Интеграция службы каталогов через Webex Common Identity для выделенного экземпляра

обзор

Синхронизируйте пользователей из облачного каталога, например Azure AD, с приложениями выделенных экземпляров, такими как Unified CM и Cisco Unity Connection, с помощью службы облачных каталогов. Во время синхронизации система импортирует список пользователей и связанные с ними данные пользователей в Azure Active Directory (или аналогичную службу облачных каталогов), которая синхронизируется со службой удостоверений Webex. Выберите кластер Unified CM из Control Hub для синхронизации, выберите соответствующее сопоставление полей идентификатора пользователя Unified CM, а затем выберите необходимое соглашение о синхронизации для завершения синхронизации.

Предварительные требования

Если вы используете Azure Active Directory в качестве облачного каталога, см. раздел Настройка приложения Azure AD Wizard в Control Hub для получения дополнительных сведений.
Если вы используете Microsoft Active Directory в качестве каталога, см. раздел Развертывание соединителя каталогов для получения дополнительной информации.
Примечания к выпуску соединителя каталогов
Убедитесь, что существующие системы Active Directory, интегрированные с Unified CM, также интегрированы с Webex Common Identity.

Просмотр сведений о кластере

На странице «Управление» в Control Hub выберите кластер, с которым вы хотите синхронизировать данные пользователя.

Во время этого выбора также предоставляются сведения о кластере, такие как имя кластера, состояние синхронизации кластера, последнее синхронизированное состояние и связанный продукт.

Сведения о кластере	Описание
Имя кластера	Имя кластера
Состояние	Состояние синхронизации
Последняя синхронизация	Дата последней синхронизации
Продукт	Сведения о продукте

Синхронизация каталога

В зависимости от ваших требований вы можете синхронизировать пользователей из локальной службы Active Directory с Control Hub с помощью Directory Connector или напрямую из Azure Directory с Control Hub, а затем синхронизировать их с Unified CM.

Выполните одно из указанных ниже действий.

Чтобы напрямую синхронизировать пользователей из Azure Directory с Control Hub, выполните процедуру Синхронизация пользователей из Azure Directory.
Чтобы синхронизировать пользователей из локальной службы Active Directory с Control Hub с помощью Directory Connector, выполните процедуру Синхронизация пользователей из локальной службы Active Directory.

Выполняйте синхронизацию в нерабочее время, чтобы свести к минимуму ее влияние на качество вызовов.

Синхронизация пользователей из каталога Azure

Синхронизация службы каталогов выделенных экземпляров позволяет импортировать данные конечного пользователя из каталога Azure в единую базу данных CM, чтобы они отображались в окне конфигурации конечного пользователя.

Чтобы синхронизировать пользователей с помощью каталога Azure, выполните приведенные ниже действия.

Необходимо синхронизировать пользователей Azure Active Directory с Control Hub.
Выполните процедуру Настройка синхронизации каталогов для синхронизации пользователей в Control Hub с Cisco Unified CM.

Синхронизация пользователей из локальной службы Active Directory

Пользователей локального каталога Active Directory можно синхронизировать с общими параметрами идентификации (CI) с помощью соединителя каталогов.

Для службы каталогов поддерживается только развертывание SSO. Дополнительные сведения см. в разделах Интеграция единого входа в Control Hub и Решение SSO на основе SAML.

Чтобы синхронизировать пользователей с локальным каталогом Active Directory, выполните приведенные ниже действия.

Синхронизируйте пользователей Active Directory с Common Identity (CI) с помощью Directory Connector. Вы можете загрузить программное обеспечение коннектора из Control Hub и установить его на свой локальный компьютер. Дополнительную информацию см. в руководстве по развертыванию соединителя каталогов.
Следуйте процедуре, описанной в разделе Настройка синхронизации каталогов для синхронизации пользователей в Control Hub с Unified CM.

