概述

您可以将用户从云 Active Directory(例如 Azure AD)同步并管理到本地或云托管的 UC 基础结构,例如具有 Cisco Unified Communications Manager (Unified Communications Manager) 和 Cisco Unity Connection(Unity Connection)WebexCloud-Connected UC 目录服务。 在同步期间,系统会从同步到 Webex 通用标识服务的 Azure Active Directory(或类似的云目录服务)导入用户和关联用户数据的列表。 您必须从 Control Hub 中选择需要同步的 Unity 连接集群,选择适当的 Unity 连接用户 ID 字段映射,然后选择所需的同步协议以执行同步。

激活目录服务

您必须为云连接 UC 中的每个集群激活目录服务Webex以允许将用户从云同步和管理到 Unity Connection。

默认情况下,不会为所有已载入的集群启用目录服务。
1

从 Control Hub 中的客户视图,转至 服务 > Connected UC。 在 UC 管理卡上,单击 清单

将显示集群组的列表,其中包含说明、状态、集群和节点。

2

单击 节点所属集群组旁边的详细信息

将显示清单页面,其中列出了属于所选集群组的集群的列表。

3

单击 特定产品节点所属的集群旁边的详细信息

将显示节点名称以及版本、产品和状态。

4

单击事件历史记录旁边的省略号 图标,然后选择 服务管理

出现“服务管理”页面,其中包含服务列表。

5

使用切换按钮启用 目录服务

6

单击提交

目錄服務

目錄服務

使用目录服务卡将用户从基于云的目录同步到Unity连接中。

1

从 Control Hub 中的客户视图,转至 服务>连接的 UC。

2

在目录服务卡上,单击 查看群集。 此时将显示“目录服务”页面。

您可以在该页面上查看集群详情列表。

查看群集详细信息

查看群集详细信息

从目录服务的集群选择页面中,选择要将用户数据同步到的集群。

集群选择页面还提供集群详细信息、预配置状态、上次同步状态、关联的产品以及失败原因(如果有)。 您可以选择本地时区;缺省情况下,选择浏览器时区。

群集详细信息

说明

群集名称

群集的名称。

状态

同步状态。

上次同步时间

上次同步的日期。

产品

产品的详细信息。
设置目录服务同步

Webex Cloud-Connected UC 目录服务同步允许您将最终用户数据从通用标识服务导入 Webex Unity 连接数据库,以显示在最终用户配置窗口中。

确保在计划的 Webex Cloud-Connected UC 模块升级期间不执行任何预配置操作。

如果在模块升级期间执行预配置,步骤 1、2 或 3 可能会在特定时间段后显示错误状态,并在一段时间后显示重试按钮。 您可以通过选择“ 重试 ”按钮重新启动预配。 在重试预配置之前,请确保验证群集状态是否升级完成。

1

从目录服务的“集群选择”页面中,选择要预配置以启用同步的集群。

2

单击 开始预配置

3

在字段映射配置窗口中,确保为“Unity连接用户 ID”字段选择的映射在您开始预配置后可唯一标识群集中的用户。

4

选择适当的“Unity连接用户 ID”字段映射,以同步来自 Webex 的用户:

  • “连接”中的用户 ID 字段Unity映射到 Webex 中用户的电子邮件 ID。

  • “连接Unity”中的邮件 ID 字段映射到 Webex 中用户的电子邮件 ID。

  • “连接”中的用户 ID 字段Unity映射到 Webex 中没有域部分用户的电子邮件 ID。

    如果无法为连接中的现有用户帐户成功执行映射,将创建新用户帐户Unity。 用户的电子邮件 ID(或电子邮件 ID 的 ID 部分)将用作新创建的用户帐户的唯一标识符。
5

单击下一步

6

从下拉列表中选择协议以创建新的同步协议。

创建新的同步协议后,指向本地目录的所有现有同步协议都将被删除。 您可以在新的同步协议创建后对其进行更改。

7

在“协议预览”部分,开始同步前先查看协议详细信息(Unity 连接中有空的现有外部 LDAP 目录详细信息)。

您可以查看以下详细信息:

  • 组信息

  • 已应用包含通用线路和设备模板的功能组模板

  • 所插入用户同步电话号码的线路和掩码详细信息

  • 新预配的用户及其扩展

  • “要同步的标准用户字段”部分

  • 目录服务器的主机名或IP地址

单击 下一步 以选择组筛选器。

8

从选择组 下拉列表中,选择要同步的特定组。 如果要选择所有用户组,请单击选择所有组 复选框。

缺省情况下,将同步所有用户。 如果您不选择任何组,所有用户和关联的用户数据将自动同步。

对于目录中的嵌套组,用户必须在预配置期间专门选择子集用户组,因为缺省情况下,父级组不包含该组。 您需要验证任何重复嵌套(如果有),以确保在预配期间仅包含所需的用户。

对同步协议的任何修改(例如,删除目标用户或组)不会在定期同步期间传播。 您应该从 Control Hub 禁用该集群的目录服务,然后使用新的或修改后的同步协议再次重新预配置该集群。

9

单击下一步 以准备同步过程。

10

在“启用同步”窗口中,当系统成功将用户数据复制到 Unity Connection 中的临时存储空间并创建新的同步协议后(如以下屏幕截图所示,在步骤 1 和 2 之后),启用同步。

11

通过下载报告 下载 选项,您可以查看一部分结果。 要获取 Unity 连接集群的完整报告,请执行以下 CLI 命令: file get activelog /cm/trace/CIService/log4j/DryRunResults.csv。 在这里,Unity连接的试运行结果如下所示:

对于全新 Azure AD 部署:

  • 新用户 - 用户不存在于连接服务器上Cisco Unified CM数据库中Unity但存在于身份服务Webex。

  • 匹配的用户 - 用户存在于连接服务器上Cisco Unified CM数据库中Unity以及身份服务Webex。

  • CUC 匹配用户 - 用户存在于身份服务Webex并导入到连接节点Unity“Unity连接数据库”中。

  • 不匹配的用户 - 用户存在于连接服务器上Cisco Unified CM数据库中Unity而不存在于身份服务Webex。

对于本地 AD 到 Azure AD 的迁移:

  1. “连接”中的用户 ID 字段Unity映射到 Webex 中用户的电子邮件 ID。 所有试运行报告字段都与全新 Azure AD 部署相同。

  2. “连接Unity”中的邮件 ID 字段映射到 Webex 中用户的电子邮件 ID。 所有试运行报告字段都与全新 Azure AD 部署相同。

  3. “连接”中的用户 ID 字段Unity映射到电子邮件 ID,其中没有域部分的用户Webex:

    • 新用户 - 具有没有域部分的用户标识Cisco Unified CM不存在于连接服务器上Unity但存在于身份服务Webex。

    • 匹配的用户 - 用户标识没有域部分的用户Cisco Unified CM存在于连接服务器上Unity数据库和身份服务Webex。

    • CUC 匹配用户 - 具有没有域部分的用户标识的用户Webex存在于身份服务上,并导入到连接节点Unity“Unity连接数据库”中。

    • 不匹配的用户 - 用户标识没有域部分的用户Cisco Unified CM存在于连接服务器上Unity数据库中,而不存在于身份服务Webex。

您可以检查报告,并决定是否保留相同的用户列表并添加或删除用户。 根据此决定,您可以停止该过程并还原预配更改。
在目录同步之后对云目录中的用户数据所做的任何更新都将在下一个同步周期内更新。 这是因为云目录每天定期同步一次。
12

在同步协议验证后,单击 Unity Connection 中的预览以登录到本地基础结构,并对新创建的同步协议进行更改。

需要VPN访问权限。
13

选中该复选框以同意在 Connection 中审核和验证同步协议的条款Unity。

14

单击 启用同步 以继续进行同步。

在同步期间,您将无法执行任何操作,直到完成。 当特定群集完成同步后,“目录服务”页面将列出该群集为“预配置”状态。 至此,你已成功授权 Azure AD 预配 Webex 用户并将其同步到 UC 基础结构,并已完成设置同步的步骤。

15

初始预配置完成后,每 24 小时进行一次定期同步。 在此期间,在云目录中所做的任何更改都将传播到集群。

您必须在从创建新协议时起的 20 小时内启用同步。 LDAP 同步的用户在不活动 24 小时后将变为非活动状态并被删除。 用户将无法登录并使用 Unity 连接服务。

在某个群集的 Azure AD 预配完成后,除了组设置,您不能为同一群集创建任何新的同步协议或修改任何配置设置。 如果要为同一集群创建新的同步协议,应转至“服务管理”页面并禁用目录服务。 然后,您可以创建用于预配置的新协议。

