipos de grupos no Active Directory:
-
Grupos de distribuição—Usado para criar listas de distribuição por e-mail.
-
Grupos de segurança—Usado para atribuir permissões a recursos compartilhados.
Considere as seguintes diretrizes ao criar grupos no Active Directory:
-
Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex e assim por diante).
-
Use as convenções de nomenclatura padrão em toda a organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes dos grupos podem incluir detalhes sobre o grupo, como o nível de acesso, tipo de recurso, nível de segurança, escopo do grupo, capacidade de correio e assim por diante. por exemplo, o nome do grupo "GSG_Webex_Licensing_EMEAR" refere-se a um Grupo de segurança global para usuários do Webex Licensing EMEAR.
-
Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.
-
Antes de adicionar usuários a grupos recém-provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo automático de atribuição de licença para obter mais informações.
Informações de dimensionamento
O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior de quantos objetos do Active Directory podem ser sincronizados com a nuvem. Quaisquer limites em objetos de diretório locais estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.
Alguns fatores podem afetar a velocidade da sincronização:
-
O número total de objetos do Active Directory. (Um trabalho de sincronização de 5000 usuários não levará até 50000.)
-
Velocidade da rede e largura de banda.
-
Carga de trabalho e especificações do sistema.
Se você estiver sincronizando mais de 50.000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.
Como vários fatores estão envolvidos com a sincronização e como cada implantação varia dependendo dos fatores acima, não podemos fornecer valores de tempo específicos para quanto tempo levará uma sincronização de objeto.
Verificar o SafeDllSearchMode no registro do Windows
O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter. |
2 |
Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager. |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.
Integração de proxy da web
Integração de proxy da web
Se a autenticação de proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.
Se sua organização usar um proxy da web transparente, ele não suporta autenticação. O conector conecta e sincroniza os usuários com êxito.
Você pode adotar uma destas abordagens:
-
Proxy web explícito por meio do Internet Explorer (o conector herda as configurações de proxy web)
-
Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)
-
Proxy transparente que funciona com o conector sem nenhuma alteração
Usar um Proxy Da Web Através Do Navegador
Você pode configurar o Conector de diretórios para usar um proxy da web por meio do Internet Explorer.
Se o serviço Cisco DirSync for executado a partir de uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy web.
1 |
No Internet Explorer, vá para Opções da Internet, clique em Conexões e escolha Configurações de LAN. |
2 |
Aponte a instância do Windows onde o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web. |
3 |
Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:
Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
4 |
Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex. |
Configurar o proxy da web por meio de um arquivo PAC
Você pode configurar um navegador de cliente para usar um arquivo .pac. Esse arquivo fornece o endereço do proxy web e as informações da porta. O Conector de diretórios herda diretamente a configuração do proxy web específica da empresa.
1 |
Para que o conector se conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy esteja desabilitada no |
2 |
Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:
Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
3 |
Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex. |
Proxy NTLM
O conector de diretórios suporta o NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.
Projeto NTLM
Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.
Geralmente, o design técnico do NTLM é baseado em um mecanismo de Desafio
e Resposta
:
-
Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha no cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor de hash da senha de entrada. Se ambos forem iguais, a autenticação passa.
Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.
-
Quando o servidor recebe a solicitação, ele gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes que o servidor envie de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.
-
Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor hash mencionado na etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.
-
Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio simples original.
-
O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador de doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se forem iguais, a verificação será bem-sucedida.
O Windows tem autenticação de segurança integrada no sistema operacional, facilitando a autenticação de segurança por aplicativos. Como resultado, você não precisa concluir a configuração adicional.
Configurar o Proxy Transparente
Nesse cenário, o navegador não está ciente de que um proxy da web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.
1 |
Implante um proxy transparente para que o conector possa conectar e sincronizar os usuários. |
2 |
Confirme se o proxy foi bem-sucedido — você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector. |
Definir autenticação proxy
Adicione a URL cloudconnector.webex.com
à sua lista de permissões criando uma Lista de controle de acesso.
No servidor de firewall corporativo:
1 |
Ative a pesquisa de DNS se ainda não estiver habilitada. |
2 |
Determine uma largura de banda estimada para essa conexão (em aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário. |
3 |
Crie uma Lista de controle de acesso para aplicar ao host do conector e especifique Por exemplo: lista de acesso 2000 acl-dentro de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https |
4 |
Aplique esta ACL à interface de firewall apropriada, que é aplicável apenas a esse host de conector único. |
5 |
Certifique-se de que o resto dos organizadores da sua empresa ainda seja obrigado a usar o proxy da web, configurando a declaração de negação implícita apropriada. |
Implantar o Conector de diretórios
Fluxo de tarefa de implantação do conector de diretórios da Cisco
Antes de você começar
1 |
Instalar o Directory Connector O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre vá para o Control Hub (https://admin.webex.com) para obter a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis. |
2 |
Iniciar sessão no Conector De Diretórios Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial. |
3 |
Definir atualizações automáticas É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
4 |
Escolha os objetos do Active Directory a serem sincronizados Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios. |
5 |
Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid. |
6 |
Sincronize os avatares do diretório usando um dos seguintes procedimentos:
Você pode sincronizar os avatares dos seus usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos. |
7 |
Sincronizar informações da sala no local com o Webex Cloud Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala locais com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem, como um dispositivo Webex Room ou Cisco Webex Board |
8 |
Para Provisionar Usuários Do Active Directory No Control Hub, execute estas etapas:
Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex.Você pode provisionar usuários de uma implantação do Active Directory de várias florestas ou de vários domínios no Conector de diretórios 3.0 e posterior. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex. |
Instalar o Directory Connector
O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa.
Você deve instalar um conector para cada domínio do Active Directory que você deseja sincronizar. Uma única ocorrência do Conector de diretório só pode atender a um único domínio. Consulte o diagrama a seguir para entender o fluxo da sincronização de vários domínios:
Antes de você começar
Se você se autenticar por meio de um servidor proxy, verifique se você tem suas credenciais de proxy:
-
Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de instalar uma ocorrência do conector. A configuração de proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um Proxy Web Através Do Navegador
-
Para proxy NTLM, você pode ver um erro ao abrir o conector pela primeira vez. Consulte Usar um Proxy Da Web Pelo Navegador.
1 |
No Control Hub, vá para e escolha Próximo. |
2 |
Clique no link Baixar e instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu VMware ou servidor Windows. Você pode obter o arquivo .zip diretamente deste link, mas deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione. Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis. |
3 |
No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração. |
4 |
Clique em Próximo, marque a caixa para aceitar o contrato de licença e, em seguida, clique em Próximo até que você veja a tela do tipo de conta. |
5 |
Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:
Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:
|
6 |
Clique em Instalar. Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas do proxy, clique em OK e, em seguida, clique em Concluir. |
O que fazer em seguida
Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.
Iniciar sessão no Conector De Diretórios
Antes de você começar
Verifique se você tem suas credenciais de proxy.
-
Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.
-
Para proxy NTLM, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções da Internet > Conexões > configurações da LAN, certifique-se de que as informações do servidor proxy sejam adicionadas e, em seguida, clique em OK. Consulte Usar um Proxy Da Web Pelo Navegador.
1 |
Abra o conector e adicione |
2 |
Se solicitado, inicie sessão com suas credenciais de autenticação de proxy, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Próximo. |
3 |
Confirme sua organização e o domínio.
|
4 |
Depois que a tela Confirmar organização for exibida, clique em Confirmar. Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida. |
5 |
Clique em Confirmar. |
6 |
Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:
|
O que fazer em seguida
Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.
Painel do conector de diretórios
Quando você inicia sessão no Conector de diretórios pela primeira vez, o painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar as estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver as informações de erro.
Se o tempo de sua sessão expirar, inicie sessão novamente.
Você pode executar facilmente essas tarefas na barra de ferramentas de ações ou no menu de ações.
Componente |
Descrição |
---|---|
Sincronização atual |
Exibe as informações de status sobre a sincronização que está atualmente em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status fica ociosa. |
Próxima sincronização |
Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma agenda for definida, Não agendada será exibida. |
Última sincronização |
Exibe o status das duas últimas sincronizações executadas. |
Status de sincronização atual |
Exibe o status geral da sincronização. |
Conectores |
Exibe os atuais conectores locais que estão disponíveis para a nuvem. |
Estatísticas da nuvem |
Exibe o status geral da sincronização. |
Agenda de sincronização |
Exibe a agenda de sincronização para sincronização incremental e completa. |
Resumo da configuração |
Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
|
Ação | Descrição |
---|---|
Iniciar sincronização incremental |
Iniciar manualmente uma sincronização incremental Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento. |
Simulação de sincronização |
Execute uma sincronização de simulação. |
Iniciar o visualizador de eventos |
Inicie o Visualizador de eventos da Microsoft. |
Atualizar |
Atualizar o painel do conector de diretórios da Cisco |
Ação |
Descrição |
---|---|
Sincronizar agora |
Inicie uma sincronização completa instantaneamente. |
Modo de sincronização |
Selecione o modo de sincronização incremental ou completo. |
Redefinir senha do conector |
Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, o salvará localmente. |
Simulação |
Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa. |
Solução de problemas |
Ative/desative a solução de problemas. |
Atualizar |
Atualize a tela principal do conector de diretórios da Cisco. |
Sair |
Saia do conector de diretórios da Cisco. |
Combinação de teclas |
Ação |
---|---|
Alt +A |
Mostrar o menu de Ações |
|
Sincronizar agora |
|
Redefinir senha do conector |
|
Simulação |
|
Sincronização incremental |
|
Sincronização completa |
|
Mostrar menu de Ajuda |
|
Ajuda |
|
Sobre |
|
Perguntas frequentes |
Definir atualizações automáticas
1 |
No Conector de diretórios, vá para Atualizar automaticamente para a nova versão do Cisco Directory Connector. e, em seguida, marque |
2 |
Clique em Aplicar para salvar suas alterações. |
Novas versões do conector são instaladas automaticamente quando estão disponíveis.
Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.
Escolha os objetos do Active Directory a serem sincronizados
Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.
Grupos para atribuição automática de licenças
O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para grupos do Active Directory que você sincroniza com a nuvem. No ponto da criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença para esse novo usuário.
Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro para:
(&(cn=Exemplo)(objectclass=Grupo))*
Este filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.
Grupos para implantações de segurança de dados híbridos
No Conector de diretórios, você deve marcar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. Essa configuração do Conector de diretórios não afeta a sincronização de outros usuários na nuvem.
Antes de você começar
Recomendações do grupo do Active Directory para atribuição automática de licenças
1 |
No Conector de diretórios, vá para Configuração e clique em Seleção de objeto. |
2 |
Na seção Tipo de objeto, marque Usuários e considere limitar o número de contêineres pesquisáveis para usuários. Se você quiser sincronizar apenas os usuários em um determinado grupo, por exemplo, deverá inserir um filtro LDAP no campo Filtros LDAP de Usuários. Se você quiser sincronizar os usuários que estão no grupo Gerenciador de exemplo, use um filtro como este:
|
3 |
Marque Identificar sala para separar os dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar dados do usuário como dados da sala. Use esta configuração se desejar sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem. Para obter mais informações, consulte Sincronizar informações da sala no local com o Webex Cloud. |
4 |
Marque Grupos se você quiser sincronizar seus grupos de usuários do Active Directory com a nuvem. Não adicione um filtro LDAP de sincronização de usuários ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os próprios dados do grupo com a nuvem. Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupos. Você também deve sincronizar grupos de segurança. |
5 |
Marque Contatos se você quiser sincronizar as informações de contato dos usuários com a nuvem. O Conector de diretórios gerencia apenas os Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não os excluirá. Se os contatos forem removidos do escopo da sincronização, as informações de contato dos usuários também serão removidas do Control Hub. |
6 |
Configure os filtros LDAP. Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP. |
7 |
Especifique os DNs da base local a serem sincronizados clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar. |
8 |
Verifique os objetos que você deseja adicionar nesta configuração e clique em Selecionar. Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para ativar todos os recipientes filhos. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que um filho foi verificado. Você pode então clicar em Selecionar para aceitar os contêineres do Active Directory que você marcou. Se sua organização colocar todos os usuários e grupos no contentor Usuários, você não precisará pesquisar outros contentores. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs. |
9 |
Clique em Aplicar. Escolha uma opção:
Para obter informações sobre simulações, consulte Fazer uma sincronização de simulação nos seus usuários do Active Directory. Para a sincronização de grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa de usuários do Active Directory na nuvem. |
Mapear atributos do usuário
Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.
Você pode escolher qual atributo do Active Directory mapear para a nuvem - por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.
As contas no Active Directory devem ter um endereço de e-mail; o uid é mapeado por padrão para o campo ad de correio (não sAMAccountName).
Se você optar por ter o idioma preferido vindo do seu Active Directory, então o Active Directory é a única fonte de verdade: os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário. Esta página mostra os nomes dos atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos obrigatórios são marcados com um asterisco vermelho. |
2 |
Role para a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo uid da nuvem:
Você pode mapear qualquer um dos outros atributos do Active Directory para o uid, mas recomendamos que você use mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeando atributos do Active Directory no Conector de diretórios. Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados. |
3 |
Se os atributos predefinidos do Active Directory não funcionarem para sua implantação, clique no menu suspenso de atributos, role para a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo. Clique em Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações. Neste exemplo, vamos mapear os atributos do Active Directory O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro de usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem: Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário: |
4 |
(Opcional) Escolha mapeamentos para celular e telephoneNumber se desejar que os números de celular e comercial apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex. Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário. Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação de chamadas no Webex (Unified CM) (administradores). |
5 |
Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:
Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário: Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato. Depois que esses atributos forem sincronizados com cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais uns sobre os outros. Para obter mais informações sobre o recurso e como ativá-lo, consulte os Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (novo) no Control Hub |
6 |
Depois de fazer suas escolhas, clique em Aplicar. |
Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deverá ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Atributos do Active Directory e da nuvem
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia de Mapeamento de atributos do usuário.
Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos do Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher diferentes atributos nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.
Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo de nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição de seus usuários - por exemplo, você pode adicionar uma expressão que crie um atributo personalizado com base no título do funcionário, nome e sobrenome no Active Directory.
Você também pode especificar qualquer um dos atributos do Active Directory a serem mapeados como uid na nuvem. No entanto, você deve certificar-se de que o atributo local siga um formato de e-mail válido.
Você também pode usar endereços de e-mail alternativos, se, por exemplo, desejar usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário for usado para gerenciar o calendário dele. Nesse caso, mapeie outro endereço de e-mail para o atributo e-mails;type-work. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário.
Nomes de atributos do Active Directory |
Nomes de atributos da nuvem Webex |
Notas |
---|---|---|
— |
edifícioName |
— |
c |
c |
Esse atributo especifica a abreviatura do país do usuário. |
número do departamento |
número do departamento |
Esse atributo é usado para o número do departamento do usuário que aparece no cartão de contato e no People Insights. |
displayName |
displayName |
Esse atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no People Insights. |
controle conta usuário |
ds-pwp-account-desabilitado |
Este atributo é usado para sincronização do usuário. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente. |
número do funcionário |
número do funcionário |
— |
ileileTelephoneNumber |
ileileTelephoneNumber |
— |
— |
jabberID |
Esse atributo de nuvem se refere a endereços de IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses. |
l |
l |
Esse atributo especifica a cidade do usuário. |
— |
localidade |
— |
manager |
manager |
Esse atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e no People Insights. |
móvel |
móvel |
Esse atributo é usado como o número de celular que aparece para chamar o usuário do cartão de contato. |
o |
o |
Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato. |
ou |
ou |
Esse atributo especifica o nome da unidade organizacional. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Esse atributo especifica o local do escritório do usuário. |
Postalcode |
Postalcode |
Esse atributo especifica o código postal ou o CEP do usuário para entrega física de correio. |
idioma preferido |
idioma preferido |
Esse atributo define o idioma preferido do usuário e os seguintes formatos são compatíveis: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA. Se você usar um idioma não compatível ou um formato inválido, o idioma preferido dos usuários será alterado para o idioma definido na organização. |
MSRTCSIP-PrimaryUserAddress telefone ip |
SipAddresses;type=empresa |
Esse atributo é usado para sincronizar informações da sala no local do Active Directory para a nuvem Cisco Webex. |
sn |
sn |
Esse atributo é usado para o sobrenome da conta de usuário que aparece no Control Hub, no cartão de contato e no People Insights. |
são |
são |
Esse atributo especifica o estado ou província do usuário. |
Streetaddress |
rua |
Esse atributo especifica o endereço do usuário para entrega física de correio. |
Telephonenumber |
Telephonenumber |
Esse atributo especifica o número de telefone principal (comercial) do usuário que é usado para ligar para o usuário do cartão de contato. |
— |
fuso horário |
Este atributo de nuvem especifica o fuso horário do usuário. |
cargo |
cargo |
Esse atributo especifica o título do usuário que aparece no cartão de contato e no People Insights. |
tipo |
empresa |
— |
*correio *userPrincipalName |
UID |
Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory mapeia para um uid exclusivo na nuvem. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento de atributos SAML correto esteja ativado. Consulte o mapeamento de atributos de exemplo abaixo para saber como você pode mapear um endereço de e-mail alternativo. |
*userPrincipalName *correio <atributo personalizado> |
e-mails;digitar-trabalho |
Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário. |
<Novo atributo do usuário objectId do Azure> |
ID externa |
Crie um novo atributo do Active Directory para manter o objectId do usuário do Azure, para que ele não entre em conflito com um existente. Em seguida, esse atributo mapeia para o atributo externalId, garantindo que quando os usuários Webex criarem grupos no Microsoft 365 criem automaticamente equipes no Webex. |
Mapeamento alternativo de endereços de e-mail
Expressões para atributos personalizados
Operador |
Descrição e exemplo |
---|---|
% |
Remove todos os caracteres do início da string até a posição do caractere ou argumento da string, se corresponder.
|
- |
Risca a parte de trás da string de entrada do final da string especificada.
|
+ |
Concatena strings ou expressões de entrada.
|
| |
Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.
|
Sincronizar avatares de diretórios de um atributo do Active Directory para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar brutos de um atributo do Active Directory.
1 |
No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar. |
2 |
Para Obter o avatar, escolha o atributo AD e, em seguida, escolha o atributo Avatar que contém os dados do avatar brutos que você deseja sincronizar com a nuvem. |
3 |
Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário. O avatar aparece à direita. |
4 |
Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações. |
-
As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.
-
Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.
Sincronizar avatares de diretório de um servidor de recursos para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.
Antes de você começar
-
O padrão de URI e o valor da variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.
-
O padrão URI do avatar e o servidor onde os avatares residem devem ser acessíveis no aplicativo Conector de diretórios. O conector precisa ter acesso http ou https às imagens, mas as imagens não precisam ser publicamente acessíveis na internet.
-
A sincronização de dados do avatar é separada dos perfis de usuário do Active Directory. Se você executar um proxy, deverá garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou autenticação básica.
1 |
No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar. |
2 |
Para Obter o avatar de, escolha Servidor de recursos e, em seguida, insira o Padrão de URI do avatar—Por exemplo, Vamos ver cada parte do padrão de URI do avatar e o que eles significam:
|
3 |
(Opcional) Se o servidor de recursos exigir credenciais, marque Definir credencial do usuário para avatar, em seguida, escolha Usar usuário de logon de serviço atual ou Usar este usuário e insira a senha. |
4 |
Insira o Valor da variável—Por exemplo: |
5 |
Clique em Testar para certificar-se de que o padrão de URI do avatar funciona corretamente. Neste exemplo, se o valor do correio para uma entrada do AD for |
6 |
Depois que as informações do URI forem verificadas e parecerem corretas, clique em Aplicar. Para obter informações detalhadas sobre o uso de expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft. |
-
As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.
-
Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.
Sincronizar informações da sala no local com o Webex Cloud
Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).
1 |
No Conector de diretórios, vá para Sincronizar, clique em mais |
2 |
Marque Sincronizar informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização. Quando essa configuração estiver desativada, os dados da sala serão tratados da mesma maneira que os dados sincronizados pelo usuário. |
3 |
Vá para Mapeamento de atributos e altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise. Para usar a validação de valor, o valor do endereço SIP deve ser Pattern.compile("^([^@])(.*)@(.*)$")
|
4 |
Crie uma caixa de correio de Recurso de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector então usa para identificar as salas. |
5 |
Em computadores e usuários do Active Directory, navegue até e edite as propriedades da sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip: |
6 |
Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector. Os novos objetos de sala estão listados em Objetos adicionados e os objetos de sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão em Salas excluídas. Os resultados da simulação mostram todos os recursos de sala que foram combinados. Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas da nuvem no painel do conector mostram os dados da sala que foram sincronizados com a nuvem. |
O que fazer em seguida
Agora que você fez essas etapas, ao fazer uma pesquisa em um dispositivo Webex registrado na nuvem, você verá as entradas de salas sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.
No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.
O terminal não pode retornar uma chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em algum outro lugar que não o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no dispositivo Webex Room, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.
Enviar relatórios de e-mail sobre os resultados da sincronização de diretórios
Por padrão, os contatos ou administradores da organização sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.
1 |
No Conector de diretórios, clique em Configuração e escolha Notificação. |
2 |
No Conector de diretórios, clique em Configurações e, ao lado de Receptor de e-mail, ative Ativar sincronização de relatório. |
3 |
Marque Ativar notificação se você quiser substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail. |
4 |
Clique em Adicionar e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações. |
5 |
Clique em Adicionar e-mail e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações. |
6 |
Se você precisar editar qualquer endereço de e-mail inserido, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias. |
7 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar. |
8 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar. |
O que fazer em seguida
Se você decidiu que deseja remover endereços de e-mail, poderá clicar em um e-mail para destacar essa entrada e, em seguida, clicar em Remover.
Se você decidiu que deseja remover endereços de e-mail, poderá clicar em Remover ao lado de entradas específicas de endereços de e-mail.
Provisionar usuários do Active Directory no Control Hub
Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuários correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.
1 |
Executar uma sincronização de simulação em seus usuários do Active Directory Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem. |
2 |
Faça uma sincronização completa de usuários do Active Directory na nuvem Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados. |
3 |
Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub Depois de concluir uma sincronização de usuário completa do Conector de diretórios no Control Hub, você poderá atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial. |
Executar uma sincronização de simulação em seus usuários do Active Directory
Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.
Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.
Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer esta etapa em cada uma das instâncias do conector de diretório da Cisco que você instalou para cada domínio do Active Directory.
Antes de você começar
Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto local do Active Directory e receber licenças para serviços. Mas alguns podem ser usuários de teste que você deseja excluir enquanto faz uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.
1 |
Escolha uma das opções:
Quando a simulação for concluída, você verá um dos seguintes resultados: O Resumo contém informações sobre a correspondência do objeto:
A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo pode identificar os usuários se eles pertencem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou mantê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não existentes no Active Directory local. |
2 |
Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:
|
3 |
No prompt Confirmar simulação, clique em Sim para refazer a sincronização da simulação e visualizar o painel para ver os resultados. Todas as contas que foram sincronizadas com êxito na simulação aparecem em Objetos correspondentes. Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos. Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail. Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes. Para salvar as informações do resumo, clique em Salvar resultados no arquivo. |
4 |
Se os resultados forem esperados, vá para Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto. e clique emDepois de fazer uma sincronização no último domínio do Active Directory em sua implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você poderá ativar o modo automático somente quando os objetos forem completamente combinados entre a nuvem Webex e todos os Diretórios ativos locais. |
O que fazer em seguida
-
Para quaisquer objetos de usuário incompatíveis que você manteve, você deve adicioná-los ao Active Directory para que haja uma correspondência exata entre o local e a nuvem.
-
Escolha um tipo de sincronização:
-
Faça uma sincronização completa de usuários do Active Directory para a nuvem quando você sincronizar novos usuários pela primeira vez. Você faz isso em e, em seguida, os usuários do domínio atual são sincronizados.
-
Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa.
-
-
Se você tiver vários domínios, repita estas etapas em qualquer outro Conector de diretórios que você tiver instalado.
Coisas a se manter em mente
-
Execute uma simulação antes de habilitar a sincronização completa ou ao alterar os parâmetros da sincronização. Se a simulação tiver sido iniciada por uma alteração de configuração, você poderá salvar as configurações após a conclusão da simulação. Se você já tiver adicionado usuários manualmente, realizar uma sincronização do Active Directory pode causar a remoção dos usuários adicionados anteriormente. Você pode verificar o Directory Connector Dry Run Reports para verificar se todos os usuários esperados estão presentes antes de sincronizar totalmente com a nuvem.
-
Se os usuários correspondentes estiverem marcados para serem excluídos e você não tiver certeza de como continuar, consulte as informações de solução de problemas e como entrar em contato com o suporte em Solução de problemas e correções do Conector de diretórios.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Faça uma sincronização completa de usuários do Active Directory na nuvem
Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.
Se você tiver vários domínios, deverá fazer esta etapa em cada uma das instâncias do Conector de diretório que você instalou para cada domínio do Active Directory.
O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.
Antes de você começar
-
Se você quiser que as contas de usuário do aplicativo Webex estejam no status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve seguir estas etapas para ignorar a validação de e-mail:
-
Integre o registro único à sua organização Webex. Consulte
Registro único com os serviços Cisco Webex e o provedor de identidade da sua organização
para obter mais informações. -
Use o Control Hub para verificar e, opcionalmente, reivindicar os domínios contidos nos endereços de e-mail. Consulte
Adicionar, verificar e reivindicar domínios
. -
Elimine convites automáticos por e-mail, para que os novos usuários não recebam o convite automático por e-mail para o aplicativo Webex. (Você pode fazer sua própria campanha por e-mail.)
Os usuários ativados que não iniciaram sessão aparecem com um status Verificado no Control Hub. Depois de se inscreverem, eles aparecem como ativos. Para obter mais informações sobre status do usuário, consulte Status e ações do usuário no Cisco Webex Control Hub.
-
-
Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar possíveis erros.
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Se você não usar modelos de atribuição automática de licenças, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles poderão usar os mesmos recursos gratuitos daqueles com contas gratuitas.
1 |
Escolha uma das opções:
|
2 |
No Conector de diretórios, vá para Sincronizar, clique em mais |
3 |
Confirme o início da sincronização. Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações até 72 horas depois de executar a sincronização. Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.
|
4 |
Clique em Atualizar se você quiser atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas da nuvem.) |
5 |
Para obter informações sobre erros, selecione o Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros. |
6 |
Para definir uma agenda de sincronização para sincronizações incrementais contínuas para a nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental. |
-
Após a conclusão da sincronização completa, o status das atualizações da sincronização do diretório de Desativado para Operacional na página de Configurações no Control Hub.
-
Quando todos os dados são combinados entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.
-
A menos que você integre registro único, verifique domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e elimine e-mails automatizados, as contas de usuário do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de começar para obter orientação sobre como sincronizar as contas como usuários ativos.
-
Se você tiver vários domínios, faça esta etapa em qualquer outro conector de diretório que você tenha instalado. Após a sincronização, os usuários em todos os domínios que você adicionou serão listados no Control Hub.
-
Se você integrou o registro único com o Webex e notificações por e-mail suprimidas, os convites por e-mail não serão enviados aos usuários recém-sincronizados.
-
Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Uma vez ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.
-
Todos os grupos sincronizados aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários nesse grupo recebam licenças.