Настройка синхронизации каталога

Иногда могут возникать дополнительные задержки при подготовке кластера. В таких случаях подготовка будет по-прежнему происходить, однако эта активность предусматривает значительное время.

Войдите в Control Hub по адресу https://admin.webex.com/login.
Перейдите к меню Службы > Calling >Выделенный экземпляр > Управление.
Выберите приложение UC и щелкните Настройка в разделе Активировать синхронизацию каталогов на панели справа.
После запуска подготовки в окне конфигурации сопоставления полей убедитесь, что сопоставление, выбранное для поля "Идентификатор пользователя Unified CM", уникально идентифицирует пользователя в кластере.

Выберите соответствующее сопоставление поля "Идентификатор пользователя Unified CM" для синхронизации пользователя из Webex.

Поле идентификатора пользователя в Unified CM сопоставляется с идентификатором электронной почты пользователя в Webex.
Поле идентификатора электронной почты в Unified CM сопоставляется с идентификатором электронной почты пользователя в Webex.
Поле идентификатора пользователя в Unified CM сопоставляется с идентификатором электронной почты без доменной части пользователя в Webex.

Если не удается успешно выполнить сопоставление для существующей учетной записи пользователя в Unified CM, создается новая учетная запись пользователя. Идентификатор электронной почты пользователя используется в качестве уникального идентификатора для вновь созданной учетной записи пользователя. Это примечание применимо к опциям 1 и 2.

Параметры

Unified CM

Control Hub

Вариант 1

Поле идентификатора пользователя в Unified CM сопоставляется с идентификатором электронной почты пользователя в Webex.

Вариант 2

Поле идентификатора электронной почты в Unified CM сопоставляется с идентификатором электронной почты пользователя в Webex

Вариант 3

Поле идентификатора пользователя в Unified CM сопоставляется с идентификатором электронной почты без доменной части пользователя в Webex.

Щелкните Далее.
Выберите соглашение в раскрывающемся списке для создания нового соглашения о синхронизации. После создания нового соглашения о синхронизации все существующие соглашения о синхронизации, указывающие на локальный каталог, удаляются. Вы можете изменить новое соглашение о синхронизации после его создания.
Перед началом синхронизации в разделе "Предпросмотр соглашения" проверьте список пользователей и контактные данные (существующие сведения внешнего каталога LDAP, доступные в Unified Communications Manager). Можно просмотреть перечисленные ниже сведения.
- Информация о группе
  
  По умолчанию все пользователи синхронизированы с рангом пользователя 5. Это можно проверить в окне информации о группе.
- Примененный шаблон группы функций с универсальными шаблонами линий и устройств
- Сведения о линии и маске для синхронизированных номеров телефона добавленных пользователей
- Недавно подготовленные пользователи и их добавочные номера
- Раздел «Стандартные поля пользователя, подлежащие синхронизации».
- Имя узла или IP-адрес сервера каталога
Нажмите Далее, чтобы выбрать фильтр группы.

Раздел «Информация о группе» неприменим для Cisco Unity Connection и, следовательно, не отображается в разделе предварительного просмотра соглашения.
В раскрывающемся списке Выбрать группы выберите одну или несколько конкретных групп, которые вы хотите синхронизировать. Чтобы выбрать все группы пользователей, установите флажок в поле Выбрать все группы.

По умолчанию будут синхронизированы все пользователи. Если не выбрано ни одной группы, все пользователи и связанные данные пользователей будут синхронизированы автоматически.

Для вложенных групп в каталоге пользователи во время подготовки должны выбрать подмножество групп пользователей, поскольку по умолчанию они не включены в родительскую группу. Необходимо проверить наличие повторяющейся вложенности (если таковая имеется), чтобы гарантировать, что во время подготовки включены только требуемые пользователи.

