Řešení potíží s modulem plug-in Microsoft Enterprise SSO Extension na zařízeních Apple

  • Článek

Tento článek obsahuje pokyny pro řešení potíží, které správci používají k řešení problémů s nasazením a používáním modulu plug-in Enterprise SSO. Rozšíření Apple SSO je možné nasadit do iOS/iPadOS a macOS.

Organizace se můžou rozhodnout nasadit jednotné přihlašování do firemních zařízení, aby poskytly koncovým uživatelům lepší prostředí. Tento proces na platformách Apple zahrnuje implementaci Jednotné přihlašování (SSO) prostřednictvím primárních obnovovacích tokenů. Jednotné přihlašování snižuje koncoví uživatelé zatížení nadměrných výzev k ověřování.

Microsoft implementoval modul plug-in založený na rozhraní jednotného přihlašování společnosti Apple, který poskytuje zprostředkované ověřování pro aplikace integrované s Microsoft Entra ID. Další informace najdete v článku Modul plug-in Microsoft Enterprise SSO pro zařízení Apple.

Typy rozšíření

Apple podporuje dva typy rozšíření jednotného přihlašování, která jsou součástí jeho architektury: Přesměrování a přihlašovací údaje. Modul plug-in Microsoft Enterprise SSO byl implementován jako typ přesměrování a je nejvhodnější pro zprostředkování ověřování do Microsoft Entra ID. Následující tabulka porovnává dva typy rozšíření.

Typ rozšíření Nejvhodnější pro Jak to funguje Klíčové rozdíly
Přesměrování Moderní metody ověřování, jako je OpenID Připojení, OAUTH2 a SAML (Microsoft Entra ID) Operační systém zachytí požadavek na ověření z aplikace na adresy URL zprostředkovatele identity definované v konfiguračním profilu MDM rozšíření. Příjem rozšíření přesměrování: adresy URL, hlavičky a text. Před vyžádáním dat požádejte o přihlašovací údaje. Používá adresy URL v konfiguračním profilu MDM.
Reference Typy ověřování pro výzvy a odpovědi, jako je Kerberos (místní Active Directory Domain Services) Požadavek se odešle z aplikace na ověřovací server (řadič domény AD). Rozšíření přihlašovacích údajů jsou nakonfigurovaná s hostiteli v konfiguračním profilu MDM. Pokud ověřovací server vrátí výzvu, která odpovídá hostiteli uvedenému v profilu, operační systém směruje výzvu k rozšíření. Rozšíření má na výběr zpracování nebo odmítnutí výzvy. Pokud se zpracuje, rozšíření vrátí autorizační hlavičky pro dokončení požadavku a ověřovací server vrátí odpověď volajícímu. Požádejte o data a pak požádejte o ověření. Použití HOST v konfiguračním profilu MDM

Microsoft má implementace pro zprostředkované ověřování pro následující klientské operační systémy:

Operační systém Zprostředkovatel ověřování
Windows Správce webových účtů (WAM)
iOS/iPadOS Microsoft Authenticator
Android Microsoft Authenticator nebo Microsoft Portál společnosti Intune
macOS Microsoft Portál společnosti Intune (prostřednictvím rozšíření jednotného přihlašování)

Všechny zprostředkovací aplikace Microsoftu používají klíčový artefakt známý jako primární obnovovací token (PRT), což je webový token JSON (JWT) používaný k získání přístupových tokenů pro aplikace a webové prostředky zabezpečené pomocí Microsoft Entra ID. Při nasazení prostřednictvím MDM získá rozšíření Enterprise SSO pro macOS nebo iOS prT, které se podobá prT používaným na zařízeních s Windows správcem webových účtů (WAM). Další informace najdete v článku Co je primární obnovovací token.

Model řešení potíží

Následující vývojový diagram popisuje logický tok pro řešení potíží s rozšířením jednotného přihlašování. Zbytek tohoto článku podrobně popisuje kroky popsané v tomto vývojovém diagramu. Řešení potíží je možné rozdělit do dvou samostatných oblastí zaměření: nasazení a tok ověřování aplikací.

