この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
企業ディレクトリとして LDAP 準拠のディレクトリを使用している場合、 Cisco Unity Connection 内で基本ユーザ情報を分けて保守しなくても済むようにするには、LDAP 統合機能を使用できます。
Unity Connection での LDAP 統合には、次のタスクが伴います。
ユーザを定期的に LDAP ディレクトリ内のユーザ データと同期するように Unity Connection を設定する。
LDAP ディレクトリ内のユーザ データに照らして Unity Connection ユーザを認証する。LDAP で認証されたユーザは、LDAP パスワードを Web アプリケーション パスワードとして使って Unity Connection Web アプリケーションにログインします。
Unity Connection で使用できる LDAP ディレクトリのリストについては、『System Requirements for Cisco Unity Connection Release 12.x』(https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/requirements/b_12xcucsysreqs.html)の「Requirements for an LDAP Directory Integration」を参照してください。
Unity Connection サーバが Cisco Unified CM 電話システムに統合されている場合、両方のサーバを LDAP ディレクトリに統合するには、各サーバを個別に LDAP ディレクトリに統合する必要があります。いずれか一方のサーバだけを LDAP ディレクトリに統合しても、もう一方のサーバを LDAP ディレクトリで同期/認証できるようにするには不十分です。
Cisco Unified CM と LDAP ディレクトリの統合については、該当するリリースに対応する『Cisco Unified Communications Manager Administration Guide』の「LDAP System Setup」の章を参照してください(ガイドは http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html から入手できます)。
Unity Connection と LDAP ディレクトリの統合については、LDAP を設定するためのタスク一覧(ページ 12-1)を参照してください。
ここでは、Unity Connection サーバで LDAP 統合を確実に成功させるために従う必要のあるタスク一覧を示します。
![]() (注) | クラスタの場合、すべての LDAP 設定タスクをパブリッシャ サーバ上でのみ行います。
|
LDAP ディレクトリから基本情報を取得するために、Unity Connection と統合する LDAP ディレクトリを指定するには、LDAP 同期を有効にします。
LDAP ディレクトリから Unity Connection にユーザ データをインポートするには、LDAP ディレクトリでユーザユーザ検索ベースごとに次の手順を実行します。
ステップ 1 | Cisco Unity Connection Administration で、 を展開して、[LDAP ディレクトリの設定(LDAP Directory Configuration)] を選択します。 | ||
ステップ 2 | [LDAP ディレクトリ設定の検索と一覧表示(Find and List LDAP Directory Configurations)] ページで、[新規追加(Add New)] を選択して新しい LDAP ディレクトリ設定を追加します。 | ||
ステップ 3 | LDAP ディレクトリ設定を行うには、[LDAP ディレクトリの設定(LDAP Directory Configuration)] ページで次の手順を実行します(各フィールドの詳細については、[ヘルプ(Help)] > [このページ(This Page)] を参照)。
| ||
ステップ 4 | [保存(Save)] を選択し、[完全同期を今すぐ実施(Perform Full Sync Now)] を選択します。 | ||
ステップ 5 | 別のユーザ検索ベースに関する別の LDAP ディレクトリ設定を追加するには、[新規追加(Add New)] を選択し、ステップ 2 からステップ 4 を繰り返します。
|
LDAP ディレクトリの電話番号が Unity Connection の [内線(Extension)] フィールドと一致しない場合、電話番号を内線に変換する正規表現と置換パターンを追加する必要があります。一括管理ツールを使ってユーザ データを CSV ファイルにエクスポートすることによりユーザを追加する場合は、その CSV ファイルを編集し、編集後のファイルをインポートします。このプロセスでは、スプレッドシート アプリケーションで CSV ファイルを開き、正規表現よりも効率的な数式を作成することも可能です。
LDAP ディレクトリの電話番号を Unity Connection の内線に変換する際には、次の点を考慮してください。
