L'autenticazione basata su certificato per iOS non è in grado di richiedere certificati utente

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Sintomi

Gli utenti federati su dispositivi Apple iOS che dispongono di certificati utente validi scoprono di non poter eseguire l'autenticazione basata su certificato (CBA) con Azure AD. Tuttavia, gli utenti federati su dispositivi Android e Windows sono in grado di eseguire correttamente l'autenticazione tramite CBA. Gli stessi utenti iOS non riscontrano problemi quando eseguono l'autenticazione utilizzando il nome utente e la password.

Questa è l'esperienza tipica per gli utenti iOS che non possono eseguire l'autenticazione quando accedono alle applicazioni di Office abilitate per ADAL su iOS:

  1. L'utente percorre l'esperienza di installazione di Office app. Nella pagina di accesso "Office365", l'utente fa clic su accesso.
  2. Viene visualizzata la pagina di accesso di ADAL, in cui l'utente immette il proprio indirizzo di posta elettronica federato e quindi fa clic su Avanti.
  3. Il processo di accesso di ADAL si blocca in una pagina vuota fino a quando non si verifica il timeout e restituisce un "c'è un problema con l'account. Riprovare più tardi "errore. Questa pagina include l'opzione per toccare OK.
  4. Se l'utente tocca OK, si siede nella stessa pagina di accesso vuota con l'opzione nella parte superiore per toccare indietro.
  5. Toccando il tasto indietro, l'utente viene riavviato nella pagina di accesso di ADAL, in cui il processo viene avviato dappertutto: viene richiesto all'utente di immettere l'indirizzo di posta elettronica federato e quindi fare clic su Avanti.
  6. Toccando OK torna a una schermata di accesso vuota, in cui l'utente può immettere il proprio UserPrincipalName e ripetere il processo.

Per eliminare le applicazioni di Office come fattore, è consigliabile che gli utenti federati in un ambiente iOS verifichino l'autenticazione basata su certificati nel browser Safari eseguendo la procedura descritta nella sezione "ulteriori informazioni". L'esperienza tipica per gli utenti iOS che non sono in grado di eseguire l'autenticazione  https://portal.office.com   da un browser Safari è la seguente:

  1. All'utente non viene richiesto di approvare l'utilizzo del certificato utente dopo aver fatto clic sull'accesso utilizzando un collegamento al certificato X. 509. 

  2. L'utente federato si siede in una pagina di accesso del servizio STS non risponde o avanza alla pagina di accesso del servizio token di controllo predefinita, in cui viene richiesto come indicato di seguito: 

    Selezionare un certificato che si desidera utilizzare per l'autenticazione. Se si annulla l'operazione, chiudere il browser e riprovare.

    Note   Se altri metodi di autenticazione sono abilitati in AD FS, l'utente vedrà anche un collegamento che indica "accesso con altre opzioni". Se fanno clic su di esso, tornano alla pagina di accesso del servizio STS.

  3. Entrambe le esperienze hanno esito negativo con l'errore seguente:

    Safari non è stato in grado di aprire la pagina perché il server ha smesso di rispondere.

Causa

La catena di certificati è incompleta perché il certificato della CA subordinata emittente non viene recuperato dal dispositivo come previsto quando il criterio MDM spinge solo il certificato radice sul dispositivo Apple insieme al profilo SCEP.

Il dispositivo iOS non acquisisce correttamente il file *. CRT della CA emittente, anche se il percorso AIA del certificato utente dispone di un URL valido che punta al file *. CRT della CA subordinata emittente.

Risoluzione

Se il cliente utilizza Intune per gestire il dispositivo, consigliargli di creare un nuovo criterio di configurazione per un certificato radice iOS attendibile che punti alle autorità di certificazione intermedie *. File CER. Successivamente, avvisare l'apertura del portale aziendale sul dispositivo e l'aggiornamento dei criteri. La connessione dovrebbe avere esito positivo.

Ulteriori informazioni

Se si effettua una traccia di "Apple Configurator 2" da un client OS X connesso all'iPad utilizzando il cavo Lightning, il registro di traccia è simile al seguente:

} 
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad accountsd(AccountsDaemon)[216] <Notice>: -[ACDServer listener:shouldAcceptNewConnection:] (320) "<private> (<private>) received"
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
...
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_connection_endpoint_report [8 sts.<name>.info:49443 in_progress resolver (satisfied)] reported event flow:finish_transport
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Cancel [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1 portal.office.com:443 ready resolver (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1.1 13.107.7.190:443 ready socket-flow (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Notice>: __nw_socket_service_writes_block_invoke sendmsg(fd 4, 85 bytes): socket has been closed
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_flow_protocol_disconnected [1.1 13.107.7.190:443 cancelled socket-flow (null)] Output protocol disconnected
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Destroyed [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 2, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 11, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 12, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 13, Pending(0)
Nov 2 15:54:34 CSSs-iPad securityd[88] <Notice>: items matching issuer parent: Error Domain=NSOSStatusErrorDomain Code=-25300 "no matching items found" UserInfo={NSDescription=no matching items found}