Pour résoudre les erreurs de provisionnement et d'authentification d'un annuaire provisionné à partir de votre fournisseur d'identité pour VMware Identity Services, consultez les journaux et les événements d'audit dans le fournisseur d'identité, VMware Identity Services et les services Workspace ONE tels que Workspace ONE Access et Workspace ONE UEM.

Vérifier les journaux de provisionnement du fournisseur d'identité

Pour les erreurs de provisionnement, vérifiez d'abord les journaux de provisionnement dans le fournisseur d'identité pour rechercher d'éventuelles erreurs lors du provisionnement d'utilisateurs ou de groupes à VMware Identity Services, puis résolvez les erreurs.

Par exemple, dans la console d'administration Microsoft Entra, vous trouverez les journaux de provisionnement sur la page Provisionnement de l'application de provisionnement.

Sélectionnez Gérer - Provisionnement, puis cliquez sur le lien Afficher les journaux de provisionnement.

Sur la page Journaux de provisionnement, cliquez sur un utilisateur pour consulter les détails.
Le volet Détails des journaux de provisionnement affiche des détails sur l'utilisateur.

Vérifier les journaux de provisionnement de VMware Identity Services

Vérifiez les événements d'audit journalisés dans VMware Identity Services pour rechercher d'éventuelles erreurs lors du provisionnement des utilisateurs de VMware Identity Services à des services Workspace ONE tels que Workspace ONE Access et Workspace ONE UEM.

Reportez-vous à la section Affichage des événements d'audit dans VMware Identity Services.

Vérifier les journaux de Workspace ONE UEM

Utilisez les ressources de dépannage suivantes pour Workspace ONE UEM :

  • Journaux de provisionnement et journaux de configuration initiale dans le dossier suivant :

    C:\AirWatch\Logs\AW_Core_Api

  • Pour les erreurs de configuration :
    • Utilisez l'API GET suivante pour la configuration :

      Workspace_ONE_UEM_URL/api/system/provisioning/config/locationgroupuuid

    • Vérifiez les erreurs dans les journaux de l'API de base.
  • Pour les problèmes de provisionnement, consultez les journaux de l'API de base et recherchez les erreurs ou les exceptions des API SCIM.

Vérifier les événements d'audit de Workspace ONE Access

Recherchez les éventuels échecs d'authentification dans les événements d'audit de Workspace ONE Access.

  1. Dans la console Workspace ONE Access, sélectionnez Surveiller > Rapports.
  2. Sélectionnez Événements d'audit dans le menu déroulant.
  3. Spécifiez un utilisateur, sélectionnez le type d'événement, spécifiez une période et cliquez sur Afficher.

    Pour les échecs d'authentification, reportez-vous aux événements LOGIN et LOGIN_ERROR.

Problèmes courants

  • Les utilisateurs ne peuvent pas s'authentifier lorsque Microsoft Entra ID est configuré comme fournisseur d'identité tiers à l'aide d'OpenID Connect

    Vérifiez que vous avez copié les valeurs correctes de l'application OpenID Connect dans Microsoft Entra ID à l'étape 5, Configurer OpenID Connect, dans l'assistant de VMware Identity Services. En particulier, vérifiez les valeurs Clé secrète du client et ID de l'application (client). Reportez-vous à la section Étape 5 : Configurer l'authentification.

  • La suppression d'un utilisateur dans Microsoft Entra ID n'entraîne pas celle de l'utilisateur de VMware Identity Services

    Lorsque vous supprimez un utilisateur dans Microsoft Entra ID, le compte est suspendu pendant une période spécifique avant d'être supprimé. L'utilisateur est désactivé dans VMware Identity Services pendant cette période. Le nom de l'utilisateur supprimé est également modifié dans Microsoft Entra ID et les modifications sont appliquées dans VMware Identity Services. Voir Méthode de suppression des utilisateurs Microsoft Entra ID pour plus d'informations.

  • La suppression des valeurs d'attributs d'utilisateur et de groupe dans Microsoft Entra ID n'entraîne pas celle des valeurs dans VMware Identity Services

    Dans Microsoft Entra ID, lorsque vous supprimez une valeur d'attribut d'utilisateur ou de groupe qui a déjà été synchronisée avec VMware Identity Services, elle n'est pas supprimée dans VMware Identity Services ni dans les services Workspace ONE. Microsoft Entra ID ne propage pas les valeurs Null.

    Pour résoudre ce problème, entrez un espace au lieu d'effacer complètement la valeur.