Любые изменения соглашения о синхронизации, например удаление целевого пользователя или группы, не будут распространяться во время периодической синхронизации. Необходимо сбросить настройки службы каталогов для этого кластера, а затем повторно подготовить кластер с новым или измененным соглашением о синхронизации. Чтобы сбросить службу каталогов для необходимого кластера, обратитесь в службу поддержки Cisco TAC.
Для подготовки процесса синхронизации щелкните Далее.
В окне Включить синхронизацию включите синхронизацию после того, как система успешно скопирует пользовательские данные во временное хранилище в Unified CM и будет создано новое соглашение о синхронизации (после шагов 1 и 2, как показано на следующем снимке экрана).
Параметр Скачать отчет позволяет частично просматривать результаты. Чтобы получить полные отчеты для кластера Unified CM, выполните следующую команду CLI: file get activelog /cm/trace/CIService/log4j/DryRunResults.csv

Если у вас нет доступа, обратитесь в службу поддержки Cisco TAC, чтобы загрузить отчет.

В данном случае результаты пробного прогона показывают следующее:
- Новые пользователи— пользователи отсутствуют в Unified CM, но присутствуют в службе удостоверений Webex. Пользователи создаются в Unified CM после включения синхронизации.
- Сопоставленные пользователи— пользователи присутствуют в Unified CM и службе удостоверений Webex. Эти пользователи останутся активными в Unified CM после завершения синхронизации.
- Несоответствующие пользователи— пользователи присутствуют в Unified CM и службе удостоверений Webex. Несоответствующие пользователи отмечаются в Unified CM как неактивные после завершения синхронизации и будут удалены через 24 часа бездействия.
Можно проверить отчет и решить, следует ли сохранить тот же список пользователей, а также добавить или удалить пользователей. Если необходимо, щелкните Отменить, чтобы остановить процесс и отменить изменения подготовки.
После проверки соглашения о синхронизации нажмите Предварительный просмотр в Unified CM, чтобы войти в свою инфраструктуру и изменить только что созданное соглашение о синхронизации.

Можете изменить только информацию о группе. Невозможно переименовать соглашение или изменить какие-либо сведения.
Щелкните Включить синхронизацию, чтобы продолжить синхронизацию.

Во время синхронизации до ее завершения невозможно выполнять какие-либо действия. По завершении синхронизации для определенного кластера на странице службы каталогов этот кластер будет указан с состоянием "Подготовлено". На этом этапе вы успешно предоставили Azure AD право на подготовку и синхронизацию пользователей Webex в инфраструктуру UC и выполнили шаги для настройки синхронизации.

Синхронизацию необходимо включить в течение 18 часов с момента создания нового соглашения. После 24 часов бездействия синхронизированные пользователи LDAP становятся неактивными и будут удалены. Пользователи не смогут войти в систему и использовать службы Unified CM.

После завершения подготовки Azure AD для определенного кластера невозможно создать новые соглашения о синхронизации и изменить настройки конфигурации для этого же кластера, кроме настроек группы. Чтобы сбросить службу каталогов, обратитесь в службу поддержки Cisco TAC. После этого можно создать новое соглашение для подготовки.

При использовании idP Azure во время аутентификации SSO после успешной подготовки убедитесь, что в idP Azure настроены правильные заявки. Например, если во время подготовки для сопоставления элемента userid выбран параметр 1, убедитесь, что в качестве UID в разделе Дополнительные заявки задан параметр user.userprincipalname.

Периодическая синхронизация

После успешной подготовки кластера ежедневно запускается периодическая синхронизация, которая обеспечивает синхронизацию любых изменений в пользовательских данных из Webex Common Identity в Unified CM и Cisco Unity Connection. Для периодической синхронизации ваше вмешательство не требуется. Однако вы можете проверить, выполнялась ли периодическая синхронизация в течение дня, посмотрев столбец Последняя синхронизация в на странице «Сведения о кластере» в Control Hub. Метка времени обновляется, чтобы отразить время, когда произошла периодическая синхронизация кластера.