電話番号は、最初に Unity Connection データと LDAP データを同期する時点でのみ内線に変換されます。それ以降、スケジュールされた LDAP 同期中に、電話番号に変更があっても内線は上書きされません。
Unity Connection により、電話番号から数字以外の文字が自動的に削除されるため、数字以外の文字に関する正規表現を追加する必要はありません。
正規表現と置換パターンの複数の組み合わせを指定することで、同じ結果が得られる場合があります。Unity Connection では、Java ライブラリの正規表現パッケージが使用されます。表 12-1 に、拡張機能で実行できる変換の例をいくつか示します。
SSL を使用して LDAP サーバと Unity Connection サーバの間の転送データを暗号化するには、同期を設定する各 LDAP サーバの [SSL の使用(Use SSL)] チェックボックスをオンにします。SSL 証明書をアップロードするには、次の手順を実行します。
ステップ 1 | 次の LDAP サーバから SSL 証明書をエクスポートします。 |
ステップ 2 | [Cisco Unified オペレーティング システムの管理(Cisco Unified Operating System Administration)] で、[セキュリティ(Security)] を展開し、[証明書の管理(Certificate Management)] を選択します。 |
ステップ 3 | ステップ 1 でエクスポートした SSL 証明書をアップロードするには、次の手順を実行します。 |
ステップ 4 | Cisco DirSync サービスを再起動するには、次の手順を実行します。
Cisco Tomcat サービスを再起動するには、CLI コマンド utils service restart Cisco Tomcat を実行します。 |
LDAP 同期に対応している LDAP ディレクトリは、LDAP 認証にも対応しています。LDAP 認証では、次のような Unity Connection ユーザ データが LDAP ディレクトリのユーザ データに照らして認証されます。
Unity Connection ユーザが Unity Connection Web アプリケーション(Cisco Unity Connection Administration、Cisco PCA など)にシングル サインオンできるようにするパスワード。
Unity Connection ボイスメールにアクセスするために IMAP 電子メール アプリケーションへのサインインで必要なパスワード。
LDAP 認証が有効な場合、Web アプリケーション パスワード フィールドは Cisco Unity Connection Administration に表示されず、LDAP ディレクトリからのみ管理できます。
電話ユーザ インターフェイス(TUI)から Unity Connection ボイスメールにアクセスするためのボイスメール パスワードは、Unity Connection データベースに照らして認証されます。電話インターフェイスまたは Messaging Assistant Web ツールを使用してパスワードや PIN を管理できます。
![]() (注) | Cisco Unified Operating System Administration、ディザスタ リカバリ システム、およびコマンドライン インターフェイスへのサインインに使われる管理者アカウントを、LDAP 統合用に設定することはできません。 |
ステップ 1 | Cisco Unity Connection Administration で、 を展開して、[LDAP 認証(LDAP Authentication)] を選択します。 |
ステップ 2 | [LDAP 認証(LDAP Authentication)] ページで次の手順を実行します(各フィールドの詳細については、[ヘルプ(Help)] > [このページ(This Page)] を参照)。
|
ステップ 3 | [保存(Save)] を選択します。 |
LDAP ユーザ アカウントを Unity Connection にインポートする際には、次の点を考慮してください。
ユーザを Unity Connection にインポートする前に、Unity Connection と統合する LDAP ディレクトリを確認してくだい。
最大 20 個の LDAP ディレクトリ設定を作成して、Unity Connection にインポートする LDAP ディレクトリ内のユーザを指定できます。LDAP ディレクトリ設定ごとに、Unity Connection でユーザ アカウントの検索対象となるユーザ検索ベースを指定します。
Unity Connection は、指定されたユーザ検索ベース(LDAP ディレクトリ ツリー内のドメインや組織単位など)に属するすべてのユーザをインポートします。Unity Connection サーバまたはクラスタは、たとえば同じ Active Directory フォレストなど、同じディレクトリ ルートを持つサブツリーからのみ LDAP データをインポートできます。
