Інтеграція служби каталогів через Webex Common Identity для виділеного екземпляра

Огляд

Синхронізуйте користувачів із хмарного каталогу, такого як Azure AD, із спеціалізованими екземплярами програм, такими як Unified CM та Cisco Unity Connection, за допомогою служби хмарних каталогів. Під час синхронізації система імпортує список користувачів та пов’язані з ними дані користувачів з Azure Active Directory (або аналогічної служби хмарних каталогів), які синхронізуються зі службою ідентифікації Webex. Виберіть кластер Unified CM з Control Hub для синхронізації, виберіть відповідне зіставлення полів Unified CM User ID, а потім виберіть потрібну угоду про синхронізацію, щоб завершити синхронізацію.

Передумови

Якщо ви використовуєте Azure Active Directory як хмарний каталог, див. статтю Налаштування програми Azure AD Wizard у Центрі керування для отримання додаткової інформації.
Якщо ви використовуєте Microsoft Active Directory як каталог, див. додаткову інформацію в розділі Розгортання з’єднувача каталогів.
Примітки до випуску з’єднувача каталогів
Переконайтеся, що існуючі системи Active Directory, інтегровані з Unified CM, також інтегровані з Webex Common Identity.

Перегляд відомостей про кластер

На сторінці «Керування» в Центрі керування виберіть кластер, з яким потрібно синхронізувати дані користувача.

Від цього вибору також залежить, якими будуть надані відомості про кластер, як-от назва кластера, стан синхронізації кластера, останній синхронізований стан і пов’язаний продукт.

Відомості про кластер	Опис
Ім’я кластера	Ім’я кластера
Стан	Стан синхронізації
Останнього разу синхронізовано	Дата останньої синхронізації
Продукт	Відомості про продукт

Синхронізація каталогів

Залежно від ваших потреб, ви можете синхронізувати користувачів з локальної служби Active Directory до центру керування за допомогою Directory Connector або безпосередньо з Azure Directory до центру керування, а потім синхронізувати їх з Unified CM.

Виконайте одну з наведених далі дій.

Щоб безпосередньо синхронізувати користувачів з каталогу Azure до центру керування, виконайте процедуру Синхронізація користувачів з каталогу Azure.
Щоб синхронізувати користувачів з локальної служби Active Directory до центру керування за допомогою Directory Connector, виконайте процедуру Синхронізація користувачів з локальної служби Active Directory.

Виконуйте синхронізацію в неробочий час, щоб мінімізувати її вплив на послуги викликів.

Синхронізація користувачів з Azure Directory

Синхронізація виділеної служби каталогів екземплярів дозволяє імпортувати дані кінцевих користувачів з каталогу Azure до бази даних Unified CM, щоб вони відображалися у вікні конфігурації кінцевого користувача.

Щоб синхронізувати користувачів Azure Directory, виконайте вказане далі.

Ви повинні синхронізувати користувачів Azure Active Directory з Центром керування.
Виконайте процедуру Налаштування синхронізації каталогів, щоб синхронізувати користувачів у Control Hub із Cisco Unified CM.

Синхронізація користувачів з локальної служби Active Directory

Користувачів Active Directory можна синхронізувати із загальними параметрами ідентифікації (CI) за допомогою з’єднувача каталогів.

Для служби каталогів підтримується лише розгортання SSO. Див . Інтеграція єдиного входу в Control Hub та Рішення SSO на основі SAML для отримання додаткової інформації.

Щоб синхронізувати користувачів із локальною версією Active Directory, виконайте вказане далі.

Синхронізуйте користувачів Active Directory із Common Identity (CI) за допомогою Directory Connector. Ви можете завантажити програмне забезпечення для роз'єму з Control Hub та встановити його на свій локальний комп'ютер. Додаткову інформацію див. в посібнику з розгортання для з’єднувача каталогів.
Виконайте процедуру, описану в розділі Налаштування синхронізації каталогів, щоб синхронізувати користувачів у Control Hub з Unified CM.

Налаштування синхронізації каталогів

Іноді можливі додаткові затримки підготовки кластера. У таких сценаріях підготовка однаково відбуватиметься, незважаючи на те, що для цього потрібно досить багато часу.

