Integrering av katalogtjänster via Webex Common Identity för dedikerad instans

Översikt

Synkronisera användare från molnbaserade kataloger som Azure AD till dedikerade instansapplikationer som Unified CM och Cisco Unity Connection med Cloud Directory Service. Under synkroniseringen importerar systemet en lista över användare och tillhörande användardata i Azure Active Directory (eller en liknande Cloud Directory-tjänst) som synkroniseras med Webex Identity Service. Välj Unified CM-klustret från Control Hub för synkronisering, välj lämplig fältmappning för Unified CM-användar-ID och välj sedan önskat synkroniseringsavtal för att slutföra synkroniseringen.

Förutsättningar

Om du använder Azure Active Directory som molnkatalog kan du läsa mer i Konfigurera Azure AD Wizard-appen i Control Hub.
Om du använder Microsoft Active Directory som katalog, se Distribuera Directory Connector för mer information.
Versionsinformation för kataloganslutningen
Säkerställ att de befintliga Active Directory-systemen som är integrerade med Unified CM också är integrerade med Webex Common Identity.

Visa information om kluster

På sidan Hantera i Control Hub väljer du ett kluster som du vill synkronisera användardata med.

Det här valet tillhandahåller även information om klustret, såsom klustrets namn, status för klustersynkroniseringen, senast synkroniserade status och den associerade produkten.

Klusterinformation	Beskrivning
Klusternamn	Namnet på klustret
Status	Synkroniseringsstatus
Synkades senast	Datum för senaste synkroniseringen
Produkt	Uppgifter om produkten

Katalogsynkronisering

Beroende på dina behov kan du antingen synkronisera användare från lokala Active Directory till Control Hub med hjälp av Directory Connector eller direkt från Azure Directory till Control Hub, och sedan synkronisera dem till Unified CM.

Gör något av följande:

För att synkronisera användare direkt från Azure Directory till Control Hub, följ proceduren Synkronisera användare från Azure Directory.
För att synkronisera användare från lokal Active Directory till Control Hub med hjälp av Directory Connector, följ proceduren Synkronisera användare från lokal Active Directory.

Utför synkronisering utanför kontorstid för att minimera dess påverkan på samtalstjänster.

Synkronisera användare från Azure Directory

Med synkronisering av dedikerad instanskatalogtjänst kan du importera slutanvändardata i Azure-katalogen till Unified CM-databasen så att den visas i fönstret Slutanvändarkonfiguration.

Så här synkroniserar du användare med Azure Directory:

Du måste Synkronisera Azure Active Directory-användare med Control Hub.
Följ proceduren Konfigurera katalogsynkronisering för att synkronisera användare i Control Hub till Cisco Unified CM.

Synkronisera användare från Active Directory på plats

Lokala användare av Active Directory kan synkroniseras till Common Identity (CI) med hjälp av Directory Connector.

Endast SSO-distribution stöds för katalogtjänsten. Se Integrering av enkel inloggning i Control Hub och SAML-baserad SSO-lösning för mer information.

Så här synkroniserar du användare från en lokal Active Directory:

Synkronisera Active Directory-användare med Common Identity (CI) med hjälp av Directory Connector. Du kan ladda ner kopplingsprogramvaran från Control Hub och installera den på din lokala dator. Se Distributionsguide för Directory Connector för mer information.
Följ proceduren i Konfigurera katalogsynkronisering synkronisera användare i Control Hub till Unified CM.

Konfigurera katalogsynkronisering

Ibland kan du uppleva ytterligare fördröjningar när vid provisionering av ett kluster. I sådana fall kommer provisioneringen fortfarande att utföras, men åtgärden tar relativt lång tid.

Logga in på kontrollhubben på https://admin.webex.com/login.
Gå till Tjänster > Samtal > Dedikerad instans > Hantera.
Välj UC-programmet och klicka på Installation under Synkronisering av Active Directory i den högra panelen.
I fönstret Konfiguration av fältmappning ska du se till att den mappning som är vald för fältet Användar-ID för Unified CM identifierar användaren på ett unikt sätt inom klustret efter att du har startat provisioneringen.

Välj lämplig mappning för användar-ID-fältet i Unified CM för synkronisering av användaren från Webex:

Fältet användar-ID i Unified CM mappas till användarens e-postadress i Webex.
Fältet e-post-ID i Unified CM mappas till användarens e-post-ID i Webex.
Fältet användar-ID i Unified CM mappas till e-post-ID:t utan domän för användaren i Webex.

Ett nytt användarkonto skapas om mappningen inte kan utföras för ett befintligt användarkonto i Unified CM. Användarens e-postadress används som unik identifierare för det nyskapade användarkontot. Denna anmärkning gäller för tillval 1 och 2.