O que fazer em seguida
-
Quando você remove um usuário do Active Directory, ele é excluído de software após a próxima sincronização. O usuário fica Inativo, mas o perfil de identidade da nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).
Quando você marca A conta está desabilitada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade da nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.
-
Observe estas exceções para uma sincronização incremental (em vez disso, siga os passos completos de sincronização acima):
-
No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.
-
As alterações de configuração no mapeamento de atributos, DN base, filtro e configuração de avatar requerem uma sincronização completa.
-
Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub
Depois de concluir uma sincronização completa de usuários do conector de diretórios da Cisco no Control Hub, você poderá usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma só vez ou adicionar licenças adicionais a novos usuários se já tiver configurado um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você poderá usar métodos no Control Hub para atribuir licenças de serviço Webex globalmente a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já tiver configurado um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Quando você atribuir uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Registro Único (SSO) com sua organização Webex, você também pode suprimir essas notificações automáticas por e-mail se preferir entrar em contato com seus usuários diretamente.
Antes de você começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Execute uma sincronização de simulação nos seus usuários do Active Directory.
-
Depois de confirmar os resultados da simulação, faça uma sincronização completa em seus usuários do Active Directory.
No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuários padrão no Control Hub, como importação de CSV, atualização manual de usuários ou através da conclusão automática da atribuição bem-sucedida.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizados e clique em Próximo. |
2 |
Escolha uma opção: |
O que fazer em seguida
-
Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.
-
Se você selecionou os mesmos serviços Webex para todos os usuários, posteriormente você poderá alterar a licença atribuída individualmente ou em massa.
Problemas conhecidos com o Conector de diretórios
-
Versões do Windows Server anteriores a 2012 R2 têm um problema de cookie que afeta o Conector de diretórios. Esse problema foi corrigido nas versões 2012 R2 e 2016.
-
Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações 72 horas a partir de quando você executa a sincronização.
Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.
-
Quando um usuário usa o aplicativo Webex no desktop ou celular para pesquisar e ligar para uma sala que tenha apenas um SIP URI sincronizado, a chamada tocará indefinidamente neste momento.
Gerenciar usuários do aplicativo Webex
Executar uma sincronização incremental
Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Esta etapa agrupa essas alterações e as envia para o serviço do conector. As alterações incluem a modificação de atribuição de usuários e quando um usuário é adicionado ou excluído.
Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização inicial completa, recomendamos a opção incremental para sincronizações subsequentes.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Observe estas exceções para as quais a sincronização incremental não é compatível (em vez disso, siga Fazer uma sincronização completa de usuários do Active Directory na nuvem ):
-
No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.
-
Para novas alterações de configuração no mapeamento de atributos, no DN base, no filtro e na configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.
-
1 |
No Conector de diretórios, clique em Painel. Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro. |
2 |
Em Ações, clique em Modo de sincronização > Ativar sincronização se ainda não estiver habilitado. Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental é acumulado, o programa verifica as alterações com base no último carimbo de data/hora. |
3 |
Em Ações, clique em Sincronizar agora > Incremental. Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações 72 horas a partir de quando você executa a sincronização.
|
4 |
Para obter informações sobre erros, clique em Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros. |
O que fazer em seguida
Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretório que você instalou.
Recuperar usuários excluídos acidentalmente
O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão forçada pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.
Por padrão, essa função está habilitada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um aviso de objetos incompatíveis ou notou que os usuários foram excluídos, você poderá recuperá-los se agir rapidamente.
Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas do Active Directory. O serviço de nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.
Os usuários que estão desabilitados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.
1 | |
2 |
Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não listada. Para obter mais informações, consulte Status e ações do usuário no Control Hub. |
3 |
Se os usuários foram excluídos no Control Hub ou você notou usuários em um estado Inativo, vá para o Active Directory, adicione as contas de usuário ausentes e, em seguida, execute uma sincronização de simulação no Conector de diretórios. O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem. |
4 |
Faça uma sincronização completa para ressincronizar as contas de usuário temporariamente excluídas no Control Hub. Os usuários são recuperados e acessam o status original, incluindo o status da conta e as atribuições de serviço. |
O que fazer em seguida
Retorne ao Control Hub, vá para
e confirme se as contas de usuários excluídos anteriormente estão aparecendo na lista de usuários.Excluir usuários permanentemente após a exclusão soft
Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos soft na próxima sincronização.
1 |
Após a conclusão de uma simulação, selecione Objetos soft-excluídos. |
2 |
Marque a caixa de seleção ao lado dos usuários que deseja excluir. |
3 |
Selecione Concluído. |
O que fazer em seguida
Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.
Alterar um endereço de e-mail do aplicativo Webex
Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento cobre como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.
Se você quiser apenas alterar o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e, em seguida, recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário e os espaços do usuário e outros dados na nuvem serão perdidos.
O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincroniza novamente para a nuvem, o estado do usuário depende se o novo domínio é verificado em sua organização. Se o domínio não for verificado em sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios.
Se sua organização não usa o Conector de diretórios, você pode alterar os endereços de e-mail do aplicativo Webex através da página de configurações da conta. Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.
Alterar o domínio do Active Directory
Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles se sincronizam com o serviço de identidade na nuvem.
1 |
Configure um novo domínio do Active Directory (AD). |
2 |
Desative as sincronizações em todos os seus conectores. |
3 |
Desinstale todos os seus conectores. |
4 |
Abra um caso para alterar o domínio. No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização na sua organização. Antes de abrir um caso para alterar o domínio, certifique-se de que você não tenha uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido. |
5 |
Depois que o caso for resolvido: Execute um teste executado com o Directory Connector antes de fazer a sincronização atual. |
Reivindicação de domínio
Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail para uma organização de modo que qualquer conta lateral seja criada na organização do cliente pago e não na organização do consumidor gratuita. Você só pode fazer uma reivindicação de domínio por meio de um caso de suporte (consulte o link abaixo para obter mais informações).
Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas laterais não serão criadas na organização do cliente ou na organização do consumidor gratuito. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar sideboard uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o conector de diretórios para provisionar a conta no Control Hub.
Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório
Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram na versão gratuita do aplicativo Webex, sua conta existe na organização de consumidores gratuita. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre (converta)-os para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.
Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.
Se você tentar converter um usuário enquanto a sincronização de diretórios estiver ativada, a mensagem de erro não pôde ser convertida
será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.
Alguns usuários reivindicados podem aparecer com o atributo movedfrom
ao fazer uma simulação. Esses usuários estarão na lista de Objeto excluído
em vez de MismatchedObject
. Você precisará adicionar esses usuários à sua lista AD se desejar movê-los para sua organização.
Se você não adicionar esses usuários, eles serão excluídos no próximo que você sincronizar com a nuvem.
1 |
Desative a sincronização de diretórios do Conector de diretórios. |
2 |
Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuita para a organização empresarial. Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios faz do Active Directory a única fonte de verdade para as contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes. |
3 |
No Directory Connector, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos. Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferencia maiúsculas e minúsculas e exclui usuários convertidos que detecta com endereços de e-mail incompatíveis (por exemplo, user1@example.com e User1@example.com). Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex. |
4 |
Quando você tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretórios do Directory Connector. |
As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativou o modelo de licença de atribuição automática e, em seguida, ativou o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até confirmarem seus endereços de e-mail.
Contas de usuário do aplicativo Webex lateral
Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("painel lateral"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuita.
Se você quiser gerenciar a conta lateral usando o Conector de diretórios, é necessário converter a conta.
Alterar o formato do nome de usuário do aplicativo Webex após a sincronização do diretório
Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.
Depois de executar uma sincronização de diretório, você pode descobrir que nomes de usuário são exibidos no formato .
Esse nome de usuário pode aparecer se o atributo displayName
no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName
na nuvem, os nomes aparecem no formato no Control Hub.
Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo do Active Directory givenName sn
(ou sn givenName
) para displayName
nos Nomes de atributos do Cisco Cloud.
Como alternativa, mapeie o atributo sn givenName
para displayName
:
Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizada para displayName
.
Por exemplo, insira givenName + "" + sn
(nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName
na nuvem.
Permitir que os usuários alterem nomes de exibição no Webex Meetings
Você pode desmapear o atributo displayName
da sincronização com a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante as reuniões Webex, em vez do nome e do sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário. |
2 |
Selecione displayName em Nome do atributo do Cisco Cloud. |
3 |
Selecione Não sincronizar este atributo. |
O que fazer em seguida
Os usuários agora podem editar seus nomes de exibição no site Webex.
Solução de problemas do conector de diretórios
Atualizar para a versão de software mais recente
Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e aprimoramentos de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Directory Connector. Se você não atualizar para a versão mais recente que está disponível, poderá enfrentar problemas, como o Conector de diretórios não sincronizar mais corretamente ou estar em uma versão que não suporta o requisito de TLS 1.2 obrigatório.
O Conector de diretórios notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.
Embora você possa instalar manualmente as atualizações do software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.
1 |
Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone do Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização. |
2 |
Siga as instruções para concluir a atualização. |
3 |
Reinicie o conector e inicie sessão com suas credenciais de administrador. |
4 |
Verifique o número da versão do software em . |
O que fazer em seguida
Para uma nova instalação do Conector de diretórios, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.
Definir configurações gerais do Conector de diretórios
Use este procedimento para definir configurações gerais, como o nome do servidor executando o Conector de diretórios, os níveis de registro, atualizações automáticas e as configurações preferidas para os controladores de domínio. O nome do conector aparece no painel na seção conectores, juntamente com quaisquer outros conectores que estejam em execução.
1 |
No Conector de diretórios, vá para Configuração e clique em Geral. |
2 |
No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está executando o conector no momento. |
3 |
Escolha o nível de log no menu suspenso. Por padrão, o nível de registro é definido como Informações. Os níveis de registro disponíveis são:
Essas configurações afetam o relatório de sincronização enviado por e-mail. Se você definir o nível de log como Erro, somente erros serão relatados no relatório de sincronização; se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Lembre-se de que, para sincronização incremental, nenhum relatório será enviado quando nenhum erro for relatado.) |
4 |
Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades. Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador principal. |
5 |
Marque Atualizar automaticamente para a nova versão do Cisco Directory Connector se desejar que ocorram atualizações automáticas. É sempre importante manter o software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
6 |
Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão. Se você não verificar LDAP sobre SSL, o Conector de diretórios continuará a usar o protocolo de conexão LDAP. LDAP (Lightweight Directory Application Protocol) e LDAP seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o controlador de domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura. |
Configurar a política do conector
Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A execução da sincronização não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.
Por exemplo, você define 1
como o valor de gatilho de limite de exclusão. Ao fazer a sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretório mostrará um aviso. Se você clicar em Substituir limite, poderá iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.
1 |
No Conector de diretórios, clique em Configuração e escolha Política. |
2 |
Marque a caixa Ativar excluir gatilho de limite se você quiser adicionar um gatilho de limite. A escolha desta opção aciona um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão exceder aquela que você definir, a sincronização falhará.
|
3 |
Insira o número máximo de exclusões que você deseja. O padrão é 20. Recomendamos que você não aumente o valor padrão. |
4 |
Clique em Aplicar. |
Definir a agenda do conector
Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, mudaremos para outro conector de espera após o intervalo predefinido.
1 |
No Conector de diretórios, clique em Configuração e escolha Agendar. |
2 |
Especifique o Intervalo de sincronização incremental em minutos. Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa. |
3 |
Altere o valor Enviar relatórios por hora se desejar alterar a frequência com que os relatórios são enviados. |
4 |
Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra. |
5 |
Especifique o Intervalo de failover em minutos. |
6 |
Clique em Aplicar. |
Cenários de vários domínios
Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor de chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta reescrevem os dados do domínio de prioridade mais baixa.
Os objetos que têm o mesmo valor de chave são vinculados em um registro no banco de dados.
O valor da chave para "Usuário" é Endereço de e-mail; o valor da chave para "Grupo" é Nome do grupo.
Exemplo de caso de uso para vários domínios
Este exemplo assume uma organização com dois domínios — example1.com e example2.com, em ordem de prioridade.
-
Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.
-
Adicionar grupo1 (nome do grupo: Teste) para o Active Directory do example1.com.
-
Adicionar usuário2(e-mail: user@example2.com) para o Active Directory de example2.com.
-
Adicionar grupo2 (nome do grupo: Teste) para o Active Directory do example2.com.
- Sincronização em example1.com
-
Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.
Se você fizer uma sincronização completa ou incremental, por exemplo1.com, user1 e group1 serão sincronizados. Além disso, user2 e group2 são substituídas pelas informações de user1 e group1.
Usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; grupo1 vincula o grupo2 como o mesmo registro no banco de dados.
- Sincronização em example1.com e example2.com
-
Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.
Considere estas etapas:
- Exclua usuário1 e grupo1 no Active Directory por exemplo1.com.
- Faça uma sincronização completa ou incremental, por exemplo1.com.
Resultado: as informações do usuário não são alteradas em https://admin.webex.com. Usuário2 não está vinculado ao usuário1 e grupo2 não está vinculado ao grupo1.
- Faça uma sincronização incremental, por exemplo2.com.
Resultado: as informações do usuário não são alteradas em https://admin.webex.com.
- Faça uma sincronização completa, por exemplo2.com.
Resultado: As informações de usuário2 e group2 estão listadas em https://admin.webex.com.
Sincronizar um novo domínio e preservar um domínio existente
Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar o Conector de diretórios para sincronização de domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem inalteradas.
Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1)e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro é em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Assim, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).
Definir a prioridade do domínio
Use este procedimento para alterar a prioridade dos seus domínios do Active Directory. A prioridade do domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado com uma organização.
Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem informando que a prioridade do domínio não é necessária.
Antes de começar
Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo de https://admin.webex.com.
1 |
No conector de diretórios da Cisco, clique em Painel. |
2 |
Vá para Ações e clique em Definir prioridade do domínio. |
3 |
Realce um domínio na lista, clique em Para cima ou Para baixo para alterar a prioridade deste domínio e clique em Salvar para salvar essa alteração. Os domínios são classificados por prioridade de cima para baixo. |
Alternar domínios
Use este procedimento para revincular o conector de diretórios da Cisco a um domínio diferente.
Antes de começar
-
Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar de domínios.
-
Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo do Control Hub.
1 |
No conector de diretórios da Cisco, clique em Painel. |
2 |
Vá para Ações e clique em Alternar domínio. |
3 |
Depois de ler o cuidado, se você entender o efeito que essa alteração tem na sua implantação e ainda tem certeza, clique em Sim. Se você alternar um domínio, será desconectado do atual conector de diretórios da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas. |
4 |
Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio. |
Desligar sincronização do diretório
Se você precisar interromper a sincronização do Directory Connector, poderá desativá-lo temporariamente do Control Hub.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretórios e escolha uma:
|
2 |
Depois de ler o aviso, clique em Desativar. A sincronização é interrompida até que você a reative do Directory Connector. |
Remover Mapeamento de Atributos do Usuário
Use o Conector de diretórios para remover o mapeamento dos atributos do Active Directory anteriormente mapeados na nuvem e sincronizados com o Webex. Depois de remover o mapeamento de atributos, os valores dos atributos serão removidos da nuvem e não serão mais sincronizados com o Webex. Esses valores podem então ser editados manualmente.
1 |
No Conector de diretórios, clique em Painel. |
2 |
Vá para Ações e clique em . |
3 |
Selecione o mapeamento a ser removido da lista Nome do atributo . |
4 |
Em Escopo do usuário afetado, selecione uma das seguintes opções:
|
5 |
Clique em Aplicar. |
Gerenciar fotos de perfil
Use o Conector de diretórios para atualizar as imagens do perfil do usuário ou remover as imagens do perfil do usuário em branco.
1 |
No Conector de diretórios, clique em Painel. |
2 |
Vá para Ações e clique em . |
3 |
Em Ações, selecione uma das seguintes opções:
|
4 |
Clique em Aplicar. |
Desinstalar e desativar o Conector de diretórios
Depois de desinstalar uma ocorrência do Directory Connector, você deve cancelar o registro dela. Remova completamente um Conector de diretórios para qualquer um desses cenários:
-
Você não deseja mais usar a sincronização de diretórios.
-
Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).
-
Você deseja alterar o domínio e instalar outro conector.
Antes de começar
-
Você pode ter várias ocorrências do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Directory Connector.
-
Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.
1 |
Na sua máquina Windows, vá para o Painel de controle e clique em Programas e recursos. |
2 |
Na lista de programas, clique em Conector de diretórios, escolha Desinstalar e siga as instruções. Você pode ter que reiniciar o sistema para concluir a desinstalação. |
3 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretórios, clique em mais |
4 |
Depois de ler o aviso, clique em Desativar. A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuário não serão mais sincronizadas. |
Executar a ferramenta de diagnóstico
Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas da implantação do Conector de diretórios. Essa ferramenta é instalada como parte do conector de diretórios 3.4 em diante.
Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar algum erro, você poderá enviar os resultados de registro detalhados para suporte.
Solução de problemas no Conector de diretórios Ciso
Solução de problemas e correções do Conector de diretórios
Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, depois que o Conector de diretórios sincroniza as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para ver problemas que podem surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.
Instalar
O Conector de diretórios parou de funcionar
Você recebeu e-mails de alerta notificando que seu Conector de diretórios não está funcionando.
-
O Conector de diretórios pode não estar instalado corretamente.
-
O Conector de diretórios pode não estar em execução.
-
A rede pode não estar disponível.
Tente o seguinte:
-
Abra o
. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a. -
Abra o Serviço e localize o serviço Cisco DirSync. Certifique-se de que exibe o status como Iniciado. Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.
-
Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.
Erro de reinstalação
Problema—Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.
Causa possível—No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.
Solução—Depois de algum tempo, tente a instalação novamente.
Iniciar sessão
O conector de diretórios falha durante o início de sessão por SSO
Problema
O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão do SSO.
Solução
Tente o seguinte:
Execute estas etapas para configurar uma nova política de grupo:
-
Vá para o controlador do domínio e abra o Gerenciamento de políticas de grupo (gpedit.msc).
-
Clique com o botão direito do mouse em um OU ou domínio específico, selecione Criar um GPO neste domínio e Vinculá-lo aqui
-
Dê um nome à política, clique com o botão direito do mouse e escolha Editar.
Execute estas etapas para alterar a política no nível da máquina:
-
Vá para Registro, escolha Novo e, em seguida, Item do registro.
, clique com o botão direito do mouse em -
Para Caminho da chave, insira ou navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Insira
Desativar depurador de script
para Valor e insiranenhum
para Dados de valor.As configurações devem corresponder a esta captura de tela:
Execute estas etapas para alterar a política no nível do usuário:
-
Vá para Registro, escolha Novo e, em seguida, Item do registro.
, clique com o botão direito do mouse em -
Para Caminho da chave, insira ou navegue até HKEY_ATUAL_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Insira
Desativar depurador de script
para Valor e insiranenhum
para Dados de valor.As configurações devem corresponder a esta captura de tela:
As alterações entram em vigor depois que você executa gpupdate /force
, a máquina reiniciada (para alterações da máquina) ou o usuário inicia sessão novamente (para alterações do usuário).
Não foi possível registrar o conector do serviço Cisco DirSync
Problema
O início de sessão falha e esta mensagem é exibida: "O conector do serviço Cisco DirSync não pôde ser registrado".
Solução
O sistema Windows no qual o Conector de diretórios está instalado deve ser um membro do Active Directory.
Nenhuma página de início de sessão é exibida
Problema
Você abriu o Conector de diretórios e a página de início de sessão não foi exibida.
Solução
Tente as seguintes etapas:
-
No Internet Explorer, vá para https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.
-
Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Habilitar o TLS no Internet Explorer .)
O aviso de início de sessão é exibido
Problema
Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.
Causas possíveis
O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo será exibida para pedir o nome de usuário e a senha de autenticação.
Solução
Ao ver a janela pop-up de início de sessão, você precisa fornecer uma conta válida com autenticação correta para passar a segurança.
Não foi possível conectar-se ao servidor remoto
Problema
Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".
Causas possíveis
Você pode ter problemas de proxy que precisam ser resolvidos.
Solução
Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.
Não foi possível registrar o conector
Problema
Você vê a mensagem de erro "Não foi possível registrar o conector. Uma exceção geral ocorreu."
Causas possíveis
Na maioria dos casos, o problema é porque o conector de diretórios não tem privilégio para se conectar ao contexto raiz LDAP.
Solução
Tente o seguinte:
-
Execute um prompt de comando (cmd) e insira ldp.exe.
-
Clique em Vincular como atualmente conectado no usuário e clique em OK.
, escolha -
Clique em OK.
, insira DC=arbonneintl,DC=ad como BaseDN e clique em -
Se o problema persistir, abra um caso com o suporte.
Sincronização
Avatares não sincronizados
Problema
O conector de diretórios da Cisco sincronizou os dados do AD do usuário com a nuvem Webex. Mas nenhum dado de avatar foi sincronizado com êxito.
Causas possíveis
Se você reutilizou um servidor avatar existente e os avatares do usuário já estiverem sincronizados, o cache local os capturará e evitará o reenvio para economizar largura de banda.
Solução
Exclua o cache local seguindo estas etapas:
-
Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Exclua DirSyncPluginAvatar.dll-cache.bin.
-
Execute novamente a sincronização do avatar do conector de diretórios da Cisco.
Contas de e-mail de usuários conflitantes
Problema
Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.
-
Se os usuários experimentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização gratuita do consumidor.
-
Se os e-mails dos usuários já tiverem sido sincronizados em outra organização.
-
Se os e-mails do usuário existirem em vários domínios que pertencem à organização.
Solução
Tente o seguinte:
-
Siga estas etapas se estiver tentando reivindicar usuários:
-
Certifique-se de verificar o domínio no Control Hub.
-
Desative temporariamente o Conector de diretórios da Cisco.
-
Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidores gratuita. Consulte Reivindicar usuários em sua organização (Converter usuários) para obter mais informações.
-
Faça uma simulação no Cisco Directory Connector e reative a sincronização de diretórios
-
-
Para o último caso, verifique duas vezes os dados do usuário nas fontes do Active Directory.
Usuário convertido marcado como inativo
Problema
No seu ambiente sincronizado por diretório, você converteu um usuário gratuito (organização do consumidor) em sua organização empresarial, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.
Causas possíveis
Quando o usuário gratuito é convertido na organização empresarial, ele é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e será marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.
Solução
Você deve tomar medidas caso não queira que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no seu Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização do Cisco Directory Connector. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.
Falha na sincronização incremental
Problema
Uma sincronização incremental falha.
Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:
-
Você suporta atualizações de valores incrementais.
-
O filtro que você usa faz referência a um atributo de valor vinculado.
-
Os valores de resultados desse atributo foram atualizados desde a última vez que uma sincronização completa foi executada.
Solução
O Windows Server 2008 R2 tem um erro relacionado a esse problema. O erro foi corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para, pelo menos, 2012 R2.
Valor inválido para atributo
Problema
Para [usuário dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].
Causas possíveis
Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.
Solução
Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.
Usuários correspondentes a serem excluídos
Problema
Os usuários correspondentes estão marcados para serem excluídos.
Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você poderá ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.
Solução
Escolha uma correção apropriada:
-
Se estiver tudo bem para excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.
-
Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte.
Atributo ausente
Problema
O atributo obrigatório [attribute_name] ao adicionar entrada no local [dn de usuário (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.
Causas possíveis
O endereço de e-mail do atributo obrigatório está faltando. Ao adicionar a entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.
Solução
Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.
O grupo aninhado não sincronizará
Problema
Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.
Causas possíveis
É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)
Solução
Você deve reconfigurar o filtro que sincroniza grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGrupo,CN=Usuários,DC=rktest2008,DC=org)
Conflito de nomes de usuários
Problema
Há um conflito de nomes para [usuário dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].
Causas possíveis
Um usuário com esse endereço de e-mail já existe no Control Hub.
Solução
Crie um usuário no seu Active Directory com o mesmo endereço de e-mail da conta que você se registrou através do Control Hub.
Hub de controle
Lista de usuários ausente no Control Hub
Problema
Se você tiver uma organização Webex com mais de 1.000 usuários sincronizados, talvez não veja a lista de usuários no Control Hub.
Solução
Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Usuários, clique em Procurar e insira critérios de pesquisa para localizar um usuário específico.
Os grupos não serão sincronizados com o Control Hub
Problema
Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.
Causas possíveis
O grupo não está marcado como isCriticalSystemObject
no Active Directory.
Solução
Certifique-se de que o atributo isCriticalSystemObject
esteja definido como VERDADEIRO
no Active Directory.
Ativar a solução de problemas do Conector de diretórios
Você pode habilitar a solução de problemas para ajudar a diagnosticar quaisquer erros encontrados no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.
Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
Execute o arquivo |
2 |
Reinicie o serviço. Consulte Como iniciar serviços para obter orientação. |
3 |
No Conector de diretórios, clique em Painel. |
4 |
Vá para Ações e clique em . |
5 |
Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que possam ser examinados. |
6 |
Examine os ficheiros de registo: se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS. A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com o envio do registro de eventos para o sistema. |
7 |
Se necessário, envie o arquivo de registro ao suporte para obter assistência. |
8 |
Desative o recurso de solução de problemas quando terminar. |
Iniciar o Visualizador de eventos
Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.
1 |
No Conector de diretórios, vá para Painel e clique em .A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro. |
2 |
No Visualizador de eventos, vá para . |
3 |
Em Ações, clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo de Eventos (*.evtx) ou outro formato, como xml ou csv. |
O que fazer em seguida
Se você precisar abrir um caso, entre em contato com o suporte, descreva o problema com o conector e anexe o arquivo de Eventos ao seu caso.
Os registros de eventos capturam as ações do usuário. Para obter ajuda com o gerenciamento do tráfego de rede, ative a solução de problemas no conector.
Ativar o TLS no Internet Explorer
Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:
-
Ocorreu um erro ao fazer logon no serviço
-
Ocorreu um erro no script nesta página
Se você vir esses erros, você deve habilitar uma configuração de TLS em seu navegador.
1 |
Abra o Internet Explorer e escolha Ferramentas. Agora marque as caixas para a versão TLS/SSL que você deseja habilitar Clique em OK Feche o navegador e abra-o novamente |
2 |
Clique em Opções da Internet , vá para Avançado e role até Segurança. |
3 |
Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK. |
4 |
Reinicie seu sistema para que as alterações tenham efeito. |
Solucionar problemas de início de sessão da conta de serviço
Se você não conseguir iniciar sessão no Cisco Directory Connector ou não conseguir executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.
1 |
Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL no seu navegador da web. |
2 |
Escolha um, dependendo dos resultados:
|
3 |
No mínimo, certifique-se de que a conta configurada para o serviço Cisco DirSync (que pode ser encontrada nos serviços Windows) tenha um nível de privilégio que lhe permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais da conta de logon do Windows e a autenticação. |
Verificar o SafeDllSearchMode no registro do Windows
O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter. |
2 |
Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager. |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.
Visão geral do Conector de diretórios da Cisco
Visão geral do conector de diretórios
O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Você baixa o software do conector do Control Hub e o instala em sua máquina local.
Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.
