透過 Webex Common Identity 整合目錄服務，適用於專用實例

概觀

使用雲端目錄服務將使用者從基於雲端的目錄（例如 Azure AD）同步到專用實例應用程式（例如 Unified CM 和 Cisco Unity Connection）。在同步過程中，系統會將 Azure Active Directory（或類似的雲端目錄服務）中的使用者清單和關聯的使用者資料匯入到 Webex Identity Service 中。從控制中心選擇要同步的 Unified CM 集群，選擇相應的 Unified CM 使用者 ID 欄位映射，然後選擇所需的同步協定以完成同步。

必要條件

如果您使用 Azure Active Directory 作為雲端目錄，請參閱在 Control Hub 中設定 Azure AD 精靈應用程式以取得更多資訊。
如果您使用 Microsoft Active Directory 作為目錄，請參閱部署目錄連接器以取得更多資訊。
Directory Connector 發行說明
確保與 Unified CM 整合的現有 Active Directory 系統也與 Webex Common Identity 整合。

View cluster 詳細資料

在 Control Hub 的「管理」頁面中，選擇要與使用者資料同步的叢集。

此選項也會提供叢集詳細資料，例如叢集名稱、叢集同步化狀態、最後同步化狀態及相關產品。

叢集詳細資料	說明
叢集名稱	叢集的名稱
狀態	同步化狀態
前次同步時間	最後同步化日期
產品	產品詳細資料

目錄同步

根據您的需求，您可以使用目錄連接器將使用者從本機 Active Directory 同步到控制中心，或直接從 Azure 目錄同步到控制中心，然後再將他們同步到統一 CM。

執行下列其中一項：

若要將 Azure 目錄中的使用者直接同步到控制中心，請依照從 Azure 目錄同步使用者程序進行操作。
若要使用目錄連接器將使用者從本機 Active Directory 同步到 Control Hub，請依照從本機 Active Directory 同步使用者程序進行操作。

在非工作時間進行同步，以盡量減少對通話服務的影響。

從 Azure Directory 同步使用者

專用執行個體目錄服務同步可讓您將 Azure 目錄中的最終使用者資料匯入到統一 CM 資料庫中，以便將其顯示在最終使用者設定視窗中。

使用 Azure Directory 同步使用者：

您必須將 Azure Active Directory 使用者同步到控制中心。
依照設定目錄同步的步驟，將 Control Hub 中的使用者同步到 Cisco Unified CM。

從本機 Active Directory 同步用戶

可使用 Directory Connector 將內部部署 Active Directory 使用者同步至通用身分識別 (CI)。

目錄服務僅支援 SSO 部署。有關更多信息，請參閱 Control Hub 中的單點登入整合和基於 SAML 的 SSO 解決方案。

從內部部署 Active Directory 同步使用者：

使用目錄連接器將 Active Directory 使用者同步到通用身分 (CI)。您可以從 Control Hub 下載連接器軟體並將其安裝到您的本機電腦。詳情請參閱 Directory Connector 部署指南。
依照設定目錄同步中的步驟將 Control Hub 中的使用者同步到 Unified CM。

組態目錄同步化

有時候，您可能會在佈建叢集時發現更多延遲現象。在這種情況下，佈建作業仍然會進行，雖然作業會相當耗時。

登入控制中心 https://admin.webex.com/login。
轉至服務 > 通話 > 專用實例 > 管理。
選取 UC 應用程式，然後在右側面板中按一下設定（位於啟用目錄同步下方）。
在欄位對應組態視窗中，確定針對 Unified CM 使用者 ID 欄位所選的對應只在您開始佈建後，識別該叢集內的使用者。

選擇適當的 Unified CM 使用者 ID 欄位對映，以從 Webex 同步使用者：

Unified CM 中的使用者 ID 欄位對應於 Webex 中使用者的電子郵件 ID。
Unified CM 中的郵件 ID 欄位對應於 Webex 中使用者的電子郵件 ID。
Unified CM 中的使用者 ID 欄位對應於 Webex 中使用者的電子郵件 ID（不包含網域部分）。