Alternativ

Unified CM

Control Hub

Alternativ 1

Användar-ID-fältet i Unified CM mappas till användarens e-postadress i Webex

Alternativ 2

Fältet för e-post-ID i Unified CM mappas till användarens e-post-ID i Webex

Alternativ 3

Användar-ID-fältet i Unified CM mappas till e-post-ID utan domändel av användaren i Webex

Klicka på Nästa.
Välj ett avtal i listrutan för att skapa ett nytt synkroniseringsavtal. När det nya synkroniseringsavtalet har skapats tas alla befintliga synkroniseringsavtal som pekar till den lokala katalogen bort. Du kan ändra det nya synkroniseringsavtalet efter att det har skapats.
I avsnittet Förhandsgranska avtal ska du granska listan över användare och kontaktuppgifter (uppgifter om den befintliga, externa LDAP-katalogen finns tillgängliga i Unified Communications Manager) innan du startar synkroniseringen. Du kan visa följande uppgifter:
- Gruppinformation
  
  Som standard är alla användare synkroniserade med användarrankning 5. Detta kan verifieras i fönstret Gruppinformation.
- Gruppmall för tillämpad funktion med universell linje och enhetsmallar
- Linje- och maskinformation till synkroniserade telefonnummer för infogade användare
- Nyligen provisionerade användare och deras anknytningar
- Avsnittet Standardanvändarfält som ska synkroniseras.
- Värdnamn eller IP-adress för katalogservern
Klicka på Nästa för att välja gruppfiltret.

Gruppinformationsavsnittet gäller inte för Cisco Unity Connection och visas därför inte i avsnittet för förhandsgranskning av avtal.
I rullgardinsmenyn Välj grupper väljer du en eller flera specifika grupper som du vill synkronisera. Markera kryssrutan Välj alla grupper om du vill markera alla användargrupper.

Som standard synkroniseras alla användare. Om du inte väljer någon grupp kommer alla användare och associerade användardata att synkroniseras automatiskt.

För kapslade grupper i en katalog måste användare specifikt välja en särskild undergrupp av användare under provisioneringen eftersom de inte är inkluderade som standard med den överordnade gruppen. Du måste verifiera eventuell upprepad kapsling (om någon) för att säkerställa att endast de nödvändiga användarna inkluderas under etableringen.

Ändringar i synkroniseringsavtalet, till exempel borttagning av en målanvändare eller målgrupp, kommer inte att spridas under regelbunden synkroniseringen. Det krävs att man återställer katalogtjänsten för det klustret och sedan etablerar om klustret med ett nytt eller ändrat synkroniseringsavtal. Kontakta Cisco TAC-supporten för att återställa katalogtjänsten för klustret i fråga.
Klicka på Nästa för att förbereda synkroniseringsprocessen.
I fönstret Aktivera synkronisering aktiverar du synkroniseringen när systemet har kopierat användardata till ett tillfälligt lagringsutrymme i Unified CM och ett nytt synkroniseringsavtal har skapats (efter steg 1 och 2 som visas på följande skärmdump).
Alternativet Hämta rapport låter dig visa en del av resultaten. För att hämta de fullständiga rapporterna för Unified CM-klustret kör du följande CLI-kommando: file get activelog /cm/trace/CIService/log4j/DryRunResults.csv

Om du inte har åtkomst, kontakta Cisco TAC-supporten för att ladda ner rapporten.

Här visar resultatet av torrkörningen följande:
- Nya användare—Användare finns inte i Unified CM men finns i Webex Identity Service. Användare skapas i Unified CM efter aktivering av synkroniseringen.
- Matchade användare—Användare finns i Unified CM och Webex Identity Service. Dessa användare kommer att förbli aktiva i Unified CM efter att synkroniseringen är klar.
- Användare som inte matchar— Användare finns i Unified CM och Webex Identity Service. De användarna som inte matchar markeras som inaktiva i Unified CM efter att synkroniseringen är klar och kommer att läggas i papperskorgen efter 24 timmars inaktivitet.
Du kan kontrollera rapporten och bestämma om du vill behålla samma lista över användare och lägga till eller ta bort användare. Klicka på Överge baserat på beslutet för att stoppa processen och återställa provisioneringsändringarna.
Efter verifieringen av synkroniseringsavtalet klickar du på Förhandsgranska i Unified CM för att logga in på din infrastruktur och ändra det nyligen skapade synkroniseringsavtalet.

Du kan bara redigera gruppinformationen. Du kan inte byta namn på avtalet eller ändra någon information.
Klicka på Aktivera synkronisering för att fortsätta med synkroniseringen.

Under synkroniseringen kan du inte utföra några åtgärder förrän den är klar. När synkroniseringen är slutförd för ett visst kluster, listar sidan Directory Service detta kluster med statusen Provisionerad. Nu har du gett Azure AD behörighet att tillhandahålla och synkronisera Webex-användare i UC-infrastrukturen och du har slutfört stegen för att konfigurera synkroniseringen.

