概觀

使用雲端目錄服務將使用者從雲端型目錄(例如 Azure AD)同步到專用實例應用程式(例如 Unified CM 和 Cisco Unity Connection)。在同步期間,系統會匯入 Azure Active Directory(或類似的雲端目錄服務)中的使用者清單及相關聯的使用者資料,該清單會同步至 Webex 身分識別服務。從 Control Hub 選取 Unified CM 叢集進行同步,選擇適當的 Unified CM 使用者 ID 欄位對映,然後選取所需的同步協議以完成同步。

檢視叢集詳細資料

在 Control Hub 的「管理」頁面中,選擇要與其同步使用者資料的叢集。

此選項還提供叢集詳細資料,例如叢集名稱、叢集同步狀態、上次同步狀態以及關聯的產品。

叢集詳細資料

說明

叢集名稱

叢集的名稱

狀態

同步狀態

上次同步時間

上次同步的日期

產品

產品詳細資訊

目錄同步

根據您的需求,您可以使用目錄連接器將使用者從內部部署 Active Directory 同步至 Control Hub,或直接從 Azure 目錄同步至 Control Hub,然後將其同步至 Unified CM。

執行以下操作之一:

  • 若要直接將使用者從 Azure 目錄同步至 Control Hub,請遵循從 Azure 目錄同步使用者 程序。

  • 若要使用目錄連接器將使用者從內部部署 Active Directory 同步至 Control Hub,請遵循從內部部署 Active Directory 同步使用者 程序。

在非工作時間執行同步,以最大程度地減少其對通話服務的影響。

從 Azure 目錄同步使用者

專用實例目錄服務同步允許您將 Azure 目錄中的最終使用者資料匯入 Unified CM 資料庫,使其顯示在「最終使用者組態」視窗中。

若要使用 Azure 目錄同步使用者:

  1. 您必須將 Azure Active Directory 使用者同步至 Control Hub

  2. 遵循程序配置目錄同步 以將 Control Hub 中的使用者同步至 Cisco Unified CM。

從內部部署 Active Directory 同步使用者

可以使用 Directory Connector 將內部部署 Active Directory 使用者同步至 Common Identity (CI)。

目錄服務僅支援 SSO 部署。請參閱Control Hub 中的單一登入整合基於 SAML 的 SSO 解決方案 以獲取更多資訊。

若要從內部部署 Active Directory 同步使用者:

  1. 使用 Directory Connector 將 Active Directory 使用者同步至 Common Identity (CI)。您可以從 Control Hub 下載連接器軟體,並將其安裝在本地機器上。請參閱Directory Connector 部署指南 以獲取更多資訊。

  2. 遵循中的程序配置目錄同步 將 Control Hub 中的使用者同步至 Unified CM。

配置目錄同步

有時,您在佈建叢集時可能會遇到額外的延遲。在此類情況下,佈建仍將進行,儘管此活動需要相當長的時間。

  1. 登入 Control Hub:https://admin.webex.com/login

  2. 轉至服務 >通話 >專用實例 >管理

  3. 選取 UC 應用程式,然後按一下設定啟動目錄同步 在右側面板中。

  4. 在「欄位對映組態」視窗中,確保為 Unified CM 使用者 ID 欄位選擇的對映會在您開始佈建後唯一識別叢集中的使用者。

  5. 選擇適當的 Unified CM 使用者 ID 欄位對映以從 Webex 同步使用者:

    • Unified CM 中的使用者 ID 欄位對應至 Webex 中使用者的電子郵件 ID。

    • Unified CM 中的郵件 ID 欄位對應至 Webex 中使用者的電子郵件 ID。

    • Unified CM 中的使用者 ID 欄位對應至 Webex 中使用者的電子郵件 ID(不含網域部分)。

      如果無法為 Unified CM 中的現有使用者帳戶成功完成對應,則會建立新的使用者帳戶。使用者的電子郵件 ID 用作新建立的使用者帳戶的唯一 ID。此附註適用於選項1 和 2。

