Para solucionar problemas de erros de provisionamento e autenticação de um diretório provisionado do seu provedor de identidade para o VMware Identity Services, examine os logs e os eventos de auditoria no provedor de identidade, no VMware Identity Services e nos serviços do Workspace ONE, como Workspace ONE Access e Workspace ONE UEM.

Examinar os logs de provisionamento do provedor de identidade

Para erros de provisionamento, primeiro examine os logs de provisionamento no provedor de identidade para ver se houve erros no provisionamento de usuários ou grupos para o VMware Identity Services e resolver os erros.

Por exemplo, no console de administração do Microsoft Entra, você pode encontrar os logs de provisionamento na página Provisionamento do aplicativo de provisionamento.

Selecione Gerenciar: Provisionamento e, em seguida, clique no link Exibir logs de provisionamento.

Na página Logs de Provisionamento, clique em um usuário para ver os detalhes.
O painel Detalhes do log de Provisionamento mostra detalhes sobre o usuário.

Examinar os logs de provisionamento do VMware Identity Services

Examine os eventos de auditoria registrados no VMware Identity Services para ver se houve erros no provisionamento de usuários do VMware Identity Services para serviços do Workspace ONE, como Workspace ONE Access e Workspace ONE UEM.

Consulte Exibir eventos de auditoria no VMware Identity Services.

Examinar os logs do Workspace ONE UEM

Use os seguintes recursos de solução de problemas para o Workspace ONE UEM:

  • Logs de provisionamento e logs de configuração inicial na seguinte pasta:

    C:\AirWatch\Logs\AW_Core_Api

  • Para erros de configuração:
    • Use a seguinte API GET para a configuração:

      Workspace_ONE_UEM_URL/api/system/provisioning/config/locationgroupuuid

    • Verifique os erros nos logs da API principal.
  • Para problemas de provisionamento, verifique os logs principais da API e procure por erros ou exceções das APIs do SCIM.

Examinar os eventos de auditoria do Workspace ONE Access

Examine os eventos de auditoria no Workspace ONE Access em busca de falhas de autenticação.

  1. No console do Workspace ONE Access, selecione Monitorar > Relatórios.
  2. Selecione Eventos de Auditoria no menu suspenso.
  3. Especifique um usuário, selecione o tipo de evento, especifique um período de tempo e clique em Mostrar.

    Para falhas de autenticação, consulte os eventos LOGIN e LOGIN_ERROR.

Problemas comuns

  • Os usuários não podem autenticar quando o Microsoft Entra ID está configurado como o provedor de identidade de terceiros usando o OpenID Connect

    Verifique se você copiou os valores corretos do aplicativo OpenID Connect no Microsoft Entra ID para a etapa 5, Configurar o OpenID Connect, no assistente do VMware Identity Services. Especificamente, verifique os valores Segredo do Cliente e ID do Aplicativo (cliente). Consulte Etapa 5: configurar a autenticação.

  • Excluir um usuário no Microsoft Entra ID não exclui o usuário do VMware Identity Services

    Quando você exclui um usuário no Microsoft Entra ID, a conta é suspensa por um período específico antes de ser excluída. O usuário está desativado no VMware Identity Services nesse período. O nome de usuário do usuário excluído também é modificado no Microsoft Entra ID, e as alterações são refletidas no VMware Identity Services. Consulte Como os usuários do Microsoft Entra ID são excluídos para obter mais informações.

  • A exclusão dos valores de atributo de usuário e grupo no Microsoft Entra ID não exclui os valores no VMware Identity Services

    No Microsoft Entra ID, quando você exclui um valor de atributo de usuário ou grupo que tenha sido sincronizado com o VMware Identity Services, o valor não é excluído do VMware Identity Services e dos serviços do Workspace ONE. O Microsoft Entra ID não propaga valores nulos.

    Como solução alternativa, em vez de limpar completamente o valor, insira um caractere espacial.