LDAP ディレクトリ設定を作成した後、LDAP データを Unity Connection サーバにインポートするために、Unity Connection データを LDAP ディレクトリ内のデータと同期します。Cisco Unified CM データベースにインポートできるユーザ数の実際的な上限は 120,000 です。この上限が同期プロセスで適用されることはありませんが、これより多い LDAP ユーザをインポートすると、それらのユーザは Unity Connection ユーザになりません。また、メッセージに利用可能なディスク容量が減り、データベース パフォーマンスが劣化してアップグレードの所要時間が長くなります。
![]() 注意 | Unity Connection のパフォーマンスへの影響を回避するために、Cisco Unified CM データベースにインポートされるユーザ数が 120,000 を超える原因となるようなユーザ検索ベースを指定しないでください。 |
LDAP ディレクトリの構造を分析して、次のようなユーザ検索ベースを 5 つ以下に抑えて指定できるかどうか判断してください。
Microsoft Active Directory 以外の LDAP ディレクトリを使用している場合、できるだけ少ない数のユーザを含む 1 つ以上のユーザ検索ベースを指定して同期を高速化するのが適切です(たとえ複数の設定を作成することになるとしても)。
Unity Connection にアクセスさせないサブツリー(たとえばサービス アカウントのサブツリー)がルート ディレクトリに含まれている場合は、次のいずれかのタスクを実行します。
複数の LDAP ディレクトリ設定を作成し、Unity Connection にアクセスさせない検索ベースを指定します。
LDAP 検索フィルタを作成します。詳細については、『Design Guide for Cisco Unity Connection Release 12.x』(https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/design/guide/b_12xcucdg.html)の「LDAP Directory Integration with Cisco Unity Connection」の章の「Filtering LDAP Users」の項を参照してください。
Active Directory を使用する場合、または LDAP ディレクトリ ドメインに複数の子ドメインがある場合は、別個の LDAP ディレクトリ構成を作成する必要があります。Unity Connection は、同期中に Active Directory リフェラルをたどりません。このタイプの LDAP 構成では、UserPrincipalName(UPN)属性を [Unity Connection エイリアス(Unity Connection Alias )] フィールドにマップする必要があります。これは、UPN が Active Directory のフォレスト全体で一意であるためです。
サイト内およびサイト間ネットワーキングを使用すると、複数の Unity Connection サーバをネットワーク接続して、それぞれのサーバを LDAP ディレクトリに統合できます。サイト内およびサイト間ネットワーキングを使用する場合、別の Unity Connection サーバ上のユーザ検索ベースとオーバーラップする 1 つの Unity Connection サーバ上のユーザ検索ベースを指定できます。同じ LDAP サーバを複数回インポートして、異なる Unity Connection サーバ上に重複する Unity Connection ユーザを誤って作成しないよう注意してください。
![]() (注) | ユーザをどのように作成するかにかかわらず、Unity Connection では、同じ Unity Connection サーバ上で同じエイリアスを使って 2 人のユーザを作成することはできません。ただし、同じサイトまたは組織内の異なる Unity Connection サーバのそれぞれで、同じエイリアスを使って 2 人のユーザを作成することはできます。 |
場合によっては、同じ LDAP ユーザから複数の Unity Connection ユーザを作成すると役立つことがあります。たとえば、いくつかの LDAP 管理者アカウントを、ボイス メールボックスがない Unity Connection ユーザとして各 Unity Connection サーバにインポートし、それらのユーザを管理者アカウントとして使用するとします。こうすると、Unity Connection サーバごとに 1 人以上の LDAP ユーザを作成することなく、Unity Connection 管理者アカウントに LDAP 同期および認証を使用できます。
詳細については、『Design Guide for Cisco Unity Connection Release 12.x』の「LDAP Directory Integration with Cisco Unity Connection」の章の「Filtering LDAP Users」の項を参照してください。このガイドは https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/design/guide/b_12xcucdg.html から入手できます。
