Integrácia adresárových služieb prostredníctvom služby Webex Common Identity pre vyhradenú inštanciu

Prehľad

Synchronizujte používateľov z cloudového adresára, ako je napríklad Azure AD, s aplikáciami vyhradenej inštancie, ako sú Unified CM a Cisco Unity Connection, pomocou služby Cloud Directory Service. Počas synchronizácie systém importuje zoznam používateľov a pridružených používateľských údajov v službe Azure Active Directory (alebo podobnej službe Cloud Directory), ktoré sa synchronizujú so službou Webex Identity Service. Vyberte klaster Unified CM z Control Hub na synchronizáciu, vyberte príslušné mapovanie polí ID používateľa Unified CM a potom vyberte požadovanú zmluvu o synchronizácii na dokončenie synchronizácie.

Predpoklady

Ak ako cloudový adresár používate Azure Active Directory, ďalšie informácie nájdete v časti Nastavenie aplikácie Azure AD Wizard v aplikácii Control Hub.
Ak ako adresár používate Microsoft Active Directory, ďalšie informácie nájdete v časti Nasadenie konektora adresára.
Poznámky k vydaniu aplikácie Directory Connector
Zabezpečte, aby existujúce systémy Active Directory integrované s Unified CM boli integrované aj s Webex Common Identity.

Zobraziť podrobnosti klastra

Na stránke Spravovať v aplikácii Control Hub vyberte klaster, s ktorým chcete synchronizovať používateľské údaje.

Táto možnosť tiež poskytuje podrobnosti o klastri, ako napríklad názov klastra, stav synchronizácie klastra, posledný synchronizovaný stav a pridružený produkt.

Podrobnosti o klastri	Opis
Názov klastra	Názov klastra
Stav	Stav synchronizácie
Naposledy synchronizované	Dátum poslednej synchronizácie
Produkt	Detaily produktu

Synchronizácia adresárov

V závislosti od vašich požiadaviek môžete synchronizovať používateľov z lokálnej služby Active Directory do Control Hub pomocou Directory Connector alebo priamo z Azure Directory do Control Hub a potom ich synchronizovať s Unified CM.

Vykonajte jeden z nasledujúcich krokov:

Ak chcete priamo synchronizovať používateľov z adresára Azure do Control Hub, postupujte podľa postupu Synchronizácia používateľov z adresára Azure.
Ak chcete synchronizovať používateľov z lokálnej služby Active Directory do Control Hub pomocou Directory Connector, postupujte podľa postupu Synchronizácia používateľov z lokálnej služby Active Directory.

Synchronizáciu vykonávajte mimo pracovných hodín, aby ste minimalizovali jej vplyv na služby volania.

Synchronizácia používateľov z adresára Azure

Synchronizácia služby vyhradeného adresára inštancií umožňuje importovať údaje koncových používateľov z adresára Azure do databázy Unified CM tak, aby sa zobrazovali v okne Konfigurácia koncového používateľa.

Synchronizácia používateľov pomocou Azure Directory:

Musíte synchronizovať používateľov služby Azure Active Directory do centra Control Hub.
Postupujte podľa postupu Konfigurácia synchronizácie adresárov na synchronizáciu používateľov v aplikácii Control Hub so systémom Cisco Unified CM.

Synchronizácia používateľov z lokálnej služby Active Directory

Používateľov lokálnej služby Active Directory je možné synchronizovať so službou Common Identity (CI) pomocou Directory Connector.

Pre adresárovú službu je podporované iba nasadenie SSO. Viac informácií nájdete v častiach Integrácia jednotného prihlásenia v Control Hub a Riešenie SSO založené na SAML.

Synchronizácia používateľov z lokálnej služby Active Directory:

Synchronizujte používateľov služby Active Directory so systémom Common Identity (CI) pomocou nástroja Directory Connector. Softvér konektora si môžete stiahnuť z Control Hub a nainštalovať ho na svoj lokálny počítač. Viac informácií nájdete v Sprievodcovi nasadením pre Directory Connector.
Postupujte podľa postupu v časti Konfigurácia synchronizácie adresárov synchronizujte používateľov v aplikácii Control Hub s aplikáciou Unified CM.

Konfigurácia synchronizácie adresárov

Niekedy sa môžu vyskytnúť ďalšie oneskorenia pri poskytovaní klastra. V takýchto scenároch sa zriaďovanie stále uskutoční, hoci táto činnosť si vyžiada značný čas.

