ID 제공자에서 VMware Identity Services로 프로비저닝된 디렉토리에 대한 프로비저닝 및 인증 오류를 해결하려면 ID 제공자, VMware Identity Services 및 Workspace ONE 서비스(예: Workspace ONE Access 및 Workspace ONE UEM)의 로그 및 감사 이벤트를 검토합니다.
ID 제공자 프로비저닝 로그 검토
프로비저닝 오류의 경우 먼저 ID 제공자의 프로비저닝 로그를 검토하여 VMware Identity Services로 사용자 또는 그룹을 프로비저닝하는 동안 오류가 있었는지 확인하고 오류를 해결합니다.
예를 들어 Microsoft Entra 관리 콘솔의 프로비저닝 애플리케이션 프로비저닝 페이지에서 프로비저닝 로그를 찾을 수 있습니다.
VMware Identity Services 프로비저닝 로그 검토
VMware Identity Services에 기록된 감사 이벤트를 검토하여 VMware Identity Services에서 Workspace ONE Access 및 Workspace ONE UEM 같은 Workspace ONE 서비스로 사용자를 프로비저닝하는 동안 오류가 있었는지 확인합니다.
VMware Identity Services에서 감사 이벤트 보기의 내용을 참조하십시오.
Workspace ONE UEM 로그 검토
Workspace ONE UEM에 대한 다음 문제 해결 리소스를 사용합니다.
- 다음 폴더에서 로그 및 초기 구성 로그를 프로비저닝합니다.
C:\AirWatch\Logs\AW_Core_Api
- 구성 오류의 경우:
- 구성에 대한 다음의 API 가져오기를 사용합니다.
Workspace_ONE_UEM_URL/api/system/provisioning/config/locationgroupuuid
- 코어 API 로그에서 오류를 확인합니다.
- 구성에 대한 다음의 API 가져오기를 사용합니다.
- 프로비저닝 문제가 있는 경우 코어 API 로그를 확인하고 SCIM API에서 오류 또는 예외를 찾습니다.
Workspace ONE Access 감사 이벤트 검토
인증 오류의 경우 Workspace ONE Access의 감사 이벤트를 검토합니다.
- Workspace ONE Access 콘솔에서 를 선택합니다.
- 드롭다운 메뉴에서 감사 이벤트를 선택합니다.
- 사용자를 지정하고 이벤트 유형을 선택하고 시간 프레임을 지정한 다음 표시를 클릭합니다.
인증 오류의 경우 LOGIN 및 LOGIN_ERROR 이벤트를 참조하십시오.
일반 문제
- Microsoft Entra ID가 OpenID Connect를 사용하는 타사 ID 제공자로 구성된 경우 사용자가 인증할 수 없음
Microsoft Entra ID의 OpenID Connect 애플리케이션에서 VMware Identity Services 마법사의 5단계 OpenID Connect 구성으로 올바른 값을 복사했는지 확인합니다. 특별히 클라이언트 암호 및 애플리케이션(클라이언트) ID 값을 확인합니다. 5단계: 인증 구성의 내용을 참조하십시오.
- Microsoft Entra ID에서 사용자를 삭제해도 VMware Identity Services에서 사용자가 삭제되지 않습니다.
Microsoft Entra ID에서 사용자를 삭제하면 계정이 삭제되기 전에 특정 기간 동안 일시 중단됩니다. 사용자는 그 기간 동안 VMware Identity Services에서 비활성화됩니다. 삭제된 사용자의 사용자 이름도 Microsoft Entra ID에서 수정되고 변경 내용이 VMware Identity Services에 반영됩니다. 자세한 내용은 Microsoft Entra ID 사용자 삭제 방법의 내용을 참조하십시오.
- Microsoft Entra ID에서 사용자 및 그룹 특성 값을 삭제해도 VMware Identity Services의 값이 삭제되지 않습니다.
Microsoft Entra ID에서 이미 VMware Identity Services와 동기화된 사용자 또는 그룹 특성 값을 삭제할 경우 값이 VMware Identity Services 및 Workspace ONE 서비스에서 삭제되지 않습니다. Microsoft Entra ID는 null 값을 전파하지 않습니다.
해결 방법으로 값을 완전히 지우는 대신 공백 문자를 입력합니다.
- VMware Identity Services가 Okta와 통합되면 Okta에서 VMware Identity Services에 동기화할 그룹 특성 매핑을 지정할 수 없습니다. 사용자 특성만 매핑할 수 있습니다.
- OpenID Connect 프로토콜을 사용하여 타사 ID 제공자를 VMware Identity Services와 통합하면 login_hint 기능이 작동하지 않습니다. 신뢰 당사자가 login_hint를 보내면 VMware Identity Services에서 이를 ID 제공자에게 전달하지 않습니다.