Unified CM

Подключение Cisco Unity

Каталог LDAP в Unified CM или Cisco Unity Connection

Каталог LDAP по умолчанию создается в процессе синхронизации.

Хотя настройки показывают однократную синхронизацию, Control Hub синхронизируется при 24-часовом цикле изменений Common Identity с Unified CM или Cisco Unity Connection.

Просмотр статуса синхронизации

Просмотреть состояние синхронизации можно в столбце "Состояние синхронизации каталога". Щелкните приложение UC, чтобы открыть правую панель, на которой будет отображено состояние подготовки, последнее синхронизированное состояние и причина ошибки при ее наличии. Также можно выбрать локальный часовой пояс. По умолчанию выбран часовой пояс браузера.

Состояние подготовки

Состояние подготовки	Описание
Обработка	Выполняется подготовка
Требуется действие	Если потребуется вмешательство вручную для определенного кластера, выполните необходимые действия. Если необходимо продолжить или отменить синхронизацию после пробного запуска. После создания нового соглашения проверьте все уведомления и при необходимости выполните требуемые действия.
Ошибка	Если в мастере Включить синхронизацию требуется выполнить какое-либо действие, выполните проверку и при необходимости выполните требуемые действия.
Активные	Подготовка кластера завершена.
Не подготовлено	Подготовка кластера еще не началась.

Импорт пользователей для Unity Connection

Можно вручную импортировать пользователей Azure AD из меню "Импорт пользователей" в Cisco Unity Connection после завершения подготовки кластера в Control Hub.

Импорт пользователей можно выполнять двумя описанными ниже способами.

Создайте пользователей Unity Connection из данных каталога LDAP с помощью инструмента импорта пользователей.

В администрировании Cisco Unity Connection разверните Пользователи и выберите Импорт пользователей.

На странице "Импорт пользователей" импортируйте учетные записи пользователей каталога LDAP, чтобы создать пользователей Unity Connection.

Выберите Каталог LDAP в поле Найти конечных пользователей в.
Выберите шаблон, на основе которого будет создан новый пользователь.
Введите псевдоним, имя или фамилию учетных записей пользователей каталога LDAP, которых необходимо импортировать.
Установите флажки напротив учетных записей пользователей, которых необходимо импортировать, и выберите Импортировать выбранные.

Создание пользователей Unity Connection из данных каталога LDAP с помощью инструмента массового администрирования

В разделе администрирования Cisco Unity Connection раскройте меню Инструменты и выберите Инструмент массового администрирования.

Чтобы добавить пользователей Unity Connection, выполните приведенные ниже действия на странице "Инструмент массового администрирования".

В области "Выберите действие" выберите Экспорт.
В области "Выберите тип объекта" выберите Пользователи из каталога LDAP.
Введите значения во всех обязательных полях.
Выберите Submit (Отправить).

В результате будет создан файл CSV с данными пользователей каталога LDAP. Откройте файл CSV в приложении для работы с электронными таблицами или в текстовом редакторе и отредактируйте соответствующие данные. Теперь импортируйте данные из файла CSV.
В области "Выберите действие" выберите Создать.
В области "Выберите тип объекта" выберите Почтовые ящики пользователей.
Введите значения во всех обязательных полях.
Выберите Submit (Отправить).

По завершении импорта проверьте файл, указанный в поле Имя файла объектов с ошибками, чтобы проверить успешность создания всех пользователей.

Устранение неполадок синхронизации

В этом разделе приводится необходимая информация и решения для устранения некоторых распространенных ошибок, которые могут возникать на различных этапах синхронизации пользователей из Control Hub в базу данных Unified Communications Manager.

Несоответствующие пользователи

Включите синхронизацию в течение 18 часов после создания нового соглашения. Существующие пользователи будут помечены как неактивные и удалены из Unified CM по истечении 24 часов бездействия.