Prihláste sa do ovládacieho centra na adrese https://admin.webex.com/login.
Prejsť na Služby > Volanie > Vyhradená inštancia > Spravovať.
Vyberte aplikáciu UC a kliknite na Nastavenie v časti Aktivovať synchronizáciu adresárov v pravom paneli.
V konfiguračnom okne Mapovanie polí sa uistite, že mapovanie vybrané pre pole Unified CM User ID jednoznačne identifikuje používateľa v klastri po spustení zriaďovania.

Vyberte príslušné mapovanie polí Unified CM User ID na synchronizáciu používateľa z Webexu:

Pole ID používateľa v Unified CM sa mapuje na ID e-mailu používateľa vo Webexe.
Pole ID pošty v Unified CM sa mapuje na ID e-mailu používateľa vo Webexe.
Pole ID používateľa v Unified CM sa mapuje na časť ID e-mailu bez domény používateľa vo Webexe.

Nový používateľský účet sa vytvorí, ak mapovanie nie je možné úspešne vykonať pre existujúci používateľský účet v Unified CM. E-mailová adresa používateľa sa používa ako jedinečný identifikátor pre novovytvorený používateľský účet. Táto poznámka sa vzťahuje na voliteľné možnosti 1 a 2.

Možnosti

Unified CM

Centrum Control Hub

Možnosť 1

Pole s ID používateľa v Unified CM sa mapuje na ID e-mailu používateľa vo Webexe

Možnosť 2

Pole ID e-mailu v Unified CM sa mapuje na ID e-mailu používateľa vo Webexe

Možnosť 3

Pole s ID používateľa v Unified CM sa mapuje na ID e-mailu bez domény ako časti používateľa vo Webexe

Kliknite na Ďalej.
V rozbaľovacom zozname vyberte zmluvu na vytvorenie novej zmluvy o synchronizácii. Po vytvorení novej synchronizačnej zmluvy sa odstránia všetky existujúce synchronizačné zmluvy odkazujúce na lokálny adresár. Novú synchronizačnú zmluvu môžete zmeniť po jej vytvorení.
V sekcii Náhľad zmluvy si pred spustením synchronizácie skontrolujte zoznam používateľov a kontaktné údaje (existujúce údaje o externom adresári LDAP dostupné v aplikácii Unified Communications Manager). Môžete si pozrieť nasledujúce podrobnosti:
- Informácie o skupine
  
  Predvolene sú všetci používatelia synchronizovaní s používateľským poradím 5. Toto je možné overiť v okne Informácie o skupine.
- Použitá šablóna skupiny prvkov s univerzálnymi šablónami čiar a zariadení
- Podrobnosti o linkách a maskách pre synchronizované telefónne čísla pre vložených používateľov
- Novo zriadení používatelia a ich rozšírenia
- Sekcia Štandardné používateľské polia, ktoré sa majú synchronizovať.
- Názov hostiteľa alebo IP adresa adresárového servera
Kliknite na Ďalej pre výber skupinového filtra.

Sekcia Informácie o skupine sa nevzťahuje na Cisco Unity Connection, a preto sa v sekcii Ukážka zmluvy nezobrazuje.
V rozbaľovacom zozname Vybrať skupiny vyberte jednu alebo viac konkrétnych skupín, ktoré chcete synchronizovať. Ak chcete vybrať všetky skupiny používateľov, kliknite na začiarkavacie políčko [ Vybrať všetky skupiny.

Predvolene sú všetci používatelia synchronizovaní. Ak nevyberiete žiadnu skupinu, všetci používatelia a súvisiace používateľské údaje sa synchronizujú automaticky.

V prípade vnorených skupín v adresári musia používatelia počas poskytovania služieb vybrať podmnožinu používateľských skupín, pretože nie sú štandardne zahrnutí v nadradenej skupine. Musíte overiť prípadné opakované vnorenie, aby ste sa uistili, že počas poskytovania sú zahrnutí iba požadovaní používatelia.

Akékoľvek úpravy synchronizačnej zmluvy, napríklad odstránenie cieľového používateľa alebo skupiny, sa počas periodickej synchronizácie neprenesú. Je potrebné resetovať adresárovú službu pre daný klaster a potom znova poskytnúť klasteru novú alebo upravenú synchronizačnú zmluvu. Ak chcete resetovať adresárovú službu pre požadovaný klaster, kontaktujte podporu Cisco TAC.
Kliknite na Ďalej pre prípravu procesu synchronizácie.
V okne Povoliť synchronizáciu povoľte synchronizáciu, keď systém úspešne skopíruje používateľské údaje do dočasného úložného priestoru v Unified CM a vytvorí sa nová synchronizačná zmluva (po krokoch 1 a 2, ako je vidieť na nasledujúcej snímke obrazovky).
Možnosť Stiahnuť správu vám umožňuje zobraziť čiastočné výsledky. Ak chcete načítať kompletné správy pre klaster Unified CM, vykonajte nasledujúci príkaz CLI: súbor získať aktívny protokol /cm/trace/CIService/log4j/DryRunResults.csv

Ak nemáte prístup, kontaktujte podporu Cisco TAC a stiahnite si správu.