Postup odhlášení z jednotného přihlašování k platformě v systému macOS

Pokud chcete zrušit jednotné přihlašování, které bylo povolené omylem, měli by správci ze zařízení odebrat profil rozšíření jednotného přihlašování s povoleným jednotným přihlašováním a nasadit nový profil rozšíření jednotného přihlašování s zakázanými nebo odebranými příznaky jednotného přihlašování.

Kontext:

Uživatelům se na zařízeních s macOS 13 a novějším začnou zobrazovat oznámení o registraci jednotného přihlašování ve dvou scénářích:

  1. Pokud už zařízení má Portál společnosti Intune verzi podporující jednotné přihlašování a správce nasadí nové zásady rozšíření jednotného přihlašování s povoleným jednotným přihlašováním
  2. Pokud už je uživatel cílený na zásady rozšíření jednotného přihlašování s povoleným jednotným přihlašováním a novější verzí Portál společnosti Intune podporující jednotné přihlašování, nainstaluje se na zařízení.

Upozornění

Správa by neměli cílit na uživatele se zásadami rozšíření jednotného přihlašování s povoleným jednotným přihlašováním, pokud nejsou otestovaní a připravení k nasazení, protože to může potenciálně narušit stávající uživatele a jejich podmínky dodržování předpisů.

Důležité

Poznámka: Pro uživatele, kteří dokončí registraci jednotného přihlašování, bude starší registrace WPJ odebrána z řetězce klíčů. Pokud byla registrace jednotného přihlašování provedená omylem , po odebrání profilu jednotného přihlašování správcem s PSSO a instalaci nového profilu bez jednotného přihlašování by se starší registrace WPJ měla provést znovu, aby fungovala dodržování předpisů zařízením.

Řešení potíží s nasazením

Většina problémů, se kterými se zákazníci setkávají, vychází z nesprávné konfigurace mobilních Správa zařízení (MDM) profilu rozšíření jednotného přihlašování nebo nemožnosti zařízení Apple přijímat konfigurační profil z MDM. Tato část popisuje kroky, které můžete provést, abyste zajistili, že je profil MDM nasazený na Počítač Mac a že má správnou konfiguraci.

Požadavky na nasazení

Kontrola verze operačního systému macOS

Pomocí následujícího postupu zkontrolujte verzi operačního systému (OS) na zařízení s macOS. Profily rozšíření Jednotného přihlašování Apple se nasazují jenom na zařízení s macOS 10.15 (Catalina) nebo novějším. Verzi systému macOS můžete zkontrolovat v uživatelském rozhraní nebo v terminálu.

Uživatelské rozhraní

  1. V zařízení s macOS vyberte v levém horním rohu ikonu Apple a vyberte O tomto Macu.

  2. Verze operačního systému je uvedena vedle macOS.

Terminál

  1. V zařízení s macOS poklikejte na složku Aplikace a potom poklikejte na složku Nástroje .

  2. Poklikejte na aplikaci Terminál .

  3. Když se terminál otevře, na příkazovém řádku zadejte sw_vers , vyhledejte výsledek podobný tomuto:

    % sw_vers
ProductName: macOS
ProductVersion: 13.0.1
BuildVersion: 22A400

Kontrola verze operačního systému iOS

Pomocí následujících kroků zkontrolujte verzi operačního systému (OS) na zařízení s iOSem. Profily rozšíření Jednotného přihlašování Apple se nasazují jenom na zařízení s iOSem 13 nebo novějším. Verzi iOSu můžete zkontrolovat v aplikaci Nastavení. Otevřete aplikaci Nastavení:

Snímek obrazovky s ikonou aplikace pro iOS Nastavení

Přejděte na Obecné a pak Na. Tato obrazovka obsahuje informace o zařízení, včetně čísla verze iOSu:

Snímek obrazovky s verzí iOSu v aplikaci Nastavení

Nasazení konfiguračního profilu rozšíření jednotného přihlašování (MDM)

Spolupracujte se správcem MDM (nebo Správa zařízení týmem) a ujistěte se, že je konfigurační profil rozšíření nasazený na zařízeních Apple. Profil rozšíření je možné nasadit z libovolného MDM, který podporuje zařízení s macOS nebo iOS.

