Ověřování založené na certifikátech pro iOS se nepodaří vyzvat k zadání uživatelských certifikátů

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Příznaky

Federovaní uživatelé na zařízeních Apple s iOS, kteří mají platné uživatelské certifikáty, zjistí, že se jim ne Certificate-Based (CBA) v Azure AD. Federovaní uživatelé na zařízeních s Androidem a Windows se ale mohou úspěšně ověřovat pomocí CBA. Stejní uživatelé iOS se při ověřování pomocí svého uživatelského jména a hesla potýkají s žádnými problémy.

Tady je typické prostředí pro uživatele iOSu, kteří se při přihlášení k aplikacím s podporou ADAL Office iOS neověřují:

  1. Uživatel prochází prostředím aplikace Office nastavení. Na přihlašovací stránce Office365 uživatel klikne na Přihlásit se.
  2. Zobrazí se přihlašovací stránka ADAL, na které uživatel zadá federovanou e-mailovou adresu a klikne na Další.
  3. Proces přihlášení ADAL se zablokuje na prázdné stránce, dokud se nevyplní, a vrátí "Došlo k problému s vaším účtem. Zkuste to znovu později. Tato stránka obsahuje možnost klepnout na OK.
  4. Pokud uživatel klepne na OK, sedí na stejné prázdné přihlašovací stránce s možností nahoře a klepněte na Zpět.
  5. Klepnutím na Vrátit zpět vrátíte uživatele na přihlašovací stránku ADAL, kde proces začíná všude: uživatel se zobrazí výzva k zadání federované e-mailové adresy a potom klikněte na Další.
  6. Klepnutím na OK se vrátíte na prázdnou přihlašovací obrazovku, kde uživatel může zadat svoje UserPrincipalName a proces opakovat.

Pokud chcete Office aplikace jako faktor, doporučujeme federovaným uživatelům v prostředí iOS testovat ověřování založené na certifikátech v prohlížeči Safari podle pokynů v části Další informace. Typické prostředí pro uživatele iOSu, kteří se neověřují v https://portal.office.com prohlížeči Safari, je následující:

  1. Uživatel se po kliknutí na odkaz pro přihlášení pomocí certifikátu X.509 nezouvá očekávaným způsobem, aby schvaloval použití svého uživatelského certifikátu.

  2. Federovaný uživatel buď sedí na nereagující přihlašovací stránce STS, nebo přejde na výchozí přihlašovací stránku STS, kde se zobrazí výzva:

    Vyberte certifikát, který chcete použít k ověřování. Pokud operaci zrušíte, zavřete prosím prohlížeč a zkuste to znovu.

    Poznámka: Pokud jsou ve službě AD FS povolené jiné metody ověřování, zobrazí se uživateli taky odkaz s informacemi o přihlášení s jinými možnostmi. Pokud na toto tlačítko kliknou, vrátí se na přihlašovací stránku STS.

  3. Obě prostředí se nezdaří s následující chybou:

    Safari stránku neotevře, protože server přestal reagovat.

Příčina

Řetěz certifikátů je neúplný, protože vystavující podřízený certifikát certifikační autority zařízení nenačítá očekávaným způsobem, když zásada MDM do zařízení Apple společně s profilem SCEP předá jenom kořenový certifikát.

Zařízení s iOSem nezíská správně soubor *.crt vystavující certifikační autority, i když cesta AIA v uživatelském certifikátu má platnou adresu URL, která odkazuje na soubor *.crt podřízeného certifikačního úřadu.

Řešení

Pokud zákazník používá Intune ke správě zařízení, doporučte mu vytvoření nové zásady konfigurace důvěryhodného kořenového certifikátu pro iOS, který odkazuje na Zprostředkující certifikační autority ' *. CER. Potom jim doporučíte, aby na zařízení otevřeli portál společnosti a aktualizaci zásad. Připojení by teď mělo být úspěšné.

Další informace

Pokud z klienta OS X, který je připojený k iPad pomocí bleskového kabelu, se trasování "Apple Configurator 2" podobá následujícímu:

} 
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad accountsd(AccountsDaemon)[216] <Notice>: -[ACDServer listener:shouldAcceptNewConnection:] (320) "<private> (<private>) received"
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
...
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_connection_endpoint_report [8 sts.<name>.info:49443 in_progress resolver (satisfied)] reported event flow:finish_transport
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Cancel [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1 portal.office.com:443 ready resolver (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1.1 13.107.7.190:443 ready socket-flow (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Notice>: __nw_socket_service_writes_block_invoke sendmsg(fd 4, 85 bytes): socket has been closed
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_flow_protocol_disconnected [1.1 13.107.7.190:443 cancelled socket-flow (null)] Output protocol disconnected
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Destroyed [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 2, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 11, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 12, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 13, Pending(0)
Nov 2 15:54:34 CSSs-iPad securityd[88] <Notice>: items matching issuer parent: Error Domain=NSOSStatusErrorDomain Code=-25300 "no matching items found" UserInfo={NSDescription=no matching items found}