Výsledok nácviku ukazuje nasledovné:
- Noví používatelia– Používatelia nie sú prítomní v Unified CM, ale sú prítomní v službe Webex Identity Service. Používatelia sa vytvárajú v Unified CM po povolení synchronizácie.
- Zhodní používatelia– Používatelia sú prítomní v Unified CM a službe Webex Identity Service. Títo používatelia zostanú aktívni v Unified CM aj po dokončení synchronizácie.
- Nezhodní používatelia– Používatelia sú prítomní v Unified CM a Webex Identity Service. Nezhodujúci sa používatelia sú po dokončení synchronizácie označení ako neaktívni v Unified CM a po 24 hodinách nečinnosti budú vymazaní z koša.
Môžete si pozrieť správu a rozhodnúť sa, či chcete zachovať rovnaký zoznam používateľov a pridať alebo odstrániť používateľov. Na základe rozhodnutia kliknite na Zrušiť, čím zastavíte proces a vrátite zmeny v poskytovaní.
Po overení synchronizačnej zmluvy kliknite na Náhľad v Unified CM, čím sa prihlásite do svojej infraštruktúry a zmeňte novovytvorenú synchronizačnú zmluvu.

Môžete upravovať iba informácie o skupine. Zmluvu nemôžete premenovať ani upraviť žiadne jej podrobnosti.
Kliknite na Povoliť synchronizáciu pre pokračovanie v synchronizácii.

Počas synchronizácie nebudete môcť vykonať žiadnu akciu, kým sa nedokončí. Po dokončení synchronizácie pre konkrétny klaster sa na stránke Adresárová služba zobrazí tento klaster so stavom Zriadené. V tomto bode ste úspešne autorizovali službu Azure AD na poskytovanie a synchronizáciu používateľov Webexu do infraštruktúry UC a dokončili ste kroky na nastavenie synchronizácie.

Synchronizáciu musíte povoliť do 18 hodín od vytvorenia novej zmluvy. Používatelia synchronizovaní cez LDAP sa stanú neaktívnymi a budú odstránení po 24 hodinách nečinnosti. Používatelia sa nebudú môcť prihlásiť a používať služby Unified CM.

Po dokončení poskytovania služby Azure AD pre určitý klaster nie je možné vytvárať žiadne nové synchronizačné zmluvy ani upravovať žiadne konfiguračné nastavenia pre ten istý klaster okrem nastavení skupiny. Ak chcete resetovať adresárovú službu, kontaktujte podporu Cisco TAC. Potom môžete vytvoriť novú zmluvu o poskytovaní.

Ak po úspešnom poskytovaní používate Azure IdP počas overovania SSO, uistite sa, že ste v Azure IdP nakonfigurovali správne deklarácie identity. Napríklad, ak je počas poskytovania vybratá možnosť 1 pre mapovanie ID používateľa, uistite sa, že v sekcii Ďalšie nároky je ako UID nastavená hodnota user.userprincipalname.

Periodická synchronizácia

Po úspešnom zriadení klastra sa denne spustí pravidelná synchronizácia, ktorá zabezpečí synchronizáciu všetkých zmien používateľských údajov z Webex Common Identity do Unified CM a Cisco Unity Connection. Pre pravidelnú synchronizáciu nie je potrebný váš zásah. Či však prebehla pravidelná synchronizácia za daný deň, si však môžete overiť v stĺpci Naposledy synchronizované o na stránke Podrobnosti o klastri v ovládacom centre. Časová pečiatka sa aktualizuje tak, aby odrážala čas, kedy došlo k periodickej synchronizácii klastra.

Unified CM

Pripojenie Cisco Unity

Adresár LDAP v Unified CM alebo Cisco Unity Connection

Predvolený adresár LDAP sa vytvorí procesom synchronizácie.

Hoci nastavenia zobrazujú synchronizáciu raz, Control Hub sa synchronizuje v 24-hodinovom cykle so zmenami v rámci Common Identity na Unified CM alebo Cisco Unity Connection.