LDAP 統合プロセスでは、Unity Connection サーバ上の非表示の Cisco Unified CM データベースに LDAP データがインポートされます。一括管理ツール(BAT)またはユーザ インポート ツールを使用して LDAP ディレクトリからユーザ データをインポートすることで、新しい Unity Connection ユーザを作成できます。また、BAT ツールを使用して、既存の Unity Connection ユーザを LDAP ディレクトリのユーザに更新することもできます。
LDAP ディレクトリ設定の編集
既存の LDAP ディレクトリ設定を変更するには、既存の LDAP 統合を削除してから再作成し、Unity Connection にインポートされる LDAP ユーザ フィールドを変更する必要があります。
![]() 注意 | ディレクトリ設定を 24 時間以内に再作成する必要があります。そうしないと、LDAP 統合 Unity Connection ユーザがスタンドアロン Unity Connection ユーザに変換されます。 |
ステップ 1 | Cisco Unity Connection Administration で [システム設定(System Settings)] を展開し、[LDAP] を選択して、[LDAP ディレクトリ設定(LDAP Directory Configuration)] を選択します。
| ||
ステップ 2 | [LDAP ディレクトリ設定の検索と一覧表示(Find and List LDAP Directory Configurations)] ページで、変更または削除する LDAP ディレクトリ設定の横にあるチェックボックスをオンにします。 | ||
ステップ 3 | [選択項目の削除(Delete Selected)] を選択し、[OK] を選択して削除を確定します。 | ||
ステップ 4 | [システム設定(System Settings)] を展開し、[LDAP] を展開し、[LDAP セットアップ(LDAP Setup)] を選択します。 | ||
ステップ 5 | [LDAP セットアップ(LDAP Setup)] ページで、[LDAP サーバからの同期を有効にする(Enable Synchronizing from LDAP Server)] チェックボックスをオフにし、[保存(Save)] を選択します。 | ||
ステップ 6 | [LDAP サーバからの同期を有効にする(Enable Synchronizing from LDAP Server)] チェックボックスを再びオンにし、[保存(Save)] をもう一度選択します。
これにより、LDAP ディレクトリ設定の削除が確定されます。ただし、既存の LDAP ディレクトリ設定を変更する場合には、既存の LDAP 設定を削除した後、次の手順に従って新しい LDAP ディレクトリ設定を再作成します。 | ||
ステップ 7 | ディレクトリ設定を再作成し、再作成後のディレクトリ設定に対して完全同期を実行します。「LDAP ディレクトリの設定」(12-3 ページ)を参照してください。
|
LDAP 認証を永続的に無効にした場合、ユーザは LDAP ディレクトリ パスワードの代わりに Unity Connection Web アプリケーション パスワードを使用して Unity Connection Web アプリケーションにサインインします。LDAP 統合されたユーザには別個の Web アプリケーション パスワードがないので、LDAP ディレクトリ パスワードを使用して Unity Connection Web アプリケーションを管理します。メールボックスを持つすべてのユーザは、Unity Connection Web アプリケーションに次回サインインするときに、Web アプリケーション パスワードを変更する必要があります。
ただし、たとえば Unity Connection の [エイリアス(Alias)] フィールドにマップされる LDAP フィールドを変更する場合など、一時的に LDAP 認証を無効にする場合には、Unity Connection ユーザのパスワード設定を変更する必要がありません。
一括編集を使用して、メールボックスを持つすべてのユーザのパスワードを変更できます。ただし、メールボックスのないユーザ(つまり管理者)のパスワードは、個々に変更する必要があります。
Unity Connection で [エイリアス(Alias)] フィールドにマップされる LDAP ディレクトリのフィールドを変更するには、次の手順を実行します。
![]() 注意 | LDAP 認証を使用している場合、この手順を完了した後、ユーザは Unity Connection の [エイリアス(Alias)] フィールドの新しい値を使用して Unity Connection Web インターフェイスにサインインする必要があります。 |
ステップ 1 | Cisco DirSync サービスの非アクティブ化 |
ステップ 2 | LDAP 認証を無効にします。「LDAP 認証の無効化」(12-10 ページ)を参照してください。 |