Увійдіть до Центру керування за адресою https://admin.webex.com/login.
Перейдіть до меню Служби > Calling > Виділений екземпляр > Керування.
Виберіть програму UC й на панелі праворуч у розділі Активувати синхронізацію каталогів клацніть Налаштування.
У вікні конфігурації зіставлення полів переконайтеся, що зіставлення, обране для поля ідентифікатора користувача Unified CM, забезпечує унікальну ідентифікацію користувача в межах кластера після початку підготовки.

Виберіть належне зіставлення поля ідентифікатора користувача Unified CM для синхронізації користувача з Webex.

Поле «Ідентифікатор користувача» в Unified CM зіставляється з ідентифікатором електронної пошти користувача в Webex.
Поле «Ідентифікатор пошти» в Unified CM зіставляється з ідентифікатором електронної пошти користувача в Webex.
Поле «Ідентифікатор користувача» в Unified CM зіставляється з частиною ідентифікатора електронної пошти без домену користувача в Webex.

Новий обліковий запис користувача створюється, якщо зіставлення не вдається успішно виконати для існуючого облікового запису користувача в Unified CM. Ідентифікатор електронної пошти користувача використовується як унікальний ідентифікатор для щойно створеного облікового запису користувача. Ця примітка стосується опцій 1 та 2.

Параметри

Unified CM

Control Hub

Варіант 1

Поле ідентифікатора користувача в Unified CM зіставляється з ідентифікатором електронної пошти користувача в Webex

Варіант 2

Поле ідентифікатора пошти в Unified CM зіставляється з ідентифікатором електронної пошти користувача в Webex

Варіант 3

Поле ідентифікатора користувача в Unified CM зіставляється з ідентифікатором електронної пошти без домену, що є частиною користувача в Webex

Клацніть Далі.
Виберіть угоду у випадаючому списку для створення нової угоди про синхронізацію. Після створення нової угоди про синхронізацію всі наявні угоди про синхронізацію, що вказують на локальний каталог, видаляються. Ви можете змінити нову угоду про синхронізацію після її створення.
Перш ніж розпочати синхронізацію, перегляньте список користувачів і контактні дані (наявні дані зовнішнього каталогу LDAP, доступні в Unified Communications Manager) у розділі попереднього перегляду угоди. Можна переглядати вказані нижче відомості.
- Інформація про групу
  
  За замовчуванням усі користувачі синхронізовані з рангом користувача 5. Це можна перевірити у вікні «Інформація про групу».
- Шаблон застосованих функціональних груп з універсальними шаблонами ліній і пристроїв
- Відомості про лінію і маску для синхронізованих номерів телефону вказаних користувачів
- Список нових підготовлених користувачів і їхні додаткові номери
- Розділ «Стандартні поля користувача для синхронізації».
- Ім’я хоста або IP-адреса сервера каталогів
Натисніть Далі, щоб вибрати груповий фільтр.

Розділ «Інформація про групу» не застосовується до Cisco Unity Connection і тому не відображається в розділі «Попередній перегляд угоди».
У розкривному списку Вибрати групи виберіть одну або кілька груп, які потрібно синхронізувати. Клацніть прапорець Вибрати всі групи, якщо необхідно вибрати всі групи користувачів.

За замовчуванням буде синхронізовано всіх користувачів. Якщо не вибрати жодної групи, усіх користувачів і пов’язані з ними дані користувачів буде синхронізовано автоматично.

Для вкладених груп у каталозі користувачі повинні вибрати підмножину групи користувачів безпосередньо під час підготовки, оскільки вони не належать за замовчуванням до батьківської групи. Ви повинні перевірити наявність будь-якого повторюваного вкладення (якщо таке є), щоб переконатися, що під час налаштування включено лише потрібних користувачів.

