對於從身分識別提供者佈建到 VMware Identity Services 的目錄,若要針對其所發生的佈建和驗證錯誤進行疑難排解,請檢閱身分識別提供者、VMware Identity Services 和 Workspace ONE 服務 (例如 Workspace ONE Access 和 Workspace ONE UEM) 中的記錄和稽核事件。
檢閱身分識別提供者的佈建記錄
對於佈建錯誤,請先檢閱身分識別提供者中的佈建記錄,以查看在將使用者或群組佈建到 VMware Identity Services 時是否發生了錯誤,然後解決錯誤。
例如,在 Microsoft Entra 管理主控台中,您可以在佈建應用程式的 [佈建] 頁面上找到佈建記錄。
檢閱 VMware Identity Services 佈建記錄
檢閱 VMware Identity Services 中所記錄的稽核事件,以查看從 VMware Identity Services 將使用者佈建到 Workspace ONE 服務 (例如 Workspace ONE Access 和 Workspace ONE UEM) 時是否發生了錯誤。
檢閱 Workspace ONE UEM 記錄
對於 Workspace ONE UEM,請使用以下疑難排解資源:
- 以下資料夾中的佈建記錄和初始組態記錄:
C:\AirWatch\Logs\AW_Core_Api
- 對於組態錯誤:
- 使用以下 GET API 來取得組態:
Workspace_ONE_UEM_URL/api/system/provisioning/config/locationgroupuuid
- 檢查核心 API 記錄中的錯誤。
- 使用以下 GET API 來取得組態:
- 對於佈建問題,請查看核心 API 記錄,並從 SCIM API 中尋找錯誤或例外狀況。
檢閱 Workspace ONE Access 稽核事件
檢閱 Workspace ONE Access 中的稽核事件,以瞭解驗證失敗情況。
- 在 Workspace ONE Access 主控台中,選取 。
- 從下拉式功能表中選取稽核事件。
- 指定使用者,選取事件類型,指定時間範圍,然後按一下顯示。
對於驗證失敗,請查看 LOGIN 和 LOGIN_ERROR 事件。
常見問題
- 使用 OpenID Connect 將 Microsoft Entra ID 設定為第三方身分識別提供者時,使用者無法進行驗證
確認您已從 Microsoft Entra ID 中的 OpenID Connect 應用程式,將正確的值複製到 VMware Identity Services 精靈中的步驟 5 設定 OpenID Connect。具體來說,請檢查用戶端密碼和應用程式 (用戶端) 識別碼的值。請參閱 步驟 5:設定驗證。
- 在 Microsoft Entra ID 中刪除使用者時,並不會將該使用者從 VMware Identity Services 中刪除。
在 Microsoft Entra ID 中刪除使用者時,帳戶會在刪除前先暫停一段特定期間。在該段期間,該使用者在 VMware Identity Services 中會處於停用狀態。此外,也會在 Microsoft Entra ID 中修改該已刪除使用者的使用者名稱,且這些變更會反映到 VMware Identity Services 中。如需詳細資訊,請參閱如何刪除 Microsoft Entra ID 使用者。
- 在 Microsoft Entra ID 中刪除使用者和群組屬性值時,並不會將這些值從 VMware Identity Services 中刪除。
在 Microsoft Entra ID 中,當您刪除已同步至 VMware Identity Services 的使用者或群組屬性值時,並不會在 VMware Identity Services 和 Workspace ONE 服務中刪除該值。Microsoft Entra ID 不會填入空值。
因應措施是,輸入空白字元,而不要完全清除值。
- 將 VMware Identity Services 與 Okta 整合時,您無法在 Okta 中指定群組屬性對應來同步到 VMware Identity Services。您只能對應使用者屬性。
- 當您使用 OpenID Connect 通訊協定,來整合第三方身分識別提供者與 VMware Identity Services 時,login_hint 功能不會起作用。如果信賴憑證者傳送 login_hint,VMware Identity Services 不會將其傳遞至身分識別提供者。
- 如果您在 VMware Identity Services 中,對從 Microsoft Entra ID 所佈建的群組進行任何變更 (例如,刪除使用者或群組),而您想要還原資料,則可能需要在 Microsoft Entra 管理中心重新啟動佈建。如需詳細資訊,請參閱 Microsoft 說明文件中的在 Microsoft Entra ID 中佈建的已知問題。
- 刪除 Microsoft Entra ID 或 Okta 中的屬性對應不會從 VMware Identity Services 中的使用者移除該屬性
從 Microsoft Entra ID 或 Okta 中的佈建應用程式刪除屬性對應時,變更不會散佈至 VMware Identity Services。對於 VMware Identity Services 和 Workspace ONE 服務中的使用者,不會刪除該屬性。
- 您未收到權杖到期通知
當您的 VMware Identity Services 權杖即將到期或已到期時,您會同時收到 Workspace ONE Cloud 主控台中的橫幅通知以及透過電子郵件傳送的通知。如果未收到任何通知,請確認 VMware Identity Services 已與 Workspace ONE Intelligence 整合。
- 以管理員身分登入 VMware Cloud Services 主控台,然後啟動 Workspace ONE Cloud 服務。
- 選取 。
- 尋找 Workspace ONE Access 卡。
備註: VMware Identity Services 與 Workspace ONE Access 服務位於同一位置。
- 確保 Workspace ONE Access 卡顯示已授權狀態。
- 如果 Workspace ONE Access 卡未顯示已授權,請按一下卡上的設定。
- 按一下開始使用。
- 按一下連線至 Workspace ONE Access。
- 按一下完成。
如果可以看到橫幅通知,但未收到電子郵件通知,請確認您已選擇接收電子郵件通知。
- 以管理員身分登入 VMware Cloud Services 主控台,然後啟動 Workspace ONE Cloud 服務。
- 按一下通知鈴圖示,然後按一下齒輪圖示以檢視 [通知設定] 頁面。
- 在 Workspace ONE Access 和 Identity Services 一節中,確保為密碼權杖到期設定選取電子郵件核取方塊。
- 您想要在建立目錄後變更第三方身分識別提供者
啟用 VMware Identity Services 後,選取第三方 SCIM 2.0 身分識別提供者並建立目錄後,您將無法變更身分識別提供者選項。若要變更身分識別提供者,您必須停用 VMware Identity Services,然後再重新啟用。
若要停用 VMware Identity Services,請依照停用 VMware Identity Services 中的指示操作。
- 啟用 VMware Identity Services 後,您想要將其停用
在下列情況中,您可能需要停用 VMware Identity Services:
- 您已啟用 VMware Identity Services 進行試用,現在想要將其停用。
- VMware Identity Services 不支援您的使用案例。
- 您想要直接從 Active Directory 同步使用者和群組,只有在 Workspace ONE UEM 或 Workspace ONE Access 中設定目錄時才支援此功能,而 Workspace ONE Cloud 服務不支援此功能。
若要停用 VMware Identity Services,請依照停用 VMware Identity Services 中的指示操作。停用此服務後,您可以在 Workspace ONE UEM 和 Workspace ONE Access 中設定目錄服務和身分識別聯盟。
- 嘗試在停用 VMware Identity Services 後再次啟用時出現錯誤
如果刪除了目錄並停用 VMware Identity Services,則在嘗試再次啟用此服務時可能會出現錯誤。
刪除目錄需要一些時間。移至 Workspace ONE Access 主控台,並確認已刪除目錄,然後嘗試再次啟用 VMware Identity Services。