ステップ 3 | すべての LDAP ディレクトリ設定を削除します。「LDAP ディレクトリ設定の変更または削除」(12-9 ページ)を参照してください。 |
ステップ 4 | Unity Connection の [エイリアス(Alias)] フィールドにマッピングされるフィールドを変更します。 |
ステップ 5 | LDAP 認証をもう一度有効にします。詳細については、「Unity Connection での LDAP 認証の設定」(12-6 ページ)を参照してください。 |
ステップ 6 | LDAP 設定を再び追加しますが、Unity Connection と LDAP データは同期しません。DirSync サービスを再度有効にするまでは、同期が機能しません。詳細については、「LDAP ディレクトリの設定」(12-3 ページ)を参照してください。 |
ステップ 7 | DirSync サービスをアクティブにします。「Cisco DirSync サービスの有効化」(12-3 ページ)を参照してください。 |
ステップ 8 | Unity Connection データと LDAP データを同期します。
|
Unity Connection ユーザ アカウントを LDAP ユーザ アカウントと統合する場合、すべての Unity Connection アカウントを LDAP アカウントと統合する必要はありません。また、LDAP アカウントと統合されない Unity Connection アカウントを新しく作成することもできます。
Unity Connection ユーザの LDAP 統合ステータスを変更するには、状況に応じて、次のいずれかの手順に従います。
Cisco Unified Communications Manager からのインポートによって作成されたのではない個々の Unity Connection ユーザの LDAP 統合状態を変更するには、12-13 ページの「個々の Unity Connection ユーザの LDAP 統合状態の変更」のセクションを参照してください。
Cisco Unified Communications Manager からのインポートによって作成されたのではない複数の Unity Connection ユーザの LDAP 統合状態を変更するには、12-13 ページの「一括編集モードでの複数の Unity Connection ユーザ アカウントの LDAP 統合状態の変更」のセクションを参照してください。
Cisco Unified Communications Manager からのインポートによって作成された Unity Connection ユーザの LDAP 統合状態を変更するには、12-14 ページの「Bulk Administration Tool の使用による既存の Unity Connection ユーザ アカウントと LDAP ユーザ アカウントの統合」のセクションを参照してください。
選択する方法に関係なく、すべての場合に当てはまる次の考慮事項に注意してください。
Unity Connection ユーザ アカウントを LDAP ユーザ アカウントに統合する場合、次の点に注意してください。
LDAP ディレクトリのユーザに [LDAP セットアップ(LDAP Setup)] ページの [ユーザ ID の LDAP 属性(LDAP Attribute for User ID)] リストで指定したフィールドの値がない場合、LDAP ディレクトリに足りない値を入力して、Unity Connection データベースを LDAP ディレクトリと再同期します。
Connection データベースと LDAP ディレクトリの、次のスケジュール設定された同期中に、特定のフィールドの既存の値が LDAP ディレクトリの値で上書きされます。
Unity Connection のデータを LDAP のデータと定期的に再同期するよう Unity Connection を設定した場合、LDAP ディレクトリ内の変更された値は、次回の自動同期時に Unity Connection データベースに自動的にインポートされます。ただし、新しいユーザが LDAP ディレクトリに追加された場合、再同期によって Unity Connection ユーザは新たに作成されません。この場合、ユーザ インポート ツールまたは Bulk Administration Tool を使用して、手動で新しい Unity Connection ユーザを作成してください。
Unity Connection ユーザ アカウントと LDAP ディレクトリ ユーザ アカウントの関連付けを解除する場合、次の点に注意してください。
LDAP ディレクトリに対して Web アプリケーションのパスワードを認証するように Unity Connection が設定されている場合、Unity Connection ユーザは、対応するユーザの LDAP パスワードで認証されなくなります。ユーザが Unity Connection Web アプリケーションにログオンできるようにするには、[編集(Edit)] > [パスワードの変更(Change Password)] ページで新しいパスワードを入力する必要があります。