Жодні зміни, внесені до угоди про синхронізацію, наприклад видалення цільового користувача або групи, не буде поширено під час періодичної синхронізації. Потрібно скинути службу каталогів для цього кластера, а потім повторно налаштувати кластер за допомогою нової або зміненої угоди про синхронізацію. Щоб скинути службу каталогів для потрібного кластера, зверніться до служби підтримки Cisco TAC.
Щоб підготуватися до процесу синхронізації, клацніть Далі.
У вікні Увімкнути синхронізацію увімкніть синхронізацію, щойно система успішно скопіює дані користувача в тимчасове сховище в Unified CM та створить нову угоду про синхронізацію (після кроків 1 та 2, як показано на наступному знімку екрана).
Параметр Завантажити звіт дозволяє частково переглядати результати. Щоб отримати повні звіти щодо кластера Unified CM, виконайте таку команду CLI: file get activelog /cm/trace/CIService/log4j/DryRunResults.csv

Якщо у вас немає доступу, зверніться до служби підтримки Cisco TAC, щоб завантажити звіт.

Тут результат пробного запуску показує наступне:
- Нові користувачі— Користувачі відсутні в Unified CM, але присутні в службі ідентифікації Webex. Користувачі створюються в Unified CM після ввімкнення синхронізації.
- Зіставлені користувачі— Користувачі присутні в Unified CM та службі ідентифікації Webex. Ці користувачі й надалі залишатимуться активними в Unified CM після завершення синхронізації.
- Невідповідні користувачі— Користувачі присутні в Unified CM та службі ідентифікації Webex. Невідповідні користувачі позначаються як неактивні в Unified CM після завершення синхронізації та видаляються з кошика через 24 години бездіяльності.
Можна перевірити звіт і вирішити, чи потрібно зберегти той самий список користувачів, а також можна додавати або видаляти користувачів. Залежно від рішення можна зупинити процес і скинути зміни підготовки, клацнувши Перервати.
Після перевірки угоди про синхронізацію натисніть «Попередній перегляд в Unified CM», щоб увійти до своєї інфраструктури та змінити щойно створену угоду про синхронізацію.

Можна змінювати лише інформацію про групу. Перейменувати угоду або змінити будь-які відомості неможливо.
Щоб продовжити синхронізацію, клацніть Увімкнути синхронізацію.

Під час синхронізації і до її завершення ви не зможете виконувати жодних дій. Після завершення синхронізації певного кластера на сторінці служби каталогів цей кластер відображатиметься зі станом «Підготовлений». На цьому етапі ви успішно надали Azure AD право на підготовку й синхронізацію користувачів Webex в інфраструктурі UC та виконали кроки для налаштування синхронізації.

Ви повинні ввімкнути синхронізацію протягом 18 годин з моменту створення нової угоди. Користувачі, яких було піддано синхронізації LDAP, стають неактивними, і їх буде видалено після 24 годин неактивності. Користувачі не зможуть входити в обліковий запис і користуватися службами Unified CM.

Після завершення підготовки Azure AD для певного кластера неможливо створити нову угоду про синхронізацію або змінити конфігураційні налаштування для того ж кластера, крім налаштувань групи. Щоб скинути службу каталогів, зверніться до служби підтримки Cisco TAC. Після цього можна створити нову угоду для підготовки.

Якщо після успішної підготовки ви будете використовувати постачальника посвідчень Azure під час автентифікації за допомогою SSO, переконайтеся, що в постачальнику посвідчень Azure налаштовано правильні запити. Наприклад, якщо під час підготовки для зіставлення ідентифікатора користувача вибрано параметр 1, переконайтеся, що для user.userprincipalname задано значення UID у розділі додаткових запитів.

Періодична синхронізація

Після успішного налаштування кластера щодня запускається періодична синхронізація, яка забезпечує синхронізацію будь-яких змін у даних користувачів з Webex Common Identity до Unified CM та Cisco Unity Connection. Ваше втручання не потрібне для періодичної синхронізації. Однак ви можете перевірити, чи відбувалася періодична синхронізація протягом дня, переглянувши стовпець «Остання синхронізація о » на сторінці «Відомості про кластер» у Центрі керування. Позначка часу оновлюється, щоб відображати час, коли для кластера відбулася періодична синхронізація.

Unified CM

Cisco Unity Connection

Каталог LDAP в Unified CM або Cisco Unity Connection

У процесі синхронізації створюється каталог LDAP за замовчуванням.

Хоча налаштування показують одноразову синхронізацію, Control Hub синхронізується з 24-годинним циклом, змінюючи значення Common Identity на Unified CM або Cisco Unity Connection.

