安装 Directory Connector

登录 Directory Connector

设置自动升级

选择要同步的Active Directory对象

映射用户属性

使用以下程序之一同步目录头像：

• 将目录头像从Active Directory属性同步到云
• 将目录头像从资源服务器同步到云

将本地会议室信息同步到Webex云

要将用户从Active Directory预配置到Control Hub中，请执行以下步骤：

• 对您的Active Directory用户执行测试同步
• 将Active Directory用户完全同步到云端。
• 在Control Hub中将Webex服务分配给目录同步用户

在 Control Hub 中，转至 > 用户 > 目录同步，然后选择 一步。

单击下载并安装链接，将最新版本的连接器安装。zip文件保存到您的VMware或Windows服务器。

您可以直接从此链接获取。zip文件，但必须拥有对Control Hub组织的完全管理访问权限，才能使用此软件。

对于新的安装，请获取最新版本的软件，以便使用最新的功能和缺陷修复。 安装软件后，系统会通过软件报告升级，并在可用时自动安装。

在VMware或Windows服务器上，解压缩并运行设置文件夹中的。msi文件以启动设置向导。

单击下一步，选中复选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。

选择您要使用的服务帐户类型，然后使用管理帐户执行安装：

• 本地系统 - 缺省选项。 如果您已经通过 Internet Explorer 配置了代理，可以使用此选项。
• 域帐户 - 如果计算机是域的一部分，请使用此选项。 Directory Connector 必须与网络服务交互才能访问域资源。 您可以输入帐户信息，然后单击确定。 输入用户名时，请使用格式 {domain}\{user_name}

  对于与 AD 集成的代理（NTLMv2 或 Kerberos），必须使用域帐户选项。 用于运行 Directory Connector 服务的帐户必须有足以通过代理和访问 AD 的权限。

单击安装。 网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

打开连接器，然后添加 https://idbroker.webex.com 查看受信任站点列表（如果您看到提示）。

如果出现提示，请使用代理验证凭证登录，然后使用管理员帐户登录Webex，然后单击下一步。

确认组织和域。

• 如果选择 AD DS，请检查 基于SSL的LDAP 以使用安全的LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击“确认”。

  如果不检查 基于SSL的LDAP，DirSync将继续使用LDAP连接协议。

  LDAP（轻量级目录应用程序协议）和安全LDAP (LDAPS)是基础结构中应用程序与域控制器之间使用的连接协议。 LDAPS通信已加密且安全。

• 如果您选择 AD LDS，请输入主机、域和端口，然后单击刷新按钮以加载所有应用程序分区。 然后从下拉列表中选择分区并单击“确认”。 请参阅 AD LDS 部分了解更多信息。

  在 CloudConnectorCommon.dll 配置文件，请确保您添加 ADAuth级设置为应用程序设置节点。 值可以是1、2或3。 请参阅Microsoft的这篇文章，了解有关AuthenticationTypes 的更多信息。 以下是值为1的设置示例： <appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>

在确认组织屏幕出现后，单击确认。

单击“确认”。

根据您要绑定到 Directory Connector 的 Active Directory 域数量选择一项：

• 如果您只有一个 AD LDS 域，则绑定到现有 AD LDS 源，然后单击确认。
• 如果您只有一个 AD DS 域，则绑定到现有域或新域。 如果您选择绑定到新域，单击下一步。

  因为现有的源类型是 AD DS，所以不能为新的绑定选择 AD LDS。

• 如果您有多个域，请从列表中选择一个现有域，或选择绑定到新域，然后单击下一步。

  因为您有多个域，所以现有源类型必须是 AD DS。 如果您选择绑定到新域并单击下一步，则不能为新的绑定选择 AD LDS。

从Directory Connector转至 > ，然后选中 升级到新的Cisco目录连接器版本。

单击应用以保存您所做的更改。

在 Directory Connector 中，转至配置，然后单击对象选择。

在对象类型部分，选中用户，并考虑限制用户的可搜索容器数量。

选中“识别聊天室”以将聊天室数据与用户数据分开。 如果要设置其他属性将用户数据标识为协作室数据，请单击自定义。

如果要将Active Directory用户组同步到云端，请选中组。

不要将用户同步LDAP过滤器添加到“组”字段。 您应该仅使用组字段将组数据本身同步到云。

缺省情况下，不会为新客户同步组。 您必须启用组同步。 您还必须同步安全组。

如果要将用户的联系信息同步到云，请检查联系人。

Directory Connector仅管理由该连接器同步的联系人。 如果Control Hub中已经存在联系人，同步不会删除联系人。 如果将联系人从同步范围中删除，Control Hub中的 信息 也将删除。

