ID プロバイダから VMware Identity Services にプロビジョニングされたディレクトリのプロビジョニングおよび認証エラーをトラブルシューティングするには、ID プロバイダ、VMware Identity Services、および Workspace ONE AccessWorkspace ONE UEM などの Workspace ONE サービスのログと監査イベントを確認します。

ID プロバイダのプロビジョニング ログの確認

プロビジョニング エラーについては、まず ID プロバイダのプロビジョニング ログを確認して、VMware Identity Services へのユーザーまたはグループのプロビジョニングでエラーがあったかを調べ、エラーを解決します。

たとえば、Microsoft Entra 管理コンソールでは、プロビジョニング アプリケーションの [プロビジョニング] ページでプロビジョニング ログを確認できます。

[管理] - [プロビジョニング] を選択し、[プロビジョニング ログの表示] リンクをクリックします。

[プロビジョニング ログ] 画面で、ユーザーをクリックして詳細を表示します。
[プロビジョニング ログの詳細] ペインに、ユーザーに関する詳細が表示されます。

VMware Identity Services プロビジョニング ログの確認

VMware Identity Services にログインした監査イベントを確認して、VMware Identity Services から Workspace ONE AccessWorkspace ONE UEM などの Workspace ONE サービスにユーザーをプロビジョニングしたときにエラーが発生したかどうかを調べます。

VMware Identity Services での監査イベントの表示を参照してください。

Workspace ONE UEM ログの確認

Workspace ONE UEM の次のトラブルシューティング リソースを使用します。

  • 次のフォルダにあるプロビジョニング ログと初期構成ログ:

    C:\AirWatch\Logs\AW_Core_Api

  • 構成エラーの場合:
    • 構成には次の GET API を使用します。

      Workspace_ONE_UEM_URL/api/system/provisioning/config/locationgroupuuid

    • コア API ログのエラーを確認します。
  • プロビジョニングの問題については、コア API ログを確認し、SCIM API からのエラーまたは例外を見つけます。

Workspace ONE Access 監査イベントの確認

Workspace ONE Access の監査イベントで認証の失敗を確認します。

  1. Workspace ONE Access コンソールで、[監視] > [レポート] の順に選択します。
  2. ドロップダウン メニューから [監査イベント] を選択します。
  3. ユーザーを指定し、イベントのタイプを選択して時間枠を指定し、[表示] をクリックします。

    認証の失敗については、[LOGIN] および [LOGIN_ERROR] イベントを確認してください。

一般的な問題

  • OpenID Connect を使用して Microsoft Entra ID がサードパーティ ID プロバイダとして構成されている場合、ユーザーが認証できない

    Microsoft Entra ID の OpenID Connect アプリケーションから、VMware Identity Services ウィザードのステップ 5、[OpenID Connect の構成] に正しい値をコピーしたことを確認します。特に、[クライアント シークレット][アプリケーション (クライアント) ID] の値を確認します。ステップ 5:認証の構成を参照してください。

  • Microsoft Entra ID でユーザーを削除しても、VMware Identity Services からユーザーが削除されない

    Microsoft Entra ID でユーザーを削除すると、アカウントは削除される前に一定期間サスペンドされます。その期間、ユーザーは VMware Identity Services で非アクティブ化されます。削除されたユーザーのユーザー名も Microsoft Entra ID で変更され、変更は VMware Identity Services に反映されます。詳細については、Microsoft Entra ID ユーザーを削除する方法を参照してください。

  • Microsoft Entra ID でユーザーおよびグループの属性値を削除しても、VMware Identity Services で値が削除されない

    Microsoft Entra ID では、すでに VMware Identity Services と同期されているユーザーまたはグループの属性値を削除しても、VMware Identity Services および Workspace ONE サービスで値が削除されません。Microsoft Entra ID は null 値を伝達しません。