Переглянути стан синхронізації

Переглядайте стан синхронізації в стовпці стану синхронізації каталогу. Клацніть програму UC, щоб розкрити панель праворуч, що відображає стан підготовки, останній синхронізований стан і причину збою, якщо він є. Крім того, можна вибрати місцевий часовий пояс. Вибрано часовий пояс браузера за замовчуванням.

Стан підготовки

Стан підготовки	Опис
Обробка	Триває підготовка
Потрібна дія	Виконати необхідні кроки, якщо для певного кластера необхідне будь-яке втручання вручну. Якщо ви хочете продовжити або перервати синхронізацію після пробного запуску. Після створення нової угоди перевірте, чи немає сповіщень, і виконайте необхідні дії.
Помилка	Якщо у майстрі увімкнення синхронізації знадобиться виконати певні дії, перегляньте список і, якщо потрібно, виконайте необхідні дії.
Активний	Підготовку кластера завершено.
Не надано	Підготовку кластера ще не розпочато.

Імпорт користувачів для підключення Unity

Після підготовки кластера в Control Hub користувачів Azure AD можна імпортувати вручну в розділі «Імпорт користувачів» у Cisco Unity Connection.

Існує два способи імпорту користувачів, які описано далі.

Створення користувачів Unity Connection з даних каталогу LDAP за допомогою інструмента «Імпорт користувачів»

В адмініструванні Cisco Unity Connection розгорніть Користувачі та виберіть Імпорт користувачів.

На сторінці імпорту користувачів імпортуйте облікові записи користувачів каталогу LDAP, щоб створити користувачів Unity Connection.

Виберіть Каталог LDAP у полі Знайти кінцевих користувачів у.
Виберіть шаблон, на основі якого буде створено нового користувача.
Укажіть псевдонім, ім’я або прізвище, указані для облікових записів користувачів каталогу LDAP, яких потрібно імпортувати.
Установіть прапорці в полях облікових записів користувачів, яких потрібно імпортувати, і виберіть Import Selected (Імпортувати вибраних).

Створення користувачів Unity Connection з даних каталогу LDAP за допомогою інструмента масового адміністрування

У службі адміністрування Cisco Unity Connection розгорніть розділ Tools (Інструменти) і виберіть Bulk Administration Tool (Інструмент групового адміністрування).

Щоб додати користувачів Unity Connection, виконайте наведені нижче кроки на сторінці інструмента групового адміністрування.

У меню Select Operation (Вибір операції) виберіть Export (Експорт).
У меню Select Object Type (Вибір типу об’єкта) виберіть Users from LDAP Directory (Користувачі з каталогу LDAP).
Введіть значення в усі обов’язкові поля.
Натисніть Submit (Надіслати).

Після цього буде створено файл CSV з даними користувача каталогу LDAP. Відкрийте файл CSV в програмі для роботи з електронними таблицями або в текстовому редакторі й змініть дані, якщо це необхідно. Тепер імпортуйте дані з файлу CSV.
У меню Select Operation (Вибір операції) виберіть Create (Створити).
У меню Select Object Type (Вибір типу об’єкта) виберіть Users with Mailbox (Користувачі з поштовою скринькою).
Введіть значення в усі обов’язкові поля.
Натисніть Submit (Надіслати).

Після завершення імпорту перегляньте файл, указаний в полі Failed Objects Filename (Ім’я файлу об’єктів із помилками), щоб переконатися, що всіх користувачів успішно створено.

Виправлення неполадок синхронізації

У цьому розділі наведено необхідну інформацію і рішення деяких загальних проблем, з якими ви можете зіткнутися на різних етапах синхронізації користувачів з Control Hub до бази даних Unified Communications Manager.

Користувачі, що не збіглися

Увімкніть синхронізацію протягом 18 годин після створення нової угоди. Наявних користувачів буде позначено як неактивних і видалено з Unified CM після 24 годин неактивності.

Помилка: не вдалося копіювати дані. Повторіть спробу.

Зв’язок між виділеним екземпляром і хмарою Webex порушено, або неможливо отримати дані користувача з хмари Webex.
Зв’язок між виділеним екземпляром і Unified CM порушено, або неможливо перемістити дані користувача до бази даних Unified CM.
Дані користувача не скопійовано в місце тимчасового зберігання.

