Unity Connection 的Webex Cloud-Connected UC 目录服务支持

概述

您可以通过Webex Cloud连接将用户从云Active Directory （例如，Azure AD）同步和管理到内部或云托管的 UC 基础设施，例如Cisco Unified Communications Manager (Unified Communications Manager) 和Cisco Unity Connection (Unity Connection) UC 目录服务。在同步期间，系统会从同步到 Webex Common Identity Service 的 Azure Active Directory （或类似的云目录服务）导入用户列表及关联的用户数据。您必须从 Control Hub 中选择需要同步的 Unity Connection 群集，选择相应的 Unity Connection 用户 ID 字段映射，然后选择所需的同步协议以执行同步。

必要条件

将 Unity Connection 群集加入云连接 UC。请参阅为内建设备设置云连接 UC
将 Azure Active Directory 用户同步到 Control Hub
Unity Connection 群集必须为 11.5(1)SU9、12.5(1)SU4 或 14 及更高版本

激活目录服务

您必须在Webex Cloud-Connected UC 中为每个群集激活目录服务，以允许从云端同步和管理用户到 Unity Connection。

默认情况下，并非所有已载入群集都启用了目录服务。

1	从 Control Hub 中的客户视图，转到服务 > 已连接 UC。在 UC Management 卡片上，单击清单。将显示集群组的列表，其中包含说明、状态、集群和节点。
2	单击节点所属集群组旁边的详细信息。将显示清单页面，其中列出了属于所选集群组的集群的列表。
3	单击特定产品节点所属的集群旁边的详细信息。将显示节点名称以及版本、产品和状态。
4	单击活动历史记录旁的省略号 ⋮ 图标，然后选择服务管理。出现“服务管理”页面，提供服务列表。
5	使用切换按钮启用目录服务。
6	单击提交。

目录服务

使用目录服务卡将用户从基于云的目录同步到 Unity Connection。

1	从 Control Hub 中的客户视图，转到服务 > 已连接 UC。
2	在目录服务卡片上，单击查看集群。出现“目录服务”页。

您可以在此页面上查看集群详细信息列表。

查看集群详细信息

从目录服务的“群集选择”页面，选择要与之同步用户数据的群集。

群集选择页面还提供群集详细信息、设置状态、上次同步状态、关联的产品以及失败原因（如有）。可选择本地时区；默认情况下，浏览器时区处于选中状态。

群集详情	描述
群集名称	集群的名称。
状态	同步的状态。
上次同步时间	上次同步的日期。
产品	产品的详细信息。

预配置目录服务同步

通过Webex Cloud连接 UC 目录服务同步，您可以将最终用户数据从 Webex Common Identity Service 导入 Unity Connection 数据库，以显示在“最终用户配置”窗口中。

确保在已安排的Webex Cloud连接 UC 模块升级期间不要执行任何预配置操作。

如果您在模块升级期间执行设置，步骤 1、2 或 3 可能会在一段时间后显示错误状态，并在一段时间后显示重试按钮。您可以通过选择重试按钮。在重新尝试设置之前，请确保验证集群状态以确认升级完成。

从目录服务的“群集选择”页面，选择要预配置以启用同步的群集。

单击开始预配置。

在字段映射配置窗口中，确保为 Unity Connection 用户 ID 字段选择的映射在您开始预配置后唯一标识群集中的用户。

选择相应的 Unity Connection 用户 ID 字段映射，以便从 Webex 同步用户：

Unity Connection 中的用户 ID 字段映射到 Webex 中用户的电子邮件 ID。
Unity Connection 中的“邮件标识”字段映射到 Webex 中用户的电子邮件标识。

Unity Connection 中的用户 ID 字段映射到 Webex 中不包含用户域部分的电子邮件 ID。

如果无法在 Unity Connection 中为现有用户帐户成功完成映射，将会创建新的用户帐户。该用户的电子邮件标识（或电子邮件标识的标识部分）将用作新创建的用户帐户的唯一标识。

单击下一步。

从下拉列表中选择协议，以创建新同步协议。

新同步协议创建后，将删除指向内部目录的所有现有同步协议。您可以在新的同步协议创建后进行变更。

在协议预览部分中，在开始同步之前查看协议详细信息（Unity Connection 中提供的现有外部LDAP 目录详细信息）。

您可查看以下详细信息：

组信息
已应用包含通用线路和设备模板的功能组模板
所插入用户同步电话号码的线路和掩码详细信息
预配置用户及其分机
“要同步的标准用户字段”部分
目录服务器的主机名或 IP 地址