Veja todos os recursos, descrições e benefícios na tabela:
Recurso | Descrição e benefício |
---|---|
Painel fácil de usar | O painel fornece uma agenda de sincronização, um resumo e o status da sincronização, bem como o status do Conector de diretórios. Você pode visualizar o painel a qualquer momento que iniciar sessão. |
Faça uma simulação antes de sincronizar com a nuvem | Faça uma simulação das alterações no diretório antes de elas serem implementadas na nuvem. Em seguida, execute um relatório para ver que as alterações que você deseja fazer são o que você espera. |
Sincronização completa e incremental | Sincronize o diretório inteiro. Ou apenas sincronize as alterações incrementais para economizar no poder de processamento e encurtar o tempo de sincronização. |
Sincronize vários domínios (uma única floresta ou várias florestas) |
O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade do AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado de sincronização de vários Conector de diretórios, permite que você desative a sincronização de um domínio específico e desative um Conector de diretórios em uma implantação de alta disponibilidade. |
Sincronização agendada | Defina uma agenda de sincronização por dia, hora e minuto. |
Filtros do Protocolo LDAP (Lightweight Directory Access Protocol) | Defina critérios de pesquisa LDAP e forneça importações eficientes. |
Mapeamento de atributos do Active Directory | Mapeie os atributos do Microsoft Active Directory com os atributos correspondentes da nuvem Webex. Você pode mapear atributos relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear na nuvem. Os atributos dos locais formam vários dados na nuvem, como informações da conta do usuário, números de telefone da empresa no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante). |
Diretório corporativo para recursos de salas locais e usuários do Cisco Webex Calling (PSTN em nuvem) e contatos corporativos sem licenças Webex |
Se parte da sua organização usar o Cisco Webex Calling em nuvem PSTN para serviço de chamadas ou se você tiver dispositivos de sala locais, esse recurso permitirá que os usuários pesquisem no diretório de contatos corporativos dos telefones Cisco Webex Calling (PSTN em nuvem) ou dos recursos de sala.
|
Visualizador de eventos | Use o visualizador de eventos para determinar se houve algum problema com a sincronização. |
Ferramenta de diagnóstico e solução de problemas | Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar os erros antes de entrar em contato com o suporte. Depois de habilitar a solução de problemas no Conector de diretórios, os registros são gravados e podem ser enviados ao suporte técnico. |
Atualização automática | Depois de instalar o Conector de diretórios, você receberá uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada. |
Alta disponibilidade | Configure vários conectores para que haja um backup, caso o conector principal ou a máquina que o hospeda desligue. |
O Conector de diretórios é dividido em três áreas:
-
O Control Hub é a única interface que permite gerenciar todos os aspectos da sua organização Webex: visualize os usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.
-
Interface de gerenciamento do conector de diretórios é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.
-
O Serviço de sincronização de diretórios consulta seu Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.
Consulte este diagrama para entender a arquitetura do Conector de diretórios:
Preparar seu ambiente para o Conector de diretórios
Requisitos do Conector de diretórios
Requisitos do Windows e do Active Directory
Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver um problema de cookie, recomendamos que você atualize seu controlador de domínio para uma versão que contém a correção — Windows Server 2012 R2 ou 2016.
O Conector de diretórios é compatível com os seguintes serviços do Active Directory:
-
Active Directory 2016
(O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Observe os seguintes requisitos adicionais:
-
O Conector de diretórios requer TLS1.2. Você deve instalar o seguinte:
-
.NET Framework v3.5 (necessário para o aplicativo Conector de diretórios. Se você tiver algum problema, use as instruções em Ativar o .NET Framework 3.5 usando o Assistente para adicionar funções e recursos.)
-
.NET Framework v.4.5 (necessário para TLS1.2)
-
-
É necessário o nível funcional da floresta do Active Directory 2 (Windows Server 2003) ou superior. (Consulte Quais são os níveis funcionais do Active Directory? para obter mais informações.)
Requisitos de hardware
Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de armazenamento
-
Nenhum mínimo para a CPU
Requisitos de rede
Se a sua rede estiver atrás de um firewall, certifique-se de que o sistema tenha acesso HTTPS (porta 443) à Internet.
Requisitos da organização Webex
-
Para acessar o software Directory Connector do Control Hub, você precisa de uma organização Webex com um teste ou qualquer assinatura paga.
-
(Opcional) Se desejar que as novas contas de usuário do aplicativo Webex estejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:
-
Adicione, verifique e, opcionalmente, reivindique domínios que contêm os endereços de e-mail dos usuários que você deseja sincronizar na nuvem.
-
Faça uma integração de registro único (SSO) do seu provedor de identidade (IdP) com sua organização Webex.
-
Elimine convites automáticos por e-mail, para que os novos usuários não recebam o convite automático por e-mail e você possa fazer sua própria campanha por e-mail. (Este recurso requer a integração SSO.)
-
Para obter mais informações, consulte Status e ações do usuário no Control Hub.
Requisitos de instalação
-
Para um ambiente de vários domínios (uma única floresta ou várias florestas), você deve instalar um conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de ter um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).
-
Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completo no Control Hub.
Esse usuário local deve ter privilégios nessa máquina com Windows para se conectar ao controlador de domínio e ler objetos do usuário do Active Directory. A conta de logon da máquina deve ser um administrador do computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completo do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) do Windows esteja ativado usando este procedimento: Verifique o SafeDllSearchMode no registro do Windows.
-
Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.
Requisitos de vários domínios
Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco, tenha em mente os seguintes requisitos e recomendações se você estiver sincronizando informações do Active Directory de vários domínios para a nuvem:
-
Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.
-
O software do Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.
-
Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios.)
-
Se você quiser sincronizar mais de 50 domínios, deverá abrir um ticket para transferir sua organização para uma grande lista de organizações.
-
Se desejar, você pode sincronizar as informações de recursos da sala juntamente com as contas de usuário. (Consulte Sincronizar informações da sala no local com o Webex Cloud.)
Recomendações do grupo do Active Directory para atribuição automática de licenças
Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Existem dois tipos de grupos no Active Directory:
-
Grupos de distribuição—Usado para criar listas de distribuição por e-mail.
-
Grupos de segurança—Usado para atribuir permissões a recursos compartilhados.
Considere as seguintes diretrizes ao criar grupos no Active Directory:
-
Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex e assim por diante).
-
Use as convenções de nomenclatura padrão em toda a organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes dos grupos podem incluir detalhes sobre o grupo, como o nível de acesso, tipo de recurso, nível de segurança, escopo do grupo, capacidade de correio e assim por diante. por exemplo, o nome do grupo "GSG_Webex_Licensing_EMEAR" refere-se a um Grupo de segurança global para usuários do Webex Licensing EMEAR.
-
Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.
-
Antes de adicionar usuários a grupos recém-provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo automático de atribuição de licença para obter mais informações.
Informações de dimensionamento
O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior de quantos objetos do Active Directory podem ser sincronizados com a nuvem. Quaisquer limites em objetos de diretório locais estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.
Alguns fatores podem afetar a velocidade da sincronização:
-
O número total de objetos do Active Directory. (Um trabalho de sincronização de 5000 usuários não levará até 50000.)
-
Velocidade da rede e largura de banda.
-
Carga de trabalho e especificações do sistema.
Se você estiver sincronizando mais de 50.000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.
Como vários fatores estão envolvidos com a sincronização e como cada implantação varia dependendo dos fatores acima, não podemos fornecer valores de tempo específicos para quanto tempo levará uma sincronização de objeto.
Verificar o SafeDllSearchMode no registro do Windows
O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter. |
2 |
Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager. |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.
Integração de proxy da web
Integração de proxy da web
Se a autenticação de proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.
Se sua organização usar um proxy da web transparente, ele não suporta autenticação. O conector conecta e sincroniza os usuários com êxito.
Você pode adotar uma destas abordagens:
-
Proxy web explícito por meio do Internet Explorer (o conector herda as configurações de proxy web)
-
Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)
-
Proxy transparente que funciona com o conector sem nenhuma alteração
Usar um Proxy Da Web Através Do Navegador
Você pode configurar o Conector de diretórios para usar um proxy da web por meio do Internet Explorer.
Se o serviço Cisco DirSync for executado a partir de uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy web.
1 |
No Internet Explorer, vá para Opções da Internet, clique em Conexões e escolha Configurações de LAN. |
2 |
Aponte a instância do Windows onde o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web. |
3 |
Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:
Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
4 |
Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex. |
Configurar o proxy da web por meio de um arquivo PAC
Você pode configurar um navegador de cliente para usar um arquivo .pac. Esse arquivo fornece o endereço do proxy web e as informações da porta. O Conector de diretórios herda diretamente a configuração do proxy web específica da empresa.
1 |
Para que o conector se conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy esteja desabilitada no |
2 |
Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:
Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
3 |
Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex. |
Proxy NTLM
O conector de diretórios suporta o NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.
Projeto NTLM
Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.
Geralmente, o design técnico do NTLM é baseado em um mecanismo de Desafio
e Resposta
:
-
Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha no cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor de hash da senha de entrada. Se ambos forem iguais, a autenticação passa.
Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.
-
Quando o servidor recebe a solicitação, ele gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes que o servidor envie de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.
-
Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor hash mencionado na etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.
-
Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio simples original.
-
O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador de doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se forem iguais, a verificação será bem-sucedida.
O Windows tem autenticação de segurança integrada no sistema operacional, facilitando a autenticação de segurança por aplicativos. Como resultado, você não precisa concluir a configuração adicional.
Configurar o Proxy Transparente
Nesse cenário, o navegador não está ciente de que um proxy da web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.
1 |
Implante um proxy transparente para que o conector possa conectar e sincronizar os usuários. |
2 |
Confirme se o proxy foi bem-sucedido — você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector. |
Definir autenticação proxy
Adicione a URL cloudconnector.webex.com
à sua lista de permissões criando uma Lista de controle de acesso.
No servidor de firewall corporativo:
1 |
Ative a pesquisa de DNS se ainda não estiver habilitada. |
2 |
Determine uma largura de banda estimada para essa conexão (em aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário. |
3 |
Crie uma Lista de controle de acesso para aplicar ao host do conector e especifique Por exemplo: lista de acesso 2000 acl-dentro de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https |
4 |
Aplique esta ACL à interface de firewall apropriada, que é aplicável apenas a esse host de conector único. |
5 |
Certifique-se de que o resto dos organizadores da sua empresa ainda seja obrigado a usar o proxy da web, configurando a declaração de negação implícita apropriada. |
Implantar o Conector de diretórios
Fluxo de tarefa de implantação do conector de diretórios da Cisco
Antes de você começar
1 |
Instalar o Directory Connector O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre vá para o Control Hub (https://admin.webex.com) para obter a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis. |
2 |
Iniciar sessão no Conector De Diretórios Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial. |
3 |
Definir atualizações automáticas É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
4 |
Escolha os objetos do Active Directory a serem sincronizados Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios. |
5 |
Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid. |
6 |
Sincronize os avatares do diretório usando um dos seguintes procedimentos:
Você pode sincronizar os avatares dos seus usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos. |
7 |
Sincronizar informações da sala no local com o Webex Cloud Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala locais com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem, como um dispositivo Webex Room ou Cisco Webex Board |
8 |
Para Provisionar Usuários Do Active Directory No Control Hub, execute estas etapas:
Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex.Você pode provisionar usuários de uma implantação do Active Directory de várias florestas ou de vários domínios no Conector de diretórios 3.0 e posterior. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex. |
Instalar o Directory Connector
O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa.
Você deve instalar um conector para cada domínio do Active Directory que você deseja sincronizar. Uma única ocorrência do Conector de diretório só pode atender a um único domínio. Consulte o diagrama a seguir para entender o fluxo da sincronização de vários domínios:
Antes de você começar
Se você se autenticar por meio de um servidor proxy, verifique se você tem suas credenciais de proxy:
-
Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de instalar uma ocorrência do conector. A configuração de proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um Proxy Web Através Do Navegador
-
Para proxy NTLM, você pode ver um erro ao abrir o conector pela primeira vez. Consulte Usar um Proxy Da Web Pelo Navegador.
1 |
No Control Hub, vá para e escolha Próximo. |
2 |
Clique no link Baixar e instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu VMware ou servidor Windows. Você pode obter o arquivo .zip diretamente deste link, mas deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione. Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis. |
3 |
No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração. |
4 |
Clique em Próximo, marque a caixa para aceitar o contrato de licença e, em seguida, clique em Próximo até que você veja a tela do tipo de conta. |
5 |
Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:
Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:
|
6 |
Clique em Instalar. Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas do proxy, clique em OK e, em seguida, clique em Concluir. |
O que fazer em seguida
Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.
Iniciar sessão no Conector De Diretórios
Antes de você começar
Verifique se você tem suas credenciais de proxy.
-
Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.
-
Para proxy NTLM, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções da Internet > Conexões > configurações da LAN, certifique-se de que as informações do servidor proxy sejam adicionadas e, em seguida, clique em OK. Consulte Usar um Proxy Da Web Pelo Navegador.
1 |
Abra o conector e adicione |
2 |
Se solicitado, inicie sessão com suas credenciais de autenticação de proxy, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Próximo. |
3 |
Confirme sua organização e o domínio.
|
4 |
Depois que a tela Confirmar organização for exibida, clique em Confirmar. Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida. |
5 |
Clique em Confirmar. |
6 |
Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:
|
O que fazer em seguida
Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.
Painel do conector de diretórios
Quando você inicia sessão no Conector de diretórios pela primeira vez, o painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar as estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver as informações de erro.
Se o tempo de sua sessão expirar, inicie sessão novamente.
Você pode executar facilmente essas tarefas na barra de ferramentas de ações ou no menu de ações.
Componente |
Descrição |
---|---|
Sincronização atual |
Exibe as informações de status sobre a sincronização que está atualmente em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status fica ociosa. |
Próxima sincronização |
Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma agenda for definida, Não agendada será exibida. |
Última sincronização |
Exibe o status das duas últimas sincronizações executadas. |
Status de sincronização atual |
Exibe o status geral da sincronização. |
Conectores |
Exibe os atuais conectores locais que estão disponíveis para a nuvem. |
Estatísticas da nuvem |
Exibe o status geral da sincronização. |
Agenda de sincronização |
Exibe a agenda de sincronização para sincronização incremental e completa. |
Resumo da configuração |
Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
|
Ação | Descrição |
---|---|
Iniciar sincronização incremental |
Iniciar manualmente uma sincronização incremental Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento. |
Simulação de sincronização |
Execute uma sincronização de simulação. |
Iniciar o visualizador de eventos |
Inicie o Visualizador de eventos da Microsoft. |
Atualizar |
Atualizar o painel do conector de diretórios da Cisco |
Ação |
Descrição |
---|---|
Sincronizar agora |
Inicie uma sincronização completa instantaneamente. |
Modo de sincronização |
Selecione o modo de sincronização incremental ou completo. |
Redefinir senha do conector |
Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, o salvará localmente. |
Simulação |
Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa. |
Solução de problemas |
Ative/desative a solução de problemas. |
Atualizar |
Atualize a tela principal do conector de diretórios da Cisco. |
Sair |
Saia do conector de diretórios da Cisco. |
Combinação de teclas |
Ação |
---|---|
Alt +A |
Mostrar o menu de Ações |
|
Sincronizar agora |
|
Redefinir senha do conector |
|
Simulação |
|
Sincronização incremental |
|
Sincronização completa |
|
Mostrar menu de Ajuda |
|
Ajuda |
|
Sobre |
|
Perguntas frequentes |
Definir atualizações automáticas
1 |
No Conector de diretórios, vá para Atualizar automaticamente para a nova versão do Cisco Directory Connector. e, em seguida, marque |
2 |
Clique em Aplicar para salvar suas alterações. |
Novas versões do conector são instaladas automaticamente quando estão disponíveis.
Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.
Escolha os objetos do Active Directory a serem sincronizados
Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.
Grupos para atribuição automática de licenças
O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para grupos do Active Directory que você sincroniza com a nuvem. No ponto da criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença para esse novo usuário.
Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro para:
(&(cn=Exemplo)(objectclass=Grupo))*
Este filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.
Grupos para implantações de segurança de dados híbridos
No Conector de diretórios, você deve marcar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. Essa configuração do Conector de diretórios não afeta a sincronização de outros usuários na nuvem.
Antes de você começar
Recomendações do grupo do Active Directory para atribuição automática de licenças
1 |
No Conector de diretórios, vá para Configuração e clique em Seleção de objeto. |
2 |
Na seção Tipo de objeto, marque Usuários e considere limitar o número de contêineres pesquisáveis para usuários. Se você quiser sincronizar apenas os usuários em um determinado grupo, por exemplo, deverá inserir um filtro LDAP no campo Filtros LDAP de Usuários. Se você quiser sincronizar os usuários que estão no grupo Gerenciador de exemplo, use um filtro como este:
|
3 |
Marque Identificar sala para separar os dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar dados do usuário como dados da sala. Use esta configuração se desejar sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem. Para obter mais informações, consulte Sincronizar informações da sala no local com o Webex Cloud. |
4 |
Marque Grupos se você quiser sincronizar seus grupos de usuários do Active Directory com a nuvem. Não adicione um filtro LDAP de sincronização de usuários ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os próprios dados do grupo com a nuvem. Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupos. Você também deve sincronizar grupos de segurança. |
5 |
Marque Contatos se você quiser sincronizar as informações de contato dos usuários com a nuvem. O Conector de diretórios gerencia apenas os Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não os excluirá. Se os contatos forem removidos do escopo da sincronização, as informações de contato dos usuários também serão removidas do Control Hub. |
6 |
Configure os filtros LDAP. Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP. |
7 |
Especifique os DNs da base local a serem sincronizados clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar. |
8 |
Verifique os objetos que você deseja adicionar nesta configuração e clique em Selecionar. Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para ativar todos os recipientes filhos. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que um filho foi verificado. Você pode então clicar em Selecionar para aceitar os contêineres do Active Directory que você marcou. Se sua organização colocar todos os usuários e grupos no contentor Usuários, você não precisará pesquisar outros contentores. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs. |
9 |
Clique em Aplicar. Escolha uma opção:
Para obter informações sobre simulações, consulte Fazer uma sincronização de simulação nos seus usuários do Active Directory. Para a sincronização de grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa de usuários do Active Directory na nuvem. |
Mapear atributos do usuário
Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.
Você pode escolher qual atributo do Active Directory mapear para a nuvem - por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.
As contas no Active Directory devem ter um endereço de e-mail; o uid é mapeado por padrão para o campo ad de correio (não sAMAccountName).
Se você optar por ter o idioma preferido vindo do seu Active Directory, então o Active Directory é a única fonte de verdade: os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário. Esta página mostra os nomes dos atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos obrigatórios são marcados com um asterisco vermelho. |
2 |
Role para a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo uid da nuvem:
Você pode mapear qualquer um dos outros atributos do Active Directory para o uid, mas recomendamos que você use mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeando atributos do Active Directory no Conector de diretórios. Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados. |
3 |
Se os atributos predefinidos do Active Directory não funcionarem para sua implantação, clique no menu suspenso de atributos, role para a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo. Clique em Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações. Neste exemplo, vamos mapear os atributos do Active Directory O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro de usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem: Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário: |
4 |
(Opcional) Escolha mapeamentos para celular e telephoneNumber se desejar que os números de celular e comercial apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex. Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário. Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação de chamadas no Webex (Unified CM) (administradores). |
5 |
Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:
Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário: Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato. Depois que esses atributos forem sincronizados com cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais uns sobre os outros. Para obter mais informações sobre o recurso e como ativá-lo, consulte os Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (novo) no Control Hub |
6 |
Depois de fazer suas escolhas, clique em Aplicar. |
Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deverá ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Atributos do Active Directory e da nuvem
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia de Mapeamento de atributos do usuário.
Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos do Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher diferentes atributos nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.
Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo de nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição de seus usuários - por exemplo, você pode adicionar uma expressão que crie um atributo personalizado com base no título do funcionário, nome e sobrenome no Active Directory.
Você também pode especificar qualquer um dos atributos do Active Directory a serem mapeados como uid na nuvem. No entanto, você deve certificar-se de que o atributo local siga um formato de e-mail válido.
Você também pode usar endereços de e-mail alternativos, se, por exemplo, desejar usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário for usado para gerenciar o calendário dele. Nesse caso, mapeie outro endereço de e-mail para o atributo e-mails;type-work. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário.
Nomes de atributos do Active Directory |
Nomes de atributos da nuvem Webex |
Notas |
---|---|---|
— |
edifícioName |
— |
c |
c |
Esse atributo especifica a abreviatura do país do usuário. |
número do departamento |
número do departamento |
Esse atributo é usado para o número do departamento do usuário que aparece no cartão de contato e no People Insights. |
displayName |
displayName |
Esse atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no People Insights. |
controle conta usuário |
ds-pwp-account-desabilitado |
Este atributo é usado para sincronização do usuário. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente. |
número do funcionário |
número do funcionário |
— |
ileileTelephoneNumber |
ileileTelephoneNumber |
— |
— |
jabberID |
Esse atributo de nuvem se refere a endereços de IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses. |
l |
l |
Esse atributo especifica a cidade do usuário. |
— |
localidade |
— |
manager |
manager |
Esse atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e no People Insights. |
móvel |
móvel |
Esse atributo é usado como o número de celular que aparece para chamar o usuário do cartão de contato. |
o |
o |
Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato. |
ou |
ou |
Esse atributo especifica o nome da unidade organizacional. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Esse atributo especifica o local do escritório do usuário. |
Postalcode |
Postalcode |
Esse atributo especifica o código postal ou o CEP do usuário para entrega física de correio. |
idioma preferido |
idioma preferido |
Esse atributo define o idioma preferido do usuário e os seguintes formatos são compatíveis: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA. Se você usar um idioma não compatível ou um formato inválido, o idioma preferido dos usuários será alterado para o idioma definido na organização. |
MSRTCSIP-PrimaryUserAddress telefone ip |
SipAddresses;type=empresa |
Esse atributo é usado para sincronizar informações da sala no local do Active Directory para a nuvem Cisco Webex. |
sn |
sn |
Esse atributo é usado para o sobrenome da conta de usuário que aparece no Control Hub, no cartão de contato e no People Insights. |
são |
são |
Esse atributo especifica o estado ou província do usuário. |
Streetaddress |
rua |
Esse atributo especifica o endereço do usuário para entrega física de correio. |
Telephonenumber |
Telephonenumber |
Esse atributo especifica o número de telefone principal (comercial) do usuário que é usado para ligar para o usuário do cartão de contato. |
— |
fuso horário |
Este atributo de nuvem especifica o fuso horário do usuário. |
cargo |
cargo |
Esse atributo especifica o título do usuário que aparece no cartão de contato e no People Insights. |
tipo |
empresa |
— |
*correio *userPrincipalName |
UID |
Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory mapeia para um uid exclusivo na nuvem. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento de atributos SAML correto esteja ativado. Consulte o mapeamento de atributos de exemplo abaixo para saber como você pode mapear um endereço de e-mail alternativo. |
*userPrincipalName *correio <atributo personalizado> |
e-mails;digitar-trabalho |
Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário. |
<Novo atributo do usuário objectId do Azure> |
ID externa |
Crie um novo atributo do Active Directory para manter o objectId do usuário do Azure, para que ele não entre em conflito com um existente. Em seguida, esse atributo mapeia para o atributo externalId, garantindo que quando os usuários Webex criarem grupos no Microsoft 365 criem automaticamente equipes no Webex. |
Mapeamento alternativo de endereços de e-mail
Expressões para atributos personalizados
Operador |
Descrição e exemplo |
---|---|
% |
Remove todos os caracteres do início da string até a posição do caractere ou argumento da string, se corresponder.
|
- |
Risca a parte de trás da string de entrada do final da string especificada.
|
+ |
Concatena strings ou expressões de entrada.
|
| |
Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.
|
Sincronizar avatares de diretórios de um atributo do Active Directory para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar brutos de um atributo do Active Directory.
1 |
No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar. |
2 |
Para Obter o avatar, escolha o atributo AD e, em seguida, escolha o atributo Avatar que contém os dados do avatar brutos que você deseja sincronizar com a nuvem. |
3 |
Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário. O avatar aparece à direita. |
4 |
Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações. |
-
As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.
-
Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.
Sincronizar avatares de diretório de um servidor de recursos para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.
Antes de você começar
-
O padrão de URI e o valor da variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.
-
O padrão URI do avatar e o servidor onde os avatares residem devem ser acessíveis no aplicativo Conector de diretórios. O conector precisa ter acesso http ou https às imagens, mas as imagens não precisam ser publicamente acessíveis na internet.
-
A sincronização de dados do avatar é separada dos perfis de usuário do Active Directory. Se você executar um proxy, deverá garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou autenticação básica.
1 |
No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar. |
2 |
Para Obter o avatar de, escolha Servidor de recursos e, em seguida, insira o Padrão de URI do avatar—Por exemplo, Vamos ver cada parte do padrão de URI do avatar e o que eles significam:
|
3 |
(Opcional) Se o servidor de recursos exigir credenciais, marque Definir credencial do usuário para avatar, em seguida, escolha Usar usuário de logon de serviço atual ou Usar este usuário e insira a senha. |
4 |
Insira o Valor da variável—Por exemplo: |
5 |
Clique em Testar para certificar-se de que o padrão de URI do avatar funciona corretamente. Neste exemplo, se o valor do correio para uma entrada do AD for |
6 |
Depois que as informações do URI forem verificadas e parecerem corretas, clique em Aplicar. Para obter informações detalhadas sobre o uso de expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft. |
-
As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.
-
Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.
Sincronizar informações da sala no local com o Webex Cloud
Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).
1 |
No Conector de diretórios, vá para Sincronizar, clique em mais |
2 |
Marque Sincronizar informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização. Quando essa configuração estiver desativada, os dados da sala serão tratados da mesma maneira que os dados sincronizados pelo usuário. |
3 |
Vá para Mapeamento de atributos e altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise. Para usar a validação de valor, o valor do endereço SIP deve ser Pattern.compile("^([^@])(.*)@(.*)$")
|
4 |
Crie uma caixa de correio de Recurso de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector então usa para identificar as salas. |
5 |
Em computadores e usuários do Active Directory, navegue até e edite as propriedades da sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip: |
6 |
Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector. Os novos objetos de sala estão listados em Objetos adicionados e os objetos de sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão em Salas excluídas. Os resultados da simulação mostram todos os recursos de sala que foram combinados. Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas da nuvem no painel do conector mostram os dados da sala que foram sincronizados com a nuvem. |
O que fazer em seguida
Agora que você fez essas etapas, ao fazer uma pesquisa em um dispositivo Webex registrado na nuvem, você verá as entradas de salas sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.
No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.
O terminal não pode retornar uma chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em algum outro lugar que não o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no dispositivo Webex Room, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.
Enviar relatórios de e-mail sobre os resultados da sincronização de diretórios
Por padrão, os contatos ou administradores da organização sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.
1 |
No Conector de diretórios, clique em Configuração e escolha Notificação. |
2 |
No Conector de diretórios, clique em Configurações e, ao lado de Receptor de e-mail, ative Ativar sincronização de relatório. |
3 |
Marque Ativar notificação se você quiser substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail. |
4 |
Clique em Adicionar e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações. |
5 |
Clique em Adicionar e-mail e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações. |
6 |
Se você precisar editar qualquer endereço de e-mail inserido, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias. |
7 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar. |
8 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar. |
O que fazer em seguida
Se você decidiu que deseja remover endereços de e-mail, poderá clicar em um e-mail para destacar essa entrada e, em seguida, clicar em Remover.