Помилка: не вдалося створити угоду про синхронізацію. Повторіть спробу.

Зв’язок між виділеним екземпляром і Unified CM порушено, або неможливо перемістити дані узгодження синхронізації до бази даних Unified CM.
Угоду про синхронізацію не вдалося створити.

Не вдається отримати відомості угоди про синхронізацію. Спробуйте ще раз пізніше.

Зв’язок між виділеним екземпляром і Unified CM порушено.

Вирішені проблеми й обмеження

Якщо у вас виникла проблема з цією функцією, перевірте, чи не є це відомою проблемою з доступними рекомендаціями з її вирішення.

Виклики Webex – Надання виділених екземплярів для служби каталогів не працює з автентифікацією LDAP, оскільки синхронізуються лише дані користувача, а не паролі для сервера Unified CM, тому автентифікація LDAP не працює.

Тимчасове вирішення: Для входу необхідно використовувати єдиний вхід (SSO). У цьому документі описано лише інтеграцію системи єдиного входу (SSO).

Налаштуйте єдиний вхід (SSO), якщо ви хочете, щоб ваші користувачі проходили автентифікацію через свого постачальника корпоративних ідентифікаційних даних. Див . Інтеграція єдиного входу в Control Hub та Рішення SSO на основі SAML для отримання додаткової інформації.
Щоб вимкнути службу каталогів, зверніться до служби підтримки Cisco TAC. Зачекайте хвилину, а потім знову почніть налаштування служби каталогів.
Після видалення, якщо ви знову захочете підключити той самий кластер Unified CM до організації, спочатку потрібно вимкнути службу каталогів, а потім повторно підготувати той самий кластер.

Щоб вимкнути службу каталогів, зверніться до служби підтримки Cisco TAC.
На сторінці угоди про синхронізацію поля Perform a sync every (Виконувати синхронізацію що) і Next re-sync time (Час наступної повторної синхронізації) відображаються як активні. Проте, якщо ввімкнено параметр Perform sync just once (Виконувати синхронізацію лише раз), ці поля будуть неактивними на сервері Unified CM. Наразі це обмеження у функції підготовки виділеної служби каталогів екземплярів Webex Calling, яке буде виправлено в наступному випуску.
Користувачі, яких видалено на порталі Azure, стають неактивними в службі ідентифікації Webex, але відображаються як активні в Unified CM.

Тимчасове вирішення: Перейдіть до розділу Керування > Користувачі й видаліть користувача з Control Hub. Користувач позначено як Неактивний в Unified CM.
Під час налаштування нових кластерів для більших організацій (з понад 80 000 користувачів) наразі може виникнути тайм-аут. Незабаром цю проблему буде вирішено.
Під час налаштування, якщо на сторінці «Увімкнути синхронізацію» натиснути кнопки «Відмовитися», «Продовжити»та «Увімкнути синхронізацію » , стан кластера в інтерфейсі користувача не змінюється одразу. Це обмеження призводить до невірного сприйняття, оскільки дії виконуються на сервері.

Тимчасове вирішення: Уникайте подвійного натискання кнопок та перевірте стан кластера через кілька секунд. Ви побачите, що стан кластера зміниться з Потрібна дія на Обробка. Незабаром цю проблему буде усунено.
Наразі функція Увімкнути синхронізацію перестає реагувати, коли мережа Unified Communications Manager не працює.

Обхідні шляхи: Щоб вимкнути службу каталогів, зверніться до служби підтримки Cisco TAC. Зачекайте хвилину, а потім знову почніть налаштування служби каталогів. Цю проблему буде вирішено в майбутньому випуску.
Під час підготовки список відомостей про групу не заповнюється через проблеми із синхронізацією зі службою Webex Common Identity. Користувачам рекомендується припинити налаштування та повторити спробу через деякий час.
Якщо ви знову налаштовуєте синхронізацію каталогів на підготовленому кластері, доцільно залучити до цього процесу бізнес-підрозділ Webex Calling – Dedicated Instance Business Unit.

Дякуємо за відгук.