Чтобы устранить ошибки предоставления и проверки подлинности в каталоге, предоставленном из поставщика удостоверений в VMware Identity Services, просмотрите журналы и события аудита в поставщике удостоверений, VMware Identity Services и службах Workspace ONE, например, Workspace ONE Access и Workspace ONE UEM.

Ознакомление с журналами предоставления поставщика удостоверений

В случае с ошибками предоставления, сначала просмотрите журналы предоставлений поставщика удостоверений, чтобы проверить наличие ошибок при предоставлении пользователей или групп в VMware Identity Services, а затем устраните эти ошибки.

Например, в консоли администратора Azure Active Directory, на странице приложения предоставления «Предоставления» можно найти журналы предоставлений.

Выберите «Управление» — «Предоставление», а затем выберите ссылку «Просмотр журналов предоставления».

На странице «Журналы предоставления» щелкните пользователя, чтобы просмотреть подробные сведения.
На панели сведений журнала предоставления отображаются сведения о пользователе.

Просмотр журналов предоставления VMware Identity Services

Ознакомьтесь с событиями аудита, зарегистрированными в VMware Identity Services, и убедитесь в наличии ошибок при предоставлении пользователей из VMware Identity Services в службы Workspace ONE, например Workspace ONE Access и Workspace ONE UEM.

  1. В консоли Workspace ONE выберите Учетные записи > Управление конечными пользователями.
  2. Щелкните Просмотреть на карточке предоставленного каталога.
  3. Просмотрите журналы событий конкретного пользователя, группы, или каталога.
    • Чтобы просмотреть журналы событий пользователя, перейдите на вкладку Пользователи, найдите пользователя, щелкните значок развертывания рядом с именем пользователя и выберите вкладку События.
    • Чтобы просмотреть журналы событий группы, перейдите на вкладку Группы, найдите группу, щелкните значок развертывания рядом с именем группы и выберите вкладку События.
    • Чтобы просмотреть журналы событий каталога, перейдите на вкладку События на странице каталога, выберите событие и щелкните ссылку Просмотреть сведения.
Например:
на странице событий каталога отображается событие обновления и ссылка «Просмотр сведений» рядом с ним.

Ошибки предоставления отображаются на вкладках Пользователи и Группы.

Просмотр журналов Workspace ONE UEM

Для устранения неполадок Workspace ONE UEM используйте следующие ресурсы:

  • Журналы предоставления и первоначальная конфигурация в папке:

    C:\AirWatch\Logs\AW_Core_Api

  • При ошибках конфигурации:
    • Используйте следующий GET API для конфигурации:

      Workspace_ONE_UEM_URL/api/system/provisioning/config/locationgroupuuid

    • Проверьте ошибки в журналах основного API-интерфейса.
  • В случае ошибок предоставления, проверьте журналы основного API-интерфейса и найдите ошибки или исключения из API-интерфейсов SCIM.

Просмотр событий аудита Workspace ONE Access

Просмотрите события аудита в Workspace ONE Access на наличие сбоев проверки подлинности.

  1. В консоли Workspace ONE Access выберите Мониторинг > Отчеты.
  2. Выберите События аудита в раскрывающемся меню.
  3. Укажите пользователя, выберите тип события, укажите интервал времени и нажмите Показать.

    В случае ошибок проверки подлинности см. события LOGIN и LOGIN_ERROR.

Частые проблемы

  • Пользователи не могут проверить подлинность, если Azure AD настроен в качестве стороннего поставщика удостоверений с помощью OpenID Connect

    Убедитесь, что значения правильно скопированы из приложения OpenID Connect в Azure AD в шаге 5 Настройка OpenID Connect в мастере VMware Identity Services. В частности, проверьте значения Секретный ключ клиента и Идентификатор приложения (клиента). См. Шаг 5. Настройка проверки подлинности.

  • Удаление пользователя в Azure AD не затрагивает его в VMware Identity Services

    Перед удалением пользователя в Azure AD учетная запись приостанавливается на определенный период времени. Пользователь будет деактивирован через VMware Identity Services на указанный период времени. Имя удаленного пользователя также меняется в Azure AD, а изменения отражаются в VMware Identity Services. Дополнительные сведения см. в разделе Удаление пользователей Azure AD.

  • Удаление значений атрибутов пользователей и групп в Azure AD не приводит к удалению значений в VMware Identity Services

    В Azure AD при удалении значения атрибута пользователя или группы, которое уже синхронизировано с VMware Identity Services, это значение не удаляется из VMware Identity Services и служб Workspace ONE. Azure AD не распространяет значение NULL.

    Обходной путь: введите символ пробела вместо полного удаления значения.

  • При интеграции VMware Identity Services с Okta невозможно указать сопоставления атрибутов групп для синхронизации с VMware Identity Services. Можно сопоставить только атрибуты пользователей.
  • При интеграции стороннего поставщика удостоверений с VMware Identity Services с помощью протокола OpenID Connect функция login_hint не работает. Если проверяющая сторона отправляет login_hint, VMware Identity Services не передает его поставщику удостоверений.
  • Если в VMware Identity Services вносятся какие-либо изменения в группы, предоставленные с помощью Azure AD, например, если вы удаляете пользователя или группу и хотите восстановить данные, возможно, потребуется перезапустить предоставление в центре администрирования Azure AD. Дополнительные сведения см. в разделе Проблемы с предоставлением в Azure Active Directory документации Microsoft.