    選項

    Unified CM

    Control Hub

    選項 1

    Unified CM 中的使用者 ID 欄位對應至 Webex 中使用者的電子郵件 ID

    選項 2

    Unified CM 中的「郵件 ID」欄位對應至 Webex 中使用者的電子郵件 ID

    選項 3

    Unified CM 中的使用者 ID 欄位對映至 Webex 中不含網域部分的電子郵件 ID

  6. 按一下下一頁

  7. 在下拉清單中選取協議以建立新的同步協議。建立新的同步協議後,將刪除指向內部部署目錄的所有一個或多個現有同步協議。您可以在建立新的同步協議後對其進行變更。

  8. 在開始同步之前,請在「協議預覽」區段中檢閱使用者清單和聯絡人詳細資料(Unified Communications Manager 中提供的現有外部 LDAP 目錄詳細資料)。您可以檢視以下詳細資訊:

    • 群組資訊

      預設情況下,所有使用者都與使用者等級 5 同步。這可以在「群組資訊」視窗中進行驗證。

    • 已套用具有通用線路和裝置範本的功能群組範本

    • 插入的使用者的已同步電話號碼的線路和遮罩詳細資料

    • 新佈建的使用者及其分機

    • 「要同步的標準使用者欄位」區段。

    • 目錄伺服器的主機名稱或 IP 位址

    按一下下一頁 以選取群組過濾器。

    「群組資訊」區段不適用於 Cisco Unity Connection,因此在「協議預覽」區段中不可見。

  9. 選取群組 下拉清單中,選取一個或多個要同步的特定群組。按一下選取所有群組 若要選取所有使用者群組,請勾選方塊。

    預設情況下,所有使用者都是同步的。如果您未選取任何群組,則會自動同步所有使用者及關聯的使用者資料。

    對於目錄中的嵌套群組,使用者必須在佈建期間專門選取子集使用者群組,因為預設情況下不包含在父群組中。您必須驗證是否有任何重複的嵌套(若有),以確保在佈建期間僅包含必要的使用者。

    對同步協議的任何修改(例如,移除目標使用者或群組)都不會在定期同步期間傳播。需要重設該叢集的目錄服務,然後使用新的或修改的同步協議重新佈建叢集。請聯絡 Cisco TAC 支援以重設所需叢集的目錄服務。

  10. 按一下下一頁 以準備同步過程。

  11. 啟用同步 視窗中,在系統成功將使用者資料複製到 Unified CM 中的臨時儲存空間並建立新的同步協議後啟用同步(在步驟 1 和 2 之後,如以下螢幕截圖所示)。

  12. 下載報告 選項允許您檢視部分結果。若要擷取 Unified CM 叢集的完整報告,請執行以下 CLI 指令:檔案取得 activelog /cm/trace/CIService/log4j/DryRunResults.csv

    如果您沒有存取權,請聯絡 Cisco TAC 支援以下載報告。

    在這裡,演練結果顯示以下內容:

    • 新使用者— 使用者不存在於 Unified CM 中,但存在於 Webex Identity Service 中。啟用同步後,會在 Unified CM 中建立使用者。

    • 相符的使用者— 使用者存在於 Unified CM 和 Webex Identity Service 中。同步完成後,這些使用者將繼續在 Unified CM 中保持活動狀態。

    • 不相符的使用者— 使用者存在於 Unified CM 和 Webex Identity Service 中。同步完成後,不相符的使用者會在 Unified CM 中標示為非使用中,且在閒置 24 小時後將被丟棄。

    您可以檢查報告並決定是否要保留相同的使用者清單並新增或刪除使用者。根據決定,按一下放棄 以停止該過程並還原佈建變更。

  13. 驗證同步協議後,按一下在 Unified CM 中預覽 以登入您的基礎結構並變更新建立的同步協議。

    您只能編輯群組資訊。您無法重新命名協議或修改任何詳細資料。

  14. 按一下啟用同步 以繼續進行同步。

    在同步期間,您將無法執行任何動作,直到完成為止。完成特定叢集的同步後,「目錄服務」頁面會列出此叢集的「已佈建」狀態。此時,您已成功授權 Azure AD 佈建 Webex 使用者並將其同步至 UC 基礎結構,並完成設定同步的步驟。