Důležité

Apple vyžaduje, aby byla zařízení zaregistrovaná v MDM, aby bylo možné nasadit rozšíření jednotného přihlašování.

Následující tabulka obsahuje konkrétní pokyny k instalaci MDM v závislosti na tom, do kterého operačního systému nasazujete rozšíření:

Důležité

I když se pro nasazení rozšíření jednotného přihlašování podporuje jakákoli správa mobilních zařízení, mnoho organizací implementuje zásady podmíněného přístupu založené na zařízeních prostřednictvím vyhodnocování zásad dodržování předpisů MDM. Pokud se používá MDM třetí strany, ujistěte se, že dodavatel MDM podporuje dodržování předpisů partnerů Intune, pokud chcete použít zásady podmíněného přístupu založené na zařízeních. Když se rozšíření jednotného přihlašování nasadí přes Intune nebo poskytovatele MDM, který podporuje dodržování předpisů partnerů Intune, může rozšíření předat certifikát zařízení do Microsoft Entra ID, aby bylo možné dokončit ověřování zařízení.

Ověření konfigurace sítě na zařízení s macOS

Architektura rozšíření jednotného přihlašování od společnosti Apple a rozšíření Microsoft Enterprise SSO založené na něm vyžaduje, aby některé domény byly vyloučeny z zachycení/kontroly protokolu TLS (označované také jako přerušení a kontrola proxy serveru). Na následující domény se nesmí vztahovat kontrola protokolu TLS:

  • app-site-association.cdn-apple.com
  • app-site-association.networking.apple
Kontrola, jestli není konfigurace jednotného přihlašování poškozená kvůli kontrole protokolu TLS

Kontrolu protokolu TLS můžete ověřit spuštěním nástroje sysdiagnose z terminálové aplikace na ovlivněném zařízení:

sudo sysdiagnose -f ~/Desktop/

Sysdiagnose se uloží na plochu jako .tar.gz archiv. Extrahujte archiv a otevřete soubor system_logs.logarchive . Tím se otevře konzolová aplikace. Vyhledejte com.apple.appsso a změňte filtr na SUBSYSTÉM:

Snímek obrazovky zobrazující sysdiagnose

Vyhledejte události, které uvádějí, že došlo k selháním přidružené domény, zejména v souvislosti s doménami Microsoftu, jako je login.microsoftonline.com. Tyto události můžou znamenat problémy s kontrolou protokolu TLS, které zabrání správnému fungování rozšíření jednotného přihlašování. Domény Apple se v protokolu sysdiagnose nezobrazí, i když jsou ovlivněny nepodporovanou konfigurací kontroly protokolu TLS.

Ověření konfigurace kontroly protokolu TLS

Apple poskytuje nástroj pro macOS pro kontrolu řady běžných problémů s konfigurací označovaných jako Nástroj pro vyhodnocení Macu. Tento nástroj si můžete stáhnout z AppleSeed pro IT. Pokud máte přístup k AppleSeed pro IT, stáhněte si Nástroj pro hodnocení mac z oblasti Prostředky. Po instalaci aplikace spusťte vyhodnocení. Po dokončení vyhodnocení přejděte na HTTPS Interception -->Additional Content –> a zkontrolujte následující dvě položky:

Snímek obrazovky zobrazující nástroj pro vyhodnocení macu

Pokud tyto kontroly obsahují upozornění nebo chybu, může na zařízení dojít k kontrole protokolu TLS. Spolupracujte se svým síťovým týmem, abyste z kontroly protokolu TLS vyloučili *.cdn-apple.com a *.networking.apple .

