ID プロバイダのプロビジョニング ログの確認

プロビジョニング エラーについては、まず ID プロバイダのプロビジョニング ログを確認して、VMware Identity Services へのユーザーまたはグループのプロビジョニングでエラーがあったかを調べ、エラーを解決します。

たとえば、Azure Active Directory 管理コンソールでは、プロビジョニング アプリケーションの [プロビジョニング] ページでプロビジョニング ログを確認できます。

[プロビジョニング ログ] 画面で、ユーザーをクリックして詳細を表示します。

VMware Identity Services プロビジョニング ログの確認

VMware Identity Services にログインした監査イベントを確認して、VMware Identity Services から Workspace ONE Access や Workspace ONE UEM などの Workspace ONE サービスにユーザーをプロビジョニングしたときにエラーが発生したかどうかを調べます。

1. Workspace ONE コンソールで、[アカウント] > [エンド ユーザー管理] を選択します。
2. プロビジョニングされたディレクトリ カードの [表示] をクリックします。
3. 特定のユーザーまたはグループのイベント ログ、またはディレクトリのイベント ログを表示します。
   • ユーザーのイベント ログを表示するには、[ユーザー] タブを選択し、ユーザーを見つけ、ユーザー名の横にある展開アイコンをクリックして、[イベント] タブを選択します。
   • グループのイベント ログを表示するには、[グループ] タブを選択し、グループを見つけ、グループ名の横にある展開アイコンをクリックして、[イベント] タブを選択します。
   • ディレクトリのイベント ログを表示するには、ディレクトリ ページの [イベント] タブをクリックし、イベントを選択して [詳細の表示] リンクをクリックします。

例：

プロビジョニング エラーは、[ユーザー] タブと [グループ] タブに表示されます。

Workspace ONE UEM ログの確認

Workspace ONE UEM の次のトラブルシューティング リソースを使用します。

• 次のフォルダにあるプロビジョニング ログと初期構成ログ：

  C:\AirWatch\Logs\AW_Core_Api

• 構成エラーの場合：
  • 構成には次の GET API を使用します。

    Workspace_ONE_UEM_URL/api/system/provisioning/config/locationgroupuuid

  • コア API ログのエラーを確認します。
• プロビジョニングの問題については、コア API ログを確認し、SCIM API からのエラーまたは例外を見つけます。

Workspace ONE Access 監査イベントの確認

Workspace ONE Access の監査イベントで認証の失敗を確認します。

1. Workspace ONE Access コンソールで、[監視] > [レポート] の順に選択します。
2. ドロップダウン メニューから [監査イベント] を選択します。
3. ユーザーを指定し、イベントのタイプを選択して時間枠を指定し、[表示] をクリックします。

   認証の失敗については、[LOGIN] および [LOGIN_ERROR] イベントを確認してください。

一般的な問題

• OpenID Connect を使用して Azure AD がサードパーティ ID プロバイダとして構成されている場合、ユーザーが認証できない

  Azure AD の OpenID Connect アプリケーションから、VMware Identity Services ウィザードのステップ 5、[OpenID Connect の構成] に正しい値をコピーしたことを確認します。特に、[クライアント シークレット] と [アプリケーション (クライアント) ID] の値を確認します。ステップ 5：認証の構成を参照してください。

• Azure AD でユーザーを削除しても、VMware Identity Services からユーザーが削除されない

  Azure AD でユーザーを削除すると、アカウントは削除される前に一定期間サスペンドされます。その期間、ユーザーは VMware Identity Services で非アクティブ化されます。削除されたユーザーのユーザー名も Azure AD で変更され、変更は VMware Identity Services に反映されます。詳細については、Azure AD ユーザーの削除方法を参照してください。

• Azure AD でユーザーおよびグループの属性値を削除しても、VMware Identity Services で値が削除されない

  Azure AD では、すでに VMware Identity Services と同期されているユーザーまたはグループの属性値を削除しても、VMware Identity Services および Workspace ONE サービスで値が削除されません。Azure AD は null 値を伝達しません。

  回避策として、値を完全にクリアする代わりに、スペース文字を入力します。

• VMware Identity Services が Okta と統合されている場合、VMware Identity Services と同期するグループ属性マッピングを Okta で指定することはできません。ユーザー属性のみをマッピングできます。
• OpenID Connect プロトコルを使用してサードパーティの ID プロバイダを VMware Identity Services と統合すると、login_hint 機能が動作しません。証明書利用者が login_hint を送信した場合、VMware Identity Services はそれを ID プロバイダに渡しません。
• Azure AD からプロビジョニングされたグループに対して VMware Identity Services で変更を加えた場合（たとえば、ユーザーまたはグループを削除した場合）、データをリストアするには、Azure AD 管理センターでプロビジョニングを再開する必要がある場合があります。詳細については、Microsoft ドキュメントのAzure Active Directory でのプロビジョニングに関する既知の問題を参照してください。