Du måste aktivera synkronisering inom 18 timmar från det att det nya avtalet skapades. LDAP-synkroniserade användare blir inaktiva och tas bort efter 24 timmars inaktivitet. Användare kommer inte att kunna logga in och använda Unified CM-tjänsterna.

När Azure AD-provisionering är slutförd för ett visst kluster kan du inte skapa några nya synkroniseringsavtal eller ändra några konfigurationsinställningar för samma kluster, förutom gruppinställningarna. Kontakta Cisco TAC-supporten för att återställa katalogtjänsten Directory Service. Du kan sedan skapa ett nytt avtal för provisionering.

Om du använder Azure IdP under SSO-autentisering efter en lyckad provisionering, ska du se till att du konfigurerar rätt anspråk i Azure IdP. Om du under provisioneringen till exempel väljer alternativ 1 för mappning av användar-ID, måste du se till att user.userprincipalname anges som UID i avsnittet Ytterligare anspråk.

Periodisk synkronisering

När ett kluster har etablerats körs periodisk synkronisering dagligen, vilket tar hand om att synkronisera eventuella ändringar av användardata från Webex Common Identity till Unified CM och Cisco Unity Connection. Din inblandning behövs inte för periodisk synkronisering. Du kan dock kontrollera om periodisk synkronisering har skett för dagen genom att titta på kolumnen Senast synkroniserades vid på sidan Klusterinformation i Control Hub. Tidsstämpeln uppdateras för att återspegla den tid då periodisk synkronisering inträffade för klustret.

Unified CM

Cisco Unity Connection

LDAP-katalog i Unified CM eller Cisco Unity Connection

En standard-LDAP-katalog skapas genom synkroniseringsprocessen.

Även om inställningarna visar synkronisering en gång, synkroniserar Control Hub med 24-timmarscykeländringar på Common Identity till Unified CM eller Cisco Unity Connection.

Visa status för synkronisering

Du kan se synkroniseringens status i kolumnen Status för katalogsynkronisering. Klicka på UC-programmet för att hämta panelen till höger som visar status för provisionering, senast synkroniserade status och orsaken till eventuella fel. Du kan även välja den lokala tidszonen. Webbläsarens förvalda tidszon är vald.

Provisioneringsstatus

Provisioneringsstatus	Beskrivning
Bearbetar…	Provisioneringen pågår
Åtgärd krävs	Vidta nödvändiga åtgärder om man behöver utföra manuella åtgärder för ett visst kluster. Om du vill fortsätta eller avbryta synkroniseringen efter en testkörning. När det nya avtalet har skapats kontrollerar du om det finns aviseringar och vidtar nödvändiga åtgärder.
Fel	Om åtgärder måste vidtas i guiden Aktivera synkronisering ska du kontrollera dem och vidta nödvändiga åtgärder om så krävs.
Aktiv	Provisioneringen av kluster har slutförts.
Ej tillhandahållen	Klusterprovisioneringen har ännu inte påbörjats.

Importera användare för Unity Connection

Du kan importera Azure AD-användare manuellt från Importera användare i Cisco Unity Connection när klusterprovisioneringen har utförts från Control Hub.

Det finns två sätt att importera användare på:

Skapa Unity Connection-användare från LDAP-katalogdata med hjälp av verktyget Importera användare

I administrationsfältet för Cisco Unity Connection, expandera Användare och välj Importera användare.

På sidan Importera användare importerar du användarkonton från LDAP-katalogen för att skapa Unity Connection-användare.

Välj LDAP-katalog i fältet Hitta slutanvändare i.
Välj den mall som den nya användaren baseras på.
Ange Alias, Förnamn eller Efternamn för de användarkonton från LDAP-katalogen som du vill importera.
Markera kryssrutorna vid de användarkonton som du vill importera och välj Importera markerad.

Skapa Unity Connection-användare från LDAP-katalogdata med hjälp av verktyget Massadministration

Expandera Verktyg i Cisco Unity Connection och välj Verktyg för massadministration.

Utför följande steg på sidan Verktyg för massadministration för att lägga till Unity Connection-användare:

Välj Exportera från Välj åtgärd.
Från Välj objekttyp väljer du Användare från LDAP-katalog.
Ange värden i alla obligatoriska fält.
Välj Skicka.

Detta skapar en CSV-fil med användardata från LDAP-katalogen. Öppna CSV-filen i ett kalkylprogram eller i en textredigerare och redigera uppgifterna efter behov. Nu ska du importera data från CSV-filen.
Välj Skapa från Välj åtgärd.
Från Välj objekttyp väljer du Användare med postlåda.
Ange värden i alla obligatoriska fält.
Välj Skicka.