Výstup podrobných protokolů swcd

Apple poskytuje nástroj příkazového řádku, swcutil který umožňuje monitorovat průběh přidruženého ověření domény. K monitorování jakýchkoli souvisejících chyb domény můžete použít následující příkaz:

sudo swcutil watch --verbose

V protokolech vyhledejte následující položku a zkontrolujte, jestli je označená jako schválená, nebo jestli nedošlo k nějakým chybám:


    ```
    Entry s = authsrv, a = UBF8T346G9.com.microsoft.CompanyPortalMac, d = login.microsoftonline.com
    ```
Vymazání mezipaměti kontroly protokolu TLS pro macOS

Pokud máte problémy s přidruženými doménami a máte domény uvedené v seznamu povolených v nástroji pro kontrolu protokolu TLS na zařízení, může to chvíli trvat, než se zruší platnost mezipaměti ověření domény přidružené společnosti Apple. Bohužel neexistují žádné deterministické kroky, které aktivují opětovné ověření přidružené domény na všech počítačích, ale existuje několik věcí, které se dají pokusit.

K resetování mezipaměti zařízení můžete spustit následující příkazy:

pkill -9 swcd
sudo swcutil reset
pkill -9 AppSSOAgent

Po resetování mezipaměti znovu otestujte konfiguraci rozšíření jednotného přihlašování.

Někdy je tento příkaz nedostatečný a mezipaměť úplně neobnovuje. V těchto případech se můžete pokusit o následující:

  • Odeberte nebo přesuňte aplikaci Portál společnosti Intune do koše a restartujte zařízení. Po dokončení restartování můžete zkusit znovu nainstalovat Portál společnosti aplikaci.
  • Znovu zaregistrujte zařízení.

Pokud váš problém nevyřeší žádná z výše uvedených metod, může ve vašem prostředí existovat něco jiného, co by mohlo blokovat přidružené ověření domény. Pokud k tomu dojde, obraťte se prosím na podporu Společnosti Apple a požádejte o další řešení potíží.

Ověření konfiguračního profilu jednotného přihlašování na zařízení s macOS

Za předpokladu, že správce MDM postupoval podle kroků v předchozí části Nasazení profilu rozšíření jednotného přihlašování, dalším krokem je ověření úspěšného nasazení profilu do zařízení.

Vyhledání konfiguračního profilu MDM rozšíření jednotného přihlašování

  1. V zařízení s macOS vyberte na systémovém Nastavení.

  2. Když se zobrazí systém Nastavení typ Profily a stiskněte return.

  3. Tato akce by měla vyvolat panel Profily .

    Snímek obrazovky zobrazující konfigurační profily

    Bublinový popisek snímku obrazovky Popis
    1 Označuje, že zařízení je ve správě MDM .
    2 Může existovat více profilů, ze které si můžete vybrat. V tomto příkladu se profil rozšíření jednotného přihlašování Microsoftu nazývá Extensible Jednotné přihlašování Profile-32f37be3-302e-4549-a3e3-854d300e117a.

    Poznámka:

    V závislosti na použitém typu MDM může být uvedeno několik profilů a jejich schéma pojmenování je libovolné v závislosti na konfiguraci MDM. Vyberte každý z nich a zkontrolujte, jestli řádek Nastavení označuje, že se jedná o rozšíření Jednotné přihlašování.