如果無法成功為 Unified CM 中的現有使用者帳戶進行映射，則會建立一個新的使用者帳戶。使用者的電子郵件地址將用作新建立的使用者帳戶的唯一識別碼。本說明適用於選擇權1和2。

選項

Unified CM

Control Hub

選項 1

Unified CM 中的使用者 ID 欄位對應於 Webex 中使用者的電子郵件地址。

選項 2

Unified CM 中的郵件 ID 欄位對應於 Webex 中使用者的電子郵件地址。

選項 3

Unified CM 中的使用者 ID 欄位會對應到 Webex 中使用者的電子郵件 ID（不包含網域部分）。

按一下下一步。
從下拉清單中選擇協議，建立新的同步協議。建立新的同步協定後，指向本機目錄的所有一個或多個現有同步協定都將被刪除。建立新的同步協定後，您可以對其進行變更。
開始同步化之前，請先在協議預覽區段中檢視使用者清單和聯絡詳細資料（Unified Communications Manager 中提供現有外部 LDAP 目錄詳細資料）。您可以檢視下列詳細資料：
- 群組資訊
  
  預設情況下，所有使用者都與使用者等級 5 同步。這可以在「群組資訊」視窗中進行驗證。
- 已套用的功能群組範本（具備通用線路及裝置範本）
- 已插入使用者適用的已同步電話號碼線路和遮罩詳細資料
- 新佈建使用者和其分機
- 待同步的標準使用者欄位部分。
- 目錄伺服器主機名稱或 IP 位址
點選下一步選擇分組篩選器。

群組資訊部分不適用於 Cisco Unity Connection，因此在協定預覽部分不可見。
在 選擇群組 下拉清單中，選擇一個或多個要同步的特定群組。若您想要選取所有使用者群組，請按一下選取所有群組。

預設情況下，將同步化所有使用者。若您不選取任何群組，系統會自動同步所有使用者及相關的使用者資料。

使用者必須在佈建時，特別針對目錄中的巢狀群組選取子集使用者群組，因為子集使用者群組並未預設隨父群組一併納入。您必須檢查是否存在重複巢狀（如有），以確保在配置過程中只包含所需的使用者。

若在定期同步化期間對同步協議做任何更動（例如移除目標使用者或群組），更動內容將不會傳入。需要重置該叢集的目錄服務，然後使用新的或修改的同步協定重新配置該叢集。如需重設所需叢集的目錄服務，請洽 Cisco TAC 支援部門。
按一下下一步，準備進行同步化流程。
在啟用同步視窗中，一旦系統成功將使用者資料複製到 Unified CM 中的暫存空間並建立新的同步協定（如下螢幕截圖所示的步驟 1 和 2 之後），即可啟用同步。
下載報告選項可供您檢視部分結果。若要擷取該 Unified CM 叢集的完整報告，請執行下列 CLI 指令：file get activelog /cm/trace/CIService/log4j/DryRunResults.csv

如果您無法存取，請聯絡 Cisco TAC 支援部門下載報告。

此處，試運行結果顯示如下：
- 新使用者—使用者不在 Unified CM 中，但在 Webex Identity Service 中。啟用同步化後，在 Unified CM 中建立使用者。
- 符合使用者— 使用者存在於 Unified CM 和 Webex Identity Service 中。同步化完成後，這些使用者仍然會在 Unified CM 中保持作用中狀態。
- 不符合的使用者— 使用者同時存在於 Unified CM 和 Webex Identity Service 中。同步完成後，不匹配的用戶將在 Unified CM 中標記為不活躍用戶，並在 24 小時不活動後被刪除。
您可以瀏覽報告並決定是否要保留相同的使用者清單，以及新增或刪除使用者。請視您的決定，按一下放棄，以停止流程並還原佈建變更。
同步協定驗證完成後，點選 Unified CM 中的預覽登入您的基礎架構並變更新建立的同步協定。