Zobraziť stav synchronizácie

Stav synchronizácie si môžete pozrieť v stĺpci Stav synchronizácie adresára. Kliknutím na aplikáciu UC zobrazíte panel na pravej strane, ktorý zobrazuje stav poskytovania, posledný synchronizovaný stav a dôvod zlyhania, ak existuje. Môžete si tiež vybrať miestne časové pásmo. Je vybraté predvolené časové pásmo prehliadača.

Stav ustanovenia

Stav ustanovenia	Opis
Spracovanie	Prebieha zriaďovanie
Vyžaduje sa akcia	Ak je pre konkrétny klaster potrebný manuálny zásah, vykonajte potrebné kroky. Ak chcete pokračovať v synchronizácii alebo ju zrušiť po nácviku. Po vytvorení novej zmluvy skontrolujte všetky oznámenia a podľa potreby vykonajte potrebné kroky.
Chyba	Ak sa v sprievodcovi Povoliť synchronizáciu vyžaduje vykonanie akejkoľvek akcie, začiarknite ju a v prípade potreby vykonajte potrebné akcie.
Aktívne	Zriaďovanie klastra je dokončené.
Nie je poskytnuté	Zriaďovanie klastra sa ešte nezačalo.

Importovať používateľov pre Unity Connection

Používateľov služby Azure AD môžete importovať manuálne z časti Importovať používateľov v aplikácii Cisco Unity Connection po dokončení poskytovania klastra z Control Hub.

Dva spôsoby importovania používateľov sú nasledovné:

Vytvorenie používateľov Unity Connection z údajov adresára LDAP pomocou nástroja Importovať používateľov

V administrácii Cisco Unity Connection rozbaľte položku Používatelia a vyberte možnosť Importovať používateľov.

Na stránke Importovať používateľov importujte používateľské účty adresára LDAP a vytvorte používateľov pripojenia Unity.

V poli [ Nájsť koncových používateľov v vyberte možnosť Adresár LDAP.
Vyberte šablónu, na ktorej je založený nový používateľ.
Zadajte Alias, Menoalebo Priezvisko používateľských účtov adresára LDAP, ktoré chcete importovať.
Začiarknite políčka pri používateľských účtoch, ktoré chcete importovať, a vyberte možnosť Importovať vybrané.

Vytvorenie používateľov Unity Connection z údajov adresára LDAP pomocou nástroja Bulk Administration

V časti Správa pripojení Cisco Unity rozbaľte položku Nástroje a vyberte položku Nástroj na hromadnú správu.

Ak chcete pridať používateľov Unity Connection, vykonajte nasledujúce kroky na stránke Nástroja na hromadnú správu:

V časti Vybrať operáciu vyberte možnosť Exportovať.
V časti Vybrať typ objektu vyberte možnosť Používatelia z adresára LDAP.
Zadajte hodnoty do všetkých požadovaných polí.
Vyberte Odoslať.

Týmto sa vytvorí súbor CSV s používateľskými údajmi adresára LDAP. Otvorte súbor CSV v tabuľkovom procesore alebo v textovom editore a podľa potreby upravte údaje. Teraz importujte údaje zo súboru CSV.
V časti Vybrať operáciu vyberte možnosť Vytvoriť.
V časti Vybrať typ objektu vyberte Používatelia s poštovou schránkou.
Zadajte hodnoty do všetkých požadovaných polí.
Vyberte Odoslať.

Po dokončení importu skontrolujte súbor, ktorý ste zadali v poli Názov súboru zlyhaných objektov, aby ste overili, či boli všetci používatelia úspešne vytvorení.

Riešenie problémov so synchronizáciou

Táto časť poskytuje potrebné informácie a riešenia na vyriešenie niektorých bežných problémov, s ktorými sa môžete stretnúť počas rôznych fáz synchronizácie používateľov z Control Hub do databázy Unified Communications Manager.

Nezhodní používatelia

Povoľte synchronizáciu do 18 hodín od vytvorenia novej zmluvy. Existujúci používatelia sú označení ako neaktívni a po 24 hodinách nečinnosti sú z Unified CM odstránení.

Chyba – Kopírovanie údajov zlyhalo. Skúste to znova

Komunikácia medzi vyhradenou inštanciou a cloudom Webex je prerušená alebo nie je možné načítať používateľské údaje z cloudu Webex.
Komunikácia medzi vyhradenou inštanciou a Unified CM je prerušená alebo nie je možné odoslať používateľské údaje do databázy Unified CM.
Používateľské údaje sa nekopírujú do dočasného úložiska.