Se você decidiu que deseja remover endereços de e-mail, poderá clicar em Remover ao lado de entradas específicas de endereços de e-mail.
Provisionar usuários do Active Directory no Control Hub
Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuários correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.
1 |
Executar uma sincronização de simulação em seus usuários do Active Directory Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem. |
2 |
Faça uma sincronização completa de usuários do Active Directory na nuvem Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados. |
3 |
Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub Depois de concluir uma sincronização de usuário completa do Conector de diretórios no Control Hub, você poderá atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial. |
Executar uma sincronização de simulação em seus usuários do Active Directory
Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.
Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.
Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer esta etapa em cada uma das instâncias do conector de diretório da Cisco que você instalou para cada domínio do Active Directory.
Antes de você começar
Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto local do Active Directory e receber licenças para serviços. Mas alguns podem ser usuários de teste que você deseja excluir enquanto faz uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.
1 |
Escolha uma das opções:
Quando a simulação for concluída, você verá um dos seguintes resultados: O Resumo contém informações sobre a correspondência do objeto:
A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo pode identificar os usuários se eles pertencem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou mantê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não existentes no Active Directory local. |
2 |
Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:
|
3 |
No prompt Confirmar simulação, clique em Sim para refazer a sincronização da simulação e visualizar o painel para ver os resultados. Todas as contas que foram sincronizadas com êxito na simulação aparecem em Objetos correspondentes. Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos. Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail. Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes. Para salvar as informações do resumo, clique em Salvar resultados no arquivo. |
4 |
Se os resultados forem esperados, vá para Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto. e clique emDepois de fazer uma sincronização no último domínio do Active Directory em sua implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você poderá ativar o modo automático somente quando os objetos forem completamente combinados entre a nuvem Webex e todos os Diretórios ativos locais. |
O que fazer em seguida
-
Para quaisquer objetos de usuário incompatíveis que você manteve, você deve adicioná-los ao Active Directory para que haja uma correspondência exata entre o local e a nuvem.
-
Escolha um tipo de sincronização:
-
Faça uma sincronização completa de usuários do Active Directory para a nuvem quando você sincronizar novos usuários pela primeira vez. Você faz isso em e, em seguida, os usuários do domínio atual são sincronizados.
-
Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa.
-
-
Se você tiver vários domínios, repita estas etapas em qualquer outro Conector de diretórios que você tiver instalado.
Coisas a se manter em mente
-
Execute uma simulação antes de habilitar a sincronização completa ou ao alterar os parâmetros da sincronização. Se a simulação tiver sido iniciada por uma alteração de configuração, você poderá salvar as configurações após a conclusão da simulação. Se você já tiver adicionado usuários manualmente, realizar uma sincronização do Active Directory pode causar a remoção dos usuários adicionados anteriormente. Você pode verificar o Directory Connector Dry Run Reports para verificar se todos os usuários esperados estão presentes antes de sincronizar totalmente com a nuvem.
-
Se os usuários correspondentes estiverem marcados para serem excluídos e você não tiver certeza de como continuar, consulte as informações de solução de problemas e como entrar em contato com o suporte em Solução de problemas e correções do Conector de diretórios.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Faça uma sincronização completa de usuários do Active Directory na nuvem
Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.
Se você tiver vários domínios, deverá fazer esta etapa em cada uma das instâncias do Conector de diretório que você instalou para cada domínio do Active Directory.
O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.
Antes de você começar
-
Se você quiser que as contas de usuário do aplicativo Webex estejam no status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve seguir estas etapas para ignorar a validação de e-mail:
-
Integre o registro único à sua organização Webex. Consulte
Registro único com os serviços Cisco Webex e o provedor de identidade da sua organização
para obter mais informações. -
Use o Control Hub para verificar e, opcionalmente, reivindicar os domínios contidos nos endereços de e-mail. Consulte
Adicionar, verificar e reivindicar domínios
. -
Elimine convites automáticos por e-mail, para que os novos usuários não recebam o convite automático por e-mail para o aplicativo Webex. (Você pode fazer sua própria campanha por e-mail.)
Os usuários ativados que não iniciaram sessão aparecem com um status Verificado no Control Hub. Depois de se inscreverem, eles aparecem como ativos. Para obter mais informações sobre status do usuário, consulte Status e ações do usuário no Cisco Webex Control Hub.
-
-
Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar possíveis erros.
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Se você não usar modelos de atribuição automática de licenças, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles poderão usar os mesmos recursos gratuitos daqueles com contas gratuitas.
1 |
Escolha uma das opções:
|
2 |
No Conector de diretórios, vá para Sincronizar, clique em mais |
3 |
Confirme o início da sincronização. Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações até 72 horas depois de executar a sincronização. Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.
|
4 |
Clique em Atualizar se você quiser atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas da nuvem.) |
5 |
Para obter informações sobre erros, selecione o Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros. |
6 |
Para definir uma agenda de sincronização para sincronizações incrementais contínuas para a nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental. |
-
Após a conclusão da sincronização completa, o status das atualizações da sincronização do diretório de Desativado para Operacional na página de Configurações no Control Hub.
-
Quando todos os dados são combinados entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.
-
A menos que você integre registro único, verifique domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e elimine e-mails automatizados, as contas de usuário do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de começar para obter orientação sobre como sincronizar as contas como usuários ativos.
-
Se você tiver vários domínios, faça esta etapa em qualquer outro conector de diretório que você tenha instalado. Após a sincronização, os usuários em todos os domínios que você adicionou serão listados no Control Hub.
-
Se você integrou o registro único com o Webex e notificações por e-mail suprimidas, os convites por e-mail não serão enviados aos usuários recém-sincronizados.
-
Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Uma vez ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.
-
Todos os grupos sincronizados aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários nesse grupo recebam licenças.
O que fazer em seguida
-
Quando você remove um usuário do Active Directory, ele é excluído de software após a próxima sincronização. O usuário fica Inativo, mas o perfil de identidade da nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).
Quando você marca A conta está desabilitada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade da nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.
-
Observe estas exceções para uma sincronização incremental (em vez disso, siga os passos completos de sincronização acima):
-
No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.
-
As alterações de configuração no mapeamento de atributos, DN base, filtro e configuração de avatar requerem uma sincronização completa.
-
Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub
Depois de concluir uma sincronização completa de usuários do conector de diretórios da Cisco no Control Hub, você poderá usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma só vez ou adicionar licenças adicionais a novos usuários se já tiver configurado um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você poderá usar métodos no Control Hub para atribuir licenças de serviço Webex globalmente a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já tiver configurado um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Quando você atribuir uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Registro Único (SSO) com sua organização Webex, você também pode suprimir essas notificações automáticas por e-mail se preferir entrar em contato com seus usuários diretamente.
Antes de você começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Execute uma sincronização de simulação nos seus usuários do Active Directory.
-
Depois de confirmar os resultados da simulação, faça uma sincronização completa em seus usuários do Active Directory.
No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuários padrão no Control Hub, como importação de CSV, atualização manual de usuários ou através da conclusão automática da atribuição bem-sucedida.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizados e clique em Próximo. |
2 |
Escolha uma opção: |
O que fazer em seguida
-
Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.
-
Se você selecionou os mesmos serviços Webex para todos os usuários, posteriormente você poderá alterar a licença atribuída individualmente ou em massa.
Problemas conhecidos com o Conector de diretórios
-
Versões do Windows Server anteriores a 2012 R2 têm um problema de cookie que afeta o Conector de diretórios. Esse problema foi corrigido nas versões 2012 R2 e 2016.
-
Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações 72 horas a partir de quando você executa a sincronização.
Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.
-
Quando um usuário usa o aplicativo Webex no desktop ou celular para pesquisar e ligar para uma sala que tenha apenas um SIP URI sincronizado, a chamada tocará indefinidamente neste momento.
Gerenciar usuários do aplicativo Webex
Executar uma sincronização incremental
Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Esta etapa agrupa essas alterações e as envia para o serviço do conector. As alterações incluem a modificação de atribuição de usuários e quando um usuário é adicionado ou excluído.
Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização inicial completa, recomendamos a opção incremental para sincronizações subsequentes.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Observe estas exceções para as quais a sincronização incremental não é compatível (em vez disso, siga Fazer uma sincronização completa de usuários do Active Directory na nuvem ):
-
No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.
-
Para novas alterações de configuração no mapeamento de atributos, no DN base, no filtro e na configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.
-
1 |
No Conector de diretórios, clique em Painel. Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro. |
2 |
Em Ações, clique em Modo de sincronização > Ativar sincronização se ainda não estiver habilitado. Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental é acumulado, o programa verifica as alterações com base no último carimbo de data/hora. |
3 |
Em Ações, clique em Sincronizar agora > Incremental. Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações 72 horas a partir de quando você executa a sincronização.
|
4 |
Para obter informações sobre erros, clique em Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros. |
O que fazer em seguida
Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretório que você instalou.
Recuperar usuários excluídos acidentalmente
O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão forçada pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.
Por padrão, essa função está habilitada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um aviso de objetos incompatíveis ou notou que os usuários foram excluídos, você poderá recuperá-los se agir rapidamente.
Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas do Active Directory. O serviço de nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.
Os usuários que estão desabilitados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.
1 | |
2 |
Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não listada. Para obter mais informações, consulte Status e ações do usuário no Control Hub. |
3 |
Se os usuários foram excluídos no Control Hub ou você notou usuários em um estado Inativo, vá para o Active Directory, adicione as contas de usuário ausentes e, em seguida, execute uma sincronização de simulação no Conector de diretórios. O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem. |
4 |
Faça uma sincronização completa para ressincronizar as contas de usuário temporariamente excluídas no Control Hub. Os usuários são recuperados e acessam o status original, incluindo o status da conta e as atribuições de serviço. |
O que fazer em seguida
Retorne ao Control Hub, vá para
e confirme se as contas de usuários excluídos anteriormente estão aparecendo na lista de usuários.Excluir usuários permanentemente após a exclusão soft
Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos soft na próxima sincronização.
1 |
Após a conclusão de uma simulação, selecione Objetos soft-excluídos. |
2 |
Marque a caixa de seleção ao lado dos usuários que deseja excluir. |
3 |
Selecione Concluído. |
O que fazer em seguida
Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.
Alterar um endereço de e-mail do aplicativo Webex
Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento cobre como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.
Se você quiser apenas alterar o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e, em seguida, recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário e os espaços do usuário e outros dados na nuvem serão perdidos.
O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincroniza novamente para a nuvem, o estado do usuário depende se o novo domínio é verificado em sua organização. Se o domínio não for verificado em sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios.
Se sua organização não usa o Conector de diretórios, você pode alterar os endereços de e-mail do aplicativo Webex através da página de configurações da conta. Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.
Alterar o domínio do Active Directory
Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles se sincronizam com o serviço de identidade na nuvem.
1 |
Configure um novo domínio do Active Directory (AD). |
2 |
Desative as sincronizações em todos os seus conectores. |
3 |
Desinstale todos os seus conectores. |
4 |
Abra um caso para alterar o domínio. No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização na sua organização. Antes de abrir um caso para alterar o domínio, certifique-se de que você não tenha uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido. |
5 |
Depois que o caso for resolvido: Execute um teste executado com o Directory Connector antes de fazer a sincronização atual. |
Reivindicação de domínio
Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail para uma organização de modo que qualquer conta lateral seja criada na organização do cliente pago e não na organização do consumidor gratuita. Você só pode fazer uma reivindicação de domínio por meio de um caso de suporte (consulte o link abaixo para obter mais informações).
Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas laterais não serão criadas na organização do cliente ou na organização do consumidor gratuito. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar sideboard uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o conector de diretórios para provisionar a conta no Control Hub.
Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório
Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram na versão gratuita do aplicativo Webex, sua conta existe na organização de consumidores gratuita. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre (converta)-os para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.
Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.
Se você tentar converter um usuário enquanto a sincronização de diretórios estiver ativada, a mensagem de erro não pôde ser convertida
será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.
Alguns usuários reivindicados podem aparecer com o atributo movedfrom
ao fazer uma simulação. Esses usuários estarão na lista de Objeto excluído
em vez de MismatchedObject
. Você precisará adicionar esses usuários à sua lista AD se desejar movê-los para sua organização.
Se você não adicionar esses usuários, eles serão excluídos no próximo que você sincronizar com a nuvem.
1 |
Desative a sincronização de diretórios do Conector de diretórios. |
2 |
Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuita para a organização empresarial. Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios faz do Active Directory a única fonte de verdade para as contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes. |
3 |
No Directory Connector, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos. Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferencia maiúsculas e minúsculas e exclui usuários convertidos que detecta com endereços de e-mail incompatíveis (por exemplo, user1@example.com e User1@example.com). Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex. |
4 |
Quando você tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretórios do Directory Connector. |
As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativou o modelo de licença de atribuição automática e, em seguida, ativou o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até confirmarem seus endereços de e-mail.
Contas de usuário do aplicativo Webex lateral
Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("painel lateral"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuita.
Se você quiser gerenciar a conta lateral usando o Conector de diretórios, é necessário converter a conta.
Alterar o formato do nome de usuário do aplicativo Webex após a sincronização do diretório
Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.
Depois de executar uma sincronização de diretório, você pode descobrir que nomes de usuário são exibidos no formato .
Esse nome de usuário pode aparecer se o atributo displayName
no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName
na nuvem, os nomes aparecem no formato no Control Hub.
Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo do Active Directory givenName sn
(ou sn givenName
) para displayName
nos Nomes de atributos do Cisco Cloud.
Como alternativa, mapeie o atributo sn givenName
para displayName
:
Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizada para displayName
.
Por exemplo, insira givenName + "" + sn
(nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName
na nuvem.
Permitir que os usuários alterem nomes de exibição no Webex Meetings
Você pode desmapear o atributo displayName
da sincronização com a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante as reuniões Webex, em vez do nome e do sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário. |
2 |
Selecione displayName em Nome do atributo do Cisco Cloud. |
3 |
Selecione Não sincronizar este atributo. |
O que fazer em seguida
Os usuários agora podem editar seus nomes de exibição no site Webex.
Solução de problemas do conector de diretórios
Atualizar para a versão de software mais recente
Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e aprimoramentos de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Directory Connector. Se você não atualizar para a versão mais recente que está disponível, poderá enfrentar problemas, como o Conector de diretórios não sincronizar mais corretamente ou estar em uma versão que não suporta o requisito de TLS 1.2 obrigatório.
O Conector de diretórios notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.
Embora você possa instalar manualmente as atualizações do software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.
1 |
Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone do Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização. |
2 |
Siga as instruções para concluir a atualização. |
3 |
Reinicie o conector e inicie sessão com suas credenciais de administrador. |
4 |
Verifique o número da versão do software em . |
O que fazer em seguida
Para uma nova instalação do Conector de diretórios, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.
Definir configurações gerais do Conector de diretórios
Use este procedimento para definir configurações gerais, como o nome do servidor executando o Conector de diretórios, os níveis de registro, atualizações automáticas e as configurações preferidas para os controladores de domínio. O nome do conector aparece no painel na seção conectores, juntamente com quaisquer outros conectores que estejam em execução.
1 |
No Conector de diretórios, vá para Configuração e clique em Geral. |
2 |
No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está executando o conector no momento. |
3 |
Escolha o nível de log no menu suspenso. Por padrão, o nível de registro é definido como Informações. Os níveis de registro disponíveis são:
Essas configurações afetam o relatório de sincronização enviado por e-mail. Se você definir o nível de log como Erro, somente erros serão relatados no relatório de sincronização; se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Lembre-se de que, para sincronização incremental, nenhum relatório será enviado quando nenhum erro for relatado.) |
4 |
Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades. Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador principal. |
5 |
Marque Atualizar automaticamente para a nova versão do Cisco Directory Connector se desejar que ocorram atualizações automáticas. É sempre importante manter o software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
6 |
Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão. Se você não verificar LDAP sobre SSL, o Conector de diretórios continuará a usar o protocolo de conexão LDAP. LDAP (Lightweight Directory Application Protocol) e LDAP seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o controlador de domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura. |
Configurar a política do conector
Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A execução da sincronização não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.
Por exemplo, você define 1
como o valor de gatilho de limite de exclusão. Ao fazer a sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretório mostrará um aviso. Se você clicar em Substituir limite, poderá iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.
1 |
No Conector de diretórios, clique em Configuração e escolha Política. |
2 |
Marque a caixa Ativar excluir gatilho de limite se você quiser adicionar um gatilho de limite. A escolha desta opção aciona um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão exceder aquela que você definir, a sincronização falhará.
|
3 |
Insira o número máximo de exclusões que você deseja. O padrão é 20. Recomendamos que você não aumente o valor padrão. |
4 |
Clique em Aplicar. |
Definir a agenda do conector
Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, mudaremos para outro conector de espera após o intervalo predefinido.
1 |
No Conector de diretórios, clique em Configuração e escolha Agendar. |
2 |
Especifique o Intervalo de sincronização incremental em minutos. Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa. |
3 |
Altere o valor Enviar relatórios por hora se desejar alterar a frequência com que os relatórios são enviados. |
4 |
Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra. |
5 |
Especifique o Intervalo de failover em minutos. |
6 |
Clique em Aplicar. |
Cenários de vários domínios
Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor de chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta reescrevem os dados do domínio de prioridade mais baixa.
Os objetos que têm o mesmo valor de chave são vinculados em um registro no banco de dados.
O valor da chave para "Usuário" é Endereço de e-mail; o valor da chave para "Grupo" é Nome do grupo.
Exemplo de caso de uso para vários domínios
Este exemplo assume uma organização com dois domínios — example1.com e example2.com, em ordem de prioridade.
-
Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.
-
Adicionar grupo1 (nome do grupo: Teste) para o Active Directory do example1.com.
-
Adicionar usuário2(e-mail: user@example2.com) para o Active Directory de example2.com.
-
Adicionar grupo2 (nome do grupo: Teste) para o Active Directory do example2.com.
- Sincronização em example1.com
-
Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.
Se você fizer uma sincronização completa ou incremental, por exemplo1.com, user1 e group1 serão sincronizados. Além disso, user2 e group2 são substituídas pelas informações de user1 e group1.
Usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; grupo1 vincula o grupo2 como o mesmo registro no banco de dados.
- Sincronização em example1.com e example2.com
-
Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.
Considere estas etapas:
- Exclua usuário1 e grupo1 no Active Directory por exemplo1.com.
- Faça uma sincronização completa ou incremental, por exemplo1.com.
Resultado: as informações do usuário não são alteradas em https://admin.webex.com. Usuário2 não está vinculado ao usuário1 e grupo2 não está vinculado ao grupo1.
- Faça uma sincronização incremental, por exemplo2.com.
Resultado: as informações do usuário não são alteradas em https://admin.webex.com.
- Faça uma sincronização completa, por exemplo2.com.
Resultado: As informações de usuário2 e group2 estão listadas em https://admin.webex.com.
Sincronizar um novo domínio e preservar um domínio existente
Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar o Conector de diretórios para sincronização de domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem inalteradas.
Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1)e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro é em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Assim, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).
Definir a prioridade do domínio
Use este procedimento para alterar a prioridade dos seus domínios do Active Directory. A prioridade do domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado com uma organização.
Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem informando que a prioridade do domínio não é necessária.
Antes de começar
Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo de https://admin.webex.com.
1 |
No conector de diretórios da Cisco, clique em Painel. |
2 |
Vá para Ações e clique em Definir prioridade do domínio. |
3 |
Realce um domínio na lista, clique em Para cima ou Para baixo para alterar a prioridade deste domínio e clique em Salvar para salvar essa alteração. Os domínios são classificados por prioridade de cima para baixo. |
Alternar domínios
Use este procedimento para revincular o conector de diretórios da Cisco a um domínio diferente.
Antes de começar
-
Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar de domínios.
-
Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo do Control Hub.
1 |
No conector de diretórios da Cisco, clique em Painel. |
2 |
Vá para Ações e clique em Alternar domínio. |
3 |
Depois de ler o cuidado, se você entender o efeito que essa alteração tem na sua implantação e ainda tem certeza, clique em Sim. Se você alternar um domínio, será desconectado do atual conector de diretórios da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas. |
4 |
Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio. |
Desligar sincronização do diretório
Se você precisar interromper a sincronização do Directory Connector, poderá desativá-lo temporariamente do Control Hub.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretórios e escolha uma:
|
2 |
Depois de ler o aviso, clique em Desativar. A sincronização é interrompida até que você a reative do Directory Connector. |
Remover Mapeamento de Atributos do Usuário
Use o Conector de diretórios para remover o mapeamento dos atributos do Active Directory anteriormente mapeados na nuvem e sincronizados com o Webex. Depois de remover o mapeamento de atributos, os valores dos atributos serão removidos da nuvem e não serão mais sincronizados com o Webex. Esses valores podem então ser editados manualmente.
1 |
No Conector de diretórios, clique em Painel. |
2 |
Vá para Ações e clique em . |
3 |
Selecione o mapeamento a ser removido da lista Nome do atributo . |
4 |
Em Escopo do usuário afetado, selecione uma das seguintes opções:
|
5 |
Clique em Aplicar. |
Gerenciar fotos de perfil
Use o Conector de diretórios para atualizar as imagens do perfil do usuário ou remover as imagens do perfil do usuário em branco.
1 |
No Conector de diretórios, clique em Painel. |
2 |
Vá para Ações e clique em . |
3 |
Em Ações, selecione uma das seguintes opções:
|
4 |
Clique em Aplicar. |
Desinstalar e desativar o Conector de diretórios
Depois de desinstalar uma ocorrência do Directory Connector, você deve cancelar o registro dela. Remova completamente um Conector de diretórios para qualquer um desses cenários:
-
Você não deseja mais usar a sincronização de diretórios.
-
Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).
-
Você deseja alterar o domínio e instalar outro conector.
Antes de começar
-
Você pode ter várias ocorrências do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Directory Connector.
-
Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.
1 |
Na sua máquina Windows, vá para o Painel de controle e clique em Programas e recursos. |
2 |
Na lista de programas, clique em Conector de diretórios, escolha Desinstalar e siga as instruções. Você pode ter que reiniciar o sistema para concluir a desinstalação. |
3 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretórios, clique em mais |
4 |
Depois de ler o aviso, clique em Desativar. A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuário não serão mais sincronizadas. |
Executar a ferramenta de diagnóstico
Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas da implantação do Conector de diretórios. Essa ferramenta é instalada como parte do conector de diretórios 3.4 em diante.
Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar algum erro, você poderá enviar os resultados de registro detalhados para suporte.
Solução de problemas no Conector de diretórios Ciso
Solução de problemas e correções do Conector de diretórios
Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, depois que o Conector de diretórios sincroniza as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para ver problemas que podem surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.
Instalar
O Conector de diretórios parou de funcionar
Você recebeu e-mails de alerta notificando que seu Conector de diretórios não está funcionando.
-
O Conector de diretórios pode não estar instalado corretamente.
-
O Conector de diretórios pode não estar em execução.
-
A rede pode não estar disponível.
Tente o seguinte:
-
Abra o
. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a. -
Abra o Serviço e localize o serviço Cisco DirSync. Certifique-se de que exibe o status como Iniciado. Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.
-
Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.
Erro de reinstalação
Problema—Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.
Causa possível—No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.
Solução—Depois de algum tempo, tente a instalação novamente.
Iniciar sessão
O conector de diretórios falha durante o início de sessão por SSO
Problema
O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão do SSO.
Solução
Tente o seguinte:
Execute estas etapas para configurar uma nova política de grupo:
-
Vá para o controlador do domínio e abra o Gerenciamento de políticas de grupo (gpedit.msc).
-
Clique com o botão direito do mouse em um OU ou domínio específico, selecione Criar um GPO neste domínio e Vinculá-lo aqui
-
Dê um nome à política, clique com o botão direito do mouse e escolha Editar.
Execute estas etapas para alterar a política no nível da máquina:
-
Vá para Registro, escolha Novo e, em seguida, Item do registro.
, clique com o botão direito do mouse em -
Para Caminho da chave, insira ou navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Insira
Desativar depurador de script
para Valor e insiranenhum
para Dados de valor.As configurações devem corresponder a esta captura de tela:
Execute estas etapas para alterar a política no nível do usuário:
-
Vá para Registro, escolha Novo e, em seguida, Item do registro.
, clique com o botão direito do mouse em -
Para Caminho da chave, insira ou navegue até HKEY_ATUAL_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Insira
Desativar depurador de script
para Valor e insiranenhum
para Dados de valor.As configurações devem corresponder a esta captura de tela:
As alterações entram em vigor depois que você executa gpupdate /force
, a máquina reiniciada (para alterações da máquina) ou o usuário inicia sessão novamente (para alterações do usuário).
Não foi possível registrar o conector do serviço Cisco DirSync
Problema
O início de sessão falha e esta mensagem é exibida: "O conector do serviço Cisco DirSync não pôde ser registrado".
Solução
O sistema Windows no qual o Conector de diretórios está instalado deve ser um membro do Active Directory.
Nenhuma página de início de sessão é exibida
Problema
Você abriu o Conector de diretórios e a página de início de sessão não foi exibida.
Solução
Tente as seguintes etapas:
-
No Internet Explorer, vá para https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.
-
Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Habilitar o TLS no Internet Explorer .)
O aviso de início de sessão é exibido
Problema
Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.
Causas possíveis
O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo será exibida para pedir o nome de usuário e a senha de autenticação.
Solução
Ao ver a janela pop-up de início de sessão, você precisa fornecer uma conta válida com autenticação correta para passar a segurança.
Não foi possível conectar-se ao servidor remoto
Problema
Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".
Causas possíveis
Você pode ter problemas de proxy que precisam ser resolvidos.
Solução
Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.
Não foi possível registrar o conector
Problema
Você vê a mensagem de erro "Não foi possível registrar o conector. Uma exceção geral ocorreu."
Causas possíveis
Na maioria dos casos, o problema é porque o conector de diretórios não tem privilégio para se conectar ao contexto raiz LDAP.
Solução
Tente o seguinte:
-
Execute um prompt de comando (cmd) e insira ldp.exe.
-
Clique em Vincular como atualmente conectado no usuário e clique em OK.
, escolha -
Clique em OK.
, insira DC=arbonneintl,DC=ad como BaseDN e clique em -
Se o problema persistir, abra um caso com o suporte.
Sincronização
Avatares não sincronizados
Problema
O conector de diretórios da Cisco sincronizou os dados do AD do usuário com a nuvem Webex. Mas nenhum dado de avatar foi sincronizado com êxito.
Causas possíveis
Se você reutilizou um servidor avatar existente e os avatares do usuário já estiverem sincronizados, o cache local os capturará e evitará o reenvio para economizar largura de banda.
Solução
Exclua o cache local seguindo estas etapas:
-
Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Exclua DirSyncPluginAvatar.dll-cache.bin.
-
Execute novamente a sincronização do avatar do conector de diretórios da Cisco.
Contas de e-mail de usuários conflitantes
Problema
Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.
-
Se os usuários experimentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização gratuita do consumidor.
-
Se os e-mails dos usuários já tiverem sido sincronizados em outra organização.
-
Se os e-mails do usuário existirem em vários domínios que pertencem à organização.
Solução
Tente o seguinte:
-
Siga estas etapas se estiver tentando reivindicar usuários:
-
Certifique-se de verificar o domínio no Control Hub.