您只能夠編輯群組資訊。您無法將協議更名，或修改任何詳細資料。
按一下啟用同步化，進行同步化

同步化期間，您將無法在完成同步化之前執行任何動作。特定叢集的同步化完成後，目錄服務頁面即會列出此叢集及佈建狀態此時，您已成功授權 Azure AD 佈建和同步 Webex 使用者至 UC 基礎架構，並完成設定同步的步驟。

新協定建立後，您必須在 18 小時內啟用同步功能。LDAP 同步使用者變成非作用中狀態，並在 24 小時無作用後遭到移除。使用者將無法登入及使用 Unified CM 服務。

完成特定叢集的 Azure AD 佈建後，您就無法建立任何新的同步化協議，也無法修改相同叢集的任何組態設定，您只能修改群組設定。若要重設目錄服務，請洽 Cisco TAC 支援部門。接著您即可建立新的佈建協議。

順利完成佈建後，若您在 SSO 驗證期間使用 Azure IdP，請確定您在 Azure IdP 中組態正確的宣告。例如，若在佈建時針對 userid 選取選項 1，請務必在其他宣告區段中將該 user.userprincipalname 設定為 UID。

週期性同步

叢集成功設定後，每天都會定期執行同步，以將 Webex Common Identity 中的使用者資料的任何修改同步到 Unified CM 和 Cisco Unity Connection。週期性同步不需要您的介入。但是，您可以透過觀察控制中心群集詳細資料頁面中的「上次同步時間」欄位來驗證當天是否已進行週期性同步。時間戳記已更新，以反映叢集週期性同步發生的時間。

Unified CM

Cisco Unity Connection

Unified CM 或 Cisco Unity Connection 中的 LDAP 目錄

同步過程中會建立一個預設的 LDAP 目錄。

雖然設定顯示同步一次，但 Control Hub 會以 24 小時週期性地將 Common Identity 與 Unified CM 或 Cisco Unity Connection 同步。

查看同步狀態

在目錄同步化狀態欄中檢視同步化狀態。按一下 UC 應用程式，使右側面板顯示佈建狀態、最後同步狀態和失敗原因（若有的話）。您也可以選取本地時區。已選取預設瀏覽器時區。

佈建狀態

佈建狀態	說明
正在處理	佈建正在進行中
所需的動作	若需針對特定叢集進行任何手動干預措施，請採取必要的步驟。若您想要在演練後繼續或放棄同步化。建立好新的協議後，確認是否有任何通知，並視需要採取必要的動作。
錯誤	若啟用同步化精靈中有任何所需的動作，請確認並採取必要的動作。
活動中	叢集佈建已完成。
未佈建	叢集佈建尚未開始。

為 Unity Connection 輸入使用者

在 Control Hub 中完成叢集佈建後，您可手動從 Cisco Unity Connection 中的匯入使用者手動匯入 Azure AD 使用者。

有兩種方式可以匯入使用者：

使用「導入使用者」工具從 LDAP 目錄資料建立 Unity Connection 用戶

在 Cisco Unity Connection 管理中，展開使用者並選擇匯入使用者。

在匯入使用者頁面中，匯入LDAP 目錄使用者帳戶，以建立 Unity Connection 使用者。

在「尋找最終使用者」欄位中選擇「LDAP 目錄」。
選取新使用者所在的範本。
指定您要匯入的 LDAP 目錄使用者帳戶的別名、名字或姓氏。
核取您要匯入的使用者帳戶的選取方塊，再選取匯入已選取。

使用批次管理工具從 LDAP 目錄資料建立 Unity Connection 用戶

在 Cisco Unity Connection Administration 中，展開工具並選取批量管理工具。

若要新增 Unity Connection 使用者，請在批量管理工具頁面上執行下列步驟：

從選取作業選取匯出。
從選取物件類型選取LDAP 目錄的使用者。
在所有必填欄位中輸入值。
選取提交。

此舉可建立附帶 LDAP 目錄使用者資料的 CSV 檔案。在試算表應用程式或文字編輯器中開啟 CSV 檔案，然後相應編輯資料。現在，請從 CSV 檔案匯入資料。
從選取作業選取建立。
從選取物件類型選取有郵箱的使用者。
在所有必填欄位中輸入值。
選取提交。

