- 首頁
- /
- 文章
透過Webex通用身份識別為專用實例整合目錄服務
使用 Control Hub 介面透過Webex公共身份識別服務,將雲端目錄 ( Microsoft Azure AD) 或內部部署目錄 (MS AD) 的使用者同步到專用實例叢集 (Unified CM和Cisco Unity Connection )。
概觀
將雲端目錄(例如 Azure AD)中的使用者同步到專用實例應用程式(例如Unified CM和Cisco Unity Connection with Cloud Directory Service)。 同步化期間,系統會從 Azure Active Directory(或類似的雲端目錄服務)匯入會同步到 Webex 身分識別服務的使用者清單。 您需要從需同步化的 Control Hub 選取 Unified CM 叢集、選取適當的 Unified CM 使用者 ID 欄位對應,然後再選取執行同步化所需的同步化協議。
先決條件
如果將 Azure Active Directory用作雲端目錄,請參閱在 Control Hub 中設定 Azure AD 精靈應用程式獲取更多資訊。
如果您使用Microsoft Active Directory作為目錄,請參閱部署 Directory Connector獲取更多資訊。
如果Unified CM已與現有的Active Directory系統整合,請確保那些 Active Directory 已與Webex一般身份識別整合。
檢視叢集詳細資料
從 Control Hub 的管理頁面選擇要將使用者資料與之同步的叢集。
此選項也會提供叢集詳細資料,例如叢集名稱、叢集同步化狀態、最後同步化狀態及相關產品。
叢集詳細資料 | 說明 |
---|---|
叢集名稱 |
叢集的名稱 |
狀態 |
同步化狀態 |
前次同步時間 |
最後同步化日期 |
產品 |
產品詳細資料 |
目錄同步
根據您的需求,您可以使用 Directory Connector 將內部部署Active Directory的使用者同步至 Control Hub,或直接從 Azure 目錄同步至 Control Hub,然後將其同步至Unified CM。
執行下列其中一項:
若要直接將使用者從 Azure 目錄同步到 Control Hub,請遵循從 Azure 目錄同步使用者程序。
若要使用 Directory Connector 將使用者從內部部署Active Directory同步到 Control Hub,請遵循從內部部署Active Directory同步使用者程序。
從 Azure Directory 同步使用者
專用實例目錄服務同步允許您將最終使用者資料從 Azure 目錄匯入Unified CM資料庫,使其顯示在「一般使用者組態」視窗中。
使用 Azure Directory 同步使用者:
遵循程序配置目錄同步將 Control Hub 中的使用者同步至Cisco Unified CM。
從內部部署Active Directory同步使用者
可使用 Directory Connector 將內部部署 Active Directory 使用者同步至通用身分識別 (CI)。
目錄服務僅支援SSO部署。 請參閱Control Hub 中的單一登入整合和基於SAML的SSO解決方案獲取更多資訊。
從內部部署 Active Directory 同步使用者:
使用 Directory Connector 將Active Directory使用者與通用身份識別 (CI) 同步。 您可以從 Control Hub 下載連接器軟體,並將其安裝在您的本地機器上。 詳情請參閱 Directory Connector 部署指南。
請遵循 中的程序配置目錄同步將 Control Hub 中的使用者同步到Unified CM 。
設定目錄同步
有時候,您可能會在佈建叢集時發現更多延遲現象。 在這種情況下,佈建作業仍然會進行,雖然作業會相當耗時。
登入 Control Hub:https://admin.webex.com/login。
轉至服務 > 通話 > 專用實例 > 管理。
選取 UC 應用程式,然後在右側面板中按一下設定(位於啟用目錄同步下方)。
在欄位對應組態視窗中,確定針對 Unified CM 使用者 ID 欄位所選的對應只在您開始佈建後,識別該叢集內的使用者。
選擇適當的 Unified CM 使用者 ID 欄位對映,以從 Webex 同步使用者:
Unified CM 中的使用者 ID 欄位可對映至 Webex 中使用者的電子郵件 ID。
Unified CM 中的郵件 ID 欄位可對映至 Webex 中使用者的電子郵件 ID。
Unified CM 中的使用者 ID 欄位可對映至 Webex 中使用者的電子郵件 ID(不含網域部分)。
如果無法為 Unified CM 中的現有使用者帳戶成功執行對應,則會建立新的使用者帳戶。 使用者的電子郵件 ID 將用作新建使用者帳戶的唯一識別碼。 此附註適用於選項 1 和 2。
選項
Unified CM
Control Hub
選項 1
