概述

通过云目录服务将用户从基于云的目录(例如 Azure AD)同步到专用实例应用程序(例如 Unified Communications Manager 和Cisco Unity Connection )。 同步期间,系统会从同步到 Webex 标识服务的 Azure Active Directory(或类似的云目录服务)导入用户和关联用户数据的列表。 您需要从 Control Hub 中选择需要同步的 Unified CM 群集,选择适当的 Unified CM 用户 ID 字段映射,然后选择所需的同步协议,以执行同步。

查看群集详细信息

从 Control Hub 中的管理页面中,选择要将用户数据同步到的群集。

此选择还提供群集详细信息,例如群集名称、群集同步状态、上次同步状态以及关联的产品。

群集详情

描述

群集名称

群集的名称

状态

同步状态

上次同步时间

上次同步的日期

产品

产品详细信息

目录同步

根据您的要求,您可以使用目录连接器将用户从内部 Active Directory 同步到 Control Hub,也可以从 Azure Directory 直接同步到 Control Hub,然后将用户同步到 Cisco Unified Communications Manager。

执行以下任务之一:

  • 要将用户从 Azure 目录直接同步到 Control Hub,请执行以下操作从 Azure 目录同步用户程序。

  • 要使用 Directory Connector 将用户从本地部署Active Directory同步到 Control Hub,请遵循从本地Active Directory同步用户程序。

从 Azure Directory 同步用户

专用实例目录服务同步允许您将最终用户数据从 Azure Directory 导入 Unified Communications Manager 数据库,这样数据会显示在最终用户配置窗口中。

要使用 Azure Directory 同步用户,请执行以下操作:

  1. 您需要将 Azure Active Directory 用户同步到 Control Hub

  2. 遵循配置目录同步程序,在 Control Hub 中将用户同步到 Cisco Unified Communications Manager。

从本地Active Directory同步用户

可以使用目录连接器将内部 Active Directory 用户同步到通用标识 (CI)。

目录服务仅支持 SSO 部署。 请参阅Control Hub 中的单点登录集成基于 SAML 的 SSO 解决方案了解更多信息。

要从内部 Active Directory 同步用户,请执行以下操作:

  1. 使用 Directory Connector 将Active Directory用户同步到通用标识 (CI)。 您可以从 Control Hub 下载连接器软件,然后将其安装到本地计算机。 请参阅目录连接器部署指南获取更多信息。

  2. 遵循配置目录同步中的程序,在 Control Hub 中将用户同步到 Cisco Unified Communications Manager。

配置目录同步

有时,在预配置群集时可能会遇到额外的延迟。 在这种情况下,预配置仍将进行,尽管该活动需要相当长的时间。

  1. 登录到 Control Hub(网址:https://admin.webex.com/login)。

  2. 转至服务 > 呼叫 > 专用实例 > 管理

  3. 选择 UC 应用程序,然后单击设置(在右侧面板中的激活目录同步下)。

  4. 在字段映射配置窗口中,确保为 Unified CM 用户 ID 字段选择的映射在您开始预配置后可唯一识别群集中的用户。

  5. 选择适当的 Unified CM 用户 ID 字段映射,以同步 Webex 中的用户:

    • 将 Unified CM 中的用户 ID 字段映射到 Webex 中的用户电子邮件标识。

    • 将 Unified CM 中的邮件标识字段映射到 Webex 中的用户电子邮件标识。

    • 将 Unified CM 中的用户 ID 字段映射到 Webex 中的非域用户电子邮件标识。

      如果无法为 Unified CM 中的现有用户帐户成功执行映射,将创建新用户帐户。 该用户的电子邮件标识将用作新创建的用户帐户的唯一标识。 本说明适用于选项 1 和 选项2。

    选项

    CUCM

    Webex 中国

    选项 1

    Unified CM中的用户 ID 字段映射到 Webex 中用户的电子邮件 ID

    选项 2

    Unified CM中的“邮件标识”字段映射到 Webex 中用户的电子邮件标识

    选项 3

    Unified CM中的用户 ID 字段映射到 Webex 中不包含用户域部分的电子邮件 ID

  6. 单击下一步

  7. 从下拉列表中选择协议,以创建新同步协议。 新同步协议创建后,将删除指向内部目录的所有现有同步协议。 您可以在新的同步协议创建后进行变更。

  8. 在“协议预览”部分,开始同步前先查看用户列表和联系人详细信息(Unified Communications Manager 中提供的现有外部 LDAP 目录详细信息)。 您可查看以下详细信息:

    • 组信息

    • 已应用包含通用线路和设备模板的功能组模板

    • 所插入用户同步电话号码的线路和掩码详细信息

    • 预配置用户及其分机

    • “要同步的标准用户字段”部分

    • 目录服务器的主机名或 IP 地址

    单击下一页以选择组过滤器。

    组信息部分不适用于Cisco Unity Connection ,因此不会显示在协议预览部分中。

  9. 选择组下拉列表中选择要同步的特定组。 如果要选择所有用户组,请单击选择所有组复选框。

    缺省情况下,将同步所有用户。 如果您不选择任何组,所有用户和关联的用户数据将自动同步。

    对于目录中的嵌套组,用户必须在预配置期间专门选择子集用户组,因为缺省情况下,父级组不包含该组。 您需要验证任何重复嵌套(如有),以确保在预配置期间仅包含所需的用户。