如果同步因任何原因失败,最新的设置更改将反映在第二天的下一个同步周期中。

  • 如果预配成功后SSO身份验证期间使用 Azure IdP,请确保在 Azure IdP 中配置了正确的声明。 例如,在预配置期间,如果为用户标识映射选择了选项 1,请确保 在“其他声明”部分中将 user.userprincipalname 设置为 UID。

  • 以下属性从通用标识服务同步到Unity连接Webex:用户名、电子邮件、姓名、displayName、职位、电话号码、部门、经理。

  • 在目录同步之后对云目录中的用户数据所做的任何更新都将在下一个同步周期内更新。 这是因为云目录每天定期同步一次。

  • 登录必须使用单点登录 (SSO)。 本文档仅介绍单点登录 (SSO) 集成。

  • 重新预配置后,如果您发现标记为不匹配的用户与新用户(共享相同邮件标识的用户)相同,我们建议您最多等待 48 小时同步更改生效。

    1. 从 Control Hub 的“服务管理”页面禁用 目录服务

    2. 在 LDAP 系统中禁用启用 从 LDAP 服务器 同步复选框。

    3. 从 Control Hub 的“服务管理”页面启用目录服务

预配状态

预配状态

在目录服务控制板上,您可以查看和跟踪集群的状态并查看错误。

下表列出了预配置状态、说明和相应的操作。

表 1. 预配置状态

预配置状态

说明

正在处理

预配置正在进行中。

所需操作

如果特定群集需要任何人工干预,请采取必要措施。 例如,

  • 如果要在测试后继续或放弃同步。

  • 创建新协议后,请检查是否有任何通知,并根据需要采取必要的措施。

错误

如果“启用同步”向导中需要任何操作,请检查这些操作,如果需要,请采取必要的措施。

如果在设置的任何阶段出现错误,管理员应审核 service: Directory Service Cisco Webex Control Hub中的“事件历史记录”页。 这有助于您隔离、调试和排查可能出现的问题。 要访问活动,请参阅 访问混合服务的活动历史记录。

有关各种事件类型及其详细信息的详细信息,请参阅下面的“事件和可能的解决方案”表。

供应

群集预配置已完成。

未预配置

群集预配置尚未开始。
表 2. 活动和决议

事件

所需操作

定期同步失败

确保您等待第二天的定期同步完成。 验证同步是否已成功完成。 如果问题仍然存在,请联系 Cisco TAC 支持人员。

数据复制失败

单击“重试 按钮继续数据传输。 如果问题仍然存在,请联系 Cisco TAC 支持人员。

同步协议失败

单击重试 按钮重新尝试创建同步协议。 如果问题仍然存在,请联系 Cisco TAC 支持人员。

跳过定期同步

不需要操作。

数据传输失败

单击“重试 按钮继续数据传输。 如果问题仍然存在,请联系 Cisco TAC 支持人员。

用户同步不匹配

检查 Unity Connection 中的目录同步日志中是否存在用户同步中的错误,或联系 Cisco TAC 支持以获取进一步帮助。

已成功预配置用户

不需要操作。

定期同步数据传输成功

不需要操作。

无法从“通用标识”中获取某些选定组Webex用户详细信息。

导航到 仪表板 并选择群集,通过单击提供的下载链接来获取失败组的详细信息。 验证用户是否存在于“通用标识”中Webex然后单击 重试。 请联系 Cisco TAC 支持人员获取进一步协助。

无法从通用标识获取Webex所选组的用户详细信息。

单击“重试 按钮继续数据传输。 如果问题仍然存在,请联系 Cisco TAC 支持以获取进一步帮助。
导入用户以进行Unity连接

在 Control Hub 中完成群集预配置后,您可以从 Import Users in Cisco Unity Connection 手动导入 Azure AD 用户。

以下为导入用户的两种方法:

使用导入用户工具从 Azure AD 数据创建Unity连接用户
1

在“Cisco Unity Connection管理”中,展开 用户 并选择 导入用户

2

在“导入用户”页上,导入 Azure AD 用户帐户以创建 Unity Connection 用户。

  1. 在查找最终用户字段中选择 LDAP 目录

  2. 选择新用户所基于的模板。

  3. 指定 要导入的 Azure AD 用户帐户的别名 、名字姓氏

  4. 选中要导入的用户帐户对应的复选框并选择 导入选定项

使用批量管理工具从 Azure AD 数据创建Unity连接用户
1

在“Cisco Unity Connection管理”中,展开 工具 并选择 批量管理工具

2

要添加 Unity Connection 用户,请在“批量管理工具”页面上执行以下步骤:

  1. 从选择操作中选择 导出

  2. 从选择对象类型中,选择 LDAP 目录中的用户。

  3. 在所有必填字段中输入值。

  4. 选择提交

    这将创建一个包含 Azure AD 用户数据的CSV文件。 在电子表格应用程序或文本编辑器中打开CSV文件,并根据需要编辑数据。 现在,从CSV文件导入数据。

  5. 从“选择操作” 中选择“创建”。

  6. 从“选择对象类型” 中选择“具有邮箱的用户”。

  7. 在所有必填字段中输入值。

  8. 选择提交

3

导入完成后,检查在 “失败的对象文件名” 字段中指定的文件,以验证是否所有用户都创建成功。

同步问题疑难解答

本节提供了必要的信息和解决方案,以解决在将用户从 Control Hub 同步到 Unity Connection 数据库的各个阶段可能面临的一些常见问题。

不匹配的用户

如果发现不匹配的用户,请在创建新协议后的 20 小时内启用同步。 现有用户被标记为非活动状态,在不活动 24 小时后将从Unified CM中删除。

错误 - 数据复制失败。 请重试

  • Cloud-Connected UC 和 Cloud 之间的通信中断Webex或无法从云Webex获取用户数据。

    解决方案: 要确认您是否成功连接到 Cisco Cloud,请访问 # https://status.webex.com/ 检查这些服务的状态。 单击重试

  • Cloud-Connected UC 和 Unity Connection 之间的通信中断,或无法将用户数据推送到 Unity Connection 数据库。

    解决方案: 检查 Cloud-Connected UC 和 Unity Connection 之间的网络连接并单击 重试。 如果问题仍然存在,请联系 Cisco TAC 支持人员。

错误 - 无法创建同步协议。 请重试

  • Cloud-Connected UC 和 Unity Connection 之间的通信中断,或无法将同步协议数据推送到 Unity Connection 数据库中。

    解决方案: 检查 Cloud-Connected UC 和 Unity Connection 之间的网络连接并单击 重试。 如果问题仍然存在,请联系 Cisco TAC 支持人员。

  • 同步协议创建失败。

错误 – 启用目录同步失败。 请重试

  • Cloud-Connected UC 和 Unity Connection 之间的通信中断,并且不会触发 Cisco DirSync 服务。

    解决方案: 检查 Cloud-Connected UC 和 Unity Connection 之间的网络连接并单击 重试。 如果问题仍然存在,请联系 Cisco TAC 支持人员。

无法获取同步协议详细信息。 请稍后再试。

Cloud-Connected UC 和 Unity Connection 之间的通信中断。

解决方案: 检查 Cloud-Connected UC 和 Unity Connection 之间的网络连接并单击 重试。 如果问题仍然存在,请联系 Cisco TAC 支持人员。

获取所选组的用户数据失败

首次预配置期间,从已选择进行同步的任何特定组下载用户数据时可能会遇到问题。 在错误消息中,单击下载链接以查看失败组信息的详细信息。

您还可以从 Cisco Webex Control Hub 中的“ 事件历史记录 ”页面下载已预配置的集群的失败组信息。 导航到 仪表板 并选择群集,通过单击提供的下载链接来获取失败组的详细信息。 验证用户是否存在于“通用标识”中Webex然后单击 重试。 请联系 Cisco TAC 支持人员获取进一步协助。

Unity连接的已知问题和限制

Unity连接的已知问题和限制

如果您遇到有关此功能的问题,请检查该问题是否属于我们已了解并已推荐变通方法的问题。

  • 您可以从 Control Hub 禁用集群的目录服务,然后再次重新启用该集群。 我们建议您至少等待 60 秒,然后激活目录服务以进行同步。

  • 删除后,如果要再次将同一 Unity 连接集群载入组织,您必须先禁用目录服务,然后再重新预配置同一集群。

  • 在预配置期间,由于通用标识服务的同步问题Webex组详细信息列表不会填充。 建议用户放弃预配置并在一段时间后重试。