  • Lorsque VMware Identity Services est intégré à Okta, vous ne pouvez pas spécifier les mappages d'attributs de groupe dans Okta à synchroniser avec VMware Identity Services. Vous pouvez uniquement mapper des attributs utilisateur.
  • Lorsque vous intégrez un fournisseur d'identité tiers à VMware Identity Services à l'aide du protocole OpenID Connect, la fonctionnalité login_hint ne fonctionne pas. Si la partie de confiance envoie une indication login_hint, VMware Identity Services ne la transmet pas au fournisseur d'identité.
  • Si vous apportez des modifications dans VMware Identity Services aux groupes provisionnés à partir de Microsoft Entra ID, par exemple, si vous supprimez un utilisateur ou un groupe, et que vous souhaitez restaurer les données, vous devrez peut-être redémarrer le provisionnement dans le centre d'administration Microsoft Entra. Pour plus d'informations, reportez-vous à la section Problèmes connus de provisionnement dans Microsoft Entra ID dans la documentation de Microsoft.
  • La suppression d'un mappage d'attributs dans Microsoft Entra ID ou Okta n'entraîne pas celle des utilisateurs dans VMware Identity Services

    Lorsque vous supprimez un mappage d'attributs de l'application de provisionnement dans Microsoft Entra ID ou Okta, les modifications ne sont pas propagées à VMware Identity Services. L'attribut n'est pas supprimé pour les utilisateurs dans les services VMware Identity Services et Workspace ONE.

  • Vous ne recevez pas de notifications d'expiration de jeton

    Lorsque votre jeton VMware Identity Services est sur le point d'expirer ou a expiré, vous recevez des notifications sous forme de bannière dans la console Workspace ONE Cloud et par e-mail. Si vous ne recevez aucune notification, vérifiez que VMware Identity Services est intégré à Workspace ONE Intelligence.

    1. Connectez-vous à la console VMware Cloud Services en tant qu'administrateur, puis lancez le service Workspace ONE Cloud.
    2. Sélectionnez Intégrations > Sources de données.
    3. Recherchez la carte Workspace ONE Access.
      Note : VMware Identity Services est colocalisé avec le service Workspace ONE Access.
    4. Assurez-vous que la carte Workspace ONE Access affiche l'état Autorisé.
    5. Si la carte Workspace ONE Access n'affiche pas Autorisé, cliquez sur Configurer sur la carte.
    6. Cliquez sur Prise en main.
    7. Cliquez sur Connecter à Workspace ONE Access.
    8. Cliquez sur Terminer.

    Si vous pouvez voir la notification de bannière, mais que vous ne recevez pas de notifications par e-mail, vérifiez que vous avez accepté de recevoir des notifications par e-mail.

    1. Connectez-vous à la console VMware Cloud Services en tant qu'administrateur, puis lancez le service Workspace ONE Cloud.
    2. Cliquez sur l'icône en forme de cloche, puis sur l'engrenage pour afficher la page Paramètres des notifications.
    3. Dans la section Workspace ONE Access et Identity Services, assurez-vous que la case E-mail est cochée pour le paramètre Expirations des jetons secrets.
  • Vous souhaitez modifier le fournisseur d'identité tiers après la création d'un annuaire

    Après avoir activé VMware Identity Services, sélectionnez le fournisseur d'identité SCIM 2.0 tiers, puis créez un annuaire, vous ne pouvez pas modifier la sélection du fournisseur d'identité. Pour modifier le fournisseur d'identité, vous devez désactiver VMware Identity Services, puis le réactiver.

    Pour désactiver VMware Identity Services, suivez les instructions de la section Désactivation de VMware Identity Services.

  • Après avoir activé VMware Identity Services, vous souhaitez la désactiver

    Vous devrez peut-être désactiver VMware Identity Services dans les scénarios suivants :

    • Vous avez activé VMware Identity Services pour l'essayer et souhaitez désormais le désactiver.
    • Vos cas d'utilisation ne sont pas pris en charge par VMware Identity Services.
    • Vous souhaitez synchroniser les utilisateurs et groupes directement à partir d'Active Directory. Cette fonctionnalité est uniquement prise en charge lorsque vous configurez votre annuaire dans Workspace ONE UEM ou Workspace ONE Access, au lieu du service Workspace ONE Cloud.

    Pour désactiver VMware Identity Services, suivez les instructions de la section Désactivation de VMware Identity Services. Après avoir désactivé le service, vous pouvez configurer les services d'annuaire et la fédération des identités dans Workspace ONE UEM et Workspace ONE Access.

  • Une erreur se produit lorsque vous tentez d'activer VMware Identity Services après l'avoir désactivé

    Si vous avez supprimé votre annuaire et désactivé VMware Identity Services, une erreur peut se produire lorsque vous réessayez de le réactiver.

    La suppression de l'annuaire prend un certain temps. Accédez à la console Workspace ONE Access et vérifiez que l'annuaire est supprimé avant de tenter de réactiver VMware Identity Services.