配置 LDAP 过滤器。 您可以通过提供有效的 LDAP 过滤器来添加扩展的过滤器。 请参阅本文，了解有关配置LDAP过滤器的更多信息。

单击选择以查看Active Directory的树形结构，指定要同步的本地基本DN。 您可以在此选择或取消选择要搜索的容器。

勾选您要在此次配置中添加的对象，然后单击“选择”。

单击 Apply（应用）。

在 Directory Connector 中，单击配置，然后选择用户属性映射。

向下滚动至 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性 uid：

• mail—大多数部署使用电子邮件格式。
• userPrincipalName—如果您的邮件属性用于Active Directory中的其他目的，则可以选择。 此属性必须为电子邮件格式。

您可以将任何其他Active Directory属性映射到uid，但我们建议您使用mail或userPrincipalName，如上述指导原则所述。 在某些情况下，userPrincipalName用于登录，但用户的电子邮件地址用于管理其日历。 您必须确保日历管理的电子邮件地址映射到Webex中的主电子邮件地址字段。 添加userPrincipalName作为备用电子邮件地址。 要查看Active Directory中的哪些属性在云端对应，请参阅在Directory Connector中映射Active Directory属性。

要使同步生效，您必须确保您选择的Active Directory属性为电子邮件格式。 目录连接器会显示一个弹出窗口，提醒您如果不选择推荐的属性之一。

如果预定义的Active Directory属性不适用于您的部署，请单击属性下拉列表，滚动至底部，然后选择自定义属性以打开一个允许您定义属性表达式的窗口。

单击帮助获取有关表达式的更多信息，并查看表达式工作方式的示例。 您还可以参阅自定义属性的表达式了解详细信息。

在此示例中，我们将Active Directory属性映射 givenName 和 Sn 到云属性 displayName:

1. 将属性表达式定义为 givenName + "" + Sn （引号是一个额外的空间），然后提供现有的用户电子邮件进行验证。

2. 单击验证，查看结果是否符合您的预期。

   成功的结果如下：

   

3. 如果结果符合您的预期，请单击确定保存新的自定义属性。

   稍后，如果您要更改 displayName ，您可以输入新的属性表达式

目录连接器验证标识服务中uid的属性值，并在当前用户过滤器选项下检索3个可用的用户。 如果这3个用户都使用有效的电子邮件格式，Cisco目录连接器将显示以下消息： 如果无法验证属性，您将看到以下警告，并且可以返回到Active Directory检查和修复用户数据：

（可选）如果您希望移动电话号码和工作号码显示在Webex应用程序中的用户名片中，请选择移动和phoneNumber的映射。

选择其他映射以显示在联系人卡片中的更多数据：

• departmentNumber
• displayName
• manager
• title

选定后单击应用。

在Directory Connector中，转至 Configuration（配置），单击Avatar，然后选中Enable（启用）。

对于获取头像从，选择 AD属性，然后选择包含您要同步到云的原始头像数据的头像属性。

要验证是否正确访问了头像，请输入用户的电子邮件地址，然后单击获取用户的头像。

确认头像显示正确后，单击应用以保存更改。

在Directory Connector中，转至 Configuration（配置），单击Avatar，然后选中Enable（启用）。

对于从获取头像，选择资源服务器，然后输入头像URI模式—例如， http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}.jpg

• http://www.example.com/dir/photo/zoom/—要同步的所有照片所在的路径。 它必须是服务器上的目录连接器服务必须能够访问的URL。
• mail：—通知Directory Connector从Active Directory获取mail属性的值
• .*？(？=@。*)-执行以下功能的正则表达式语法：