    您必須在新協議建立後的 18 小時內啟用同步。LDAP 同步使用者會在閒置 24 小時後變為非使用中狀態並被移除。使用者將無法登入並使用 Unified CM 服務。

    完成特定叢集的 Azure AD 佈建後,您無法建立任何新的同步協議,也無法修改同一叢集的任何組態設定(群組設定除外)。請聯絡 Cisco TAC 支援以重設目錄服務。然後,您可以建立新的佈建協議。

    如果您在成功佈建後的 SSO 驗證期間使用 Azure IdP,請確保在 Azure IdP 中設定正確的宣告。例如,在佈建期間,如果為使用者 ID 對應選取選項 1,請確保將 user.userprincipalname 設定為其他宣告 區段。

定期同步

成功佈建叢集後,系統會每天執行定期同步,負責將使用者資料的任何修改從 Webex Common Identity 同步至 Unified CM 和 Cisco Unity Connection。定期同步不需要您的干預。但是,您可以透過觀察上次同步時間 在 Control Hub 上的「叢集詳細資料」頁面中。時間戳記會更新以反映叢集發生定期同步的時間。

Unified CM

Cisco Unity Connection

Unified CM 或 Cisco Unity Connection 中的 LDAP 目錄

預設 LDAP 目錄由同步程序建立。

雖然設定會顯示同步一次,但 Control Hub 會以 24 小時周期變更的 Common Identity 同步至 Unified CM 或 Cisco Unity Connection。

檢視同步的狀態

在目錄同步狀態欄中檢視同步的狀態。按一下 UC 應用程式以獲取右側面板,其中顯示佈建狀態、上次同步狀態以及失敗原因(如果有的話)。您也可以選取本地時區。已選取預設瀏覽器時區。

佈建狀態

佈建狀態

說明

正在處理

佈建正在進行中

所需的動作

如果特定叢集需要任何手動干預,請採取必要的步驟。

  • 若要在演練後繼續或放棄同步。

  • 建立新協議後,請檢查是否有任何通知,並根據需要採取必要的動作。

錯誤

如果在啟用同步 精靈,請檢查它們,並在必要時採取必要的動作。

作用中

叢集佈建已完成。

未佈建

叢集佈建尚未開始。

匯入 Unity Connection 的使用者

從 Control Hub 完成叢集佈建後,您可以從 Cisco Unity Connection 中的匯入使用者手動匯入 Azure AD 使用者。

匯入使用者的兩種方式如下:

使用匯入使用者工具從 LDAP 目錄資料建立 Unity Connection 使用者
1

在 Cisco Unity Connection 管理中,展開使用者 並選取匯入使用者

2

在「匯入使用者」頁面上,匯入 LDAP 目錄使用者帳戶以建立 Unity Connection 使用者。

  1. 選取LDAP 目錄在以下位置尋找最終使用者 欄位。

  2. 選取新使用者所基於的範本。

  3. 指定別名 名字,或 的 LDAP 目錄使用者帳戶。

  4. 勾選要匯入的使用者帳戶的勾選方塊,然後選取匯入選取的項目

使用批量管理工具從 LDAP 目錄資料建立 Unity Connection 使用者
1

在 Cisco Unity Connection 管理中,展開工具 並選取批量管理工具

2

若要新增 Unity Connection 使用者,請在「批量管理工具」頁面上執行下列步驟:

  1. 從選取作業中,選取匯出

  2. 從選取物件類型中選取LDAP 目錄中的使用者

  3. 在所有必填欄位中輸入值。

  4. 選取提交

    這會建立包含 LDAP 目錄使用者資料的 CSV 檔案。在試算表應用程式或文字編輯器中開啟 CSV 檔案,並根據需要編輯資料。現在,從 CSV 檔案匯入資料。

  5. 從選取作業中,選取建立

  6. 從選取物件類型中選取具有信箱的使用者

  7. 在所有必填欄位中輸入值。

  8. 選取提交

3

匯入完成後,複查您在失敗物件檔案名稱 欄位以驗證是否已成功建立所有使用者。

疑難排解同步問題

本節提供必要的資訊和解決方案,以解決您在將使用者從 Control Hub 同步到 Unified Communications Manager 資料庫的各個階段期間可能遇到的一些常見問題。