  • Quando o VMware Identity Services está integrado ao Okta, não é possível especificar mapeamentos de atributos de grupo no Okta para sincronização com o VMware Identity Services. Você só pode mapear atributos de usuário.
  • Quando você integra um provedor de identidade de terceiros ao VMware Identity Services usando o protocolo OpenID Connect, o recurso de login_hint não funciona. Se a parte confiável enviar um login_hint, o VMware Identity Services não a passará para o provedor de identidade.
  • Se você fizer alterações no VMware Identity Services para grupos provisionados do Microsoft Entra ID, por exemplo, se excluir um usuário ou grupo e quiser restaurar os dados, talvez seja necessário reiniciar o provisionamento no centro de administração do Microsoft Entra. Consulte Problemas conhecidos para provisionamento no Microsoft Entra ID na documentação da Microsoft para obter mais informações.
  • A exclusão de um mapeamento de atributo no Microsoft Entra ID ou no Okta não remove o atributo dos usuários no VMware Identity Services

    Quando você exclui um mapeamento de atributo do aplicativo de provisionamento no Microsoft Entra ID ou no Okta, as alterações não são propagadas para o VMware Identity Services. O atributo não é excluído para usuários no VMware Identity Services e nos Serviços do Workspace ONE.

  • Você não está recebendo notificações de expiração de token

    Quando seu token do VMware Identity Services está prestes a expirar ou expirou, você recebe notificações, tanto como um banner no console do Workspace ONE Cloud quanto por e-mail. Se você não estiver recebendo notificações, verifique se o VMware Identity Services está integrado ao Workspace ONE Intelligence.

    1. Faça login no console do VMware Cloud Services como administrador e inicie o serviço Workspace ONE Cloud.
    2. Selecione Integrações > Fontes de Dados.
    3. Encontre o cartão do Workspace ONE Access.
      Observação: O VMware Identity Services está localizado em conjunto com o serviço do Workspace ONE Access.
    4. Certifique-se de que o cartão do Workspace ONE Access exiba o status Autorizado.
    5. Se o cartão do Workspace ONE Access não exibir Autorizado, clique em Configurar no cartão.
    6. Clique em Iniciar.
    7. Clique em Conectar-se ao Workspace ONE Access.
    8. Clique em Concluir.

    Se você puder ver a notificação por banner, mas não receber notificações por e-mail, verifique se optou por receber notificações por e-mail.

    1. Faça login no console do VMware Cloud Services como administrador e inicie o serviço Workspace ONE Cloud.
    2. Clique no ícone de sino e, em seguida, clique na caixa de engrenagem para exibir a página Configurações de Notificações.
    3. Na seção Workspace ONE Access e Identity Services, certifique-se de que a caixa de seleção E-mail esteja marcada para a configuração Expirações do Token Secreto.
  • Você deseja alterar o provedor de identidade de terceiros depois de criar um diretório

    Depois de ativar o VMware Identity Services, selecione o provedor de identidade SCIM 2.0 de terceiros e crie um diretório. Não é possível alterar a seleção do provedor de identidade. Para alterar o provedor de identidade, você deve desativar o VMware Identity Services e ativá-lo novamente.

    Para desativar o VMware Identity Services, siga as instruções em Desativando o VMware Identity Services.

  • Depois de ativar o VMware Identity Services, você deseja desativá-lo

    Talvez seja necessário desativar VMware Identity Services em cenários como os seguintes:

    • Você ativou o VMware Identity Services para experimentá-lo e agora deseja desativá-lo.
    • Seus casos de uso não são compatíveis com o VMware Identity Services.
    • Você deseja sincronizar usuários e grupos diretamente do Active Directory, que só é compatível quando você configura seu diretório no Workspace ONE UEM ou no Workspace ONE Access, em vez do serviço do Workspace ONE Cloud.

    Para desativar o VMware Identity Services, siga as instruções em Desativando o VMware Identity Services. Depois de desativar o serviço, você poderá configurar os serviços de diretório e a federação de identidade no Workspace ONE UEM e no Workspace ONE Access.

  • Você receberá um erro ao tentar ativar o VMware Identity Services depois de desativá-lo

    Se você tiver excluído seu diretório e desativado o VMware Identity Services, poderá receber um erro ao tentar ativá-lo novamente.

    Leva algum tempo para que o diretório seja excluído. Acesse o console do Workspace ONE Access e confirme se o diretório foi excluído antes de tentar ativar o VMware Identity Services novamente.