  • .*-重复零次或多次的任意字符。

  • ?—使前面的变量匹配尽可能少的字符。

  • (?= ... )-匹配主表达式后的组，但不将其包含在结果中。 Directory Connector查找匹配，但不会将其包含在输出中。

  • @.*-在符号后跟任意字符，重复零次或多次。

• .jpg -用户头像的文件扩展名。 请参阅本文档 中支持的文件类型，并相应地更改扩展名。

（可选）如果您的资源服务器需要凭证，请选中为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。

输入变量值 - 例如： abcd@example.com。

单击测试以确保头像URI模式正常工作。

在验证URI信息并显示正确后，单击应用(Apply)。

从Directory Connector，转至 Synchronization（同步），单击更多在同步域旁边，单击配置，然后选择对象选择。

检查 协作室信息到云 以在同步期间将协作室数据与用户数据分开。

转至 属性映射，然后更改云属性的 sipAddresses；type=enterprise的属性映射。

要使用值验证，SIP地址的值应为 Pattern.compile("^([^@])(.*)@(.*)$")

• 选择 <UNK> SRTCSIP-PrimaryUserAddress （如果可用）。
• 如果您在Active Directory架构中没有上述属性，请使用其他字段，例如 ipPhone。

在Exchange中创建协作室资源邮箱。 这将添加msExchResourceMetaData；ResourceType ：协作室属性，连接器随后使用该属性来标识协作室。

从Active Directory用户和计算机，导航到并编辑协作室的属性。 添加带有sip前缀的完全限定SIP URI：

执行测试同步，然后在连接器中执行完整运行同步。

在Directory Connector中，单击 Configuration（配置），然后选择Notification（通知）。

在Directory Connector中，单击 Settings（设置），然后在 Email Receiver（电子邮件接收器）旁边，打开 Enable synchronization（启用报告同步）。

如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选中启用通知。

单击 添加，然后输入电子邮件地址。

单击添加电子邮件，然后输入电子邮件地址。

如果您需要编辑输入的任何电子邮件地址，请双击左列中的电子邮件条目，然后进行所需的更改。

添加所有有效的电子邮件地址后，单击应用。

添加所有有效的电子邮件地址后，单击保存。

对您的Active Directory用户执行测试同步

将Active Directory用户完全同步到云端。

在Control Hub中将Webex服务分配给目录同步用户

安装 Directory Connector

登录 Directory Connector

设置自动升级

选择要同步的Active Directory对象

映射用户属性

使用以下程序之一同步目录头像：

• 将目录头像从Active Directory属性同步到云
• 将目录头像从资源服务器同步到云

将本地会议室信息同步到Webex云

要将用户从Active Directory预配置到Control Hub中，请执行以下步骤：

• 对您的Active Directory用户执行测试同步
• 将Active Directory用户完全同步到云端。
• 在Control Hub中将Webex服务分配给目录同步用户

在 Control Hub 中，转至 > 用户 > 目录同步，然后选择 一步。

单击下载并安装链接，将最新版本的连接器安装。zip文件保存到您的VMware或Windows服务器。

您可以直接从此链接获取。zip文件，但必须拥有对Control Hub组织的完全管理访问权限，才能使用此软件。

对于新的安装，请获取最新版本的软件，以便使用最新的功能和缺陷修复。 安装软件后，系统会通过软件报告升级，并在可用时自动安装。

在VMware或Windows服务器上，解压缩并运行设置文件夹中的。msi文件以启动设置向导。

单击下一步，选中复选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。

选择您要使用的服务帐户类型，然后使用管理帐户执行安装：

• 本地系统 - 缺省选项。 如果您已经通过 Internet Explorer 配置了代理，可以使用此选项。
• 域帐户 - 如果计算机是域的一部分，请使用此选项。 Directory Connector 必须与网络服务交互才能访问域资源。 您可以输入帐户信息，然后单击确定。 输入用户名时，请使用格式 {domain}\{user_name}

  对于与 AD 集成的代理（NTLMv2 或 Kerberos），必须使用域帐户选项。 用于运行 Directory Connector 服务的帐户必须有足以通过代理和访问 AD 的权限。

单击安装。 网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

打开连接器，然后添加 https://idbroker.webex.com 查看受信任站点列表（如果您看到提示）。

如果出现提示，请使用代理验证凭证登录，然后使用管理员帐户登录Webex，然后单击下一步。

确认组织和域。

• 如果选择 AD DS，请检查 基于SSL的LDAP 以使用安全的LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击“确认”。

