Ověřování na základě certifikátu pro iOS se nepodařilo vyzvat k zadání uživatelských certifikátů

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Příznaky

Federovaní uživatelé na zařízeních Apple iOS, kteří mají platné uživatelské certifikáty, zjistí, že nemohou provádět ověřování na základě certifikátu (CBA) proti Azure AD. Federované uživatele na zařízeních se systémem Android a Windows však mohou úspěšně ověřit pomocí cba. Stejní uživatelé iOS se při ověřování pomocí svého uživatelského jména a hesla nesetkávají s žádnými problémy.

Tady je typické prostředí pro uživatele iOS, kteří se nemohou ověřit, když se přihlásí k aplikacím Office s podporou ADAL v iOS:

  1. Uživatel provede nastavení aplikace Office. Na přihlašovací stránce Office365 uživatel klikne na přihlášení.
  2. Zobrazí se stránka ADAL Přihlášení, na které uživatel zadá svou federovovovnou e-mailovou adresu a poté klikne na Další.
  3. Proces přihlášení ADAL přestane reagovat na prázdné stránce, dokud nedorazí časový ms a vrátí "Došlo k potížím s vaším účtem. Zkuste to znovu později" chyba. Tato stránka obsahuje možnost klepnout na OK.
  4. Pokud uživatel klepne na OK, sedí na stejné prázdné přihlašovací stránce s možností nahoře klepnout na Zpět.
  5. Klepnutím na zpět vrátí težcem vrátí tesena uživatele na přihlašovací stránku ADAL, kde proces začíná všude: uživatel je vyzván k zadání své federované e-mailové adresy a potom klepněte na tlačítko Další.
  6. Klepnutím na OK se vrátí tezi na prázdnou přihlašovací obrazovku, kde uživatel může zadat své UserPrincipalName a zopakovat proces.

Chcete-li eliminovat aplikace Office jako faktor, doporučujeme federovaným uživatelům v prostředí iOS test ověřování certifikátu v prohlížeči Safari podle pokynů v části "Další informace". Typické prostředí pro uživatele iOS, kteří se nemohou ověřit  https://portal.office.com   z prohlížeče Safari, je následující:

  1. Uživatel není vyzván, jak se očekávalo schválit použití svého uživatelského certifikátu po klepnutí na přihlášení pomocí odkazu na certifikát X.509. 

  2. Federovaný uživatel buď sedí na nereagující přihlašovací stránce STS, nebo přejde na výchozí přihlašovací stránku STS, kde jsou vyzváni následujícím způsobem: 

    Vyberte certifikát, který chcete použít pro ověřování. Pokud operaci zrušíte, zavřete prohlížeč a akci opakujte.

    Poznámka:   Pokud jsou ve službě AD FS povoleny jiné metody ověřování, uživateli se také zobrazí odkaz "Přihlásit se k dalším možnostem". Pokud na toto tlačítko kliknou, vrátí se na přihlašovací stránku STS.

  3. Obě prostředí se nezdaří s následující chybou:

    Safari nemohl otevřít stránku, protože server přestal reagovat.

Příčina

Řetěz certifikátů je neúplný, protože vystavující podřízený certifikát certifikační autority není načten zařízením podle očekávání, když zásada MDM odešle pouze kořenový certifikát do zařízení Apple spolu s profilem SCEP.

Zařízení se systémem iOS nezíská správně soubor *.crt certifikačníautority, přestože cesta AIA na uživatelském certifikátu má platnou adresu URL, která odkazuje na soubor *.crt podřízeného certifikačního autority.

Řešení

Pokud zákazník používá Intune ke správě zařízení, doporučujeme mu vytvořit nové zásady konfigurace pro důvěryhodný kořenový certifikát iOS, který odkazuje na zprostředkující certifikační autority *. CER. Poté jim doporučujeme, aby na zařízení otevřeli portál společnosti a aktualizovali zásady. Připojení by nyní mělo být úspěšné.

Další informace

Pokud z klienta OS X, který je připojený k iPadu pomocí bleskového kabelu, pořídíte trasování "Apple Configurator 2", protokol trasování se podobá následujícímu:

} 
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad accountsd(AccountsDaemon)[216] <Notice>: -[ACDServer listener:shouldAcceptNewConnection:] (320) "<private> (<private>) received"
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
...
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_connection_endpoint_report [8 sts.<name>.info:49443 in_progress resolver (satisfied)] reported event flow:finish_transport
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Cancel [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1 portal.office.com:443 ready resolver (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1.1 13.107.7.190:443 ready socket-flow (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Notice>: __nw_socket_service_writes_block_invoke sendmsg(fd 4, 85 bytes): socket has been closed
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_flow_protocol_disconnected [1.1 13.107.7.190:443 cancelled socket-flow (null)] Output protocol disconnected
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Destroyed [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 2, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 11, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 12, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 13, Pending(0)
Nov 2 15:54:34 CSSs-iPad securityd[88] <Notice>: items matching issuer parent: Error Domain=NSOSStatusErrorDomain Code=-25300 "no matching items found" UserInfo={NSDescription=no matching items found}