单击下一页以选择组过滤器。

从选择组下拉列表中选择要同步的特定组。如果要选择所有用户组，请单击选择所有组复选框。

缺省情况下，将同步所有用户。如果您不选择任何组，所有用户和关联的用户数据将自动同步。

对于目录中的嵌套组，用户必须在预配置期间专门选择子集用户组，因为缺省情况下，父级组不包含该组。您需要验证任何重复嵌套（如有），以确保在预配置期间仅包含所需的用户。

对同步协议的任何修改（例如，删除目标用户或组）不会在定期同步期间传播。您应该从 Control Hub 为该集群禁用目录服务，然后使用新的或修改的同步协议再次重新预配置该集群。

单击下一步以准备同步过程。

在启用同步窗口中，当系统成功将用户数据复制到 Unity Connection 中的临时存储空间并创建新的同步协议后启用同步（在步骤 1 和 2 之后，如以下屏幕截图所示）。

该下载报告下载选项可让您查看部分结果。要获取 Unity Connection 集群的完整报告，请执行以下CLI 命令： file get activelog /cm/trace/CIService/log4j/DryRunResults.csv 。以下是 Unity Connection 的预演结果：

对于全新的 Azure AD 部署：

新用户- 用户不存在于 Unity Connection 服务器上的Cisco Unified CM数据库中，但存在于 Webex 标识服务中。
匹配的用户- 用户存在于 Unity Connection 服务器上的Cisco Unified CM数据库和 Webex 身份服务中。
CUC 匹配用户- 存在于 Webex 身份服务上并已导入 Unity Connection 节点上的“Unity Connection 数据库”的用户。
用户不匹配- 用户存在于 Unity Connection 服务器上的Cisco Unified CM数据库中，但不存在于 Webex Identity Service 中。

对于本地 AD 到 Azure AD 的迁移：

Unity Connection 中的用户 ID 字段映射到 Webex 中用户的电子邮件 ID。所有预演报告字段与全新 Azure AD 部署相同。
Unity Connection 中的“邮件标识”字段映射到 Webex 中用户的电子邮件标识。所有预演报告字段与全新 Azure AD 部署相同。
Unity Connection 中的用户 ID 字段映射到 Webex 中不包含用户域部分的电子邮件 ID：
- 新用户- 用户 ID 不含域的用户不存在于 Unity Connection 服务器上的Cisco Unified CM数据库中，但存在于 Webex 身份服务中。
- 匹配的用户- 用户 ID 不含域部分的用户存在于 Unity Connection 服务器上的Cisco Unified CM数据库和 Webex 标识服务中。
- CUC 匹配用户- 用户 ID 不含域部分的用户存在于 Webex 身份服务上，并导入到 Unity Connection 节点上的“Unity Connection 数据库”中。
- 用户不匹配- 用户 ID 不含域部分的用户存在于 Unity Connection 服务器上的Cisco Unified CM数据库中，且不存在于 Webex 身份服务中。

您可以检查报告，并决定是否保留相同的用户列表，添加或删除用户。根据该决定，您可以停止该过程并还原预配置更改。

目录同步后对云目录中的用户数据所做的任何更新都将在下一个同步周期中更新。这是因为云目录每天会定期同步一次。

完成同步协议验证后，单击在 Unity Connection 中预览以登录到您的内部基础架构并对新创建的同步协议进行更改。

需要 VPN 访问。

选中此复选框以同意在 Unity Connection 中审查和验证同步协议的条款。

单击启用同步以继续进行同步。

在同步期间，您将无法执行任何操作，直到完成。当特定群集完成同步后，“目录服务”页面将列出该群集为“预配置”状态。此时，您已成功授权 Azure AD 预配置 Webex 用户和同步到 UC 基础结构，并完成了设置同步的步骤。

初始设置完成后，每 24 小时进行一次定期同步。在此期间，在云目录中所做的任何更改都将传播到集群。

您必须在从创建新协议时起的 20 小时内启用同步。 LDAP 同步的用户在不活动 24 小时后将变为非活动状态并被删除。用户将无法登录并使用 Unity Connection 服务。

为特定群集完成 Azure AD 预配置后，除组设置外，您无法为同一群集创建任何新的同步协议或修改任何配置设置设置。如果要为同一群集创建新的同步协议，应转至“服务管理”页面并禁用目录服务。然后您可以创建用于预配置的新协议。