Chyba – Nepodarilo sa vytvoriť synchronizačnú dohodu. Skúste to znova

Komunikácia medzi vyhradenou inštanciou a Unified CM je prerušená alebo nie je možné odoslať údaje o synchronizačnej dohode do databázy Unified CM.
Synchronizačná dohoda sa nepodarilo úspešne vytvoriť.

Nepodarilo sa získať podrobnosti o zmluve o synchronizácii. Skúste to prosím neskôr.

Komunikácia medzi vyhradenou inštanciou a Unified CM je prerušená.

Známe problémy a obmedzenia

Ak máte s touto funkciou problém, overte si, či o ňom už vieme a či nemáme odporúčané riešenie.

Webex Calling – Poskytovanie adresárovej služby vyhradenej inštancie nefunguje s overovaním LDAP, pretože sa synchronizujú iba používateľské údaje a nie heslá pre server Unified CM, a preto overovanie LDAP nefunguje.

Alternatívne riešenie: Na prihlásenie sa musí použiť jednotné prihlásenie (SSO). Tento dokument sa zaoberá iba integráciou jednotného prihlásenia (SSO).

Ak chcete, aby sa vaši používatelia overovali prostredníctvom poskytovateľa podnikovej identity, nakonfigurujte si jednotné prihlásenie (SSO). Viac informácií nájdete v častiach Integrácia jednotného prihlásenia v Control Hub a Riešenie SSO založené na SAML.
Ak chcete deaktivovať adresárovú službu, kontaktujte podporu Cisco TAC. Počkajte minútu a potom znova spustite nastavenie adresárovej služby.
Po odstránení, ak chcete znova pripojiť ten istý klaster Unified CM k organizácii, musíte najprv vypnúť adresárovú službu a potom znova poskytnúť ten istý klaster.

Ak chcete deaktivovať adresárovú službu, kontaktujte podporu Cisco TAC.
Na stránke zmluvy o synchronizácii sa polia Vykonať synchronizáciu každých a Čas ďalšej opätovnej synchronizácie zobrazia ako aktívne. Tieto polia sú však na serveri Unified CM sivé, keď je povolená možnosť Vykonať synchronizáciu iba raz. V súčasnosti ide o obmedzenie vo funkcii poskytovania služby Webex Calling – Dedicated Instance Directory Service, ktoré bude opravené v nadchádzajúcom vydaní.
Používatelia, ktorí sú odstránení v portáli Azure, sa stanú neaktívnymi v službe Webex Identity Service, ale v Unified CM sa zdajú byť aktívni.

Alternatívne riešenie: Prejsť na Manažment > Používatelia a odstráňte používateľa z Control Hub. Používateľ je v Unified CM označený ako Neaktívny.
Pri zriaďovaní nových klastrov pre väčšie organizácie (s viac ako 80 000 používateľmi) sa momentálne vyskytne časový limit. Tento problém bude čoskoro vyriešený.
Počas zriaďovania, keď kliknete na tlačidlá Zrušiť, Pokračovaťa Povoliť synchronizáciu na stránke Povoliť synchronizáciu, stav klastra sa v používateľskom rozhraní okamžite nezmení. Toto obmedzenie je zavádzajúce, pretože akcie sa odohrávajú v backende.

Alternatívne riešenie: Neklikajte na tlačidlá dvakrát a po niekoľkých sekundách skontrolujte stav klastra. Uvidíte, že stav klastra sa zmení z Vyžaduje sa akcia na Spracováva sa. Tento problém bude čoskoro vyriešený.
Funkcia Povoliť synchronizáciu momentálne prestane reagovať, keď je sieť Unified Communications Manager nefunkčná.

Alternatívne riešenie: Ak chcete deaktivovať adresárovú službu, kontaktujte podporu Cisco TAC. Počkajte minútu a potom znova spustite nastavenie adresárovej služby. Tento problém bude opravený v nadchádzajúcom vydaní.
Počas poskytovania sa zoznam podrobností o skupine nenaplní kvôli problémom so synchronizáciou so službou Webex Common Identity Service. Používateľom sa odporúča, aby zrušili poskytovanie a skúsili to znova po určitom čase.
Ak znova konfigurujete synchronizáciu adresárov na zriadenom klastri, odporúča sa do procesu zapojiť obchodnú jednotku Webex Calling – Dedicated Instance.

Ďakujeme za vašu spätnú väzbu.