LDAP ディレクトリと定期的に同期するように Unity Connection が設定されている場合は、LDAP ディレクトリ内の対応するデータが更新されても、Unity Connection ユーザに関して選択されたデータは更新されません。
ステップ 1 | Cisco Unity Connection Administration で、[ユーザ(Users)] をクリックします。 | ||
ステップ 2 | [ユーザの検索(Search Users)] ページでユーザ アカウントのエイリアスをクリックします。
| ||
ステップ 3 | [ユーザの基本設定の編集(Edit User Basics)] ページの [LDAP 統合ステータス(LDAP Integration Status)] セクションで、必要なオプション ボタンを選択します。
Cisco Unified Communications Manager からのインポートによってユーザが作成された場合、[LDAP 統合ステータス(LDAP Integration Status)] フィールドがグレイ アウトされ、一括管理ツールを使用して LDAP ユーザ アカウントと統合する必要があります。「一括管理ツールを使用した既存の Unity Connection ユーザ アカウントと LDAP ユーザ アカウントの統合」(ページ 12-14)を参照してください。 | ||
ステップ 4 | [保存(Save)] をクリックします。 |
ステップ 1 | Cisco Unity Connection Administration で、[ユーザの検索(Search Users)] ページの該当するチェックボックスをオンにし、[一括編集(Bulk Edit)] を選択します。
まとめて編集するユーザ アカウントが複数の検索ページに表示される場合は、最初のページで該当するすべてのチェックボックスをオンにしてから、次のページに移動して該当するすべてのチェックボックスをオンにします。同様の操作を該当するすべてのユーザを選択するまで繰り返します。次に、[一括編集(Bulk Edit)] を選択します。 |
ステップ 2 | [ユーザの基本設定(User Basics)] ページの [LDAP 統合ステータス(LDAP Integration Status)] セクションで、必要なオプション ボタンを選択します。
いずれかのユーザが Cisco Unified Communications Manager からのインポートによって作成された場合、一括管理ツールを使って LDAP ユーザ アカウントと統合する必要があるというエラーが一括編集のログに記録されます。「一括管理ツールを使用した既存の Unity Connection ユーザ アカウントと LDAP ユーザ アカウントの統合」(ページ 12-14)を参照してください。 |
一括管理ツールを使用して既存の Unity Connection ユーザを LDAP ユーザ アカウントに統合できますが、Unity Connection ユーザ アカウントと LDAP ディレクトリ ユーザ アカウントの間の関連付けを解除するためにこれを使用することはできません。
この手順では、LDAP データが Unity Connection サーバの非表示の Cisco Unified Communications Manager データベースに透過的にインポートされました。
一括管理ツールを使用して既存の Unity Connection ユーザを LDAP ユーザと統合する場合、次の手順に従います。これにより、それぞれの Unity Connection ユーザ アカウントが LDAP ユーザ アカウントの対応する LDAP ユーザ ID によって更新されます。
![]() 注意 | LDAP ユーザ データを Unity Connection データベースにインポートすると、インポートされるフィールドの既存の値が LDAP ディレクトリの値によって上書きされます。 |
ステップ 1 | LDAP ユーザと統合するそれぞれの Cisco Unity Connection ユーザについて、Unity Connection の [エイリアス(Alias)] フィールドが LDAP ユーザ ID の値と一致しない場合、Cisco Unity Connection を使用して Unity Connection のエイリアスを更新し、一致させます。 |
ステップ 2 | Unity Connection Administration に、システム管理者の役割を持つユーザとしてサインインします。 |
ステップ 3 | [ツール(Tools)] を展開し、[一括管理ツール(Bulk Administration Tool)] を選択します。 |
ステップ 4 | Connection サーバにキャッシュされている LDAP ユーザ データを CSV ファイルにエクスポートします。 |
ステップ 5 | ステップ 4 で作成した CSV ファイルをダウンロードして編集します。
|
ステップ 6 | ステップ 5 で編集したデータをインポートします。 |
ステップ 7 | インポートが完了したら、[エラーログ ファイル名(Failed Objects Filename)] フィールドに指定したファイルを調べて、すべての Unity Connection ユーザが対応する LDAP ユーザと正しく統合されたことを確認します。 |