  如果不检查 基于SSL的LDAP，DirSync将继续使用LDAP连接协议。

  LDAP（轻量级目录应用程序协议）和安全LDAP (LDAPS)是基础结构中应用程序与域控制器之间使用的连接协议。 LDAPS通信已加密且安全。

• 如果您选择 AD LDS，请输入主机、域和端口，然后单击刷新按钮以加载所有应用程序分区。 然后从下拉列表中选择分区并单击“确认”。 请参阅 AD LDS 部分了解更多信息。

  在 CloudConnectorCommon.dll 配置文件，请确保您添加 ADAuth级设置为应用程序设置节点。 值可以是1、2或3。 请参阅Microsoft的这篇文章，了解有关AuthenticationTypes 的更多信息。 以下是值为1的设置示例： <appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>

在确认组织屏幕出现后，单击确认。

单击“确认”。

根据您要绑定到 Directory Connector 的 Active Directory 域数量选择一项：

• 如果您只有一个 AD LDS 域，则绑定到现有 AD LDS 源，然后单击确认。
• 如果您只有一个 AD DS 域，则绑定到现有域或新域。 如果您选择绑定到新域，单击下一步。

  因为现有的源类型是 AD DS，所以不能为新的绑定选择 AD LDS。

• 如果您有多个域，请从列表中选择一个现有域，或选择绑定到新域，然后单击下一步。

  因为您有多个域，所以现有源类型必须是 AD DS。 如果您选择绑定到新域并单击下一步，则不能为新的绑定选择 AD LDS。

从Directory Connector转至 > ，然后选中 升级到新的Cisco目录连接器版本。

单击应用以保存您所做的更改。

在 Directory Connector 中，转至配置，然后单击对象选择。

在对象类型部分，选中用户，并考虑限制用户的可搜索容器数量。

选中“识别聊天室”以将聊天室数据与用户数据分开。 如果要设置其他属性将用户数据标识为协作室数据，请单击自定义。

如果要将Active Directory用户组同步到云端，请选中组。

不要将用户同步LDAP过滤器添加到“组”字段。 您应该仅使用组字段将组数据本身同步到云。

缺省情况下，不会为新客户同步组。 您必须启用组同步。 您还必须同步安全组。

如果要将用户的联系信息同步到云，请检查联系人。

Directory Connector仅管理由该连接器同步的联系人。 如果Control Hub中已经存在联系人，同步不会删除联系人。 如果将联系人从同步范围中删除，Control Hub中的 信息 也将删除。

配置 LDAP 过滤器。 您可以通过提供有效的 LDAP 过滤器来添加扩展的过滤器。 请参阅本文，了解有关配置LDAP过滤器的更多信息。

单击选择以查看Active Directory的树形结构，指定要同步的本地基本DN。 您可以在此选择或取消选择要搜索的容器。

勾选您要在此次配置中添加的对象，然后单击“选择”。

单击 Apply（应用）。

在 Directory Connector 中，单击配置，然后选择用户属性映射。

向下滚动至 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性 uid：

• mail—大多数部署使用电子邮件格式。
• userPrincipalName—如果您的邮件属性用于Active Directory中的其他目的，则可以选择。 此属性必须为电子邮件格式。

您可以将任何其他Active Directory属性映射到uid，但我们建议您使用mail或userPrincipalName，如上述指导原则所述。 在某些情况下，userPrincipalName用于登录，但用户的电子邮件地址用于管理其日历。 您必须确保日历管理的电子邮件地址映射到Webex中的主电子邮件地址字段。 添加userPrincipalName作为备用电子邮件地址。 要查看Active Directory中的哪些属性在云端对应，请参阅在Directory Connector中映射Active Directory属性。

要使同步生效，您必须确保您选择的Active Directory属性为电子邮件格式。 目录连接器会显示一个弹出窗口，提醒您如果不选择推荐的属性之一。

如果预定义的Active Directory属性不适用于您的部署，请单击属性下拉列表，滚动至底部，然后选择自定义属性以打开一个允许您定义属性表达式的窗口。

单击帮助获取有关表达式的更多信息，并查看表达式工作方式的示例。 您还可以参阅自定义属性的表达式了解详细信息。

在此示例中，我们将Active Directory属性映射 givenName 和 Sn 到云属性 displayName:

1. 将属性表达式定义为 givenName + "" + Sn （引号是一个额外的空间），然后提供现有的用户电子邮件进行验证。

2. 单击验证，查看结果是否符合您的预期。

   成功的结果如下：

   

3. 如果结果符合您的预期，请单击确定保存新的自定义属性。

   稍后，如果您要更改 displayName ，您可以输入新的属性表达式

目录连接器验证标识服务中uid的属性值，并在当前用户过滤器选项下检索3个可用的用户。 如果这3个用户都使用有效的电子邮件格式，Cisco目录连接器将显示以下消息： 如果无法验证属性，您将看到以下警告，并且可以返回到Active Directory检查和修复用户数据：

（可选）如果您希望移动电话号码和工作号码显示在Webex应用程序中的用户名片中，请选择移动和phoneNumber的映射。

选择其他映射以显示在联系人卡片中的更多数据：

• departmentNumber
• displayName
• manager
• title

选定后单击应用。

在Directory Connector中，转至 Configuration（配置），单击Avatar，然后选中Enable（启用）。

对于获取头像从，选择 AD属性，然后选择包含您要同步到云的原始头像数据的头像属性。

要验证是否正确访问了头像，请输入用户的电子邮件地址，然后单击获取用户的头像。

确认头像显示正确后，单击应用以保存更改。

在Directory Connector中，转至 Configuration（配置），单击Avatar，然后选中Enable（启用）。

对于从获取头像，选择资源服务器，然后输入头像URI模式—例如， http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}.jpg

• http://www.example.com/dir/photo/zoom/—要同步的所有照片所在的路径。 它必须是服务器上的目录连接器服务必须能够访问的URL。
• mail：—通知Directory Connector从Active Directory获取mail属性的值
• .*？(？=@。*)-执行以下功能的正则表达式语法：

  • .*-重复零次或多次的任意字符。

  • ?—使前面的变量匹配尽可能少的字符。

  • (?= ... )-匹配主表达式后的组，但不将其包含在结果中。 Directory Connector查找匹配，但不会将其包含在输出中。

  • @.*-在符号后跟任意字符，重复零次或多次。

• .jpg -用户头像的文件扩展名。 请参阅本文档 中支持的文件类型，并相应地更改扩展名。

（可选）如果您的资源服务器需要凭证，请选中为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。

输入变量值 - 例如： abcd@example.com。

单击测试以确保头像URI模式正常工作。

在验证URI信息并显示正确后，单击应用(Apply)。

从Directory Connector，转至 Synchronization（同步），单击更多在同步域旁边，单击配置，然后选择对象选择。

检查 协作室信息到云 以在同步期间将协作室数据与用户数据分开。

转至 属性映射，然后更改云属性的 sipAddresses；type=enterprise的属性映射。

要使用值验证，SIP地址的值应为 Pattern.compile("^([^@])(.*)@(.*)$")

• 选择 <UNK> SRTCSIP-PrimaryUserAddress （如果可用）。
• 如果您在Active Directory架构中没有上述属性，请使用其他字段，例如 ipPhone。

在Exchange中创建协作室资源邮箱。 这将添加msExchResourceMetaData；ResourceType ：协作室属性，连接器随后使用该属性来标识协作室。

从Active Directory用户和计算机，导航到并编辑协作室的属性。 添加带有sip前缀的完全限定SIP URI：

执行测试同步，然后在连接器中执行完整运行同步。

在Directory Connector中，单击 Configuration（配置），然后选择Notification（通知）。

在Directory Connector中，单击 Settings（设置），然后在 Email Receiver（电子邮件接收器）旁边，打开 Enable synchronization（启用报告同步）。

如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选中启用通知。

单击 添加，然后输入电子邮件地址。

单击添加电子邮件，然后输入电子邮件地址。

如果您需要编辑输入的任何电子邮件地址，请双击左列中的电子邮件条目，然后进行所需的更改。

添加所有有效的电子邮件地址后，单击应用。

添加所有有效的电子邮件地址后，单击保存。

对您的Active Directory用户执行测试同步

将Active Directory用户完全同步到云端。

在Control Hub中将Webex服务分配给目录同步用户