不相符的使用者

在新協議建立後的 18 小時內啟用同步。現有使用者會標記為非使用中,並在處於非使用中狀態 24 小時後從 Unified CM 中刪除。

錯誤 – 資料複製失敗。請重試

  • 專用實例與 Webex 雲端之間的通訊已中斷或無法從 Webex 雲端擷取使用者資料。

  • 專用實例與 Unified CM 之間的通訊中斷或無法將使用者資料推送至 Unified CM 資料庫。

  • 使用者資料不會復製到臨時儲存位置。

錯誤 – 無法建立同步協議。請重試

  • 專用實例與 Unified CM 之間的通訊中斷或無法將同步協議資料推送至 Unified CM 資料庫。

  • 未成功建立同步協議。

無法取得同步協議詳細資料。請稍後再試。

專用實例與 Unified CM 之間的通訊中斷。

已知問題和限制

如果您在使用此功能時遇到問題,請檢查是否是我們已知的問題以及是否有建議的因應措施。

  • Webex Calling - 專用實例目錄服務佈建不適用於 LDAP 驗證,因為僅同步使用者資料而不同步 Unified CM 伺服器的密碼,因此 LDAP 驗證不起作用。

    因應措施:必須使用單一登入 (SSO) 登入。此文件僅涵蓋單一登入 (SSO) 整合。

    如果您希望使用者透過其企業身分識別提供者進行驗證,請設定單一登入 (SSO)。請參閱Control Hub 中的單一登入整合基於 SAML 的 SSO 解決方案 以獲取更多資訊。

  • 請聯絡 Cisco TAC 支援以停用目錄服務。請稍候片刻,然後再次開始安裝目錄服務。

  • 刪除後,如果您想要再次將相同的 Unified CM 叢集加入組織,您必須先停用目錄服務,然後重新佈建相同的叢集。

    請聯絡 Cisco TAC 支援以停用目錄服務。

  • 在同步協議頁面中,執行同步下次重新同步時間 欄位顯示為作用中。但這些欄位在 Unified CM 伺服器中顯示為灰色。只執行一次同步 選項已啟用。目前,這是 Webex Calling - 專用實例目錄服務佈建功能中的限制,將在即將推出的發行版中修正。

  • 在 Azure 入口網站中刪除的使用者在 Webex Identity Service 中變為非使用中狀態,但在 Unified CM 中顯示為使用中狀態。

    因應措施:轉至管理 >使用者 並從 Control Hub 中刪除使用者。使用者已被標記非使用中 在 Unified CM 中。

  • 為大型組織(具有超過 80,000 個使用者)佈建新叢集時,您目前將遇到逾時。此問題將很快得到解決。

  • 在佈建期間,當您按一下放棄繼續啟用同步 按鈕,則叢集的狀態不會立即在使用者介面中變更。此限制具有誤導性,因為動作發生在後端。

    因應措施:避免按兩次按鈕,並在幾秒鐘後檢查叢集狀態。您將看到叢集狀態從所需的動作正在處理。此問題將很快得到解決。

  • 目前,啟用同步 當 Unified Communications Manager 網路關閉時,功能會停止回應。

    因應措施:請聯絡 Cisco TAC 支援以停用目錄服務。請稍候片刻,然後再次開始安裝目錄服務。此問題將在即將推出的發行版中修正。

  • 在佈建期間,由於 Webex Common Identity Service 的同步問題,不會填入群組詳細資料清單。建議使用者放棄佈建並在一段時間後重試。

  • 如果您要在已佈建的叢集上再次設定目錄同步,建議讓 Webex Calling - 專用實例業務單位參與此過程。