概述

将用户从基于云的目录(如Azure AD)同步到Cloud Directory服务的专用实例应用程序(如Unified CM和Cisco Unity Connection)。在同步过程中,系统会从Azure Active Directory(或类似的Cloud Directory服务)中导入用户列表和相关用户数据,并同步到Webex Identity Service。从Control Hub中选择Unified CM集群进行同步,选择合适的CM用户ID字段映射,然后选择所需的同步协议完成同步。

查看集群详细信息

在Control Hub中的“管理”页面中,选择要与其同步用户数据的集群。

此选择还提供了集群详细信息,例如集群名称、集群同步状态、最后同步状态以及相关产品。

集群详细信息

描述

集群名称

集群的名称

状态

同步状态

上次同步

上次同步的日期

产品

产品详情

目录同步

根据您的要求,您可以使用Directory Connector将用户从On-prem Active Directory同步到Control Hub,也可以直接从Azure Directory同步到Control Hub,然后将它们同步到Unified CM。

执行以下任一项:

  • 要将用户从Azure Directory直接同步到Control Hub,请遵循从Azure Directory同步用户 程序。

  • 要使用Directory Connector将用户从内部的Active Directory同步到Control Hub,请遵循从内部的Active Directory同步用户 程序。

在非工作时间执行同步,以最大限度减少对呼叫服务的影响。

从Azure目录同步用户

专用实例目录服务同步允许将Azure目录中的最终用户数据导入到Unified CM数据库,以便在最终用户配置窗口中显示。

要使用Azure Directory同步用户:

  1. 您必须将Azure Active Directory用户同步到Control Hub

  2. 按照程序配置目录同步 将Control Hub中的用户同步到Cisco Unified CM。

从内部活动目录同步用户

使用目录连接器可将内部Active Directory用户同步到Common Identity (CI)。

目录服务仅支持SSO部署。有关更多信息,请参阅Control Hub中的单点登录集成基于SAML的SSO解决方案

要从内部的Active Directory同步用户:

  1. 使用Directory Connector将Active Directory用户同步到Common Identity (CI)。您可以从Control Hub下载连接器软件并将其安装到本地计算机上。有关详细信息,请参阅目录连接器的部署指南

  2. 按照配置目录同步 中的步骤将Control Hub中的用户同步到Unified CM。

配置目录同步

有时,在配置集群时可能会遇到额外的延迟。在此类情况下,虽然此活动需要相当长的时间,但仍然会进行预配置。

  1. 登录https://admin.webex.com/login控制中心。

  2. 转至服务 > 呼叫 > 专用实例 > 管理。

  3. 选择UC应用程序,然后单击右侧面板中的激活目录同步 下的设置

  4. 在字段映射配置窗口中,请确保为统一的CM用户ID字段选择的映射在开始配置后唯一标识集群中的用户。

  5. 选择合适的Unified CM User ID字段映射以从Webex同步用户:

    • Unified CM中的用户ID字段映射到WEBEX中的用户的电子邮件ID。

    • Unified CM中的邮件ID字段映射到WEBEX中的用户的电子邮件ID。

    • Unified CM中的用户ID字段映射到WEBEX中的用户无域部分的电子邮件ID。

      如果无法在Unified CM中为现有用户帐户成功完成映射,将创建新的用户帐户。用户的电子邮件ID被用作新创建的用户帐户的唯一标识符。此说明适用于选项1和2。

    选项

    统一CM

    控制中心

    选项1

    Unified CM映射中的用户ID字段到Webex中的用户的电子邮件ID

    选项2

    Unified CM映射中的邮件ID字段到Webex中的用户的电子邮件ID

    选项3

    Unified CM映射中的用户ID字段到WEBEX中的用户没有域部分的电子邮件ID

  6. 单击下一步

  7. 从下拉列表中选择协议以创建新的同步协议。创建新的同步协议后,指向内部目录的所有一个或多个现有同步协议将被删除。创建新同步协议后,您可以更改它。

  8. 在“协议预览”部分中,在开始同步之前,先查看用户和联系人详细信息列表(Unified Communications Manager中可用的现有外部LDAP目录详细信息)。您可以查看以下详细信息:

    • 小组信息

      默认情况下,所有用户都与User Rank 5同步。可在组信息窗口中验证此操作。

    • 带有通用线路和设备模板的应用功能组模板

    • 用于已插入用户的电话号码的线路和掩码详细信息

    • 新配置的用户及其扩展名

    • 要同步的标准用户字段。

    • 目录服务器的主机名或IP地址

    单击下一步 选择组过滤器。

    组信息部分不适用于Cisco Unity Connection,因此在“协议预览”部分中不可见。

  9. 选择组 下拉列表中,选择要同步的一个或多个特定组。要选择所有用户组,请单击选择所有组 复选框。

    默认情况下,所有用户均已同步。如果您未选择任何组,所有用户和相关用户数据将自动同步。

    对于目录中的嵌套组,用户在配置期间必须特别选择子集用户组,因为默认情况下不在母组中包括这些子集。您必须验证任何重复嵌套(如果有),以确保在配置期间只包含所需的用户。