-
Desative temporariamente o Conector de diretórios da Cisco.
-
Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidores gratuita. Consulte Reivindicar usuários em sua organização (Converter usuários) para obter mais informações.
-
Faça uma simulação no Cisco Directory Connector e reative a sincronização de diretórios
-
-
Para o último caso, verifique duas vezes os dados do usuário nas fontes do Active Directory.
Usuário convertido marcado como inativo
Problema
No seu ambiente sincronizado por diretório, você converteu um usuário gratuito (organização do consumidor) em sua organização empresarial, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.
Causas possíveis
Quando o usuário gratuito é convertido na organização empresarial, ele é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e será marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.
Solução
Você deve tomar medidas caso não queira que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no seu Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização do Cisco Directory Connector. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.
Falha na sincronização incremental
Problema
Uma sincronização incremental falha.
Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:
-
Você suporta atualizações de valores incrementais.
-
O filtro que você usa faz referência a um atributo de valor vinculado.
-
Os valores de resultados desse atributo foram atualizados desde a última vez que uma sincronização completa foi executada.
Solução
O Windows Server 2008 R2 tem um erro relacionado a esse problema. O erro foi corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para, pelo menos, 2012 R2.
Valor inválido para atributo
Problema
Para [usuário dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].
Causas possíveis
Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.
Solução
Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.
Usuários correspondentes a serem excluídos
Problema
Os usuários correspondentes estão marcados para serem excluídos.
Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você poderá ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.
Solução
Escolha uma correção apropriada:
-
Se estiver tudo bem para excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.
-
Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte.
Atributo ausente
Problema
O atributo obrigatório [attribute_name] ao adicionar entrada no local [dn de usuário (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.
Causas possíveis
O endereço de e-mail do atributo obrigatório está faltando. Ao adicionar a entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.
Solução
Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.
O grupo aninhado não sincronizará
Problema
Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.
Causas possíveis
É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)
Solução
Você deve reconfigurar o filtro que sincroniza grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGrupo,CN=Usuários,DC=rktest2008,DC=org)
Conflito de nomes de usuários
Problema
Há um conflito de nomes para [usuário dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].
Causas possíveis
Um usuário com esse endereço de e-mail já existe no Control Hub.
Solução
Crie um usuário no seu Active Directory com o mesmo endereço de e-mail da conta que você se registrou através do Control Hub.
Hub de controle
Lista de usuários ausente no Control Hub
Problema
Se você tiver uma organização Webex com mais de 1.000 usuários sincronizados, talvez não veja a lista de usuários no Control Hub.
Solução
Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Usuários, clique em Procurar e insira critérios de pesquisa para localizar um usuário específico.
Os grupos não serão sincronizados com o Control Hub
Problema
Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.
Causas possíveis
O grupo não está marcado como isCriticalSystemObject
no Active Directory.
Solução
Certifique-se de que o atributo isCriticalSystemObject
esteja definido como VERDADEIRO
no Active Directory.
Ativar a solução de problemas do Conector de diretórios
Você pode habilitar a solução de problemas para ajudar a diagnosticar quaisquer erros encontrados no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.
Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
Execute o arquivo |
2 |
Reinicie o serviço. Consulte Como iniciar serviços para obter orientação. |
3 |
No Conector de diretórios, clique em Painel. |
4 |
Vá para Ações e clique em . |
5 |
Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que possam ser examinados. |
6 |
Examine os ficheiros de registo: se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS. A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com o envio do registro de eventos para o sistema. |
7 |
Se necessário, envie o arquivo de registro ao suporte para obter assistência. |
8 |
Desative o recurso de solução de problemas quando terminar. |
Iniciar o Visualizador de eventos
Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.
1 |
No Conector de diretórios, vá para Painel e clique em .A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro. |
2 |
No Visualizador de eventos, vá para . |
3 |
Em Ações, clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo de Eventos (*.evtx) ou outro formato, como xml ou csv. |
O que fazer em seguida
Se você precisar abrir um caso, entre em contato com o suporte, descreva o problema com o conector e anexe o arquivo de Eventos ao seu caso.
Os registros de eventos capturam as ações do usuário. Para obter ajuda com o gerenciamento do tráfego de rede, ative a solução de problemas no conector.
Ativar o TLS no Internet Explorer
Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:
-
Ocorreu um erro ao fazer logon no serviço
-
Ocorreu um erro no script nesta página
Se você vir esses erros, você deve habilitar uma configuração de TLS em seu navegador.
1 |
Abra o Internet Explorer e escolha Ferramentas. Agora marque as caixas para a versão TLS/SSL que você deseja habilitar Clique em OK Feche o navegador e abra-o novamente |
2 |
Clique em Opções da Internet , vá para Avançado e role até Segurança. |
3 |
Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK. |
4 |
Reinicie seu sistema para que as alterações tenham efeito. |
Solucionar problemas de início de sessão da conta de serviço
Se você não conseguir iniciar sessão no Cisco Directory Connector ou não conseguir executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.
1 |
Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL no seu navegador da web. |
2 |
Escolha um, dependendo dos resultados:
|
3 |
No mínimo, certifique-se de que a conta configurada para o serviço Cisco DirSync (que pode ser encontrada nos serviços Windows) tenha um nível de privilégio que lhe permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais da conta de logon do Windows e a autenticação. |
Verificar o SafeDllSearchMode no registro do Windows
O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter. |
2 |
Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager. |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.
Visão geral do Conector de diretórios da Cisco
Visão geral do conector de diretórios
O Conector de diretórios é um aplicativo local para sincronização de identidade na nuvem. Você baixa o software do conector do Control Hub e o instala em sua máquina local.
Com o Conector de diretórios, você pode manter suas contas de usuários e dados no Active Directory, de modo que o Active Directory se torne a única fonte de verdade. Quando você faz uma alteração no local, ela é replicada para a nuvem.
Veja todos os recursos, descrições e benefícios na tabela:
Recurso | Descrição e benefício |
---|---|
Painel fácil de usar | O painel fornece uma agenda de sincronização, um resumo e o status da sincronização, bem como o status do Conector de diretórios. Você pode visualizar o painel a qualquer momento que iniciar sessão. |
Faça uma simulação antes de sincronizar com a nuvem | Faça uma simulação das alterações no diretório antes de elas serem implementadas na nuvem. Em seguida, execute um relatório para ver que as alterações que você deseja fazer são o que você espera. |
Sincronização completa e incremental | Sincronize o diretório inteiro. Ou apenas sincronize as alterações incrementais para economizar no poder de processamento e encurtar o tempo de sincronização. |
Sincronize vários domínios (uma única floresta ou várias florestas) |
O Conector de diretórios suporta vários domínios sob uma única floresta ou sob várias florestas (sem a necessidade do AD LDS). Para empresas com vários domínios do Active Directory, você pode instalar um Conector de diretórios para cada domínio, vincular cada domínio à sua organização e sincronizar cada base de usuários no Webex. O Control Hub reflete o status mostrando o estado de sincronização de vários Conector de diretórios, permite que você desative a sincronização de um domínio específico e desative um Conector de diretórios em uma implantação de alta disponibilidade. |
Sincronização agendada | Defina uma agenda de sincronização por dia, hora e minuto. |
Filtros do Protocolo LDAP (Lightweight Directory Access Protocol) | Defina critérios de pesquisa LDAP e forneça importações eficientes. |
Mapeamento de atributos do Active Directory | Mapeie os atributos do Microsoft Active Directory com os atributos correspondentes da nuvem Webex. Você pode mapear atributos relevantes para a configuração do Active Directory e também definir atributos personalizados para mapear na nuvem. Os atributos dos locais formam vários dados na nuvem, como informações da conta do usuário, números de telefone da empresa no Webex Teams, endereços SIP de recursos de sala e outros dados do cartão de contato do usuário (cargo, departamento, gerente e assim por diante). |
Diretório corporativo para recursos de salas locais e usuários do Cisco Webex Calling (PSTN em nuvem) e contatos corporativos sem licenças Webex |
Se parte da sua organização usar o Cisco Webex Calling em nuvem PSTN para serviço de chamadas ou se você tiver dispositivos de sala locais, esse recurso permitirá que os usuários pesquisem no diretório de contatos corporativos dos telefones Cisco Webex Calling (PSTN em nuvem) ou dos recursos de sala.
|
Visualizador de eventos | Use o visualizador de eventos para determinar se houve algum problema com a sincronização. |
Ferramenta de diagnóstico e solução de problemas | Você pode usar a ferramenta de diagnóstico embutida para solucionar problemas da implantação Conector de diretórios Cisco. Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Essa ferramenta testa sua conexão com o Active Directory para que você possa diagnosticar os erros antes de entrar em contato com o suporte. Depois de habilitar a solução de problemas no Conector de diretórios, os registros são gravados e podem ser enviados ao suporte técnico. |
Atualização automática | Depois de instalar o Conector de diretórios, você receberá uma notificação sempre que uma nova versão do software estiver disponível. Você pode configurar atualizações automáticas para que você esteja sempre na versão mais recente do software quando uma nova versão for lançada. |
Alta disponibilidade | Configure vários conectores para que haja um backup, caso o conector principal ou a máquina que o hospeda desligue. |
O Conector de diretórios é dividido em três áreas:
-
O Control Hub é a única interface que permite gerenciar todos os aspectos da sua organização Webex: visualize os usuários, atribua licenças, baixe o Conector de diretórios e configure o registro único (SSO) se você quiser que seus usuários se autentiquem através do provedor de identidade corporativa e não quiser enviar convites por e-mail para o aplicativo Webex.
-
Interface de gerenciamento do conector de diretórios é o software que você baixa do Control Hub e instala em um servidor Windows confiável. Para vários domínios do Active Directory, você pode instalar um instante do software para cada domínio que deseja sincronizar. Usando o software, você pode executar uma sincronização para trazer suas contas de usuário do Active Directory para o Webex, visualizar e monitorar o status da sincronização e configurar os serviços do Conector de diretórios.
-
O Serviço de sincronização de diretórios consulta seu Active Directory para recuperar usuários e grupos para sincronizar com o serviço do conector e o Conector de diretórios.
Consulte este diagrama para entender a arquitetura do Conector de diretórios:
Preparar seu ambiente para o Conector de diretórios
Requisitos do Conector de diretórios
Requisitos do Windows e do Active Directory
Você pode instalar o Conector de diretórios nestes servidores Windows compatíveis:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Para resolver um problema de cookie, recomendamos que você atualize seu controlador de domínio para uma versão que contém a correção — Windows Server 2012 R2 ou 2016.
O Conector de diretórios é compatível com os seguintes serviços do Active Directory:
-
Active Directory 2016
(O Conector de diretórios é suportado ao usar a versão mais recente do Active Directory no Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Observe os seguintes requisitos adicionais:
-
O Conector de diretórios requer TLS1.2. Você deve instalar o seguinte:
-
.NET Framework v3.5 (necessário para o aplicativo Conector de diretórios. Se você tiver algum problema, use as instruções em Ativar o .NET Framework 3.5 usando o Assistente para adicionar funções e recursos.)
-
.NET Framework v.4.5 (necessário para TLS1.2)
-
-
É necessário o nível funcional da floresta do Active Directory 2 (Windows Server 2003) ou superior. (Consulte Quais são os níveis funcionais do Active Directory? para obter mais informações.)
Requisitos de hardware
Você deve instalar o Directory Connector em um computador com estes requisitos mínimos de hardware:
-
8 GB de RAM
-
50 GB de armazenamento
-
Nenhum mínimo para a CPU
Requisitos de rede
Se a sua rede estiver atrás de um firewall, certifique-se de que o sistema tenha acesso HTTPS (porta 443) à Internet.
Requisitos da organização Webex
-
Para acessar o software Directory Connector do Control Hub, você precisa de uma organização Webex com um teste ou qualquer assinatura paga.
-
(Opcional) Se desejar que as novas contas de usuário do aplicativo Webex estejam Ativas antes de iniciarem sessão pela primeira vez, recomendamos que você faça o seguinte:
-
Adicione, verifique e, opcionalmente, reivindique domínios que contêm os endereços de e-mail dos usuários que você deseja sincronizar na nuvem.
-
Faça uma integração de registro único (SSO) do seu provedor de identidade (IdP) com sua organização Webex.
-
Elimine convites automáticos por e-mail, para que os novos usuários não recebam o convite automático por e-mail e você possa fazer sua própria campanha por e-mail. (Este recurso requer a integração SSO.)
-
Para obter mais informações, consulte Status e ações do usuário no Control Hub.
Requisitos de instalação
-
Para um ambiente de vários domínios (uma única floresta ou várias florestas), você deve instalar um conector de diretórios para cada domínio do Active Directory. Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de ter um servidor Windows compatível separado para instalar o Conector de diretórios para sincronização de domínio (B).
-
Para iniciar sessão no conector, não exigimos uma conta administrativa no Active Directory. Exigimos uma conta de usuário local que seja o mesmo usuário que uma conta de administrador completo no Control Hub.
Esse usuário local deve ter privilégios nessa máquina com Windows para se conectar ao controlador de domínio e ler objetos do usuário do Active Directory. A conta de logon da máquina deve ser um administrador do computador com privilégios para instalar o software na máquina local. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Ao iniciar sessão no conector, a conta de início de sessão deve ser a mesma que a conta de administrador completo do Control Hub. Por padrão, o conector usa a conta do sistema local para acessar o Active Directory. No entanto, você pode usar os serviços do Windows para configurar outra conta para acessar o Active Directory. (Essas informações também se aplicam a um logon de máquina virtual.)
-
Certifique-se de que o modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) do Windows esteja ativado usando este procedimento: Verifique o SafeDllSearchMode no registro do Windows.
-
Se você usar o AD LDS para vários domínios em uma única floresta, recomendamos que você instale o Directory Connector e o Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) em máquinas separadas.
Requisitos de vários domínios
Antes de seguir as tarefas no Fluxo de tarefas de implantação do conector de diretórios da Cisco, tenha em mente os seguintes requisitos e recomendações se você estiver sincronizando informações do Active Directory de vários domínios para a nuvem:
-
Uma ocorrência separada do Conector de diretórios é necessária para cada domínio.
-
O software do Conector de diretórios deve ser executado em um host que esteja no mesmo domínio que será sincronizado.
-
Recomendamos que você verifique ou reivindique seus domínios no Control Hub. (Consulte Adicionar, verificar e reivindicar domínios.)
-
Se você quiser sincronizar mais de 50 domínios, deverá abrir um ticket para transferir sua organização para uma grande lista de organizações.
-
Se desejar, você pode sincronizar as informações de recursos da sala juntamente com as contas de usuário. (Consulte Sincronizar informações da sala no local com o Webex Cloud.)
Recomendações do grupo do Active Directory para atribuição automática de licenças
Os grupos do Active Directory são usados para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Existem dois tipos de grupos no Active Directory:
-
Grupos de distribuição—Usado para criar listas de distribuição por e-mail.
-
Grupos de segurança—Usado para atribuir permissões a recursos compartilhados.
Considere as seguintes diretrizes ao criar grupos no Active Directory:
-
Crie um grupo global para cada função, departamento ou serviço (como vendas, marketing, gerentes, contadores, licenciamento Webex e assim por diante).
-
Use as convenções de nomenclatura padrão em toda a organização para facilitar a identificação de informações importantes sobre um grupo. Os nomes dos grupos podem incluir detalhes sobre o grupo, como o nível de acesso, tipo de recurso, nível de segurança, escopo do grupo, capacidade de correio e assim por diante. por exemplo, o nome do grupo "GSG_Webex_Licensing_EMEAR" refere-se a um Grupo de segurança global para usuários do Webex Licensing EMEAR.
-
Organize grupos de forma fácil de entender, como por geografia ou hierarquia gerencial. Use as descrições de grupo para descrever completamente a finalidade do grupo.
-
Antes de adicionar usuários a grupos recém-provisionados, defina o Modelo de grupo de licença automática no Control Hub para esses grupos. Consulte Configurar seu modelo automático de atribuição de licença para obter mais informações.
Informações de dimensionamento
O Conector de diretórios funciona como uma ponte entre o Active Directory local e a nuvem Webex. Como tal, o conector não tem um limite superior de quantos objetos do Active Directory podem ser sincronizados com a nuvem. Quaisquer limites em objetos de diretório locais estão vinculados à versão específica e às especificações do ambiente do Active Directory que está sendo sincronizado com a nuvem, não com o próprio conector.
Alguns fatores podem afetar a velocidade da sincronização:
-
O número total de objetos do Active Directory. (Um trabalho de sincronização de 5000 usuários não levará até 50000.)
-
Velocidade da rede e largura de banda.
-
Carga de trabalho e especificações do sistema.
Se você estiver sincronizando mais de 50.000 usuários, é altamente recomendável usar um segundo conector para failover e redundância.
Como vários fatores estão envolvidos com a sincronização e como cada implantação varia dependendo dos fatores acima, não podemos fornecer valores de tempo específicos para quanto tempo levará uma sincronização de objeto.
Verificar o SafeDllSearchMode no registro do Windows
O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter. |
2 |
Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager. |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.
Integração de proxy da web
Integração de proxy da web
Se a autenticação de proxy da web estiver ativada em seu ambiente, você ainda poderá usar o Conector de diretórios.
Se sua organização usar um proxy da web transparente, ele não suporta autenticação. O conector conecta e sincroniza os usuários com êxito.
Você pode adotar uma destas abordagens:
-
Proxy web explícito por meio do Internet Explorer (o conector herda as configurações de proxy web)
-
Proxy web explícito por meio de um arquivo .pac (o conector herda as configurações de proxy específicas da empresa)
-
Proxy transparente que funciona com o conector sem nenhuma alteração
Usar um Proxy Da Web Através Do Navegador
Você pode configurar o Conector de diretórios para usar um proxy da web por meio do Internet Explorer.
Se o serviço Cisco DirSync for executado a partir de uma conta diferente do usuário atualmente conectado, você também precisará iniciar sessão com essa conta e configurar o proxy web.
1 |
No Internet Explorer, vá para Opções da Internet, clique em Conexões e escolha Configurações de LAN. |
2 |
Aponte a instância do Windows onde o conector está instalado no proxy da web. O conector herda essas configurações de proxy da web. |
3 |
Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:
Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
4 |
Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex. |
Configurar o proxy da web por meio de um arquivo PAC
Você pode configurar um navegador de cliente para usar um arquivo .pac. Esse arquivo fornece o endereço do proxy web e as informações da porta. O Conector de diretórios herda diretamente a configuração do proxy web específica da empresa.
1 |
Para que o conector se conecte e sincronize com êxito as informações do usuário com a nuvem Webex, certifique-se de que a autenticação de proxy esteja desabilitada no |
2 |
Se o seu ambiente usar autenticação proxy, adicione essas URLs à sua lista de permissões:
Você pode executar isso em todo o site (para todos os organizadores) ou apenas para o organizador que possui o conector. Se você adicionar essas URLs a uma lista de permissões para ignorar completamente seu proxy da web, certifique-se de que a tabela de ACL do firewall esteja atualizada para permitir que o host do conector acesse as URLs diretamente. |
3 |
Se o seu ambiente precisar solicitar listas de revogação de certificados das autoridades de certificação, adicione essas URLs à sua lista de permissões:
Para obter mais informações, consulte este artigo sobre domínios e URLs que precisam ser acessados para serviços Webex. |
Proxy NTLM
O conector de diretórios suporta o NT LAN Manager (NTLM). A NTLM é uma abordagem para suportar a autenticação do Windows entre os dispositivos de domínio e garantir a segurança deles.
Projeto NTLM
Na maioria dos casos, um usuário deseja acessar outros recursos da estação de trabalho através de um PC cliente, o que pode ser difícil de fazer de forma segura.
Geralmente, o design técnico do NTLM é baseado em um mecanismo de Desafio
e Resposta
:
-
Um usuário inicia sessão em um PC cliente através de uma conta do Windows e senha. A senha nunca é salva localmente. Em vez de uma senha de texto simples, um valor de hash da senha é armazenado localmente. Quando um usuário inicia sessão através da senha no cliente, o sistema operacional Windows compara o valor de hash armazenado e o valor de hash da senha de entrada. Se ambos forem iguais, a autenticação passa.
Quando o usuário deseja acessar qualquer recurso em outro servidor, o cliente envia uma solicitação para o servidor com o nome da conta em texto simples.
-
Quando o servidor recebe a solicitação, ele gera uma chave aleatória de 16 bits. A chave é chamada de Desafio (ou Nonce). Antes que o servidor envie de volta para o cliente, o desafio é armazenado no servidor. E então o servidor envia o desafio para o cliente em texto simples.
-
Assim que o cliente recebe o desafio enviado do servidor, o cliente criptografa o desafio pelo valor hash mencionado na etapa 1. Após a criptografia, o valor é enviado de volta para o servidor.
-
Quando o servidor recebe o valor criptografado do cliente, o servidor o envia para o controlador de domínio para verificação. A solicitação inclui: o nome da conta, o desafio criptografado que o cliente enviou e o desafio simples original.
-
O controlador de domínio pode recuperar os valores de hash da senha de acordo com o nome da conta. E então o controlador de domínio pode criptografar no desafio original. O controlador de doman pode então comparar com o valor de hash recebido e o valor de hash criptografado. Se forem iguais, a verificação será bem-sucedida.
O Windows tem autenticação de segurança integrada no sistema operacional, facilitando a autenticação de segurança por aplicativos. Como resultado, você não precisa concluir a configuração adicional.
Configurar o Proxy Transparente
Nesse cenário, o navegador não está ciente de que um proxy da web transparente está interceptando solicitações http (porta 80/porta 443) e nenhuma configuração do lado do cliente é necessária.
1 |
Implante um proxy transparente para que o conector possa conectar e sincronizar os usuários. |
2 |
Confirme se o proxy foi bem-sucedido — você verá uma janela pop-up de autenticação do navegador esperada ao iniciar o conector. |
Definir autenticação proxy
Adicione a URL cloudconnector.webex.com
à sua lista de permissões criando uma Lista de controle de acesso.
No servidor de firewall corporativo:
1 |
Ative a pesquisa de DNS se ainda não estiver habilitada. |
2 |
Determine uma largura de banda estimada para essa conexão (em aproximadamente 2 mb/s ou menos para o conector). Isso pode não ser necessário. |
3 |
Crie uma Lista de controle de acesso para aplicar ao host do conector e especifique Por exemplo: lista de acesso 2000 acl-dentro de permissão estendida TCP [IP do conector] cloudconnector.webex.com eq https |
4 |
Aplique esta ACL à interface de firewall apropriada, que é aplicável apenas a esse host de conector único. |
5 |
Certifique-se de que o resto dos organizadores da sua empresa ainda seja obrigado a usar o proxy da web, configurando a declaração de negação implícita apropriada. |
Implantar o Conector de diretórios
Fluxo de tarefa de implantação do conector de diretórios da Cisco
Antes de você começar
1 |
Instalar o Directory Connector O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa. Para uma nova instalação do Conector de diretórios, sempre vá para o Control Hub (https://admin.webex.com) para obter a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis. |
2 |
Iniciar sessão no Conector De Diretórios Inicie sessão com suas credenciais de administrador Webex e execute a configuração inicial. |
3 |
Definir atualizações automáticas É sempre importante manter o software do Conector de diretórios atualizado para a versão mais recente. Recomendamos que você use este procedimento para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
4 |
Escolha os objetos do Active Directory a serem sincronizados Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios. |
5 |
Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid. |
6 |
Sincronize os avatares do diretório usando um dos seguintes procedimentos:
Você pode sincronizar os avatares dos seus usuários com a nuvem para que o avatar de cada usuário apareça quando eles iniciarem sessão no aplicativo. Você pode sincronizar avatares de um atributo do Active Directory ou de um servidor de recursos. |
7 |
Sincronizar informações da sala no local com o Webex Cloud Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala locais com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem, como um dispositivo Webex Room ou Cisco Webex Board |
8 |
Para Provisionar Usuários Do Active Directory No Control Hub, execute estas etapas:
Siga esta sequência para provisionar usuários do Active Directory para contas do aplicativo Webex.Você pode provisionar usuários de uma implantação do Active Directory de várias florestas ou de vários domínios no Conector de diretórios 3.0 e posterior. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex. |
Instalar o Directory Connector
O Control Hub inicialmente mostra a sincronização de diretórios como desativada. Para ativar a sincronização de diretórios da sua organização, você deve instalar e configurar o Directory Connector e, em seguida, executar com êxito uma sincronização completa.
Você deve instalar um conector para cada domínio do Active Directory que você deseja sincronizar. Uma única ocorrência do Conector de diretório só pode atender a um único domínio. Consulte o diagrama a seguir para entender o fluxo da sincronização de vários domínios:
Antes de você começar
Se você se autenticar por meio de um servidor proxy, verifique se você tem suas credenciais de proxy:
-
Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de instalar uma ocorrência do conector. A configuração de proxy do Internet Explorer também é necessária para autenticação básica; consulte Usar um Proxy Web Através Do Navegador
-
Para proxy NTLM, você pode ver um erro ao abrir o conector pela primeira vez. Consulte Usar um Proxy Da Web Pelo Navegador.
1 |
No Control Hub, vá para e escolha Próximo. |
2 |
Clique no link Baixar e instalar para salvar a versão mais recente do arquivo .zip de instalação do conector no seu VMware ou servidor Windows. Você pode obter o arquivo .zip diretamente deste link, mas deve ter acesso administrativo total a uma organização do Control Hub para que este software funcione. Para uma nova instalação, obtenha a versão mais recente do software para que você esteja usando os recursos e correções de bugs mais recentes. Depois de instalar o software, as atualizações são relatadas através do software e instaladas automaticamente quando disponíveis. |
3 |
No servidor VMware ou Windows, descompacte e execute o arquivo .msi na pasta de configuração para iniciar o assistente de configuração. |
4 |
Clique em Próximo, marque a caixa para aceitar o contrato de licença e, em seguida, clique em Próximo até que você veja a tela do tipo de conta. |
5 |
Escolha o tipo de conta de serviço que você deseja usar e execute a instalação com uma conta de administrador:
Para evitar erros, certifique-se de que os seguintes privilégios estejam em vigor:
|
6 |
Clique em Instalar. Depois que o teste de rede for executado e, se solicitado, insira suas credenciais básicas do proxy, clique em OK e, em seguida, clique em Concluir. |
O que fazer em seguida
Recomendamos que você reinicie o servidor após a instalação. O relatório de simulação não pode mostrar o resultado correto quando os dados não foram liberados. Ao reinicializar a máquina, todos os dados são atualizados para mostrar um resultado exato no relatório.
Iniciar sessão no Conector De Diretórios
Antes de você começar
Verifique se você tem suas credenciais de proxy.
-
Para autenticação básica do proxy, você inserirá o nome de usuário e a senha depois de abrir o conector pela primeira vez.
-
Para proxy NTLM, abra o Internet Explorer, clique no ícone de engrenagem, vá para Opções da Internet > Conexões > configurações da LAN, certifique-se de que as informações do servidor proxy sejam adicionadas e, em seguida, clique em OK. Consulte Usar um Proxy Da Web Pelo Navegador.
