對於從身分識別提供者佈建到 VMware Identity Services 的目錄,若要針對其所發生的佈建和驗證錯誤進行疑難排解,請檢閱身分識別提供者、VMware Identity Services 和 Workspace ONE 服務 (例如 Workspace ONE AccessWorkspace ONE UEM) 中的記錄和稽核事件。

檢閱身分識別提供者的佈建記錄

對於佈建錯誤,請先檢閱身分識別提供者中的佈建記錄,以查看在將使用者或群組佈建到 VMware Identity Services 時是否發生了錯誤,然後解決錯誤。

例如,在 Microsoft Entra 管理主控台中,您可以在佈建應用程式的 [佈建] 頁面上找到佈建記錄。

選取 [管理] > [佈建],然後按一下 [檢視佈建記錄] 連結。

在 [佈建記錄] 頁面中,按一下相應的使用者,以查看詳細資料。
[佈建記錄詳細資料] 窗格顯示使用者的相關詳細資料。

檢閱 VMware Identity Services 佈建記錄

檢閱 VMware Identity Services 中所記錄的稽核事件,以查看從 VMware Identity Services 將使用者佈建到 Workspace ONE 服務 (例如 Workspace ONE AccessWorkspace ONE UEM) 時是否發生了錯誤。

請參閱 檢視 VMware Identity Services 中的稽核事件

檢閱 Workspace ONE UEM 記錄

對於 Workspace ONE UEM,請使用以下疑難排解資源:

  • 以下資料夾中的佈建記錄和初始組態記錄:

    C:\AirWatch\Logs\AW_Core_Api

  • 對於組態錯誤:
    • 使用以下 GET API 來取得組態:

      Workspace_ONE_UEM_URL/api/system/provisioning/config/locationgroupuuid

    • 檢查核心 API 記錄中的錯誤。
  • 對於佈建問題,請查看核心 API 記錄,並從 SCIM API 中尋找錯誤或例外狀況。

檢閱 Workspace ONE Access 稽核事件

檢閱 Workspace ONE Access 中的稽核事件,以瞭解驗證失敗情況。

  1. Workspace ONE Access 主控台中,選取監控 > 報告
  2. 從下拉式功能表中選取稽核事件
  3. 指定使用者,選取事件類型,指定時間範圍,然後按一下顯示

    對於驗證失敗,請查看 LOGINLOGIN_ERROR 事件。

常見問題

  • 使用 OpenID Connect 將 Microsoft Entra ID 設定為第三方身分識別提供者時,使用者無法進行驗證

    確認您已從 Microsoft Entra ID 中的 OpenID Connect 應用程式,將正確的值複製到 VMware Identity Services 精靈中的步驟 5 設定 OpenID Connect。具體來說,請檢查用戶端密碼應用程式 (用戶端) 識別碼的值。請參閱 步驟 5:設定驗證

  • Microsoft Entra ID 中刪除使用者時,並不會將該使用者從 VMware Identity Services 中刪除。

    Microsoft Entra ID 中刪除使用者時,帳戶會在刪除前先暫停一段特定期間。在該段期間,該使用者在 VMware Identity Services 中會處於停用狀態。此外,也會在 Microsoft Entra ID 中修改該已刪除使用者的使用者名稱,且這些變更會反映到 VMware Identity Services 中。如需詳細資訊,請參閱如何刪除 Microsoft Entra ID 使用者

  • Microsoft Entra ID 中刪除使用者和群組屬性值時,並不會將這些值從 VMware Identity Services 中刪除。

    Microsoft Entra ID 中,當您刪除已同步至 VMware Identity Services 的使用者或群組屬性值時,並不會在 VMware Identity Services 和 Workspace ONE 服務中刪除該值。Microsoft Entra ID 不會填入空值。

