要对从身份提供程序置备到 VMware Identity Services 的目录所发生的置备和身份验证错误进行故障排除,请查看身份提供程序、VMware Identity Services 和 Workspace ONE 服务(如 Workspace ONE AccessWorkspace ONE UEM)中的日志和审核事件。

查看身份提供程序置备日志

关于置备错误,请先查看身份提供程序中的置备日志,以确认在将用户或组置备到 VMware Identity Services 时是否发生了错误,然后解决错误。

例如,在 Azure Active Directory 管理控制台中,您可以在置备应用程序的“置备”页面上找到置备日志。

选择“管理”>“置备”,然后单击“查看置备日志”链接。

在“置备日志”页面中,单击相应用户以查看详细信息。
“置备日志详情”窗口显示了关于用户的详细信息。

查看 VMware Identity Services 置备日志

查看 VMware Identity Services 中记录的审核事件,以确认在从 VMware Identity Services 将用户置备到 Workspace ONE AccessWorkspace ONE UEM 等 Workspace ONE 服务时是否发生了错误。

  1. 在 Workspace ONE 控制台中,选择帐户 > 最终用户管理
  2. 单击已置备目录卡上的查看按钮。
  3. 查看特定用户或组或者目录的事件日志。
    • 要查看用户的事件日志,请选择用户选项卡,找到相应用户,单击用户名旁边的展开图标,然后选择事件选项卡。
    • 要查看组的事件日志,请选择选项卡,找到相应组,单击组名称旁边的展开图标,然后选择事件选项卡。
    • 要查看目录的事件日志,请单击目录页面上的事件选项卡,选择一个事件,然后单击查看详情链接。
示例:
目录的“事件”页面中显示了一个更新事件,其旁边有一个“查看详情”链接。

置备错误显示在用户组件选项卡中。

查看 Workspace ONE UEM 日志

对于 Workspace ONE UEM,请使用以下故障排除资源:

  • 以下文件夹中的置备日志和初始配置日志:

    C:\AirWatch\Logs\AW_Core_Api

  • 对于配置错误:
    • 使用以下 GET API 获取配置:

      Workspace_ONE_UEM_URL/api/system/provisioning/config/locationgroupuuid

    • 检查核心 API 日志中的错误。
  • 有关置备问题,请查看核心 API 日志,并从 SCIM API 中查找错误或异常。

查看 Workspace ONE Access 审核事件

查看 Workspace ONE Access 中的审核事件,以了解有关解身份验证失败的信息。

  1. Workspace ONE Access 控制台中,选择监控 > 报告
  2. 从下拉菜单中选择审核事件
  3. 指定用户,选择事件类型,指定时间范围,然后单击显示

    对于身份验证失败,请查看 LOGINLOGIN_ERROR 事件。

常见问题

  • 使用 OpenID Connect 将 Azure AD 配置为第三方身份提供程序时,用户无法进行身份验证

    确认您已从 Azure AD 中的 OpenID Connect 应用程序将正确的值复制到 VMware Identity Services 向导中的步骤 5 配置 OpenID Connect。具体来说,请检查客户端密钥应用程序 (客户端) ID 值。请参阅步骤 5:配置身份验证

  • 在 Azure AD 中删除用户不会从 VMware Identity Services 中删除该用户

    在 Azure AD 中删除用户时,该用户帐户将先挂起一段时间,然后才会被删除。在此挂起时间段内,该用户将在 VMware Identity Services 中处于停用状态。此外,已删除用户的用户名也会在 Azure AD 中做出修改,并且这些更改还会反映到 VMware Identity Services 中。有关更多信息,请参阅Azure AD 用户删除方式

  • 在 Azure AD 中删除用户和组属性值不会从 VMware Identity Services 中删除这些值

    在 Azure AD 中删除已同步到 VMware Identity Services 的用户或组属性值时,不会在 VMware Identity Services 和 Workspace ONE 服务中删除该值。Azure AD 不会传播空值。

    解决办法是,输入空格字符,而不是完全清除值。

  • 在将 VMware Identity Services 与 Okta 集成后,您无法在 Okta 中指定组属性映射以同步到 VMware Identity Services。您只能映射用户属性。
  • 使用 OpenID Connect 协议将第三方身份提供程序与 VMware Identity Services 集成时,login_hint 功能不起作用。如果依赖方发送 login_hint,VMware Identity Services 不会将其传递给身份提供程序。
  • 如果您在 VMware Identity Services 中对从 Azure AD 置备的组进行了任何更改(例如删除用户或组),并且想要还原数据,则可能需要在 Azure AD 管理中心重新启动置备。有关详细信息,请参阅 Microsoft 文档中的在 Azure Active Directory 中进行置备时的已知问题