1 |
Abra o conector e adicione |
2 |
Se solicitado, inicie sessão com suas credenciais de autenticação de proxy, em seguida, inicie sessão no Webex usando sua conta de administrador e clique em Próximo. |
3 |
Confirme sua organização e o domínio.
|
4 |
Depois que a tela Confirmar organização for exibida, clique em Confirmar. Se você já tiver vinculado o AD DS/AD LDS, a tela Confirmar organização será exibida. |
5 |
Clique em Confirmar. |
6 |
Escolha um, dependendo do número de domínios do Active Directory que você deseja vincular ao Conector de diretórios:
|
O que fazer em seguida
Depois de iniciar sessão, você será solicitado a executar uma sincronização de simulação.
Painel do conector de diretórios
Quando você inicia sessão no Conector de diretórios pela primeira vez, o painel é exibido. Aqui você pode visualizar um resumo de todas as atividades de sincronização, visualizar as estatísticas da nuvem, executar uma sincronização de simulação, iniciar uma sincronização completa ou incremental e iniciar a exibição do evento para ver as informações de erro.
Se o tempo de sua sessão expirar, inicie sessão novamente.
Você pode executar facilmente essas tarefas na barra de ferramentas de ações ou no menu de ações.
Componente |
Descrição |
---|---|
Sincronização atual |
Exibe as informações de status sobre a sincronização que está atualmente em andamento. Quando nenhuma sincronização está sendo executada, a exibição de status fica ociosa. |
Próxima sincronização |
Exibe as próximas sincronizações completas e incrementais agendadas. Se nenhuma agenda for definida, Não agendada será exibida. |
Última sincronização |
Exibe o status das duas últimas sincronizações executadas. |
Status de sincronização atual |
Exibe o status geral da sincronização. |
Conectores |
Exibe os atuais conectores locais que estão disponíveis para a nuvem. |
Estatísticas da nuvem |
Exibe o status geral da sincronização. |
Agenda de sincronização |
Exibe a agenda de sincronização para sincronização incremental e completa. |
Resumo da configuração |
Lista as configurações que você alterou na configuração. Por exemplo, o resumo pode incluir o seguinte:
|
Ação | Descrição |
---|---|
Iniciar sincronização incremental |
Iniciar manualmente uma sincronização incremental Esta ação é desativada quando você pausa ou desativa a sincronização, se uma sincronização completa não foi concluída ou se uma sincronização está em andamento. |
Simulação de sincronização |
Execute uma sincronização de simulação. |
Iniciar o visualizador de eventos |
Inicie o Visualizador de eventos da Microsoft. |
Atualizar |
Atualizar o painel do conector de diretórios da Cisco |
Ação |
Descrição |
---|---|
Sincronizar agora |
Inicie uma sincronização completa instantaneamente. |
Modo de sincronização |
Selecione o modo de sincronização incremental ou completo. |
Redefinir senha do conector |
Estabeleça uma conversa entre o conector de diretórios da Cisco e o serviço de conector. Selecionar esta ação redefinirá o segredo na nuvem e, em seguida, o salvará localmente. |
Simulação |
Execute um teste do processo de sincronização. Você deve fazer uma simulação antes de fazer uma sincronização completa. |
Solução de problemas |
Ative/desative a solução de problemas. |
Atualizar |
Atualize a tela principal do conector de diretórios da Cisco. |
Sair |
Saia do conector de diretórios da Cisco. |
Combinação de teclas |
Ação |
---|---|
Alt +A |
Mostrar o menu de Ações |
|
Sincronizar agora |
|
Redefinir senha do conector |
|
Simulação |
|
Sincronização incremental |
|
Sincronização completa |
|
Mostrar menu de Ajuda |
|
Ajuda |
|
Sobre |
|
Perguntas frequentes |
Definir atualizações automáticas
1 |
No Conector de diretórios, vá para Atualizar automaticamente para a nova versão do Cisco Directory Connector. e, em seguida, marque |
2 |
Clique em Aplicar para salvar suas alterações. |
Novas versões do conector são instaladas automaticamente quando estão disponíveis.
Você pode gerenciar manualmente as atualizações, se preferir. Consulte Atualizar para a versão mais recente do software para obter mais informações.
Escolha os objetos do Active Directory a serem sincronizados
Por padrão, o Conector de diretórios sincroniza todos os usuários que não são computadores e todos os grupos que não são objetos críticos do sistema para um domínio. Para obter mais controle sobre quais objetos são sincronizados, você pode selecionar usuários específicos para sincronizar e especificar filtros LDAP usando a página Seleção de objetos no Conector de diretórios.
Grupos para atribuição automática de licenças
O Control Hub permite que você gerencie atribuições de licenças em uma base por grupo. Você pode criar modelos de licença e mapeá-los para grupos do Active Directory que você sincroniza com a nuvem. No ponto da criação do usuário, o Webex verifica a associação do usuário e o mapeamento automático do modelo de licença para esse novo usuário.
Recomendamos que você use um filtro LDAP para sincronizar apenas grupos relevantes com a nuvem. Por exemplo, você pode definir o filtro para:
(&(cn=Exemplo)(objectclass=Grupo))*
Este filtro sincroniza todos os grupos dentro do DN base onde o nome começa com Exemplo. Os usuários que não estão atribuídos a grupos recebem licenças do modelo de licença automática padrão que você configurou no Control Hub.
Grupos para implantações de segurança de dados híbridos
No Conector de diretórios, você deve marcar Grupos se estiver usando a Segurança de dados híbridos para configurar um grupo de teste para usuários piloto. Consulte o Guia de implantação para segurança de dados híbridos para obter orientação. Essa configuração do Conector de diretórios não afeta a sincronização de outros usuários na nuvem.
Antes de você começar
Recomendações do grupo do Active Directory para atribuição automática de licenças
1 |
No Conector de diretórios, vá para Configuração e clique em Seleção de objeto. |
2 |
Na seção Tipo de objeto, marque Usuários e considere limitar o número de contêineres pesquisáveis para usuários. Se você quiser sincronizar apenas os usuários em um determinado grupo, por exemplo, deverá inserir um filtro LDAP no campo Filtros LDAP de Usuários. Se você quiser sincronizar os usuários que estão no grupo Gerenciador de exemplo, use um filtro como este:
|
3 |
Marque Identificar sala para separar os dados da sala dos dados do usuário. Clique em Personalizar se desejar configurar atributos adicionais para identificar dados do usuário como dados da sala. Use esta configuração se desejar sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos de sala registrados na nuvem. Para obter mais informações, consulte Sincronizar informações da sala no local com o Webex Cloud. |
4 |
Marque Grupos se você quiser sincronizar seus grupos de usuários do Active Directory com a nuvem. Não adicione um filtro LDAP de sincronização de usuários ao campo Grupos. Você deve usar apenas o campo Grupos para sincronizar os próprios dados do grupo com a nuvem. Por padrão, os grupos não são sincronizados para novos clientes. Você deve habilitar a sincronização de grupos. Você também deve sincronizar grupos de segurança. |
5 |
Marque Contatos se você quiser sincronizar as informações de contato dos usuários com a nuvem. O Conector de diretórios gerencia apenas os Contatos sincronizados pelo conector. Se já houver contatos no Control Hub, a sincronização não os excluirá. Se os contatos forem removidos do escopo da sincronização, as informações de contato dos usuários também serão removidas do Control Hub. |
6 |
Configure os filtros LDAP. Você pode adicionar filtros estendidos fornecendo um filtro LDAP válido. Consulte este artigo para obter mais informações sobre como configurar filtros LDAP. |
7 |
Especifique os DNs da base local a serem sincronizados clicando em Selecionar para ver a estrutura da árvore do seu Active Directory. Aqui, você pode selecionar ou desmarcar quais contêineres pesquisar. |
8 |
Verifique os objetos que você deseja adicionar nesta configuração e clique em Selecionar. Você pode selecionar contêineres individuais ou pais para usar para sincronização. Selecione um recipiente pai para ativar todos os recipientes filhos. Se você selecionar um recipiente filho, o recipiente pai mostrará uma marca de seleção cinza que indica que um filho foi verificado. Você pode então clicar em Selecionar para aceitar os contêineres do Active Directory que você marcou. Se sua organização colocar todos os usuários e grupos no contentor Usuários, você não precisará pesquisar outros contentores. Se sua organização estiver dividida em unidades da organização, certifique-se de selecionar OUs. |
9 |
Clique em Aplicar. Escolha uma opção:
Para obter informações sobre simulações, consulte Fazer uma sincronização de simulação nos seus usuários do Active Directory. Para a sincronização de grupo, você deve fazer uma sincronização completa: Faça uma sincronização completa de usuários do Active Directory na nuvem. |
Mapear atributos do usuário
Você poderá mapear atributos do Active Directory local para os atributos correspondentes na nuvem. O único campo obrigatório é o *uid, um identificador exclusivo para cada conta de usuário no serviço de identidade em nuvem.
Você pode escolher qual atributo do Active Directory mapear para a nuvem - por exemplo, você pode mapear firstName lastName no Active Directory ou uma expressão de atributo personalizada para displayName na nuvem.
As contas no Active Directory devem ter um endereço de e-mail; o uid é mapeado por padrão para o campo ad de correio (não sAMAccountName).
Se você optar por ter o idioma preferido vindo do seu Active Directory, então o Active Directory é a única fonte de verdade: os usuários não poderão alterar a configuração de idioma nas Configurações Webex e os administradores não poderão alterar a configuração no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário. Esta página mostra os nomes dos atributos do Active Directory (à esquerda) e da nuvem Webex (à direita). Todos os atributos obrigatórios são marcados com um asterisco vermelho. |
2 |
Role para a parte inferior dos Nomes de atributos do Active Directory e, em seguida, escolha um desses atributos do Active Directory para mapear para o atributo uid da nuvem:
Você pode mapear qualquer um dos outros atributos do Active Directory para o uid, mas recomendamos que você use mail ou userPrincipalName, conforme abordado nas diretrizes acima. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. Para ver quais atributos no Active Directory correspondem na nuvem, consulte Mapeando atributos do Active Directory no Conector de diretórios. Para que a sincronização funcione, você deve certificar-se de que o atributo do Active Directory que você escolher esteja no formato de e-mail. O Conector de diretórios mostra um pop-up para lembrá-lo se você não escolher um dos atributos recomendados. |
3 |
Se os atributos predefinidos do Active Directory não funcionarem para sua implantação, clique no menu suspenso de atributos, role para a parte inferior e escolha Personalizar atributo para abrir uma janela que permite definir uma expressão de atributo. Clique em Ajuda para obter mais informações sobre as expressões e ver exemplos de como as expressões funcionam. Você também pode ver Expressões para atributos personalizados para obter mais informações. Neste exemplo, vamos mapear os atributos do Active Directory O Conector de diretórios verifica o valor do atributo do uid no serviço de identidade e recupera 3 usuários disponíveis nas opções de filtro de usuário atual. Se todos esses 3 usuários tiverem um formato de e-mail válido, o Conector de diretórios da Cisco mostrará a seguinte mensagem: Se o atributo não puder ser verificado, você verá o seguinte aviso e poderá retornar ao Active Directory para verificar e corrigir os dados do usuário: |
4 |
(Opcional) Escolha mapeamentos para celular e telephoneNumber se desejar que os números de celular e comercial apareçam, por exemplo, no cartão de contato do usuário no aplicativo Webex. Os dados do número de telefone aparecem no aplicativo Webex quando um usuário passa o mouse sobre a imagem do perfil de outro usuário. Para obter mais informações sobre chamadas do cartão de contato de um usuário, consulte o Guia de implantação de chamadas no Webex (Unified CM) (administradores). |
5 |
Escolha mapeamentos adicionais para que mais dados apareçam no cartão de contato:
Depois que os atributos são mapeados, as informações são exibidas quando um usuário passa o mouse sobre a imagem de perfil de outro usuário: Para obter mais informações sobre o cartão de contato, consulte Verificar quem você está entrando em contato. Depois que esses atributos forem sincronizados com cada conta de usuário, você também poderá ativar o People Insights no Control Hub. Esse recurso permite que os usuários do aplicativo Webex compartilhem mais informações em seus perfis e aprendam mais uns sobre os outros. Para obter mais informações sobre o recurso e como ativá-lo, consulte os Perfis de People Insights para Webex, Jabber, Webex Meetings e Webex Events (novo) no Control Hub |
6 |
Depois de fazer suas escolhas, clique em Aplicar. |
Todos os dados de usuário contidos no Active Directory substituem os dados na nuvem que correspondem a esse usuário. Por exemplo, se você criou um usuário manualmente no Control Hub, o endereço de e-mail do usuário deverá ser idêntico ao e-mail no Active Directory. Qualquer usuário sem um endereço de e-mail correspondente no Active Directory será excluído.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Atributos do Active Directory e da nuvem
Você pode mapear atributos do Active Directory local para os atributos correspondentes na nuvem usando a guia de Mapeamento de atributos do usuário.
Esta tabela compara o mapeamento entre os nomes de atributos do Active Directory e os nomes de atributos do Cisco Cloud. Esses valores e mapeamentos são a configuração padrão no Conector de diretórios. Você pode escolher diferentes atributos nos menus suspensos do Active Directory e determinar qual atributo local sincroniza com qual atributo em nuvem.
Pense nos atributos suspensos como predefinições. Como uma alternativa aos valores na linha do Active Directory, você também pode especificar um atributo personalizado, sua própria predefinição, no Active Directory (uma expressão com vários atributos) para mapear para um único atributo de nuvem na linha correspondente. Dessa forma, você tem a flexibilidade de determinar os nomes de exibição de seus usuários - por exemplo, você pode adicionar uma expressão que crie um atributo personalizado com base no título do funcionário, nome e sobrenome no Active Directory.
Você também pode especificar qualquer um dos atributos do Active Directory a serem mapeados como uid na nuvem. No entanto, você deve certificar-se de que o atributo local siga um formato de e-mail válido.
Você também pode usar endereços de e-mail alternativos, se, por exemplo, desejar usar o userPrincipalName para iniciar sessão, mas o endereço de e-mail de um usuário for usado para gerenciar o calendário dele. Nesse caso, mapeie outro endereço de e-mail para o atributo e-mails;type-work. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário.
Nomes de atributos do Active Directory |
Nomes de atributos da nuvem Webex |
Notas |
---|---|---|
— |
edifícioName |
— |
c |
c |
Esse atributo especifica a abreviatura do país do usuário. |
número do departamento |
número do departamento |
Esse atributo é usado para o número do departamento do usuário que aparece no cartão de contato e no People Insights. |
displayName |
displayName |
Esse atributo é usado para o nome de exibição da conta do usuário que aparece no Control Hub, no cartão de contato e no People Insights. |
controle conta usuário |
ds-pwp-account-desabilitado |
Este atributo é usado para sincronização do usuário. Certifique-se de que o atributo userAccountControl esteja mapeado para ds-pwp-account-disabled ou os usuários não serão sincronizados corretamente. |
número do funcionário |
número do funcionário |
— |
ileileTelephoneNumber |
ileileTelephoneNumber |
— |
— |
jabberID |
Esse atributo de nuvem se refere a endereços de IM (tipo XMPP) que são usados pelo Jabber. Esse valor não é o mesmo que sipAddresses. |
l |
l |
Esse atributo especifica a cidade do usuário. |
— |
localidade |
— |
manager |
manager |
Esse atributo é usado para o nome do gerente do usuário que aparece no cartão de contato e no People Insights. |
móvel |
móvel |
Esse atributo é usado como o número de celular que aparece para chamar o usuário do cartão de contato. |
o |
o |
Esse atributo especifica o nome da empresa ou organização e aparece no cartão de contato. |
ou |
ou |
Esse atributo especifica o nome da unidade organizacional. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Esse atributo especifica o local do escritório do usuário. |
Postalcode |
Postalcode |
Esse atributo especifica o código postal ou o CEP do usuário para entrega física de correio. |
idioma preferido |
idioma preferido |
Esse atributo define o idioma preferido do usuário e os seguintes formatos são compatíveis: xx_YY ou xx-YY. Aqui estão alguns exemplos: en_US, en_GB, fr-CA. Se você usar um idioma não compatível ou um formato inválido, o idioma preferido dos usuários será alterado para o idioma definido na organização. |
MSRTCSIP-PrimaryUserAddress telefone ip |
SipAddresses;type=empresa |
Esse atributo é usado para sincronizar informações da sala no local do Active Directory para a nuvem Cisco Webex. |
sn |
sn |
Esse atributo é usado para o sobrenome da conta de usuário que aparece no Control Hub, no cartão de contato e no People Insights. |
são |
são |
Esse atributo especifica o estado ou província do usuário. |
Streetaddress |
rua |
Esse atributo especifica o endereço do usuário para entrega física de correio. |
Telephonenumber |
Telephonenumber |
Esse atributo especifica o número de telefone principal (comercial) do usuário que é usado para ligar para o usuário do cartão de contato. |
— |
fuso horário |
Este atributo de nuvem especifica o fuso horário do usuário. |
cargo |
cargo |
Esse atributo especifica o título do usuário que aparece no cartão de contato e no People Insights. |
tipo |
empresa |
— |
*correio *userPrincipalName |
UID |
Um mapeamento de atributos obrigatório. Para cada conta de usuário, o valor do Active Directory mapeia para um uid exclusivo na nuvem. Em alguns casos, o userPrincipalName é usado para iniciar sessão, mas o endereço de e-mail de um usuário é usado para gerenciar o calendário. Você deve garantir que o endereço de e-mail do gerenciamento de calendário seja mapeado para o campo de endereço de e-mail principal no Webex. Adicione o userPrincipalName como um endereço de e-mail alternativo. O usuário pode então usar qualquer um desses endereços de e-mail para iniciar sessão, desde que o mapeamento de atributos SAML correto esteja ativado. Consulte o mapeamento de atributos de exemplo abaixo para saber como você pode mapear um endereço de e-mail alternativo. |
*userPrincipalName *correio <atributo personalizado> |
e-mails;digitar-trabalho |
Esse mapeamento é opcional, use-o se desejar usar endereços de e-mail alternativos. Este é o e-mail usado para autenticação; ele não é usado para gerenciar seu calendário. O endereço de e-mail que você mapear do AD deve ser de um domínio verificado dentro da sua organização e deve ser exclusivo e não atribuído a outro usuário. |
<Novo atributo do usuário objectId do Azure> |
ID externa |
Crie um novo atributo do Active Directory para manter o objectId do usuário do Azure, para que ele não entre em conflito com um existente. Em seguida, esse atributo mapeia para o atributo externalId, garantindo que quando os usuários Webex criarem grupos no Microsoft 365 criem automaticamente equipes no Webex. |
Mapeamento alternativo de endereços de e-mail
Expressões para atributos personalizados
Operador |
Descrição e exemplo |
---|---|
% |
Remove todos os caracteres do início da string até a posição do caractere ou argumento da string, se corresponder.
|
- |
Risca a parte de trás da string de entrada do final da string especificada.
|
+ |
Concatena strings ou expressões de entrada.
|
| |
Avalia as expressões separadas em relação à string vazia e seleciona o primeiro resultado não vazio.
|
Sincronizar avatares de diretórios de um atributo do Active Directory para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar dados de avatar brutos de um atributo do Active Directory.
1 |
No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar. |
2 |
Para Obter o avatar, escolha o atributo AD e, em seguida, escolha o atributo Avatar que contém os dados do avatar brutos que você deseja sincronizar com a nuvem. |
3 |
Para verificar se o avatar foi acessado corretamente, insira o endereço de e-mail de um usuário e clique em Obter o avatar do usuário. O avatar aparece à direita. |
4 |
Depois de verificar se o avatar apareceu corretamente, clique em Aplicar para salvar suas alterações. |
-
As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.
-
Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.
Sincronizar avatares de diretório de um servidor de recursos para a nuvem
Você pode sincronizar os avatares do diretório dos usuários com a nuvem para que cada avatar apareça quando eles iniciarem sessão no aplicativo Webex. Use este procedimento para sincronizar avatares de um servidor de recursos.
Antes de você começar
-
O padrão de URI e o valor da variável neste procedimento são exemplos. Você deve usar URLs reais onde seus avatares de diretório estão localizados.
-
O padrão URI do avatar e o servidor onde os avatares residem devem ser acessíveis no aplicativo Conector de diretórios. O conector precisa ter acesso http ou https às imagens, mas as imagens não precisam ser publicamente acessíveis na internet.
-
A sincronização de dados do avatar é separada dos perfis de usuário do Active Directory. Se você executar um proxy, deverá garantir que os dados do avatar possam ser acessados pela autenticação NTLM ou autenticação básica.
1 |
No Conector de diretórios, vá para Configuração, clique em Avatar e marque Ativar. |
2 |
Para Obter o avatar de, escolha Servidor de recursos e, em seguida, insira o Padrão de URI do avatar—Por exemplo, Vamos ver cada parte do padrão de URI do avatar e o que eles significam:
|
3 |
(Opcional) Se o servidor de recursos exigir credenciais, marque Definir credencial do usuário para avatar, em seguida, escolha Usar usuário de logon de serviço atual ou Usar este usuário e insira a senha. |
4 |
Insira o Valor da variável—Por exemplo: |
5 |
Clique em Testar para certificar-se de que o padrão de URI do avatar funciona corretamente. Neste exemplo, se o valor do correio para uma entrada do AD for |
6 |
Depois que as informações do URI forem verificadas e parecerem corretas, clique em Aplicar. Para obter informações detalhadas sobre o uso de expressões regulares, consulte a Referência rápida da linguagem de expressão regular da Microsoft. |
-
As imagens sincronizadas tornam-se o avatar padrão para os usuários no aplicativo Webex. Os usuários não têm permissão para definir o próprio avatar após esse recurso ser ativado no Conector de diretórios.
-
Os avatares dos usuários são sincronizados com o aplicativo Webex e quaisquer contas correspondentes no site Webex.
O que fazer em seguida
Execute uma sincronização de simulação; se não houver problemas, faça uma sincronização completa para obter suas contas de usuários e avatares do Active Directory sincronizarem na nuvem e aparecerem no Control Hub.
Sincronizar informações da sala no local com o Webex Cloud
Use este procedimento para sincronizar informações da sala no local do Active Directory para a nuvem Webex. Depois de sincronizar as informações da sala, os dispositivos de sala no local com um endereço SIP configurado e mapeado aparecem como entradas pesquisáveis em dispositivos Webex registrados na nuvem (Room, Desk e Board).
1 |
No Conector de diretórios, vá para Sincronizar, clique em mais |
2 |
Marque Sincronizar informações da sala com a nuvem para separar os dados da sala dos dados do usuário durante a sincronização. Quando essa configuração estiver desativada, os dados da sala serão tratados da mesma maneira que os dados sincronizados pelo usuário. |
3 |
Vá para Mapeamento de atributos e altere o mapeamento de atributos para o atributo em nuvem sipAddresses;type=enterprise. Para usar a validação de valor, o valor do endereço SIP deve ser Pattern.compile("^([^@])(.*)@(.*)$")
|
4 |
Crie uma caixa de correio de Recurso de sala no Exchange. Isso adiciona o atributo msExchResourceMetaData;ResourceType:Room que o conector então usa para identificar as salas. |
5 |
Em computadores e usuários do Active Directory, navegue até e edite as propriedades da sala. Adicione o SIP URI totalmente qualificado com um prefixo de sip: |
6 |
Faça uma sincronização de simulação e, em seguida, uma sincronização de execução completa no conector. Os novos objetos de sala estão listados em Objetos adicionados e os objetos de sala correspondentes aparecem em Objetos correspondentes no relatório de simulação. Todos os objetos da sala sinalizados para exclusão estão em Salas excluídas. Os resultados da simulação mostram todos os recursos de sala que foram combinados. Essa configuração separa os dados da sala do Active Directory (incluindo o atributo da sala) dos dados do usuário. Após o término da sincronização, as estatísticas da nuvem no painel do conector mostram os dados da sala que foram sincronizados com a nuvem. |
O que fazer em seguida
Agora que você fez essas etapas, ao fazer uma pesquisa em um dispositivo Webex registrado na nuvem, você verá as entradas de salas sincronizadas que são configuradas com endereços SIP. Quando você faz uma chamada do dispositivo Webex nessa entrada, uma chamada é feita para o endereço SIP que foi configurado para a sala.
No Control Hub, você pode importar salas automaticamente do seu Diretório e criar espaços de trabalho.
O terminal não pode retornar uma chamada para o aplicativo Webex. Para dispositivos de discagem de teste, esses dispositivos devem ser registrados como um SIP URI no local ou em algum outro lugar que não o aplicativo Webex. Se o sistema de sala do Active Directory que você está procurando estiver registrado no Webex e o mesmo endereço de e-mail estiver no dispositivo Webex Room, dispositivo de mesa ou Webex Board para serviço de calendário, os resultados da pesquisa não mostrarão a entrada duplicada. O dispositivo Room, Desk ou Board é discado diretamente no aplicativo Webex e uma chamada SIP não é feita.
Enviar relatórios de e-mail sobre os resultados da sincronização de diretórios
Por padrão, os contatos ou administradores da organização sempre recebem notificações por e-mail. Com essa configuração, você pode personalizar quem deve receber notificações por e-mail que resumem os relatórios de sincronização de diretório.
1 |
No Conector de diretórios, clique em Configuração e escolha Notificação. |
2 |
No Conector de diretórios, clique em Configurações e, ao lado de Receptor de e-mail, ative Ativar sincronização de relatório. |
3 |
Marque Ativar notificação se você quiser substituir o comportamento de notificação padrão e adicionar um ou mais destinatários de e-mail. |
4 |
Clique em Adicionar e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações. |
5 |
Clique em Adicionar e-mail e insira um endereço de e-mail. Se você inserir um endereço de e-mail com um formato inválido, uma mensagem será exibida informando que você corrija o problema antes de salvar e aplicar as alterações. |
6 |
Se você precisar editar qualquer endereço de e-mail inserido, clique duas vezes na entrada de e-mail na coluna à esquerda e faça as alterações necessárias. |
7 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Aplicar. |
8 |
Depois de adicionar todos os endereços de e-mail válidos, clique em Salvar. |
O que fazer em seguida
Se você decidiu que deseja remover endereços de e-mail, poderá clicar em um e-mail para destacar essa entrada e, em seguida, clicar em Remover.
Se você decidiu que deseja remover endereços de e-mail, poderá clicar em Remover ao lado de entradas específicas de endereços de e-mail.
Provisionar usuários do Active Directory no Control Hub
Siga estas etapas para provisionar usuários do Active Directory e criar contas de usuários correspondentes no Control Hub. Você pode provisionar usuários de uma implantação do Active Directory de vários domínios (com uma única floresta ou várias florestas) depois de instalar um Conector de diretórios por domínio. Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. O objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.
1 |
Executar uma sincronização de simulação em seus usuários do Active Directory Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem. |
2 |
Faça uma sincronização completa de usuários do Active Directory na nuvem Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados. |
3 |
Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub Depois de concluir uma sincronização de usuário completa do Conector de diretórios no Control Hub, você poderá atribuir licenças de serviço Webex usando uma variedade de métodos. Recomendamos que você configure um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory. Você também pode fazer alterações individuais após esta etapa inicial. |
Executar uma sincronização de simulação em seus usuários do Active Directory
Faça uma simulação para comparar objetos no Active Directory local e objetos na nuvem Webex. Uma simulação permite ver quais objetos serão adicionados, modificados ou excluídos antes de executar uma sincronização completa ou incremental e confirmar as alterações na nuvem.