    因應措施是,輸入空白字元,而不要完全清除值。

  • VMware Identity Services 與 Okta 整合時,您無法在 Okta 中指定群組屬性對應來同步到 VMware Identity Services。您只能對應使用者屬性。
  • 當您使用 OpenID Connect 通訊協定,來整合第三方身分識別提供者與 VMware Identity Services 時,login_hint 功能不會起作用。如果信賴憑證者傳送 login_hint,VMware Identity Services 不會將其傳遞至身分識別提供者。
  • 如果您在 VMware Identity Services 中,對從 Microsoft Entra ID 所佈建的群組進行任何變更 (例如,刪除使用者或群組),而您想要還原資料,則可能需要在 Microsoft Entra 管理中心重新啟動佈建。如需詳細資訊,請參閱 Microsoft 說明文件中的在 Microsoft Entra ID 中佈建的已知問題
  • 刪除 Microsoft Entra ID 或 Okta 中的屬性對應不會從 VMware Identity Services 中的使用者移除該屬性

    Microsoft Entra ID 或 Okta 中的佈建應用程式刪除屬性對應時,變更不會散佈至 VMware Identity Services。對於 VMware Identity Services 和 Workspace ONE 服務中的使用者,不會刪除該屬性。

  • 您未收到權杖到期通知

    當您的 VMware Identity Services 權杖即將到期或已到期時,您會同時收到 Workspace ONE Cloud 主控台中的橫幅通知以及透過電子郵件傳送的通知。如果未收到任何通知,請確認 VMware Identity Services 已與 Workspace ONE Intelligence 整合。

    1. 以管理員身分登入 VMware Cloud Services 主控台,然後啟動 Workspace ONE Cloud 服務。
    2. 選取整合 > 資料來源
    3. 尋找 Workspace ONE Access 卡。
      備註: VMware Identity ServicesWorkspace ONE Access 服務位於同一位置。
    4. 確保 Workspace ONE Access 卡顯示已授權狀態。
    5. 如果 Workspace ONE Access 卡未顯示已授權,請按一下卡上的設定
    6. 按一下開始使用
    7. 按一下連線至 Workspace ONE Access
    8. 按一下完成

    如果可以看到橫幅通知,但未收到電子郵件通知,請確認您已選擇接收電子郵件通知。

    1. 以管理員身分登入 VMware Cloud Services 主控台,然後啟動 Workspace ONE Cloud 服務。
    2. 按一下通知鈴圖示,然後按一下齒輪圖示以檢視 [通知設定] 頁面。
    3. Workspace ONE Access 和 Identity Services 一節中,確保為密碼權杖到期設定選取電子郵件核取方塊。
  • 您想要在建立目錄後變更第三方身分識別提供者

    啟用 VMware Identity Services 後,選取第三方 SCIM 2.0 身分識別提供者並建立目錄後,您將無法變更身分識別提供者選項。若要變更身分識別提供者,您必須停用 VMware Identity Services,然後再重新啟用。

    若要停用 VMware Identity Services,請依照停用 VMware Identity Services 中的指示操作。

  • 啟用 VMware Identity Services 後,您想要將其停用

    在下列情況中,您可能需要停用 VMware Identity Services

    • 您已啟用 VMware Identity Services 進行試用,現在想要將其停用。
    • VMware Identity Services 不支援您的使用案例。
    • 您想要直接從 Active Directory 同步使用者和群組,只有在 Workspace ONE UEMWorkspace ONE Access 中設定目錄時才支援此功能,而 Workspace ONE Cloud 服務不支援此功能。

    若要停用 VMware Identity Services,請依照停用 VMware Identity Services 中的指示操作。停用此服務後,您可以在 Workspace ONE UEMWorkspace ONE Access 中設定目錄服務和身分識別聯盟。

  • 嘗試在停用 VMware Identity Services 後再次啟用時出現錯誤

    如果刪除了目錄並停用 VMware Identity Services,則在嘗試再次啟用此服務時可能會出現錯誤。

    刪除目錄需要一些時間。移至 Workspace ONE Access 主控台,並確認已刪除目錄,然後嘗試再次啟用 VMware Identity Services