När importen har slutförts kontrollerar du att filen som du har angett i fältet Filnamn för misslyckade objekt för att kontrollera att alla användare har skapats på rätt sätt.

Felsökning av synkroniseringsproblem

Detta avsnitt tillhandahåller den information och de lösningar som krävs för att lösa några av de vanliga problemen som du kan stöta på under de olika stegen för att synkronisera användare från Control Hub till Unified Communications Manager-databasen.

Felmatchade användare

Aktivera synkronisering inom 18 timmar efter att det nya avtalet har skapats. De befintliga användarna markeras som inaktiva och raderas från Unified CM efter 24 timmars inaktivitet.

Fel – Datakopieringen misslyckades. Försök igen

Kommunikationen mellan Dedikerad instans och Webex-molnet har avbrutits eller så går det inte att hämta användardata från Webex-molnet.
Kommunikationen mellan Dedikerad instans och Unified CM har avbrutits eller så går det inte att för över användardata till Unified CM-databasen.
Användardata kopieras inte till den tillfälliga lagringsplatsen.

Fel – Det gick inte att skapa synkroniseringsavtalet. Försök igen

Kommunikationen mellan Dedikerad instans och Unified CM har avbrutits eller så gick det inte att föra över synkroniseringsavtalets data till Unified CM-databasen.
Ett synkroniseringsavtal skapades inte.

Det gick inte att hämta information om synkroniseringsavtalet. Försök igen om en stund.

Kommunikationen mellan Dedikerad instans och Unified CM har avbrutits.

Kända problem och begränsningar

Om du upplever problem med den här funktionen kan du kontrollera om det är något som vi redan känner till och har en rekommenderad lösning för.

Webex Calling – etablering av katalogtjänster för dedikerade instanser fungerar inte med LDAP-autentisering eftersom endast användardata synkroniseras och inte lösenorden för Unified CM-servern och därför fungerar inte LDAP-autentisering.

Lösning: Enkel inloggning (SSO) måste användas för inloggningar. Det här dokumentet omfattar endast integrering med enkel inloggning (SSO).

Konfigurera enkel inloggning (SSO) om du vill att dina användare ska autentisera sig via sin företagsidentitetsleverantör. Se Integrering av enkel inloggning i Control Hub och SAML-baserad SSO-lösning för mer information.
Kontakta Cisco TAC-supporten för att inaktivera katalogtjänsten Directory Service. Vänta en minut och starta sedan installationen av katalogtjänsten igen.
Om du vill registrera samma Unified CM-kluster i organisationen igen efter borttagningen måste du först inaktivera katalogtjänsten och sedan etablera om samma kluster.

Kontakta Cisco TAC-supporten för att inaktivera katalogtjänsten Directory Service.
På sidan för synkroniseringsavtal visas fälten Utför en synkronisering var och Nästa tid för omsynkronisering som aktiva. Men dessa fält är gråmarkerade i Unified CM-servern när alternativet Utför synkronisering bara en gång är aktiverat. För närvarande är detta en begränsning i funktionen Webex Calling - Dedicated Instance Directory Service provisioning som kommer att åtgärdas i den kommande versionen.
Användare som tas bort i Azure-portalen blir inaktiva i Webex Identity Service men verkar vara aktiva i Unified CM.

Lösning: Gå till Hantering > Användare och radera användaren från Control Hub. Användaren är markerad som Inaktiv i Unified CM.
När du etablerar nya kluster för större organisationer (med fler än 80 000 användare) kommer du för närvarande att uppleva timeout. Detta problem kommer att lösas snart.
När du klickar på knapparna Avbryt, Fortsättoch Aktivera synkronisering på sidan Aktivera synkronisering under etableringen ändras inte klustrets status omedelbart i användargränssnittet. Denna begränsning är missvisande eftersom åtgärderna sker i serverdelen.

Lösning: Undvik att klicka på knapparna två gånger och kontrollera klustrets status efter några sekunder. Du kommer att se att klustrets status ändras från Åtgärd krävs till Bearbetas. Detta problem kommer att åtgärdas snart.
För närvarande slutar funktionen Aktivera synkronisering att svara när Unified Communications Manager-nätverket är nere.

Lösning kring: Kontakta Cisco TAC-supporten för att inaktivera katalogtjänsten Directory Service. Vänta en minut och starta sedan installationen av katalogtjänsten igen. Detta problem kommer att åtgärdas i den kommande versionen.
Under provisioneringen fylls inte listan med gruppdetaljer i på grund av synkroniseringsproblem med tjänsten Webex Common Identity Service. Användare rekommenderas att avbryta provisioneringen och försöka igen efter en tid.
Om du konfigurerar katalogsynkronisering igen på ett etablerat kluster är det lämpligt att involvera Webex Calling - Dedikerad instans affärsenhet i processen.

Tack för din feedback.