Durante o processo para integrar usuários de diferentes domínios, você deve decidir se deseja manter ou excluir os objetos do usuário que podem já existir na nuvem Webex—por exemplo, contas de teste de um teste. Com o Conector de diretórios, o objetivo é ter uma correspondência exata entre seus Diretórios ativos e a nuvem Webex.
Se você tiver vários domínios em uma única floresta ou várias florestas, deverá fazer esta etapa em cada uma das instâncias do conector de diretório da Cisco que você instalou para cada domínio do Active Directory.
Antes de você começar
Você já pode ter alguns usuários do aplicativo Webex no Control Hub antes de usar o Conector de diretórios. Entre os usuários na nuvem, alguns podem corresponder ao objeto local do Active Directory e receber licenças para serviços. Mas alguns podem ser usuários de teste que você deseja excluir enquanto faz uma sincronização. Você deve criar uma correspondência exata entre o Active Directory e o Control Hub.
1 |
Escolha uma das opções:
Quando a simulação for concluída, você verá um dos seguintes resultados: O Resumo contém informações sobre a correspondência do objeto:
A simulação identifica os usuários comparando-os com os usuários do domínio. O aplicativo pode identificar os usuários se eles pertencem ao domínio atual. Na próxima etapa, você deve decidir se deseja excluir os objetos ou mantê-los. Os objetos incompatíveis são identificados como já existentes na nuvem Webex, mas não existentes no Active Directory local. |
2 |
Revise os resultados da simulação e escolha uma opção dependendo se você usa um único domínio ou vários domínios:
|
3 |
No prompt Confirmar simulação, clique em Sim para refazer a sincronização da simulação e visualizar o painel para ver os resultados. Todas as contas que foram sincronizadas com êxito na simulação aparecem em Objetos correspondentes. Se um usuário na nuvem não tiver um usuário correspondente com o mesmo e-mail no Active Directory, a entrada será listada em Usuários excluídos. Para evitar esse sinalizador de exclusão, você pode adicionar um usuário no Active Directory com o mesmo endereço de e-mail. Para visualizar os detalhes dos itens que foram sincronizados, clique na guia correspondente para itens específicos ou Objetos correspondentes. Para salvar as informações do resumo, clique em Salvar resultados no arquivo. |
4 |
Se os resultados forem esperados, vá para Ativar agora para fazer uma sincronização manual e colocar no modo manual neste ponto. e clique emDepois de fazer uma sincronização no último domínio do Active Directory em sua implantação de vários domínios, você deve ativar o modo automático para o Conector de diretórios. Você poderá ativar o modo automático somente quando os objetos forem completamente combinados entre a nuvem Webex e todos os Diretórios ativos locais. |
O que fazer em seguida
-
Para quaisquer objetos de usuário incompatíveis que você manteve, você deve adicioná-los ao Active Directory para que haja uma correspondência exata entre o local e a nuvem.
-
Escolha um tipo de sincronização:
-
Faça uma sincronização completa de usuários do Active Directory para a nuvem quando você sincronizar novos usuários pela primeira vez. Você faz isso em e, em seguida, os usuários do domínio atual são sincronizados.
-
Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa.
-
-
Se você tiver vários domínios, repita estas etapas em qualquer outro Conector de diretórios que você tiver instalado.
Coisas a se manter em mente
-
Execute uma simulação antes de habilitar a sincronização completa ou ao alterar os parâmetros da sincronização. Se a simulação tiver sido iniciada por uma alteração de configuração, você poderá salvar as configurações após a conclusão da simulação. Se você já tiver adicionado usuários manualmente, realizar uma sincronização do Active Directory pode causar a remoção dos usuários adicionados anteriormente. Você pode verificar o Directory Connector Dry Run Reports para verificar se todos os usuários esperados estão presentes antes de sincronizar totalmente com a nuvem.
-
Se os usuários correspondentes estiverem marcados para serem excluídos e você não tiver certeza de como continuar, consulte as informações de solução de problemas e como entrar em contato com o suporte em Solução de problemas e correções do Conector de diretórios.
Os usuários excluídos são mantidos no serviço de identidade em nuvem por 7 dias antes de serem excluídos permanentemente.
Faça uma sincronização completa de usuários do Active Directory na nuvem
Quando você executa uma sincronização completa, o serviço de conector envia todos os objetos filtrados do seu Active Directory (AD) para a nuvem. O serviço do conector atualiza o armazenamento de identidade com suas entradas do AD. Se você criou um modelo de licença de atribuição automática, poderá atribuí-lo aos usuários recém-sincronizados.
Se você tiver vários domínios, deverá fazer esta etapa em cada uma das instâncias do Conector de diretório que você instalou para cada domínio do Active Directory.
O Conector de diretórios sincroniza o estado da conta do usuário—No Active Directory, todos os usuários marcados como desativados também aparecem como inativos na nuvem.
Antes de você começar
-
Se você quiser que as contas de usuário do aplicativo Webex estejam no status Ativo após a sincronização completa e antes que os usuários iniciem sessão pela primeira vez, você deve seguir estas etapas para ignorar a validação de e-mail:
-
Integre o registro único à sua organização Webex. Consulte
Registro único com os serviços Cisco Webex e o provedor de identidade da sua organização
para obter mais informações. -
Use o Control Hub para verificar e, opcionalmente, reivindicar os domínios contidos nos endereços de e-mail. Consulte
Adicionar, verificar e reivindicar domínios
. -
Elimine convites automáticos por e-mail, para que os novos usuários não recebam o convite automático por e-mail para o aplicativo Webex. (Você pode fazer sua própria campanha por e-mail.)
Os usuários ativados que não iniciaram sessão aparecem com um status Verificado no Control Hub. Depois de se inscreverem, eles aparecem como ativos. Para obter mais informações sobre status do usuário, consulte Status e ações do usuário no Cisco Webex Control Hub.
-
-
Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro. Recomendamos que você faça uma simulação antes de uma sincronização completa para detectar possíveis erros.
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
Se você não usar modelos de atribuição automática de licenças, os usuários recém-sincronizados receberão licenças gratuitas automaticamente. Eles poderão usar os mesmos recursos gratuitos daqueles com contas gratuitas.
1 |
Escolha uma das opções:
|
2 |
No Conector de diretórios, vá para Sincronizar, clique em mais |
3 |
Confirme o início da sincronização. Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações até 72 horas depois de executar a sincronização. Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.
|
4 |
Clique em Atualizar se você quiser atualizar o status da sincronização. (Os itens sincronizados aparecem em Estatísticas da nuvem.) |
5 |
Para obter informações sobre erros, selecione o Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros. |
6 |
Para definir uma agenda de sincronização para sincronizações incrementais contínuas para a nuvem, consulte Definir a agenda do conector e Executar uma sincronização incremental. |
-
Após a conclusão da sincronização completa, o status das atualizações da sincronização do diretório de Desativado para Operacional na página de Configurações no Control Hub.
-
Quando todos os dados são combinados entre o local e a nuvem, o Conector de diretórios muda do modo manual para o modo de sincronização automática.
-
A menos que você integre registro único, verifique domínios e, opcionalmente, reivindique domínios para as contas de e-mail que você sincronizou e elimine e-mails automatizados, as contas de usuário do aplicativo Webex permanecem em um estado Não verificado até que os usuários iniciem sessão no aplicativo Webex pela primeira vez para confirmar suas contas. Consulte a seção Antes de começar para obter orientação sobre como sincronizar as contas como usuários ativos.
-
Se você tiver vários domínios, faça esta etapa em qualquer outro conector de diretório que você tenha instalado. Após a sincronização, os usuários em todos os domínios que você adicionou serão listados no Control Hub.
-
Se você integrou o registro único com o Webex e notificações por e-mail suprimidas, os convites por e-mail não serão enviados aos usuários recém-sincronizados.
-
Você não poderá adicionar usuários manualmente no Control Hub depois que o Conector de diretórios estiver ativado. Uma vez ativado, o gerenciamento de usuários é executado a partir do conector de diretórios da Cisco e o Active Directory é a única fonte de verdade.
-
Todos os grupos sincronizados aparecem no Control Hub e você pode atribuir um modelo de licença para que os usuários nesse grupo recebam licenças.
O que fazer em seguida
-
Quando você remove um usuário do Active Directory, ele é excluído de software após a próxima sincronização. O usuário fica Inativo, mas o perfil de identidade da nuvem é mantido por sete dias (para permitir a recuperação da exclusão acidental).
Quando você marca A conta está desabilitada no Active Directory, o usuário se torna Inativo após a próxima sincronização. O perfil de identidade da nuvem não é excluído após sete dias, caso você queira habilitar o usuário novamente.
-
Observe estas exceções para uma sincronização incremental (em vez disso, siga os passos completos de sincronização acima):
-
No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.
-
As alterações de configuração no mapeamento de atributos, DN base, filtro e configuração de avatar requerem uma sincronização completa.
-
Atribuir serviços Webex aos usuários sincronizados pelo diretório no Control Hub
Depois de concluir uma sincronização completa de usuários do conector de diretórios da Cisco no Control Hub, você poderá usar o Control Hub para atribuir as mesmas licenças de serviço Webex a todos os seus usuários de uma só vez ou adicionar licenças adicionais a novos usuários se já tiver configurado um modelo de licença atribuído automaticamente. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Depois de concluir uma sincronização completa de usuários do Conector de diretórios no Control Hub, você poderá usar métodos no Control Hub para atribuir licenças de serviço Webex globalmente a todos os seus usuários, usuários individuais, por meio do modelo CSV em massa ou automaticamente a novos usuários se você já tiver configurado um modelo de licença de atribuição automática. Você pode fazer alterações individuais na conta de usuário após esta etapa inicial.
Quando você atribuir uma licença a um usuário do aplicativo Webex, esse usuário recebe um e-mail confirmando a atribuição, por padrão. O e-mail é enviado por um serviço de notificação no Control Hub. Se você integrou o Registro Único (SSO) com sua organização Webex, você também pode suprimir essas notificações automáticas por e-mail se preferir entrar em contato com seus usuários diretamente.
Antes de você começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Execute uma sincronização de simulação nos seus usuários do Active Directory.
-
Depois de confirmar os resultados da simulação, faça uma sincronização completa em seus usuários do Active Directory.
No momento da sincronização completa, o usuário é criado na nuvem, nenhuma atribuição de serviço é adicionada e nenhum e-mail de ativação é enviado. Se e-mails não forem suprimidos, os novos usuários receberão um e-mail de ativação quando você atribuir serviços aos usuários por um método de gerenciamento de usuários padrão no Control Hub, como importação de CSV, atualização manual de usuários ou através da conclusão automática da atribuição bem-sucedida.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , clique em Gerenciar usuários, escolha Modificar todos os usuários sincronizados e clique em Próximo. |
2 |
Escolha uma opção: |
O que fazer em seguida
-
Se os e-mails não forem suprimidos, um e-mail será enviado a cada usuário com um convite para entrar e baixar o Webex.
-
Se você selecionou os mesmos serviços Webex para todos os usuários, posteriormente você poderá alterar a licença atribuída individualmente ou em massa.
Problemas conhecidos com o Conector de diretórios
-
Versões do Windows Server anteriores a 2012 R2 têm um problema de cookie que afeta o Conector de diretórios. Esse problema foi corrigido nas versões 2012 R2 e 2016.
-
Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações 72 horas a partir de quando você executa a sincronização.
Você pode tentar limpar o cache local do aplicativo Webex seguindo estas direções: Windows ou Mac.
-
Quando um usuário usa o aplicativo Webex no desktop ou celular para pesquisar e ligar para uma sala que tenha apenas um SIP URI sincronizado, a chamada tocará indefinidamente neste momento.
Gerenciar usuários do aplicativo Webex
Executar uma sincronização incremental
Uma sincronização incremental consulta seu Active Directory e procura as alterações que ocorreram desde a última sincronização. Esta etapa agrupa essas alterações e as envia para o serviço do conector. As alterações incluem a modificação de atribuição de usuários e quando um usuário é adicionado ou excluído.
Essa sincronização não coloca tanta carga nos servidores e não leva tanto tempo quanto uma sincronização completa. Depois de fazer a sincronização inicial completa, recomendamos a opção incremental para sincronizações subsequentes.
Antes de começar
-
Você deve configurar um modelo de licença de atribuição automática antes de usá-lo em novos usuários do aplicativo Webex que você sincronizou do Active Directory.
-
Observe estas exceções para as quais a sincronização incremental não é compatível (em vez disso, siga Fazer uma sincronização completa de usuários do Active Directory na nuvem ):
-
No caso de um avatar atualizado, mas nenhuma alteração de outro atributo, a sincronização incremental não atualizará o avatar do usuário na nuvem.
-
Para novas alterações de configuração no mapeamento de atributos, no DN base, no filtro e na configuração do avatar, a sincronização incremental não funcionará e isso requer uma sincronização completa.
-
1 |
No Conector de diretórios, clique em Painel. Quando você ativa a sincronização, o Directory Connector solicita que você execute uma simulação primeiro. |
2 |
Em Ações, clique em Modo de sincronização > Ativar sincronização se ainda não estiver habilitado. Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos (nas versões 3.4 e anteriores) ou a cada 4 horas (nas versões 3.5 e posteriores), mas você pode alterar esse valor. A sincronização incremental não ocorre até que você execute inicialmente uma sincronização completa. Quando um novo intervalo de tempo incremental é acumulado, o programa verifica as alterações com base no último carimbo de data/hora. |
3 |
Em Ações, clique em Sincronizar agora > Incremental. Para quaisquer alterações que você fizer aos usuários no Active Directory (por exemplo, nome de exibição), o Control Hub reflete a alteração imediatamente quando você atualizar a exibição do usuário, mas o aplicativo Webex reflete as alterações 72 horas a partir de quando você executa a sincronização.
|
4 |
Para obter informações sobre erros, clique em Iniciar Visualizador de Eventos na barra de ferramentas de Ações para visualizar os registros de erros. |
O que fazer em seguida
Se você tiver vários domínios, execute esta etapa em outras instâncias do Conector de diretório que você instalou.
Recuperar usuários excluídos acidentalmente
O Conector de diretórios tem verificações e balanços para evitar a exclusão não intencional de usuários. Infelizmente, incidentes acontecem; você pode ter configurado incorretamente um filtro LDAP no Active Directory, que excluiu alguns usuários quando sincronizado com a nuvem. O recurso de exclusão forçada pode ajudá-lo a se recuperar desses acidentes e restabelecer as contas de usuário no Control Hub.
Por padrão, essa função está habilitada para todas as organizações. Quando os usuários são excluídos na nuvem, por exemplo, devido a um problema de objeto incompatível após uma sincronização do Directory Connector, os usuários podem ser recuperados. Se você viu um aviso de objetos incompatíveis ou notou que os usuários foram excluídos, você poderá recuperá-los se agir rapidamente.
Os usuários são marcados como Inativos no Control Hub quando as contas correspondentes são excluídas do Active Directory. O serviço de nuvem em segundo plano mantém os usuários por até 7 dias. Durante esse período, você ainda pode usar o Conector de diretórios da Cisco para recuperar usuários. Recomendamos que você recupere esses usuários o mais rápido possível.
Os usuários que estão desabilitados no Active Directory também são marcados como Inativos no Control Hub, mas a conta de usuário não é excluída após 7 dias.
1 | |
2 |
Vá para Usuários e confirme se uma conta de usuário específica está em um estado Inativo ou não listada. Para obter mais informações, consulte Status e ações do usuário no Control Hub. |
3 |
Se os usuários foram excluídos no Control Hub ou você notou usuários em um estado Inativo, vá para o Active Directory, adicione as contas de usuário ausentes e, em seguida, execute uma sincronização de simulação no Conector de diretórios. O objetivo com o Conector de diretórios é criar uma correspondência exata entre as informações do usuário no Active Directory e na nuvem. |
4 |
Faça uma sincronização completa para ressincronizar as contas de usuário temporariamente excluídas no Control Hub. Os usuários são recuperados e acessam o status original, incluindo o status da conta e as atribuições de serviço. |
O que fazer em seguida
Retorne ao Control Hub, vá para
e confirme se as contas de usuários excluídos anteriormente estão aparecendo na lista de usuários.Excluir usuários permanentemente após a exclusão soft
Depois de executar uma simulação, você pode optar por excluir permanentemente os usuários que foram excluídos soft na próxima sincronização.
1 |
Após a conclusão de uma simulação, selecione Objetos soft-excluídos. |
2 |
Marque a caixa de seleção ao lado dos usuários que deseja excluir. |
3 |
Selecione Concluído. |
O que fazer em seguida
Na próxima sincronização, os usuários que você selecionar serão excluídos permanentemente.
Alterar um endereço de e-mail do aplicativo Webex
Se você quiser alterar os endereços de e-mail dos usuários e sua organização usar o Conector de diretórios, altere esses endereços de e-mail no Active Directory. Este procedimento cobre como alterar um endereço de e-mail do aplicativo Webex para um único domínio e um processo para alterar o domínio.
Se você quiser apenas alterar o e-mail ou algum valor para um usuário, não exclua o usuário do Active Directory e, em seguida, recrie um novo com o mesmo e-mail. A nuvem interpreta essa ação como uma nova conta de usuário e os espaços do usuário e outros dados na nuvem serão perdidos.
O Conector de diretórios não limita a alteração do domínio de e-mail. No entanto, quando o usuário sincroniza novamente para a nuvem, o estado do usuário depende se o novo domínio é verificado em sua organização. Se o domínio não for verificado em sua organização, o status do usuário será alterado para Pendente após a sincronização completa. Para obter mais informações, consulte Gerenciar seus domínios.
Se sua organização não usa o Conector de diretórios, você pode alterar os endereços de e-mail do aplicativo Webex através da página de configurações da conta. Consulte Alterar o endereço de e-mail da sua conta para saber as etapas que os usuários podem seguir para alterar seus e-mails.
Alterar o domínio do Active Directory
Você pode usar este procedimento para criar novos domínios e endereços de e-mail. Eles se sincronizam com o serviço de identidade na nuvem.
1 |
Configure um novo domínio do Active Directory (AD). |
2 |
Desative as sincronizações em todos os seus conectores. |
3 |
Desinstale todos os seus conectores. |
4 |
Abra um caso para alterar o domínio. No envio do caso, certifique-se de solicitar a remoção da configuração do domínio e todos os atributos de sincronização na sua organização. Antes de abrir um caso para alterar o domínio, certifique-se de que você não tenha uma sincronização em execução. Não altere nenhum endereço de e-mail do usuário no Active Directory até que o caso seja resolvido. |
5 |
Depois que o caso for resolvido: Execute um teste executado com o Directory Connector antes de fazer a sincronização atual. |
Reivindicação de domínio
Uma reivindicação de domínio ocorre se você reivindicar um domínio de e-mail para uma organização de modo que qualquer conta lateral seja criada na organização do cliente pago e não na organização do consumidor gratuita. Você só pode fazer uma reivindicação de domínio por meio de um caso de suporte (consulte o link abaixo para obter mais informações).
Se o Conector de diretórios estiver ativo e o domínio for reivindicado, as contas laterais não serão criadas na organização do cliente ou na organização do consumidor gratuito. Somente o Conector de diretórios pode provisionar contas para a organização do Active Directory. As informações armazenadas no Active Directory são a fonte original. Se você tentar sideboard uma conta, o usuário convidado receberá um erro. A única maneira que um usuário convidado pode ser adicionado a um espaço do aplicativo Webex é primeiro usando o conector de diretórios para provisionar a conta no Control Hub.
Converter usuários gratuitos do aplicativo Webex em uma organização sincronizada de diretório
Você só pode usar endereços de e-mail exclusivos no diretório do aplicativo Webex. Se os usuários se inscreveram na versão gratuita do aplicativo Webex, sua conta existe na organização de consumidores gratuita. Para gerenciar usuários nesta organização usando o Conector de diretórios, migre (converta)-os para a organização do cliente antes de ativar o Conector de diretórios. Em seguida, você adiciona os usuários para Active Directory com o endereço de e-mail exato e depois sincroniza com a nuvem.
Se você não converter as contas antes da ativação, desative o Conector de diretórios para convertê-las.
Se você tentar converter um usuário enquanto a sincronização de diretórios estiver ativada, a mensagem de erro não pôde ser convertida
será exibida. Para evitar o problema, você pode usar essas etapas como solução alternativa.
Alguns usuários reivindicados podem aparecer com o atributo movedfrom
ao fazer uma simulação. Esses usuários estarão na lista de Objeto excluído
em vez de MismatchedObject
. Você precisará adicionar esses usuários à sua lista AD se desejar movê-los para sua organização.
Se você não adicionar esses usuários, eles serão excluídos no próximo que você sincronizar com a nuvem.
1 |
Desative a sincronização de diretórios do Conector de diretórios. |
2 |
Siga o procedimento Converter usuários não licenciados no Control Hub para converter o usuário da organização de consumidores gratuita para a organização empresarial. Esta etapa adiciona o usuário à sua organização e a conta aparece no Control Hub. O Conector de diretórios faz do Active Directory a única fonte de verdade para as contas de usuários e o objetivo é ter uma correspondência exata entre o Active Directory e o Control Hub. Certifique-se de que haja usuários compatíveis Active Directory os usuários recém-convertidos antes de re vissuar a sincronização. Uma sincronização de Dry Run pode ser usada para garantir que não haja usuários inigualados restantes. |
3 |
No Directory Connector, execute uma sincronização de simulação. Quando a dry run completar, verifique a guia Adicionar objetos. Verifique se todos os usuários que você converteu não serão excluídos. Você deve executar uma simulação antes de habilitar a sincronização para certificar-se de que todas as contas de usuário convertidas apareçam em Active Directory. Se você ativar a sincronização e as contas residirem apenas no Control Hub, o Conector de diretórios diferencia maiúsculas e minúsculas e exclui usuários convertidos que detecta com endereços de e-mail incompatíveis (por exemplo, user1@example.com e User1@example.com). Se algum usuário convertido for excluído, ele perderá todos os espaços do aplicativo Webex. |
4 |
Quando você tiver certeza de que a próxima sincronização não removerá nenhuma conta, reative a sincronização de diretórios do Directory Connector. |
As contas de usuários convertidos não serão ativadas automaticamente se você não verificar um domínio. Por exemplo, se você ativou o modelo de licença de atribuição automática e, em seguida, ativou o Conector de diretórios sem verificação de domínio, os usuários convertidos ficarão inativos no back-end em nuvem até confirmarem seus endereços de e-mail.
Contas de usuário do aplicativo Webex lateral
Quando você convida outro usuário para um espaço no aplicativo Webex, se o usuário convidado não tiver uma conta do aplicativo Webex, uma conta será criada para ele ("painel lateral"). Por padrão, as contas criadas dessa forma são adicionadas à organização de consumidores gratuita.
Se você quiser gerenciar a conta lateral usando o Conector de diretórios, é necessário converter a conta.
Alterar o formato do nome de usuário do aplicativo Webex após a sincronização do diretório
Por padrão, o Conector de diretórios mapeia o atributo displayName no Active Directory para o atributo displayName na nuvem.
Depois de executar uma sincronização de diretório, você pode descobrir que nomes de usuário são exibidos no formato .
Esse nome de usuário pode aparecer se o atributo displayName
no Active Directory estiver configurado dessa forma. Quando o atributo é mapeado para displayName
na nuvem, os nomes aparecem no formato no Control Hub.
Para alterar o formato, na tela de mapeamento de atributos do Conector de diretórios: mapeie o atributo do Active Directory givenName sn
(ou sn givenName
) para displayName
nos Nomes de atributos do Cisco Cloud.
Como alternativa, mapeie o atributo sn givenName
para displayName
:
Você também pode usar a opção Personalizar atributo, se desejar mapear sua própria expressão de atributo personalizada para displayName
.
Por exemplo, insira givenName + "" + sn
(nome, espaço, sobrenome) como a expressão. Isso mapeia os dois atributos no Active Directory para displayName
na nuvem.
Permitir que os usuários alterem nomes de exibição no Webex Meetings
Você pode desmapear o atributo displayName
da sincronização com a nuvem no Conector de diretórios se desejar permitir que os usuários editem seus nomes de exibição preferidos. Os usuários podem inserir um nome de exibição para mostrar durante as reuniões Webex, em vez do nome e do sobrenome. Os administradores também podem alterar o nome de exibição de um usuário manualmente no Control Hub.
1 |
No Conector de diretórios, clique em Configuração e escolha Mapeamento de atributos do usuário. |
2 |
Selecione displayName em Nome do atributo do Cisco Cloud. |
3 |
Selecione Não sincronizar este atributo. |
O que fazer em seguida
Os usuários agora podem editar seus nomes de exibição no site Webex.
Solução de problemas do conector de diretórios
Atualizar para a versão de software mais recente
Para manter sua implantação em conformidade e obter os recursos, funcionalidades, correções de erros e aprimoramentos de segurança mais recentes, você deve sempre atualizar para a versão mais recente do Directory Connector. Se você não atualizar para a versão mais recente que está disponível, poderá enfrentar problemas, como o Conector de diretórios não sincronizar mais corretamente ou estar em uma versão que não suporta o requisito de TLS 1.2 obrigatório.
O Conector de diretórios notifica automaticamente quando uma nova versão está disponível. Sempre atualize para a versão mais recente para evitar problemas. Você também vê uma notificação na barra de tarefas do Windows.
Embora você possa instalar manualmente as atualizações do software do conector, recomendamos que você siga as etapas em Definir atualizações automáticas para permitir que o aplicativo gerencie suas atualizações automaticamente.
1 |
Clique na notificação na barra de tarefas do Windows ou clique com o botão direito do mouse no ícone do Conector de diretórios na barra de tarefas do Windows para iniciar o processo de atualização. |
2 |
Siga as instruções para concluir a atualização. |
3 |
Reinicie o conector e inicie sessão com suas credenciais de administrador. |
4 |
Verifique o número da versão do software em . |
O que fazer em seguida
Para uma nova instalação do Conector de diretórios, você pode baixar o arquivo zip e, em seguida, seguir as etapas de instalação neste guia.
Definir configurações gerais do Conector de diretórios
Use este procedimento para definir configurações gerais, como o nome do servidor executando o Conector de diretórios, os níveis de registro, atualizações automáticas e as configurações preferidas para os controladores de domínio. O nome do conector aparece no painel na seção conectores, juntamente com quaisquer outros conectores que estejam em execução.
1 |
No Conector de diretórios, vá para Configuração e clique em Geral. |
2 |
No campo Nome do conector , insira o nome do conector. Esse campo mostra apenas o nome do computador que está executando o conector no momento. |
3 |
Escolha o nível de log no menu suspenso. Por padrão, o nível de registro é definido como Informações. Os níveis de registro disponíveis são:
Essas configurações afetam o relatório de sincronização enviado por e-mail. Se você definir o nível de log como Erro, somente erros serão relatados no relatório de sincronização; se não houver erros, o relatório de sincronização não será enviado. Altere a configuração para Informações e você receberá relatórios de sincronização após a sincronização completa. (Lembre-se de que, para sincronização incremental, nenhum relatório será enviado quando nenhum erro for relatado.) |
4 |
Escolha os Controladores de domínio preferidos para definir a ordem dos controladores de domínio para sincronizar identidades. Os controladores de domínio são acessados de cima para baixo. Se o controlador superior não estiver disponível, escolha o segundo controlador na lista. Se nenhum controlador estiver listado, você poderá acessar o controlador principal. |
5 |
Marque Atualizar automaticamente para a nova versão do Cisco Directory Connector se desejar que ocorram atualizações automáticas. É sempre importante manter o software Cisco Directory Connector atualizado para a versão mais recente. Recomendamos que você verifique esta configuração para permitir que as atualizações automáticas do software sejam instaladas silenciosamente quando estiverem disponíveis. |
6 |
Verifique LDAP sobre SSL para usar o LDAP seguro (LDAPS) como o protocolo de conexão. Se você não verificar LDAP sobre SSL, o Conector de diretórios continuará a usar o protocolo de conexão LDAP. LDAP (Lightweight Directory Application Protocol) e LDAP seguro (LDAPS) são os protocolos de conexão usados entre um aplicativo e o controlador de domínio dentro da infraestrutura. A comunicação LDAPS é criptografada e segura. |
Configurar a política do conector
Você pode definir o número máximo de exclusões que podem ocorrer durante a sincronização. A execução da sincronização não exclui objetos do seu Active Directory local. Todos os objetos são excluídos apenas da nuvem.
