iOS için sertifika tabanlı kimlik doğrulaması kullanıcı sertifikaları için istekte başarısız olur

Not

Office 365 ProPlus kurumsal olarak Microsoft 365 uygulamalarıolarak yeniden adlandırıldı. Bu değişiklik hakkında daha fazla bilgi için Bu blog gönderisini okuyun.

Belirtiler

Geçerli kullanıcı sertifikalarına sahip Apple iOS aygıtlarında federe kullanıcılar, Azure AD'ye karşı Sertifika Tabanlı Kimlik Doğrulama (CBA) gerçekleştiremediklerini fark eder. Ancak, Android ve Windows cihazlarındaki federe kullanıcılar CBA kullanarak başarılı bir şekilde kimlik doğrulayabilirler. Aynı iOS kullanıcıları, kullanıcı adlarını ve parolalarını kullanarak kimlik doğrulamalarında herhangi bir sorunla karşılaşmaz.

IOS'ta ADAL özellikli Office uygulamalarında oturum açınca kimlik doğrulaması yapamayan iOS kullanıcıları için tipik bir deneyim:

  1. Kullanıcı, Office uygulaması kurulum deneyiminde gezinir. "Office365" oturum açma sayfasında, kullanıcı Oturum Açma'yı tıklatıyor.
  2. ADAL Oturum Açma sayfası görünür ve kullanıcı federe e-posta adresini girer ve sonra İleri'yi tıklatır.
  3. ADAL Oturum Açma işlemi, zaman dışarı çıkana kadar boş bir sayfada asılı kalır ve "Hesabınızla ilgili bir sorun var. Daha sonra tekrar deneyin" hatası. Bu sayfa, Tamam'a dokunma seçeneğini içerir.
  4. Kullanıcı Tamam'a dokunursa, üstte Geri'ye dokunma seçeneği yle aynı boş Oturum Açma sayfasında yer alar.
  5. Backreturns kullanıcıyı ADAL Oturum Açma sayfasına döndürür ve burada işlem her yerde başlar: kullanıcıdan federe e-posta adresini girmeleri ve sonra İleri'yi tıklatması istenir.
  6. Ok'a dokunulduğunda, kullanıcının UserPrincipalName'ini girebileceği ve işlemi tekraredebileceği boş bir Oturum Açma ekranına geri döner.

Office uygulamalarını bir etken olarak ortadan kaldırmak için, "Daha Fazla Bilgi" bölümündeki adımları izleyerek Safari tarayıcısında iOS ortamındaki federe kullanıcıların sertifika tabanlı kimlik doğrulamasını test etmesini öneririz. Safari tarayıcısından kimlik doğrulaması yapamayan iOS kullanıcıları için tipik deneyim  https://portal.office.com   aşağıdaki gibidir:

  1. X.509 sertifika bağlantısını kullanarak Oturum Açma'yı tıklattıktan sonra kullanıcısertifikasının kullanımını onaylaması beklendiği gibi kullanıcıdan istenmez. 

  2. Federe kullanıcı ya yanıt vermeyen bir STS oturum açma sayfasında oturur ya da aşağıdaki gibi istendiği varsayılan STS oturum açma sayfasına ilerler: 

    Kimlik doğrulaması için kullanmak istediğiniz bir sertifika seçin. İşlemi iptal ederseniz, lütfen tarayıcınızı kapatın ve yeniden deneyin.

    Not   AD FS'de diğer kimlik doğrulama yöntemleri etkinleştirilirse, kullanıcı "Diğer seçeneklerle oturum açma" seçeneğini belirten bir bağlantı da görür. Bunu tıklattıklarında, STS oturum açma sayfasına geri dönerler.

  3. Her iki deneyim de aşağıdaki hataile başarısız:

    Sunucu yanıt vermeyi bıraktığından Safari sayfayı açamadı.

Neden

MDM ilkesi SCEP profili ile birlikte Apple aygıtına sadece Root sertifikası iter zaman veren ast CA sertifikası beklendiği gibi cihaz tarafından alınmıyor çünkü sertifika zinciri tamamlanmaz.

iOS aygıtı, kullanıcı sertifikasındaki AIA yolunun, veren alt CA'nın *.crt dosyasına işaret eden geçerli bir URL'ye sahip olmasına rağmen, veren CA'nın *.crt dosyasını doğru şekilde almaz.

Çözüm

Müşteri aygıtı yönetmek için Intune kullanıyorsa, ara sertifika yetkililerine işaret eden bir iOS Güvenilen Kök Sertifikası için yeni bir yapılandırma ilkesi oluşturmalarını bildirin* CER dosyası. Ardından, cihazdaki şirket portalını açmalarını ve politikayı yenilemelerini tavsiye edin. Bağlantı şimdi başarılı olmalıdır.

Daha Fazla Bilgi

Yıldırım kablosunu kullanarak iPad'e bağlı bir OS X istemcisinden "Apple Configurator 2" izini alırsanız, izleme günlüğü aşağıdakilere benzer:

} 
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad accountsd(AccountsDaemon)[216] <Notice>: -[ACDServer listener:shouldAcceptNewConnection:] (320) "<private> (<private>) received"
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
...
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_connection_endpoint_report [8 sts.<name>.info:49443 in_progress resolver (satisfied)] reported event flow:finish_transport
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Cancel [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1 portal.office.com:443 ready resolver (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1.1 13.107.7.190:443 ready socket-flow (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Notice>: __nw_socket_service_writes_block_invoke sendmsg(fd 4, 85 bytes): socket has been closed
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_flow_protocol_disconnected [1.1 13.107.7.190:443 cancelled socket-flow (null)] Output protocol disconnected
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Destroyed [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 2, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 11, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 12, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 13, Pending(0)
Nov 2 15:54:34 CSSs-iPad securityd[88] <Notice>: items matching issuer parent: Error Domain=NSOSStatusErrorDomain Code=-25300 "no matching items found" UserInfo={NSDescription=no matching items found}