匯入完成後，檢視您在失敗物件檔案名稱欄位中指定的檔案，確認已順利建立所有使用者。

同步問題疑難排解

本節提供必要的資訊和解決方案，可解決您從 Control Hub 將使用者同步到 Unified Communications Manager 資料庫的各個階段可能會遭遇到的常見問題。

不相符的使用者

新協定建立後 18 小時內啟用同步功能。系統會將既有的使用者標記為非作用中，並在 24 小時無作用後將之從 Unified CM 刪除。

錯誤 – 資料複製失敗。請重試

專用實例和 Webex 雲端之間的通訊已中斷，或無法從 Webex 雲端擷取使用者資料。
專用實例和 Unified CM 之間的通訊已中斷，或無法將使用者資料匯入 Unified CM 資料庫。
未將使用者資料複製到暫存位置。

錯誤 – 無法建立同步化協議。請重試

專用實例和 Unified CM 之間的通訊已中斷，或無法將同步化協議資料匯入 Unified CM 資料庫。
同步協定建立失敗。

無法取得同步協議詳細資料。請稍後再試。

專用實例和 Unified CM 之間的通訊已中斷。

已知問題和限制

如果遇到與此功能相關的問題，請確認是否為已知問題以及是否具有建議的因應措施。

Webex Calling - 專用實例目錄服務配置與 LDAP 驗證不相容，因為僅同步使用者數據，而不會同步 Unified CM 伺服器的密碼，因此 LDAP 驗證無法運作。

變通方法: 登入必須使用單一登入（SSO）。此文件僅涵蓋單一登入 (SSO) 整合。

如果您希望使用者透過其企業身分提供者進行驗證，請設定單一登入 (SSO)。有關更多信息，請參閱 Control Hub 中的單點登入整合和基於 SAML 的 SSO 解決方案。
若要停用目錄服務，請洽 Cisco TAC 支援部門。請稍等片刻，然後再次開始設定目錄服務。
刪除後，如果您想要再次將同一個 Unified CM 叢集新增至組織中，則必須先停用目錄服務，然後再重新設定同一個叢集。

若要停用目錄服務，請洽 Cisco TAC 支援部門。
在同步化協議頁面中，執行同步化間隔和下一次重新同步時間欄位顯示為作用中狀態。但若啟用只執行一次同步化選項，這些欄位會在 Unified CM 伺服器中呈現灰色。目前，這是 Webex Calling - 專用實例目錄服務配置功能的限制，將在即將發布的版本中修復。
在 Azure 入口網站中刪除的使用者在 Webex Identity Service 中變成非活動狀態，但在 Unified CM 中顯示為活動狀態。

變通方法: 前往管理 > 使用者，從 Control Hub 刪除使用者。該使用者在 Unified CM 中被標記為非活動。
目前，在為大型組織（擁有超過 80,000 名使用者）配置新叢集時，您會遇到逾時問題。這個問題將很快獲得解決。
在設定過程中，當您在「啟用同步」頁面上按一下「放棄」、「繼續」和「啟用同步」按鈕時，叢集狀態不會立即在使用者介面中發生變化。此限制會誤導使用者，因為動作是在後端執行。

變通方法: 避免點擊按鈕兩次，幾秒鐘後檢查群集狀態。您會看到叢集狀態從需要操作變成正在處理。這個問題將很快獲得解決。
目前，當統一通訊管理器網路中斷時，啟用同步功能將停止回應。

繞過: 若要停用目錄服務，請洽 Cisco TAC 支援部門。請稍等片刻，然後再次開始設定目錄服務。我們將在即將推出的版本中修正這個問題。
佈建時，群組詳細資料不會傳入，這是因為 Webex 通用身分識別服務有同步化問題。建議使用者放棄配置，稍後再試。
如果您要在已設定的叢集上再次設定目錄同步，建議讓 Webex Calling - 專用實例業務部門參與到該過程中。

感謝您的意見回饋。