如果同步由于某种原因失败，最新的设置更改将反映在第二天的下一个同步周期中。

如果预配置成功后在 SSO 验证期间使用 Azure IdP，请确保在 Azure IdP 中配置了正确的声明。例如，在设置期间，如果为用户 ID 映射选择选项 1，请确保 user.userprincipalname 设置为“其他声明”部分中的 UID。
以下属性会从 Webex Common Identity Service 同步到 Unity Connection： userName, emails, 姓名, displayName, 职位, phoneNumbers, 部门, 经理。
目录同步后对云目录中的用户数据所做的任何更新都将在下一个同步周期中更新。这是因为云目录每天会定期同步一次。
登录必须使用单点登录 (SSO)。此文档仅介绍单点登录 (SSO) 集成。
重新设置后，如果您看到标记为“用户不匹配”的用户与新用户（共享相同邮件标识的用户）相同，我们建议您最多等待 48 小时以使同步更改生效。
1. 禁用目录服务从 Control Hub 中的“服务管理”页面。
2. 禁用启用从 LDAP 服务器同步复选框。
3. 启用目录服务从 Control Hub 中的“服务管理”页面。

预配置状态

在目录服务控制板上，您可以查看和跟踪集群的状态以及查看错误。

下表列出了预配置状态、说明和相应的操作。

表 1. 预配置状态
预配置状态	描述
正在处理	设置进行中。
必要操作	如果特定集群需要任何手动干预，请采取必要的步骤。例如，如果要在测试后继续或放弃同步。在创建了新协议后，请检查是否有任何通知，并根据需要采取必要的措施。
错误	如果必要操作，请将其选中，如果需要，请执行必要的操作。如果在设置的任何阶段发生错误，管理员应该审核活动历史记录Cisco Webex Control Hub中服务的页面：目录服务。这可以帮助您隔离、调试和解决可能的问题。要访问活动，请参阅访问混合服务的事件历史记录。有关各种事件类型及其详细信息的更多信息，请参阅下面的“事件和可能的解决方案”表格。
预先设置	群集预配置已完成。
未预配置	群集预配置尚未开始。

表 2. 活动和解决方案
活动	必要操作
定期同步失败	确保等待第二天的定期同步完成。验证同步是否成功完成。如果问题仍然存在，请联系 Cisco TAC 支持人员。
数据复制失败	单击重试按钮以继续数据传输。如果问题仍然存在，请联系 Cisco TAC 支持人员。
同步协议失败	单击重试按钮以重新尝试创建同步协议。如果问题仍然存在，请联系 Cisco TAC 支持人员。
跳过定期同步	无需任何操作。
数据传输失败	单击重试按钮以继续数据传输。如果问题仍然存在，请联系 Cisco TAC 支持人员。
用户同步不匹配	检查 Unity Connection 中的目录同步日志以了解用户同步中的错误，或者联系Cisco TAC支持人员以获取进一步帮助。
用户已成功预配置	无需任何操作。
成功定期同步数据传输	无需任何操作。
无法从 Webex 通用标识获取某些所选组的用户详细信息。	导航到控制板并选择集群以获取失败组的详细信息，方法是单击提供的下载链接。验证用户是否存在于 Webex 公共标识中，然后单击重试。请联系Cisco TAC支持获取进一步协助。
无法从 Webex 通用标识获取所有所选组的用户详细信息。	单击重试按钮以继续数据传输。如果问题仍然存在，请联系Cisco TAC支持人员以获取进一步帮助。

为 Unity Connection 导入用户

在 Control Hub 中完成群集预配置后，您可以从 Cisco Unity Connection 中的“导入用户”手动导入 Azure AD 用户。

以下为导入用户的两种方法：

使用“导入用户”工具从 Azure AD 数据创建 Unity Connection 用户

在 Cisco Unity Connection Administration 中，展开用户并选择导入用户。

在“导入用户”页上，导入 Azure AD 用户帐户以创建 Unity Connection 用户。

在“查找最终用户”字段中选择 LDAP 目录。
选择新用户所基于的模板。
指定别名，名字，或姓氏要导入的 Azure AD 用户帐户的个数。
选中要导入的用户帐户对应的复选框，然后选择导入所选项。