    回避策として、値を完全にクリアする代わりに、スペース文字を入力します。

  • VMware Identity Services が Okta と統合されている場合、VMware Identity Services と同期するグループ属性マッピングを Okta で指定することはできません。ユーザー属性のみをマッピングできます。
  • OpenID Connect プロトコルを使用してサードパーティの ID プロバイダを VMware Identity Services と統合すると、login_hint 機能が動作しません。証明書利用者が login_hint を送信した場合、VMware Identity Services はそれを ID プロバイダに渡しません。
  • Microsoft Entra ID からプロビジョニングされたグループに対して VMware Identity Services で変更を加えた場合(たとえば、ユーザーまたはグループを削除した場合)、データをリストアするには、Microsoft Entra 管理センターでプロビジョニングを再開する必要がある場合があります。詳細については、Microsoft ドキュメントの「Microsoft Entra ID でのプロビジョニングに関する既知の問題」を参照してください。
  • Microsoft Entra ID または Okta で属性マッピングを削除しても、VMware Identity Services のユーザーから属性が削除されない

    Microsoft Entra ID または Okta のプロビジョニング アプリケーションから属性マッピングを削除しても、変更は VMware Identity Services に伝達されません。VMware Identity Services および Workspace ONE サービスのユーザーの属性は削除されません。

  • トークンの有効期限の通知を受信していません

    VMware Identity Services トークンの有効期限が近付くか、期限切れになると、Workspace ONE Cloud コンソールのバナーおよび E メールの両方で通知されます。通知が届かない場合は、VMware Identity Services が Workspace ONE Intelligence と統合されていることを確認します。

    1. VMware Cloud Services コンソールに管理者としてログインし、Workspace ONE Cloud サービスを起動します。
    2. [統合] > [データ ソース] を選択します。
    3. [Workspace ONE Access] カードを見つけます。
      注: VMware Identity Services は、 Workspace ONE Access サービスと同じ場所にあります。
    4. Workspace ONE Access カードに [認証済み] ステータスが表示されていることを確認します。
    5. Workspace ONE Access カードに [認証済み] と表示されない場合は、カードの [セットアップ] をクリックします。
    6. [開始する] をクリックします。
    7. [Workspace ONE Access に接続] をクリックします。
    8. [終了] をクリックします。

    バナー通知が表示されても E メール通知が届かない場合は、E メール通知の受信をオプトインしていることを確認します。

    1. VMware Cloud Services コンソールに管理者としてログインし、Workspace ONE Cloud サービスを起動します。
    2. ベル アイコンをクリックし、歯車ボックスをクリックして [通知設定] ページを表示します。
    3. [Workspace ONE Access および ID サービス] セクションの [トークンの有効期限] 設定で [E メール] チェック ボックスが選択されていることを確認します。
  • ディレクトリの作成後にサードパーティの ID プロバイダを変更する

    VMware Identity Services を有効にし、サードパーティの SCIM 2.0 ID プロバイダを選択してディレクトリを作成した後、ID プロバイダの選択を変更することはできません。ID プロバイダを変更するには、VMware Identity Services を無効にしてから再度有効にする必要があります。

    VMware Identity Services を無効にするには、「VMware Identity Services を無効にする」の手順に従います。

  • VMware Identity Services を有効にした後、無効にする

    次のようなシナリオでは、VMware Identity Services の無効化が必要になる場合があります。

    • VMware Identity Services を有効にして試し、無効にしたいと考えています。
    • ユースケースは、VMware Identity Services でサポートされていません。
    • ユーザーとグループを Active Directory から直接同期する必要があります。これは、Workspace ONE Cloud サービスではなく、Workspace ONE UEM または Workspace ONE Access でディレクトリを構成する場合にのみサポートされます。

    VMware Identity Services を無効にするには、「VMware Identity Services を無効にする」の手順に従います。サービスを無効にした後、Workspace ONE UEM および Workspace ONE Access でディレクトリ サービスと ID フェデレーションを構成できます。

  • VMware Identity Services を無効にした後に有効にしようとするとエラーが発生する

    ディレクトリを削除し、VMware Identity Services を無効にした場合、再度有効にしようとするとエラーが発生することがあります。

    ディレクトリが削除されるまでに時間がかかります。Workspace ONE Access コンソールに移動し、ディレクトリが削除されていることを確認してから、VMware Identity Services の有効化を再度試みます。