以下列表提供了在 Cloud Services Console 中对企业联合设置问题进行故障排除的起点。有关其他说明,请搜索此文档中心和 VMware 知识库系统。

问题 描述
登录验证失败,并显示错误 (4xx)。 对联合设置配置进行以下核查:
  • 检查是否在服务提供程序配置中正确设置了身份提供程序。确保在 SAML 响应中正确发送了名称标识符
    注: 要验证 SAML 响应中的信息,可以使用 SAML-tracer 浏览器扩展。首先,查看 SAML 请求,了解请求的属性是什么。例如, NameID 格式。接下来,查看 SAML 响应,并在其中搜索 NameID 格式。两者必须匹配。
  • 检查是否在配置身份提供程序步骤的身份提供程序配置中正确设置了名称 ID 格式身份验证方法
  • 检查是否在配置身份提供程序步骤中正确设置了用户标识首选项的值。用户标识首选项设置是您在 Cloud Services Console 登录页面中输入的内容,可以是以下值之一:user@domain、电子邮件或 UPN。
  • 检查启动验证登录流的用户是否在同步组和用户步骤中同步。
成功安装 Workspace ONE Access Windows Connector 后,用户身份验证服务和目录同步服务未运行。 检查 Workspace ONE Access 租户配置:
  • 确保您可以从安装了 Workspace ONE Access Connector 的 Windows 或虚拟机对 Workspace ONE Access 租户执行 ping 操作。您可以从企业的联合组织的描述中获取 Workspace ONE Access 租户 URL。
  • 确保对 Workspace ONE Access 租户的访问未被阻止,并确保 *.workspaceoneaccess.com 添加到企业防火墙允许列表中。
  • 检查您是否在使用代理。如果是,必须重新运行安装程序,选择自定义安装选项,并在安装期间提供代理详细信息。
  • 检查 Workspace ONE Access Connector 日志中是否显示错误。

    要查看用户身份验证服务日志,请打开 INSTALL_DIR\Workspace ONE Access\User Auth Service\logs\eas-service.log

    要查看目录同步服务日志,请打开 INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs\eds-service.log

打开自助服务联合工作流的步骤 2/步骤 3/步骤 4 用时过长,最终导致出现错误 500。

如果使用无痕浏览模式浏览器,可以检查浏览器的设置并确保未选择“阻止第三方 Cookie”,也可以切换到非无痕浏览模式。

企业联合仪表板中执行操作用时过长,导致出现错误 500。 同上。
Workspace ONE Access Connector 同步失败。 在以下情况下,组和用户同步可能会失败:
  • 存在会导致连接器与 Active Directory 之间的连接中断的网络问题。
  • 绑定用户凭据(绑定 DN/密码)已更改。
  • 绑定用户密码已过期。
用户登录后重定向到 My VMware,而不是企业身份提供程序。 如果用户从未在 VMware Cloud services 中注册进行联合的企业域或子域登录,则将重定向到 My VMware。仅对于已注册进行联合的域,才可以使用企业身份提供程序进行登录。
域验证失败。 如果域是专用域而不是企业域,则域验证可能会失败。如果要联合专用域,则必须提交支持请求。
联合后,用户看不到其组织中的服务。 联合域的现有用户以前通过使用其 My VMware 帐户登录来访问其组织中的服务。启用联合后,同步的用户必须将其企业帐户链接到其 VMware ID。仅当链接这两个帐户后,服务才会根据现有用户在组织中拥有的组织和服务角色访问权限对他们可见并可供他们访问。