使用批量管理工具从 Azure AD 数据创建 Unity Connection 用户

在 Cisco Unity Connection Administration 中，展开工具并选择批量管理工具。

要添加 Unity Connection 用户，请在“批量管理工具”页面上执行以下步骤：

从“选择操作”中选择导出。
从“选择对象类型”中选择 LDAP 目录中的用户。
在所有必填字段中输入值。
选择提交。

这将创建一个包含 Azure AD 用户数据的CSV 文件。在电子表格应用程序或文本编辑器中打开 CSV 文件，并根据需要编辑数据。现在，从 CSV 文件导入数据。
从“选择操作”中选择创建。
从“选择对象类型”中选择具有邮箱的用户。
在所有必填字段中输入值。
选择提交。

导入完成后，检查在失败对象文件名字段中指定的文件，以验证是否所有用户都创建成功。

同步问题疑难解答

本节提供必要的信息和解决方案，以解决您在将用户从 Control Hub 同步到 Unity Connection 数据库的各个阶段可能遇到的一些常见问题。

不匹配的用户

如果您发现用户不匹配，请在新协议创建后的 20 小时内启用同步。现有用户被标记为非活动状态，在不活动 24 小时后将从 Unified CM 中删除。

错误—数据复制失败。请重试。

云连接 UC 和 Webex 云之间的通信中断或无法从 Webex 云获取用户数据。

解决方案： 要确认您是否成功连接到思科云，请检查以下服务的状态： https://status.webex.com/。单击重试。
云连接 UC 和 Unity Connection 之间的通信中断或无法将用户数据推送到 Unity Connection 数据库。

解决方案： 检查云连接 UC 和 Unity Connection 之间的网络连接，然后单击重试。如果问题仍然存在，请联系 Cisco TAC 支持人员。

错误—创建同步协议失败。请重试。

云连接 UC 和 Unity Connection 之间的通信中断或无法将同步协议数据推送到 Unity Connection 数据库。

解决方案： 检查云连接 UC 和 Unity Connection 之间的网络连接，然后单击重试。如果问题仍然存在，请联系 Cisco TAC 支持人员。
未成功创建同步协议。

错误 - 启用目录同步失败。请重试。

云连接 UC 和 Unity Connection 之间的通信中断，并且Cisco DirSync 服务没有被触发。

解决方案： 检查云连接 UC 和 Unity Connection 之间的网络连接，然后单击重试。如果问题仍然存在，请联系 Cisco TAC 支持人员。

无法获取同步协议详细信息。请稍后再试。

云连接 UC 和 Unity Connection 之间的通信中断。

解决方案： 检查云连接 UC 和 Unity Connection 之间的网络连接，然后单击重试。如果问题仍然存在，请联系 Cisco TAC 支持人员。

获取所选组的用户数据失败

在首次设置期间，您可能会遇到从所选用于同步的任何特定组下载用户数据的问题。在错误消息上，单击下载链接可查看失败组的详细信息。

您还可以从活动历史记录Cisco Webex Control Hub中的页面。导航到控制板并选择集群以获取失败组的详细信息，方法是单击提供的下载链接。验证用户是否存在于 Webex 公共标识中，然后单击重试。请联系Cisco TAC支持获取进一步协助。

Unity Connection 的已知问题和限制

如果您遇到有关此功能的问题，请检查该问题是否属于我们已了解并已推荐变通方法的问题。

您可以从 Control Hub 为集群禁用目录服务，然后再次重新启用集群。我们建议您至少等待 60 秒，然后激活目录服务以进行同步。
删除后，如果您想再次将同一个 Unity Connection 群集加入组织，必须先禁用目录服务，然后重新设置相同的群集。
在预配置期间，由于 Webex 通用标识服务的同步问题，组详细信息列表不会填充。建议用户放弃设置并在一段时间后重试。

1	从 Control Hub 中的客户视图，转到服务 > 已连接 UC。在 UC Management 卡片上，单击清单。将显示集群组的列表，其中包含说明、状态、集群和节点。
2	单击节点所属集群组旁边的详细信息。将显示清单页面，其中列出了属于所选集群组的集群的列表。
3	单击特定产品节点所属的集群旁边的详细信息。将显示节点名称以及版本、产品和状态。
4	单击活动历史记录旁的省略号 ⋮ 图标，然后选择服务管理。出现“服务管理”页面，提供服务列表。
5	使用切换按钮启用目录服务。
6	单击提交。

概述