Unified CM中的使用者 ID 欄位會對應Webex中使用者的電子郵件 ID
選項 2
Unified CM中的郵件 ID 欄位會對應Webex中使用者的電子郵件ID
選項 3
Unified CM中的使用者 ID 欄位會對應Webex中不含使用者的網域部分的電子郵件ID
按下一步。
從用於建立新同步協議的下拉式清單中選取一份協議。 新協議建立完成後,指向內部部署目錄的所有現有同步協議均會遭到刪除。 您可在新同步協議建立完成後予以變更。
開始同步化之前,請先在協議預覽區段中檢視使用者清單和聯絡詳細資料(Unified Communications Manager 中提供現有外部 LDAP 目錄詳細資料)。 您可以檢視下列詳細資料:
群組資訊
預設情況下,所有使用者都與使用者等級 5 同步。 這可在群組資訊視窗中驗證。
已套用的功能群組範本(具備通用線路及裝置範本)
已插入使用者適用的已同步電話號碼線路和遮罩詳細資料
新佈建使用者和其分機
待同步標準使用者欄位區段
目錄伺服器主機名稱或 IP 位址
按一下下一個以選取群組篩選器。
群組資訊部分不適用於Cisco Unity Connection ,因此將不會在「協議預覽」部分中顯示。
從選取群組下拉式清單選取欲同步的特定群組。 若您想要選取所有使用者群組,請按一下選取所有群組。
預設情況下,將同步化所有使用者。 若您不選取任何群組,系統會自動同步所有使用者及相關的使用者資料。
使用者必須在佈建時,特別針對目錄中的巢狀群組選取子集使用者群組,因為子集使用者群組並未預設隨父群組一併納入。 您需要確認任何重複巢狀狀況(若有的話),以確保佈建時只納入所需的使用者。
若在定期同步化期間對同步協議做任何更動(例如移除目標使用者或群組),更動內容將不會傳入。 必須重設該叢集的目錄服務,再用新的或修訂過的同步協議重新佈建叢集。 如需重設所需叢集的目錄服務,請洽 Cisco TAC 支援部門。
按一下下一步,準備進行同步化流程。
在啟用同步化視窗中,將系統順利把使用者資料複製到 Unified CM 中的暫存空間後開始同步化的功能啟用,新的同步協議也隨即建立完成(如下列螢幕截圖所示的步驟 1 和 2 之後)。
下載報告選項可供您檢視部分結果。 若要擷取該 Unified CM 叢集的完整報告,請執行下列 CLI 指令: file get activelog /cm/trace/CIService/log4j/DryRunResults.csv
如果您無法存取,請聯絡Cisco TAC支援以下載報告。
演練結果顯示如下:
新使用者 — 使用者未出現在 Unified CM 中,卻顯示在 Webex 身分識別服務中。 啟用同步化後,在 Unified CM 中建立使用者。
相符使用者 — 使用者出現在 Unified CM 和 Webex 身分識別服務中。 同步化完成後,這些使用者仍然會在 Unified CM 中保持作用中狀態。
不相符使用者 — 使用者出現在 Unified CM 和 Webex 身分識別服務中。 不相符的使用者在同步完成後在Unified CM中被標記為非活躍狀態,並且在 24 小時內處於非活躍狀態後將被丟棄。
您可以瀏覽報告並決定是否要保留相同的使用者清單,以及新增或刪除使用者。 請視您的決定,按一下放棄,以停止流程並還原佈建變更。
完成同步化協議確認後,按一下在 Unified CM 中預覽,以登入至您的基礎架構,並變更新建立的同步化協議。
您只能夠編輯群組資訊。 您無法將協議更名,或修改任何詳細資料。
按一下啟用同步化,進行同步化
同步化期間,您將無法在完成同步化之前執行任何動作。 特定叢集的同步化完成後,目錄服務頁面即會列出此叢集及佈建狀態 此時,您已成功授權 Azure AD 佈建和同步 Webex 使用者至 UC 基礎架構,並完成設定同步的步驟。
您必須在新協議建立後的 18 小時內啟用同步。 LDAP 同步使用者變成非作用中狀態,並在 24 小時無作用後遭到移除。 使用者將無法登入及使用 Unified CM 服務。
完成特定叢集的 Azure AD 佈建後,您就無法建立任何新的同步化協議,也無法修改相同叢集的任何組態設定,您只能修改群組設定。 若要重設目錄服務,請洽 Cisco TAC 支援部門。 接著您即可建立新的佈建協議。
順利完成佈建後,若您在 SSO 驗證期間使用 Azure IdP,請確定您在 Azure IdP 中組態正確的宣告。 例如,若在佈建時針對 userid 選取選項 1,請務必在其他宣告區段中將該 user.userprincipalname 設定為 UID。
定期同步
Webex 定期同步不需要您的干預。 但是,您可以透過觀察以驗證一天中是否已進行定期同步。最後同步時間為Control Hub 上的「叢集詳細資料」頁中的欄。 時間戳記會更新,以反映叢集發生定期同步的時間。
Unified CM
Cisco Unity Connection
Unified CM或Cisco Unity Connection中的LDAP目錄
同步過程會建立預設LDAP 目錄。
雖然設定顯示同步一次,Control Hub 會每隔 24 小時將通用身份識別上的周期變更同步至Unified CM或Cisco Unity Connection。