- Microsoft Entra ID에서 프로비저닝된 그룹을 VMware Identity Services에서 변경하는 경우(예: 사용자 또는 그룹을 삭제하고 데이터를 복원하려는 경우) Microsoft Entra 관리 센터에서 프로비저닝을 다시 시작해야 할 수 있습니다. 자세한 내용은 Microsoft 설명서의 Microsoft Entra ID의 프로비저닝에 대한 알려진 문제를 참조하십시오.
- Microsoft Entra ID 또는 Okta에서 특성 매핑을 삭제해도 VMware Identity Services의 사용자에서 특성이 제거되지 않음
Microsoft Entra ID 또는 Okta의 프로비저닝 애플리케이션에서 특성 매핑을 삭제하면 변경 내용이 VMware Identity Services로 전파되지 않습니다. VMware Identity Services 및 Workspace ONE 서비스의 사용자에 대해 특성이 삭제되지 않습니다.
- 토큰 만료 알림이 수신되지 않습니다.
VMware Identity Services 토큰이 곧 만료될 예정이거나 만료되었으면 Workspace ONE Cloud 콘솔의 배너와 이메일로 알림을 받게 됩니다. 알림이 수신되지 않으면 VMware Identity Services가 Workspace ONE Intelligence와 통합되어 있는지 확인합니다.
- 관리자로 VMware Cloud Services 콘솔에 로그인하고 Workspace ONE Cloud 서비스를 시작합니다.
- 를 선택합니다.
- Workspace ONE Access 카드를 찾습니다.
참고: VMware Identity Services는 Workspace ONE Access 서비스와 함께 배치됩니다.
- Workspace ONE Access 카드에 인증됨 상태가 표시되는지 확인합니다.
- Workspace ONE Access 카드에 인증됨이 표시되지 않으면 카드에서 설정을 클릭합니다.
- 시작하기를 클릭합니다.
- Workspace ONE Access에 연결을 클릭합니다.
- 완료를 클릭합니다.
배너 알림을 볼 수 있지만 이메일 알림이 수신되지 않는 경우 이메일 알림을 수신하도록 옵트인했는지 확인합니다.
- 관리자로 VMware Cloud Services 콘솔에 로그인하고 Workspace ONE Cloud 서비스를 시작합니다.
- 종 모양 아이콘을 클릭한 다음, 톱니 바퀴 상자를 클릭하여 [알림 설정] 페이지를 봅니다.
- Workspace ONE Access 및 ID 서비스 섹션에서 암호 토큰 만료 설정에 대해 이메일 확인란이 선택되어 있는지 확인합니다.
- 디렉토리를 생성한 후 타사 ID 제공자를 변경하려고 합니다.
VMware Identity Services를 사용하도록 설정한 후 타사 SCIM 2.0 ID 제공자를 선택하고 디렉토리를 생성하면 ID 제공자 선택을 변경할 수 없습니다. ID 제공자를 변경하려면 VMware Identity Services를 비활성화한 후 다시 사용하도록 설정해야 합니다.
VMware Identity Services를 비활성화하려면 VMware Identity Services 비활성화의 지침을 따르십시오.
- VMware Identity Services를 사용하도록 설정한 후 비활성화하려고 합니다.
다음과 같은 시나리오에서 VMware Identity Services를 비활성화해야 할 수 있습니다.
- VMware Identity Services를 사용하도록 설정하여 사용해 보았으며 이제 비활성화하려고 합니다.
- 사용 사례는 VMware Identity Services에서 지원되지 않습니다.
- Workspace ONE Cloud 서비스 대신 Workspace ONE UEM 또는 Workspace ONE Access에서 디렉토리를 구성할 때만 지원되는 Active Directory 사용자 및 그룹을 직접 동기화하려고 합니다.
VMware Identity Services를 비활성화하려면 VMware Identity Services 비활성화의 지침을 따르십시오. 서비스를 비활성화한 후에는 Workspace ONE UEM 및 Workspace ONE Access에서 디렉토리 서비스 및 ID 페더레이션을 구성할 수 있습니다.
- VMware Identity Services를 비활성화했다가 다시 사용하도록 설정하려고 하면 오류가 발생합니다.
디렉토리를 삭제하고 VMware Identity Services를 비활성화한 경우 다시 사용하도록 설정하려고 하면 오류가 발생할 수 있습니다.
디렉토리를 삭제하는 데 다소 시간이 걸립니다. Workspace ONE Access 콘솔로 이동하고 VMware Identity Services를 다시 사용하도록 설정하기 전에 디렉토리가 삭제되었는지 확인합니다.