    对同步协议的任何修改(例如,删除目标用户或组)不会在定期同步期间传播。 需要重设该群集的目录服务,然后使用新的或修改后的同步协议重新预配置群集。 请联系 Cisco TAC 支持人员,以重设所需群集的目录服务。

  10. 单击下一步以准备同步过程。

  11. 启用同步窗口中,在系统将用户数据成功复制到Unified CM中的临时存储空间并创建新的同步协议后启用同步(如以下屏幕截图所示,在第 1 步和第 2 步之后)。

    创建 TAC 案例,以在启用同步前将用户等级变更为 5。

  12. 下载报告”选项允许您查看一部分结果。 要获取 Unified CM 群集的完整报告,请执行以下 CLI 命令: file get activelog /cm/trace/CIService/log4j/DryRunResults.csv

    如果您没有访问权限,请联系Cisco TAC支持人员以下载报告。

    测试结果显示如下:

    • 新用户 – 用户不存在于 Unified CM 中,但存在于 Webex 标识服务中。 启用同步后,在 Unified CM 中创建用户。

    • 匹配的用户 – 用户存在于 Unified CM 和 Webex 标识服务中。 完成同步后,这些用户将继续在 Unified CM 中保持活动状态。

    • 不匹配的用户 – 用户存在于 Unified CM 和 Webex 标识服务中。 同步完成后,不匹配的用户将在Unified CM中标记为非活动,并在 24 小时不活动后被丢弃。

    您可以检查报告,并决定是否保留相同的用户列表,添加或删除用户。 根据您的决定,单击放弃可停止该过程,并还原预配置变更。

  13. 在同步协议验证后,单击在 Unified CM 中预览并登录到您的基础结构,然后对新建的同步协议进行变更。

    您只能编辑组信息。 不能重命名协议或修改任何详细信息。

  14. 选中该复选框,以同意在 Unified CM 中审核和验证同步协议的条款。

    默认情况下,用户与等级 1 同步,由于合作伙伴管理员拥有等级 3 的权限,因此他们无法修改用户。

    合作伙伴管理员将无法将设备和线路关联到最终用户,也无法在用户处于等级 1 同步的情况下将最终用户添加到组。 请联系 Cisco TAC 支持人员变更用户等级。

  15. 单击启用同步以继续进行同步。

    在同步期间,您将无法执行任何操作,直到完成。 当特定群集完成同步后,“目录服务”页面将列出该群集为“预配置”状态。 此时,您已成功授权 Azure AD 预配置 Webex 用户和同步到 UC 基础结构,并完成了设置同步的步骤。

    您必须在新协议创建后 18 小时内启用同步。 LDAP 同步的用户在不活动 24 小时后将变为非活动状态并被删除。 用户将无法登录并使用 Unified CM 服务。

    在某个群集的 Azure AD 预配置完成后,除了组设置,您不能创建任何新的同步协议或修改同一群集的任何配置设置。 请联系 Cisco TAC 支持人员重设目录服务。 然后您可以创建用于预配置的新协议。

    如果预配置成功后在 SSO 验证期间使用 Azure IdP,请确保在 Azure IdP 中配置了正确的声明。 例如,在预配置期间,如果为用户标识映射选择了选项 1,请确保在其他声明部分将 user.userprincipalname 设置为 UID。

定期同步

成功预配置群集后,系统将每天运行定期同步,负责将对用户数据的任何修改从 Webex 通用标识同步到Cisco Unified Communications Manager。 定期同步不需要管理员干预。 但是,管理员可以通过观察上次同步于Control Hub 上的“群集详细信息”页面中的列。 会更新时间戳以反映集群发生定期同步的时间。

查看同步状态

在目录同步状态栏中查看同步的状态。 单击 UC 应用程序获取右侧面板,其中将显示预配置状态、上次同步状态以及失败的原因(如有)。 您还可以选择本地时区。 已选择缺省浏览器时区。

预配置状态

预配置状态

描述

正在处理

预配置正在进行中

必要操作

如果特定群集需要任何人工干预,请采取必要措施。

  • 如果要在测试后继续或放弃同步。

  • 在创建了新协议后,请检查是否有任何通知,并根据需要采取必要的措施。

错误

如果启用同步向导中需要任何操作,请选中这些操作,如果需要,请采取必要的措施。

Active

群集预配置已完成。

未预配置

群集预配置尚未开始。

为 Unity Connection 导入用户

在 Control Hub 中完成群集预配置后,您可以从 Cisco Unity Connection 中的“导入用户”手动导入 Azure AD 用户。

以下为导入用户的两种方法:

使用“导入用户”工具从 LDAP 目录数据创建 Unity Connection 用户

1

在 Cisco Unity Connection Administration 中,展开用户并选择导入用户
2

在“导入用户”页面上,导入 LDAP 目录用户帐户来创建 Unity Connection 用户。

  1. 在“查找最终用户”字段中选择 LDAP 目录

  2. 选择新用户所基于的模板。

  3. 指定要导入的 LDAP 目录用户帐户的别名名字姓氏

  4. 选中要导入的用户帐户对应的复选框,然后选择导入所选项

使用批量管理工具,从 LDAP 目录数据创建 Unity Connection 用户

1

在 Cisco Unity Connection Administration 中,展开工具并选择批量管理工具
2

要添加 Unity Connection 用户,请在“批量管理工具”页面上执行以下步骤:

  1. 从“选择操作”中选择导出

  2. 从“选择对象类型”中选择 LDAP 目录中的用户

  3. 在所有必填字段中输入值。

  4. 选择提交

    这将创建包含 LDAP 目录用户数据的 CSV 文件。 在电子表格应用程序或文本编辑器中打开 CSV 文件,并根据需要编辑数据。 现在,从 CSV 文件导入数据。

  5. 从“选择操作”中选择创建

  6. 从“选择对象类型”中选择具有邮箱的用户

  7. 在所有必填字段中输入值。

  8. 选择提交
3

导入完成后,检查在失败对象文件名字段中指定的文件,以验证是否所有用户都创建成功。

同步问题疑难解答

本节提供了必要的信息和解决方案,以解决在将用户从 Control Hub 同步到 Unified Communications Manager 数据库的各个阶段可能面对的一些常见问题。

不匹配的用户

在创建新协议后 20 小时内启用同步。 现有用户被标记为非活动状态,在不活动 24 小时后将从 Unified CM 中删除。

错误 – 数据复制失败。 请重试。

  • 专用实例和 Webex Cloud 之间的通信中断,或无法从 Webex Cloud 获取用户数据。

  • 专用实例和 Unified CM 之间的通信中断,或无法将用户数据推送到 Unified CM 数据库。

  • 用户数据未复制到临时存储位置。

错误 – 创建同步协议失败。 请重试。

  • 专用实例和 Unified CM 之间的通信中断,或无法将同步协议数据推送到 Unified CM 数据库中。

  • 同步协议未创建成功。

无法获取同步协议详细信息。 请稍后再试。

专用实例和 Unified CM 之间的通信中断。

Webex Calling 专用实例目录服务同步的已知问题和限制

如果您遇到有关此功能的问题,请检查该问题是否属于我们已了解并已推荐变通方法的问题。

  • Webex Calling 专用实例目录服务预配置无法用于 LDAP 验证,因为只同步用户数据,而不同步 Unified CM 服务器的密码,因此 LDAP 验证不起作用。

    解决办法: 登录必须使用单点登录 (SSO)。 此文档仅介绍单点登录 (SSO) 集成。

    如果您希望用户通过其企业身份提供程序进行验证,请配置单点登录 (SSO)。 请参阅 Control Hub 中的单点登录集成基于 SAML 的 SSO 解决方案了解更多信息。

  • 请联系 Cisco TAC 支持人员禁用目录服务。 请等待一分钟,然后重新开始设置目录服务。

  • 删除后,如果想再次将同一 Unified CM 群集载入组织,您必须先禁用目录服务,然后再重新预配置同一群集。

    请联系 Cisco TAC 支持人员禁用目录服务。

  • 在同步协议页面中,执行同步频率下一次重新同步时间字段均显示为活动状态。 但是,启用仅执行一次同步选项后,Unified CM 服务器中的这些字段将显示为灰色。 目前,这是 Webex Calling 专用实例目录服务预配置功能中的一个限制,将在即将推出的发行版中得到解决。

  • 在 Azure 门户中删除的用户在 Webex 标识服务中变为非活动状态,但在 Unified CM 中似乎处于活动状态。

    解决办法: 转至管理 > 用户,然后从 Control Hub 中删除该用户。 该用户将被标记为“在 Unified CM 中非活动”。

  • 为更大型的组织(用户超过 80000 名)预配置新群集时,您当前将遇到超时问题。 此问题将很快得到解决。

  • 在预配置期间,当您在“启用同步”页面上单击放弃继续启用同步按钮时,群集的状态不会在用户界面中立即改变。 由于是在后端执行操作,这一限制具有误导性。

    解决办法: 避免单击两次按钮,请在几秒钟后检查群集状态。 您会看到群集状态从必要操作变为处理中。 此问题将很快得到解决。

  • 目前,启用同步功能在 Unified Communications Manager 网络中断时将挂起。

    解决办法: 请联系 Cisco TAC 支持人员禁用目录服务。 请等待一分钟,然后重新开始设置目录服务。 此问题将在即将推出的发行版中得到解决。

  • 在预配置期间,由于 Webex 通用标识服务的同步问题,组详细信息列表不会填充。 建议用户放弃设置并在一段时间后重试。