Ошибка: не удалось скопировать данные. Повторите попытку

Прервана связь между выделенным экземпляром и облаком Webex, или невозможно получить данные пользователя из облака Webex.
Прервана связь между выделенным экземпляром и Unified CM, или невозможно передать данные пользователя в базу данных Unified CM.
Данные пользователя не скопированы во временное местоположение хранилища.

Ошибка: не удалось создать соглашение о синхронизации. Повторите попытку

Прервана связь между выделенным экземпляром и Unified CM или невозможно передать данные соглашения о синхронизации в базу данных Unified CM.
Соглашение о синхронизации не было успешно создано.

Невозможно получить сведения соглашения о синхронизации. Повторите попытку через некоторое время.

Прервана связь между выделенным экземпляром и Unified CM.

Известные проблемы и ограничения

При возникновении проблем с этой функцией проверьте, не является ли это известной проблемой с доступными рекомендациями по решению.

Webex Calling — выделение ресурсов службы каталогов выделенного экземпляра не работает с аутентификацией LDAP, поскольку синхронизируются только данные пользователя, а не пароли для сервера Unified CM, и, следовательно, аутентификация LDAP не работает.

Обходной путь: Для входа в систему необходимо использовать единый вход (SSO). В этом документе описана только интеграция системы единого входа (SSO).

Настройте единый вход (SSO), если вы хотите, чтобы ваши пользователи проходили аутентификацию через своего корпоративного поставщика удостоверений. Дополнительные сведения см. в разделах Интеграция единого входа в Control Hub и Решение SSO на основе SAML.
Чтобы отключить службу каталогов, обратитесь в службу поддержки Cisco TAC. Подождите минуту, а затем снова запустите настройку службы каталогов.
Если после удаления вы захотите снова подключить тот же кластер Unified CM к организации, вам необходимо сначала отключить службу каталогов, а затем повторно подготовить тот же кластер.

Чтобы отключить службу каталогов, обратитесь в службу поддержки Cisco TAC.
На странице соглашения о синхронизации поля Выполнять синхронизацию каждые и Время следующей повторной синхронизации отображаются активными. Однако эти поля будут неактивны на сервере Unified CM, если включен параметр Выполнить синхронизацию только один раз. В настоящее время это ограничение функции подготовки службы каталогов выделенного экземпляра Webex Calling будет исправлено в следующем выпуске.
Пользователи, удаленные на портале Azure, становятся неактивными в службе удостоверений Webex, но отображаются активными в Unified CM.

Обходной путь: Перейдите к меню Управление > Пользователи и удалите пользователя из Control Hub. Пользователь отмечен как Неактивный в Unified CM.
При подготовке новых кластеров для крупных организаций (более 80 000 пользователей) в настоящее время могут возникать задержки. Эта проблема скоро будет решена.
Во время подготовки при нажатии кнопок Отменить, Продолжитьи Включить синхронизацию на странице Включить синхронизацию статус кластера в пользовательском интерфейсе не изменяется немедленно. Это ограничение вводит в заблуждение, поскольку действия выполняются на сервере.

Обходной путь: Не нажимайте кнопки дважды и проверьте состояние кластера через несколько секунд. Вы увидите, что статус кластера изменится с Требуется действие на Обработка. Эта проблема будет решена в ближайшее время.
В настоящее время функция Включить синхронизацию перестает отвечать при отказе сети Unified Communications Manager.

Обойти: Чтобы отключить службу каталогов, обратитесь в службу поддержки Cisco TAC. Подождите минуту, а затем снова запустите настройку службы каталогов. Эта проблема будет исправлена в предстоящем выпуске.
Во время подготовки список сведений о группе не заполняется из-за проблем синхронизации со службой общих параметров идентификации Webex. Пользователям рекомендуется прекратить подготовку и повторить попытку через некоторое время.
Если вы снова настраиваете синхронизацию каталогов на подготовленном кластере, рекомендуется привлечь к этому процессу бизнес-подразделение Webex Calling — Dedicated Instance.

Благодарим вас за обратную связь.