檢視同步化狀態
在目錄同步化狀態欄中檢視同步化狀態。 按一下 UC 應用程式,使右側面板顯示佈建狀態、最後同步狀態和失敗原因(若有的話)。 您也可以選取本地時區。 已選取預設瀏覽器時區。
佈建狀態
佈建狀態 | 說明 |
---|---|
正在處理 |
佈建正在進行中 |
所需的動作 |
若需針對特定叢集進行任何手動干預措施,請採取必要的步驟。
|
錯誤 |
若啟用同步化精靈中有任何所需的動作,請確認並採取必要的動作。 |
Active |
叢集佈建已完成。 |
未佈建 |
叢集佈建尚未開始。 |
針對 Unity Connection 匯入使用者
在 Control Hub 中完成叢集佈建後,您可手動從 Cisco Unity Connection 中的匯入使用者手動匯入 Azure AD 使用者。
有兩種方式可以匯入使用者:
1 | 在 Cisco Unity Connection Administration 中,展開使用者並選取匯入使用者。 |
2 | 在匯入使用者頁面中,匯入LDAP 目錄使用者帳戶,以建立 Unity Connection 使用者。 |
1 | 在 Cisco Unity Connection Administration 中,展開工具並選取批量管理工具。 |
2 | 若要新增 Unity Connection 使用者,請在批量管理工具頁面上執行下列步驟: |
3 | 匯入完成後,檢視您在失敗物件檔案名稱欄位中指定的檔案,確認已順利建立所有使用者。 |
疑難排解同步化問題
本節提供必要的資訊和解決方案,可解決您從 Control Hub 將使用者同步到 Unified Communications Manager 資料庫的各個階段可能會遭遇到的常見問題。
不相符的使用者
在建立新協議後的 18 小時內啟用同步。 系統會將既有的使用者標記為非作用中,並在 24 小時無作用後將之從 Unified CM 刪除。
錯誤 – 資料複製失敗。 請重試
專用實例和 Webex 雲端之間的通訊已中斷,或無法從 Webex 雲端擷取使用者資料。
專用實例和 Unified CM 之間的通訊已中斷,或無法將使用者資料匯入 Unified CM 資料庫。
未將使用者資料複製到暫存位置。
錯誤 – 無法建立同步化協議。 請重試
專用實例和 Unified CM 之間的通訊已中斷,或無法將同步化協議資料匯入 Unified CM 資料庫。
未順利建立同步化協議。
無法取得同步協議詳細資料。 請稍後再試。
專用實例和 Unified CM 之間的通訊已中斷。
Webex Calling 專用實例目錄服務同步化的已知問題和限制
如果遇到與此功能相關的問題,請確認是否為已知問題以及是否具有建議的因應措施。
Webex Calling 專用實例目錄服務佈建無法與 LDAP 驗證搭配使用,因為只有使用者資料會同步化而不是 Unified CM 伺服器的密碼,因此 LDAP 驗證無法發揮作用。
因應措施: 必須使用單一登入 (SSO) 執行登入作業。 此文件僅涵蓋單一登入 (SSO) 整合。
若您希望使用者透過其企業身份識別提供者來驗證,請組態單一登入 (SSO)。 詳情請參閱 Control Hub 中的單一登入整合 以及 SAML 式 SSO 解決方案 。
若要停用目錄服務,請洽 Cisco TAC 支援部門。 請稍待片刻再開始設定目錄服務。
刪除後,若您想要再次將相同的 Unified CM 叢集導入組織,您必須先停用目錄服務,然後再重新佈建相同的叢集。
若要停用目錄服務,請洽 Cisco TAC 支援部門。
在同步化協議頁面中,執行同步化間隔和下一次重新同步時間欄位顯示為作用中狀態。 但若啟用只執行一次同步化選項,這些欄位會在 Unified CM 伺服器中呈現灰色。 Webex Calling 專用實例目錄服務佈建功能目前有一項限制,我們會在即將推出的新版本中加以修正。
在 Azure 入口網站中刪除的使用者會在 Webex 身分識別服務中變成非作用中狀態,但會在 Unified CM 中顯示為作用中狀態。
因應措施: 前往管理 > 使用者,從 Control Hub 刪除使用者。 在 Unified CM 中,使用者會被標記成非作用中狀態。
為更大型的企業(超過 8 萬名使用者)佈建新叢集時,您目前會遭遇到逾時問題。 這個問題將很快獲得解決。
佈建時,若您按一下啟用同步化頁面上的放棄、繼續及啟用同步化按鈕,使用者介面上的叢集狀態不會立刻變更。 此限制會誤導使用者,因為動作是在後端執行。
因應措施: 請不要連按兩下按鈕,並在幾秒鐘後確認叢集狀態。 您會看到叢集狀態從所需的動作變成處理中。 這個問題將很快獲得解決。
現在,當 Unified Communications Manager 網路斷線時,啟用同步化功能會有停用的問題。
因應措施: 若要停用目錄服務,請洽 Cisco TAC 支援部門。 請稍待片刻再開始設定目錄服務。 我們將在即將推出的版本中修正這個問題。
佈建時,群組詳細資料不會傳入,這是因為 Webex 通用身分識別服務有同步化問題。 建議使用者放棄佈建,並在一段時間後重試。