    对同步协议的任何修改(例如删除目标用户或组)将不会在定期同步期间传播。必须重置该集群的Directory服务,然后用新的或修改的同步协议重新配置集群。联系Cisco TAC支持以重置所需集群的Directory服务。

  10. 单击下一步 准备同步过程。

  11. 启用同步 窗口中,一旦系统成功将用户数据复制到Unified CM中的临时存储空间并创建新的同步协议(在步骤1和2之后,如下屏幕截图所示),即可启用同步。

  12. 下载报告 选项允许您部分查看结果。要获取Unified CM集群的完整报告,请执行以下CLI命令:文件获取activelog /cm/trace/CIService/log4j/DryRunResults.csv

    如果您没有访问权限,请联系Cisco TAC支持人员下载报告。

    在这里,干运行结果显示以下内容:

    • 新用户—用户不在Unified CM中存在,但在Webex身份服务中存在。启用同步后在Unified CM中创建用户。

    • 匹配用户—用户位于Unified CM和Webex身份服务中。同步完成后,这些用户将继续在Unified CM中保持活动状态。

    • 不匹配用户—用户在Unified CM和Webex身份服务中存在。同步完成后,不匹配的用户在Unified CM中标记为处于非活动状态,在24小时不活动后将被拖动。

    您可以检查报告,并决定是否要保留相同的用户列表并添加或删除用户。根据决策,单击放弃 以停止流程并恢复配置更改。

  13. 同步协议验证后,单击在Unified CM中预览 以登录基础架构并更改新创建的同步协议。

    您只能编辑组信息。您无法重命名协议或修改任何详细信息。

  14. 单击启用同步 以继续同步。

    在同步期间,您只能在完成之前执行任何操作。完成特定集群的同步后,“目录服务”页面将列出该集群的配置状态。此时,您已成功授权Azure AD提供并将Webex用户同步到UC基础架构中,并完成了设置同步的步骤。

    您必须在新协议创建后18小时内启用同步。LDAP同步用户在24小时不活动后被删除。用户将无法登录并使用Unified CM服务。

    对于特定集群完成Azure AD配置后,除组设置外,您无法创建任何新的同步协议或修改同一集群的任何配置设置。联系Cisco TAC支持以重置Directory服务。然后,您可以创建用于配置的新协议。

    如果您在成功配置后在SSO验证期间使用Azure IdP,请确保在Azure IdP中配置正确的主张。例如,在配置期间,如果为userid映射选择选项1,请确保其他索赔 部分将user.userprincipalname设置为UID。

周期同步

成功配置集群后,每天定期同步运行,负责将用户数据从Webex Common Identity同步到Unified CM和Cisco Unity Connection。定期同步不需要您的干预。但是,您可以通过查看Control Hub上的“群集详细信息”页面中的上次同步 列来验证当天是否发生了定期同步。更新时间标识以反映集群发生周期同步的时间。

统一CM

Cisco Unity连接

Unified CM或Cisco Unity Connection中的LDAP目录

默认的LDAP目录是通过同步过程创建的。

虽然设置一次会显示同步,但Control Hub在24小时周期中将Common Identity同步更改为Unified CM或Cisco Unity Connection。

查看同步状态

查看目录同步状态列中的同步状态。单击UC应用程序获取右侧面板,显示配置状态、上次同步状态以及故障原因(如果有)。您还可以选择本地时区。已选择默认浏览器时区。

规定状态

规定状态

描述

正在处理

正在配置中

需要操作

如果特定集群需要任何手动干预,请采取必要步骤。

  • 如果要在干运行后继续或放弃同步。

  • 创建新协议后,检查是否有任何通知,并根据需要采取必要的行动。

错误

如果启用同步 向导中需要任何操作,请检查它们,如果需要,则采取必要的操作。

活动中

集群配置已完成。

未配置

集群配置尚未开始。

为Unity Connection导入用户

从Control Hub完成集群配置后,您可以从Cisco Unity Connection中的导入用户手动导入Azure AD用户。

导入用户的方法如下:

使用“导入用户”工具从LDAP目录数据创建Unity Connection用户
1

在Cisco Unity Connection管理中,展开用户 并选择导入用户

2

在“导入用户”页面上,导入LDAP Directory用户帐户以创建Unity Connection用户。

  1. 查找最终用户 字段中选择LDAP目录

  2. 选择新用户所依赖的模板。

  3. 指定要导入的LDAP Directory用户帐户的别名 名字姓氏

  4. 针对要导入的用户帐户勾选复选框,然后选择导入选中

使用批量管理工具从LDAP目录数据创建Unity Connection用户
1

在Cisco Unity Connection Administration中,展开工具 并选择批量管理工具

2

要添加Unity Connection用户,请在“批量管理工具”页面上执行以下步骤:

  1. 从“选择操作”中选择导出

  2. 从“选择对象类型”中,选择从LDAP目录中的用户

  3. 在所有必填字段中输入值。

  4. 选择提交

    这会使用LDAP目录用户数据创建一个CSV文件。在电子表格应用程序或文本编辑器中打开CSV文件,并根据适用情况编辑数据。现在,从CSV文件导入数据。

  5. 从“选择操作”中选择创建

  6. 从选择对象类型,选择具有邮箱的用户

  7. 在所有必填字段中输入值。

  8. 选择提交

3

导入完成后,请查看失败对象文件名 字段中指定的文件,以验证所有用户是否已成功创建。

解决同步问题

本部分提供必要的信息和解决方案,以解决用户从Control Hub同步到Unified Communications Manager数据库的各个阶段中可能面临的一些常见问题。

不匹配用户

在新协议创建后18小时内启用同步。现有用户被标记为处于非活动状态,并且在24小时不活动后从Unified CM中删除。

错误-数据复制失败。请重试

  • 专用实例与Webex云之间的通信中断,或无法从Webex云获取用户数据。

  • 专用实例与Unified CM之间的通信中断,或无法将用户数据推送到CM数据库。

  • 用户数据不会复制到临时存储位置。

错误-创建同步协议失败。请重试

  • 专用实例与Unified CM之间的通信中断,或无法将同步协议数据推入CM数据库。

  • 未成功创建同步协议。

无法获取同步协议详细信息。请稍候再试。

专用实例与Unified CM之间的通信中断。

已知的问题和限制

如果您遇到此功能的问题,请检查是否已了解该功能并建议解决该功能的问题。

  • Webex呼叫-专用实例目录服务配置不与LDAP身份验证配合使用,因为只有用户数据已同步,而不是CM服务器的密码,因此LDAP身份验证不工作。

    解决方法:单点登录(SSO)必须用于登录。此文档仅涵盖单点登录(SSO)集成。

    如果您希望用户通过企业身份提供商进行身份验证,请配置单点登录(SSO)。有关更多信息,请参阅Control Hub中的单点登录集成基于SAML的SSO解决方案

  • 联系Cisco TAC支持以禁用Directory服务。等待一分钟,然后再次开始设置Directory服务。

  • 删除后,如果您要再次将同一个Unified CM集群上传到组织,则必须先禁用Directory服务,然后重新提供同一集群。

    联系Cisco TAC支持以禁用Directory服务。

  • 在同步协议页中,每次执行同步下次重新同步时间 字段将处于活动状态。但是,当启用了仅执行一次同步 选项时,这些字段在Unified CM服务器中呈灰色。目前,这是Webex呼叫-专用实例目录服务配置功能中的一个限制,该功能将在即将发布的版本中固定。

  • 在Azure门户中删除的用户在Webex身份服务中处于非活动状态,但在Unified CM中似乎处于活动状态。

    解决方法:转至管理 > 用户,然后从Control Hub删除该用户。在Unified CM中,用户被标记为非活动

  • 在为大型组织(拥有超过80,000名用户)配置新集群时,您当前将经历“超时”。此问题将很快得到解决。

  • 在配置期间,单击“启用同步”页面上的放弃继续启用同步 按钮时,集群状态不会在用户界面中立即改变。此限制具有误导性,因为行动发生在后端。

    解决方法:避免两次单击按钮,并在几秒钟后检查集群状态。您将看到集群状态从所需操作 更改为处理。这个问题将很快得到解决。

  • 目前,当Unified Communications Manager网络关闭时,启用同步 功能停止响应。

    解决方法:联系Cisco TAC支持以禁用Directory服务。等待一分钟,然后再次开始设置Directory服务。此问题将在即将发布的版本中得到解决。

  • 在配置期间,由于与Webex Common Identity Service的同步问题,组详细信息列表不会填充。建议用户放弃预定,并在一段时间后重试。

  • 如果您在已配置的集群上再次配置目录同步,建议在此过程中将Webex呼叫-专用实例业务单位参与。