Por exemplo, você define 1
como o valor de gatilho de limite de exclusão. Ao fazer a sincronização completa ou incremental, se o número de usuários que você deseja excluir for maior do que a configuração, o conector de diretório mostrará um aviso. Se você clicar em Substituir limite, poderá iniciar a sincronização completa ou incremental com êxito, mas você verá este aviso de substituição na próxima vez que executar a política.
1 |
No Conector de diretórios, clique em Configuração e escolha Política. |
2 |
Marque a caixa Ativar excluir gatilho de limite se você quiser adicionar um gatilho de limite. A escolha desta opção aciona um alerta se o número de exclusões exceder o limite. Quando a conta de exclusão exceder aquela que você definir, a sincronização falhará.
|
3 |
Insira o número máximo de exclusões que você deseja. O padrão é 20. Recomendamos que você não aumente o valor padrão. |
4 |
Clique em Aplicar. |
Definir a agenda do conector
Defina o tempo de sincronização no Active Directory. O failover é usado para alta disponibilidade (HA). Se um conector estiver inativo, mudaremos para outro conector de espera após o intervalo predefinido.
1 |
No Conector de diretórios, clique em Configuração e escolha Agendar. |
2 |
Especifique o Intervalo de sincronização incremental em minutos. Por padrão, uma sincronização incremental está definida para ocorrer a cada 30 minutos. A sincronização incremental completa não ocorre até que você execute inicialmente uma sincronização completa. |
3 |
Altere o valor Enviar relatórios por hora se desejar alterar a frequência com que os relatórios são enviados. |
4 |
Marque Ativar agenda de sincronização completa para especificar os dias e horários nos quais você deseja que uma sincronização completa ocorra. |
5 |
Especifique o Intervalo de failover em minutos. |
6 |
Clique em Aplicar. |
Cenários de vários domínios
Vários domínios são baseados na prioridade do domínio. Para objetos que têm o mesmo valor de chave em domínios diferentes, após a sincronização, os dados do domínio de prioridade mais alta reescrevem os dados do domínio de prioridade mais baixa.
Os objetos que têm o mesmo valor de chave são vinculados em um registro no banco de dados.
O valor da chave para "Usuário" é Endereço de e-mail; o valor da chave para "Grupo" é Nome do grupo.
Exemplo de caso de uso para vários domínios
Este exemplo assume uma organização com dois domínios — example1.com e example2.com, em ordem de prioridade.
-
Adicionar usuário1(e-mail: user@example1.com) para o Active Directory de example1.com.
-
Adicionar grupo1 (nome do grupo: Teste) para o Active Directory do example1.com.
-
Adicionar usuário2(e-mail: user@example2.com) para o Active Directory de example2.com.
-
Adicionar grupo2 (nome do grupo: Teste) para o Active Directory do example2.com.
- Sincronização em example1.com
-
Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.
Se você fizer uma sincronização completa ou incremental, por exemplo1.com, user1 e group1 serão sincronizados. Além disso, user2 e group2 são substituídas pelas informações de user1 e group1.
Usuário1 vincula ao usuário2 como o mesmo registro no banco de dados; grupo1 vincula o grupo2 como o mesmo registro no banco de dados.
- Sincronização em example1.com e example2.com
-
Como um caso de uso, user2 e group2 são sincronizados com a nuvem e aparecem em https://admin.webex.com, enquanto user1 e group1 não.
Considere estas etapas:
- Exclua usuário1 e grupo1 no Active Directory por exemplo1.com.
- Faça uma sincronização completa ou incremental, por exemplo1.com.
Resultado: as informações do usuário não são alteradas em https://admin.webex.com. Usuário2 não está vinculado ao usuário1 e grupo2 não está vinculado ao grupo1.
- Faça uma sincronização incremental, por exemplo2.com.
Resultado: as informações do usuário não são alteradas em https://admin.webex.com.
- Faça uma sincronização completa, por exemplo2.com.
Resultado: As informações de usuário2 e group2 estão listadas em https://admin.webex.com.
Sincronizar um novo domínio e preservar um domínio existente
Se você quiser sincronizar um novo domínio (B) enquanto mantém os dados de usuário sincronizados em outro domínio existente (A), certifique-se de instalar o Conector de diretórios para sincronização de domínio (B) em um servidor Windows compatível. O conector se vincula ao novo domínio após a configuração inicial e as informações do usuário no domínio (A) permanecem inalteradas.
Cada domínio deve ter seu próprio conector ativo. Considere dois domínios com a seguinte configuração: domínio A com conectores (ca1) e (ca2) para alta disponibilidade local (HA); domínio B com conector (cb1). (ca1)e (ca2) servem o domínio A. Neste cenário, um conector está ativo e o outro é em espera (HA). Esse design mantém o domínio sincronizado, pois um conector está sempre ativo. Assim, cb1 é o conector ativo para o domínio B, porque o domínio A já tem um conector ativo (ca1 ou ca2).
Definir a prioridade do domínio
Use este procedimento para alterar a prioridade dos seus domínios do Active Directory. A prioridade do domínio permite que você determine o domínio primário, o domínio secundário e assim por diante. Isso ajuda quando dois usuários de dois domínios diferentes têm o mesmo valor de e-mail sincronizado com uma organização.
Não use este procedimento se você tiver um único domínio listado no Conector de diretórios. Se você tentar, o conector mostrará uma mensagem informando que a prioridade do domínio não é necessária.
Antes de começar
Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo de https://admin.webex.com.
1 |
No conector de diretórios da Cisco, clique em Painel. |
2 |
Vá para Ações e clique em Definir prioridade do domínio. |
3 |
Realce um domínio na lista, clique em Para cima ou Para baixo para alterar a prioridade deste domínio e clique em Salvar para salvar essa alteração. Os domínios são classificados por prioridade de cima para baixo. |
Alternar domínios
Use este procedimento para revincular o conector de diretórios da Cisco a um domínio diferente.
Antes de começar
-
Certifique-se de que nenhuma tarefa de sincronização esteja em execução antes de alternar de domínios.
-
Para evitar erros, instale ou atualize para a versão mais recente do Cisco Directory Connector. Você deve baixá-lo do Control Hub.
1 |
No conector de diretórios da Cisco, clique em Painel. |
2 |
Vá para Ações e clique em Alternar domínio. |
3 |
Depois de ler o cuidado, se você entender o efeito que essa alteração tem na sua implantação e ainda tem certeza, clique em Sim. Se você alternar um domínio, será desconectado do atual conector de diretórios da Cisco, outros domínios no conector não serão registrados e as informações do conector nesse computador serão excluídas. |
4 |
Inicie sessão novamente no conector de diretórios da Cisco e revincule o domínio. |
Desligar sincronização do diretório
Se você precisar interromper a sincronização do Directory Connector, poderá desativá-lo temporariamente do Control Hub.
1 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretórios e escolha uma:
|
2 |
Depois de ler o aviso, clique em Desativar. A sincronização é interrompida até que você a reative do Directory Connector. |
Remover Mapeamento de Atributos do Usuário
Use o Conector de diretórios para remover o mapeamento dos atributos do Active Directory anteriormente mapeados na nuvem e sincronizados com o Webex. Depois de remover o mapeamento de atributos, os valores dos atributos serão removidos da nuvem e não serão mais sincronizados com o Webex. Esses valores podem então ser editados manualmente.
1 |
No Conector de diretórios, clique em Painel. |
2 |
Vá para Ações e clique em . |
3 |
Selecione o mapeamento a ser removido da lista Nome do atributo . |
4 |
Em Escopo do usuário afetado, selecione uma das seguintes opções:
|
5 |
Clique em Aplicar. |
Gerenciar fotos de perfil
Use o Conector de diretórios para atualizar as imagens do perfil do usuário ou remover as imagens do perfil do usuário em branco.
1 |
No Conector de diretórios, clique em Painel. |
2 |
Vá para Ações e clique em . |
3 |
Em Ações, selecione uma das seguintes opções:
|
4 |
Clique em Aplicar. |
Desinstalar e desativar o Conector de diretórios
Depois de desinstalar uma ocorrência do Directory Connector, você deve cancelar o registro dela. Remova completamente um Conector de diretórios para qualquer um desses cenários:
-
Você não deseja mais usar a sincronização de diretórios.
-
Você não deseja usar um dos vários conectores de diretório (alta disponibilidade).
-
Você deseja alterar o domínio e instalar outro conector.
Antes de começar
-
Você pode ter várias ocorrências do Conector de diretórios configuradas para alta disponibilidade (HA) ou sincronização de vários domínios. Desative a sincronização se estiver desinstalando a única ou a última ocorrência restante do Directory Connector.
-
Salve e feche qualquer trabalho importante antes de desinstalar o Conector de diretórios.
1 |
Na sua máquina Windows, vá para o Painel de controle e clique em Programas e recursos. |
2 |
Na lista de programas, clique em Conector de diretórios, escolha Desinstalar e siga as instruções. Você pode ter que reiniciar o sistema para concluir a desinstalação. |
3 |
Na exibição do cliente em https://admin.webex.com, vá para , role até Sincronização de diretórios, clique em mais |
4 |
Depois de ler o aviso, clique em Desativar. A menos que haja outro Conector de diretórios em uma implantação de alta disponibilidade (HA), as contas de usuário não serão mais sincronizadas. |
Executar a ferramenta de diagnóstico
Você pode usar a ferramenta de diagnóstico integrada para solucionar problemas da implantação do Conector de diretórios. Essa ferramenta é instalada como parte do conector de diretórios 3.4 em diante.
Se a sincronização não funcionou corretamente, você pode ter um erro de configuração ou de rede. Esta ferramenta testa sua conexão com o LDAP para que você possa diagnosticar seus erros antes de entrar em contato com o suporte. Se a ferramenta retornar algum erro, você poderá enviar os resultados de registro detalhados para suporte.
Solução de problemas no Conector de diretórios Ciso
Solução de problemas e correções do Conector de diretórios
Você pode encontrar uma mensagem de erro ou outro problema no Conector de diretórios. Além disso, depois que o Conector de diretórios sincroniza as informações do usuário, o conector pode enviar a você um relatório de e-mail que lista quaisquer problemas com a sincronização. Consulte as seções a seguir para ver problemas que podem surgir, possíveis causas e soluções propostas que você pode tentar antes de entrar em contato com o suporte.
Instalar
O Conector de diretórios parou de funcionar
Você recebeu e-mails de alerta notificando que seu Conector de diretórios não está funcionando.
-
O Conector de diretórios pode não estar instalado corretamente.
-
O Conector de diretórios pode não estar em execução.
-
A rede pode não estar disponível.
Tente o seguinte:
-
Abra o
. Localize o Conector de diretórios. Se não estiver lá, baixe a versão mais recente do Control Hub e instale-a. -
Abra o Serviço e localize o serviço Cisco DirSync. Certifique-se de que exibe o status como Iniciado. Se o serviço for interrompido, clique com o botão direito do mouse e selecione Iniciar para reiniciar o serviço.
-
Verifique se o servidor no qual você instalou o Conector de diretórios tem acesso à Internet.
Erro de reinstalação
Problema—Se você instalar imediatamente um novo conector depois de desinstalar um antigo, poderá ver uma mensagem de erro.
Causa possível—No Windows Server 2012, o cliente de desinstalação precisa de tempo para excluir a conta de serviço da lista de serviços.
Solução—Depois de algum tempo, tente a instalação novamente.
Iniciar sessão
O conector de diretórios falha durante o início de sessão por SSO
Problema
O Conector de diretórios pode falhar depois que você inserir um endereço de e-mail de uma página de início de sessão do SSO.
Solução
Tente o seguinte:
Execute estas etapas para configurar uma nova política de grupo:
-
Vá para o controlador do domínio e abra o Gerenciamento de políticas de grupo (gpedit.msc).
-
Clique com o botão direito do mouse em um OU ou domínio específico, selecione Criar um GPO neste domínio e Vinculá-lo aqui
-
Dê um nome à política, clique com o botão direito do mouse e escolha Editar.
Execute estas etapas para alterar a política no nível da máquina:
-
Vá para Registro, escolha Novo e, em seguida, Item do registro.
, clique com o botão direito do mouse em -
Para Caminho da chave, insira ou navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Insira
Desativar depurador de script
para Valor e insiranenhum
para Dados de valor.As configurações devem corresponder a esta captura de tela:
Execute estas etapas para alterar a política no nível do usuário:
-
Vá para Registro, escolha Novo e, em seguida, Item do registro.
, clique com o botão direito do mouse em -
Para Caminho da chave, insira ou navegue até HKEY_ATUAL_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Insira
Desativar depurador de script
para Valor e insiranenhum
para Dados de valor.As configurações devem corresponder a esta captura de tela:
As alterações entram em vigor depois que você executa gpupdate /force
, a máquina reiniciada (para alterações da máquina) ou o usuário inicia sessão novamente (para alterações do usuário).
Não foi possível registrar o conector do serviço Cisco DirSync
Problema
O início de sessão falha e esta mensagem é exibida: "O conector do serviço Cisco DirSync não pôde ser registrado".
Solução
O sistema Windows no qual o Conector de diretórios está instalado deve ser um membro do Active Directory.
Nenhuma página de início de sessão é exibida
Problema
Você abriu o Conector de diretórios e a página de início de sessão não foi exibida.
Solução
Tente as seguintes etapas:
-
No Internet Explorer, vá para https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Tente o link em outros navegadores como Chrome e Firefox.
-
Se o Internet Explorer não puder visitar o link, mas outros navegadores podem, marque as configurações do Internet Explorer e marque as caixas de seleção TLS 1.1 e 1.2. (Use o procedimento Habilitar o TLS no Internet Explorer .)
O aviso de início de sessão é exibido
Problema
Um aviso é exibido solicitando que você insira o nome de usuário e a senha para passar a autenticação.
Causas possíveis
O Conector de diretórios conclui a autenticação de segurança NTLM silenciosamente com a conta de início de sessão. Se a autenticação falhar, uma caixa de diálogo será exibida para pedir o nome de usuário e a senha de autenticação.
Solução
Ao ver a janela pop-up de início de sessão, você precisa fornecer uma conta válida com autenticação correta para passar a segurança.
Não foi possível conectar-se ao servidor remoto
Problema
Durante a operação normal, a mensagem de erro é exibida: "Não é possível conectar ao servidor remoto".
Causas possíveis
Você pode ter problemas de proxy que precisam ser resolvidos.
Solução
Consulte Solucionar problemas de início de sessão da conta de serviço para obter mais informações sobre solução de problemas.
Não foi possível registrar o conector
Problema
Você vê a mensagem de erro "Não foi possível registrar o conector. Uma exceção geral ocorreu."
Causas possíveis
Na maioria dos casos, o problema é porque o conector de diretórios não tem privilégio para se conectar ao contexto raiz LDAP.
Solução
Tente o seguinte:
-
Execute um prompt de comando (cmd) e insira ldp.exe.
-
Clique em Vincular como atualmente conectado no usuário e clique em OK.
, escolha -
Clique em OK.
, insira DC=arbonneintl,DC=ad como BaseDN e clique em -
Se o problema persistir, abra um caso com o suporte.
Sincronização
Avatares não sincronizados
Problema
O conector de diretórios da Cisco sincronizou os dados do AD do usuário com a nuvem Webex. Mas nenhum dado de avatar foi sincronizado com êxito.
Causas possíveis
Se você reutilizou um servidor avatar existente e os avatares do usuário já estiverem sincronizados, o cache local os capturará e evitará o reenvio para economizar largura de banda.
Solução
Exclua o cache local seguindo estas etapas:
-
Vá para C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Exclua DirSyncPluginAvatar.dll-cache.bin.
-
Execute novamente a sincronização do avatar do conector de diretórios da Cisco.
Contas de e-mail de usuários conflitantes
Problema
Os resultados da sincronização podem mostrar contas de e-mail de usuários conflitantes.
-
Se os usuários experimentaram a versão gratuita do aplicativo Webex, seus endereços de e-mail residem na organização gratuita do consumidor.
-
Se os e-mails dos usuários já tiverem sido sincronizados em outra organização.
-
Se os e-mails do usuário existirem em vários domínios que pertencem à organização.
Solução
Tente o seguinte:
-
Siga estas etapas se estiver tentando reivindicar usuários:
-
Certifique-se de verificar o domínio no Control Hub.
-
Desative temporariamente o Conector de diretórios da Cisco.
-
Use a opção Reivindicar usuário no Control Hub para reivindicar quaisquer contas que possam existir na organização de consumidores gratuita. Consulte Reivindicar usuários em sua organização (Converter usuários) para obter mais informações.
-
Faça uma simulação no Cisco Directory Connector e reative a sincronização de diretórios
-
-
Para o último caso, verifique duas vezes os dados do usuário nas fontes do Active Directory.
Usuário convertido marcado como inativo
Problema
No seu ambiente sincronizado por diretório, você converteu um usuário gratuito (organização do consumidor) em sua organização empresarial, mas o usuário convertido não pode iniciar sessão no aplicativo Webex.
Causas possíveis
Quando o usuário gratuito é convertido na organização empresarial, ele é marcado como status inativo por 30 dias como uma medida de conformidade de segurança. Durante esse período, o usuário não pode iniciar sessão no aplicativo Webex e será marcado para exclusão no final do período de 30 dias. Essa situação surge porque as informações gratuitas do usuário não residem no Active Directory.
Solução
Você deve tomar medidas caso não queira que a conta de usuário seja excluída. Para resolver esse problema, crie uma conta de usuário no seu Active Directory local que corresponda à conta de usuário gratuita convertida. Em seguida, execute uma sincronização do Cisco Directory Connector. Em seguida, o usuário poderá iniciar sessão no aplicativo Webex novamente e a conta não será excluída.
Falha na sincronização incremental
Problema
Uma sincronização incremental falha.
Esse problema pode ocorrer no Windows Server 2008 R2 nas seguintes condições:
-
Você suporta atualizações de valores incrementais.
-
O filtro que você usa faz referência a um atributo de valor vinculado.
-
Os valores de resultados desse atributo foram atualizados desde a última vez que uma sincronização completa foi executada.
Solução
O Windows Server 2008 R2 tem um erro relacionado a esse problema. O erro foi corrigido em 2012 R2 e posterior. Recomendamos que você atualize seu Windows Server para, pelo menos, 2012 R2.
Valor inválido para atributo
Problema
Para [usuário dn (nome distinto)], o atributo [nome do atributo] tem o seguinte valor inválido [valor do atributo].
Causas possíveis
Para CN=b,OU=Funcionários,OU=C Usuários,DC=c,DC=com, o atributo [número de telefone] tem o seguinte valor inválido: +. Este atributo deve conter pelo menos um número.
Solução
Um atributo para este usuário não tem um valor válido. Corrija seu valor de acordo com a descrição na mensagem de aviso. Em seguida, faça outra sincronização.
Usuários correspondentes a serem excluídos
Problema
Os usuários correspondentes estão marcados para serem excluídos.
Ao executar uma sincronização de simulação para verificar os dados entre o Active Directory e a nuvem, você poderá ver o mesmo endereço de e-mail em ambos. No entanto, o usuário é marcado como um objeto a ser excluído.
Solução
Escolha uma correção apropriada:
-
Se estiver tudo bem para excluir o usuário e refazer as licenças depois, você poderá usar o Conector de diretórios para a correção. Execute uma sincronização para excluir o usuário e, em seguida, execute outra sincronização para sincronizar o usuário do AD local com a nuvem.
-
Se você não puder excluir e recriar a conta de usuário, abra um caso com o suporte.
Atributo ausente
Problema
O atributo obrigatório [attribute_name] ao adicionar entrada no local [dn de usuário (nome distinto)]. A entrada não será criada no Control Hub até que todos os atributos necessários tenham um valor.
Causas possíveis
O endereço de e-mail do atributo obrigatório está faltando. Ao adicionar a entrada no local [CN=Usuário de vendas,OU=Engenheiros,OU=K,DC=k,DC=local], a entrada não é criada no Control Hub até que todos os atributos necessários tenham um valor.
Solução
Um dos atributos necessários está faltando para o usuário [user_email_address]. Forneça os valores necessários para esse usuário.
O grupo aninhado não sincronizará
Problema
Os usuários em um grupo aninhado do Active Directory não são sincronizados corretamente com a nuvem.
Causas possíveis
É usado um filtro que inclui o grupo filho e o grupo pai, o que não é suportado. Por exemplo: (memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)
Solução
Você deve reconfigurar o filtro que sincroniza grupos. Por exemplo: |(memberof=CN=testgroup1,CN=Usuários,DC=rktest2008,DC=org)(memberof=CN=testSubGrupo,CN=Usuários,DC=rktest2008,DC=org)
Conflito de nomes de usuários
Problema
Há um conflito de nomes para [usuário dn] para um objeto de entrada em nuvem existente com o nome: [endereço de e-mail do usuário] e do tipo de usuário [user_type].
Causas possíveis
Um usuário com esse endereço de e-mail já existe no Control Hub.
Solução
Crie um usuário no seu Active Directory com o mesmo endereço de e-mail da conta que você se registrou através do Control Hub.
Hub de controle
Lista de usuários ausente no Control Hub
Problema
Se você tiver uma organização Webex com mais de 1.000 usuários sincronizados, talvez não veja a lista de usuários no Control Hub.
Solução
Você pode usar a funcionalidade de pesquisa para encontrar uma conta de usuário. No Control Hub, vá para Usuários, clique em Procurar e insira critérios de pesquisa para localizar um usuário específico.
Os grupos não serão sincronizados com o Control Hub
Problema
Os usuários em um grupo de diretório não serão sincronizados corretamente com o Control Hub.
Causas possíveis
O grupo não está marcado como isCriticalSystemObject
no Active Directory.
Solução
Certifique-se de que o atributo isCriticalSystemObject
esteja definido como VERDADEIRO
no Active Directory.
Ativar a solução de problemas do Conector de diretórios
Você pode habilitar a solução de problemas para ajudar a diagnosticar quaisquer erros encontrados no Conector de diretórios. A solução de problemas permite capturar as informações de tráfego de rede e salvá-la em um arquivo.
Os arquivos de registro que são: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
Execute o arquivo |
2 |
Reinicie o serviço. Consulte Como iniciar serviços para obter orientação. |
3 |
No Conector de diretórios, clique em Painel. |
4 |
Vá para Ações e clique em . |
5 |
Com a solução de problemas ativada, repita as ações que estavam causando um erro; isso captura os dados de tráfego para que possam ser examinados. |
6 |
Examine os ficheiros de registo: se o arquivo estiver em branco, certifique-se de que a conta tenha privilégios para acessar seu AD DS ou AD LDS. A pasta de registro salva arquivos apenas nos últimos 3 dias. O conteúdo nos arquivos de registro é consistente com o envio do registro de eventos para o sistema. |
7 |
Se necessário, envie o arquivo de registro ao suporte para obter assistência. |
8 |
Desative o recurso de solução de problemas quando terminar. |
Iniciar o Visualizador de eventos
Para ver os eventos que ocorreram durante uma sincronização completa ou incremental, inicie o Visualizador de eventos. Ele exibe um resumo dos eventos administrativos e registros de erros.
1 |
No Conector de diretórios, vá para Painel e clique em .A caixa de diálogo Propriedades do evento mostra os detalhes do evento de sincronização e os detalhes do erro. |
2 |
No Visualizador de eventos, vá para . |
3 |
Em Ações, clique em Salvar todos os eventos como para exportar todos os registros como um único arquivo de Eventos (*.evtx) ou outro formato, como xml ou csv. |
O que fazer em seguida
Se você precisar abrir um caso, entre em contato com o suporte, descreva o problema com o conector e anexe o arquivo de Eventos ao seu caso.
Os registros de eventos capturam as ações do usuário. Para obter ajuda com o gerenciamento do tráfego de rede, ative a solução de problemas no conector.
Ativar o TLS no Internet Explorer
Se você alternou os provedores de Registro Único (SSO), poderá ver as seguintes mensagens de erro do conector de diretórios da Cisco:
-
Ocorreu um erro ao fazer logon no serviço
-
Ocorreu um erro no script nesta página
Se você vir esses erros, você deve habilitar uma configuração de TLS em seu navegador.
1 |
Abra o Internet Explorer e escolha Ferramentas. Agora marque as caixas para a versão TLS/SSL que você deseja habilitar Clique em OK Feche o navegador e abra-o novamente |
2 |
Clique em Opções da Internet , vá para Avançado e role até Segurança. |
3 |
Marque as caixas de seleção Usar TLS 1.1 e Usar TLS 1.2 e clique em OK. |
4 |
Reinicie seu sistema para que as alterações tenham efeito. |
Solucionar problemas de início de sessão da conta de serviço
Se você não conseguir iniciar sessão no Cisco Directory Connector ou não conseguir executar uma sincronização, use estas etapas para tentar resolver o problema antes de entrar em contato com o suporte.
1 |
Tente visitar https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL no seu navegador da web. |
2 |
Escolha um, dependendo dos resultados:
|
3 |
No mínimo, certifique-se de que a conta configurada para o serviço Cisco DirSync (que pode ser encontrada nos serviços Windows) tenha um nível de privilégio que lhe permita acessar dados de avatar e dados do AD. Por padrão, o serviço aproveita as credenciais da conta de logon do Windows e a autenticação. |
Verificar o SafeDllSearchMode no registro do Windows
O modo de pesquisa da biblioteca de links dinâmicos seguros (DLL) é definido por padrão no registro do Windows e coloca o diretório atual do usuário mais tarde na ordem de pesquisa do DLL. Se esse modo estivesse de alguma forma desabilitado, um invasor poderia colocar um DLL malicioso (chamado o mesmo que um arquivo DLL referenciado que está localizado na pasta do sistema) no diretório de trabalho atual do aplicativo.
Normalmente, o SafeDllSearchMode está ativado, mas use este procedimento para verificar duas vezes as configurações do registro.
Antes de começar
As alterações no registro do Windows devem ser feitas com extrema cautela. Recomendamos que você faça um backup do seu registro antes de usar essas etapas.
1 |
Na pesquisa do Windows ou na janela Executar, digite regedit e pressione Enter. |
2 |
Vá para HKEY_LOCAL_MACHINE\SYSTEM\CURRENTcontrolSet\Control\Session Manager. |
3 |
Escolha uma das opções:
|
Para obter mais informações, consulte Ordem de pesquisa da biblioteca de links dinâmicos.