  4. Poklikejte na konfigurační profil, který odpovídá Nastavení hodnotě rozšíření Jednotné přihlašování.

    Snímek obrazovky s konfiguračním profilem rozšíření jednotného přihlašování

    Bublinový popisek snímku obrazovky Nastavení konfiguračního profilu Popis
    1 Podepsané Podpisová autorita poskytovatele MDM.
    2 Nainstalován Datum a časové razítko ukazující, kdy bylo rozšíření nainstalováno (nebo aktualizováno).
    3 Nastavení: rozšíření Jednotné přihlašování Označuje, že tento konfigurační profil je typem rozšíření Apple SSO.
    4 Rozšíření Identifikátor, který se mapuje na ID sady prostředků aplikace, na které běží modul plug-in rozšíření Microsoft Enterprise. Identifikátor musí být vždy nastavený com.microsoft.CompanyPortalMac.ssoextension a pokud je profil nainstalovaný na zařízení s macOS, musí se identifikátor týmu zobrazovat jako (UBF8T346G9 ). Pokud se některé hodnoty liší, MDM rozšíření nevyvolá správně.
    5 Typ Rozšíření Microsoft Enterprise SSO musí být vždy nastaveno na typ rozšíření Přesměrování. Další informace naleznete v tématu Redirect vs Credential Extension Types.
    6 Adresy url Přihlašovací adresy URL patřící zprostředkovateli identity (Microsoft Entra ID) Podívejte se na seznam podporovaných adres URL.

    Všechna rozšíření přesměrování jednotného přihlašování Apple musí mít v konfiguračním profilu následující součásti datové části MDM:

    Komponenta datové části MDM Popis
    Identifikátor rozšíření Zahrnuje identifikátor sady i identifikátor týmu aplikace na zařízení s macOS, na kterém běží rozšíření. Poznámka: Rozšíření Microsoft Enterprise SSO by mělo být vždy nastaveno na: com.microsoft.CompanyPortalMac.ssoextension (UBF8T346G9), aby informoval operační systém macOS, že kód klienta rozšíření je součástí aplikace Portál společnosti Intune.
    Typ Musí být nastaveno přesměrování, aby bylo možné určit typ rozšíření přesměrování.
    Adresy url Adresy URL koncového bodu zprostředkovatele identity (Microsoft Entra ID), kde operační systém směruje žádosti o ověření do rozšíření.
    Volitelná konfigurace specifická pro rozšíření Hodnoty slovníku, které mohou fungovat jako parametry konfigurace. V kontextu rozšíření Microsoft Enterprise SSO se tyto parametry konfigurace nazývají příznaky funkcí. Viz definice příznaků funkcí.

    Poznámka:

    Definice MDM pro profil rozšíření jednotného přihlašování společnosti Apple lze odkazovat v článku Rozšiřitelná nastavení datové části MDM pro zařízení Apple implementovala naše rozšíření na základě tohoto schématu. Viz modul plug-in Microsoft Enterprise SSO pro zařízení Apple.

  5. Chcete-li ověřit, zda je nainstalován správný profil rozšíření microsoft Enterprise SSO, musí pole Rozšíření odpovídat: com.microsoft.CompanyPortalMac.ssoextension (UBF8T346G9).

  6. Poznamenejte si pole Nainstalováno v konfiguračním profilu, protože může být užitečným indikátorem řešení potíží při změně konfigurace.

Pokud byl ověřen správný konfigurační profil, přejděte do části Řešení potíží s tokem ověřování aplikací.

Chybí konfigurační profil MDM.

Pokud se konfigurační profil rozšíření jednotného přihlašování nezobrazuje v seznamu profilů po provedení předchozí části, může to být v tom, že konfigurace MDM má povolené cílení na uživatele nebo zařízení, což efektivně vyfiltruje uživatele nebo zařízení z příjmu konfiguračního profilu. Obraťte se na správce MDM a shromážděte protokoly konzoly , které najdete v další části.

Shromažďování protokolů konzoly specifických pro MDM

  1. V zařízení s macOS poklikejte na složku Aplikace a potom poklikejte na složku Nástroje .

  2. Poklikejte na konzolovou aplikaci.

  3. Kliknutím na tlačítko Start povolte protokolování trasování konzoly.

    Snímek obrazovky znázorňující aplikaci Konzola a tlačítko Start, na které se kliká

  4. Požádejte správce MDM, aby se pokusil znovu nasadit konfigurační profil na toto zařízení/uživatele macOS a vynutit cyklus synchronizace.

  5. Do vyhledávacího panelu zadejte subsystem:com.apple.ManagedClient a stiskněte return.

    Snímek obrazovky zobrazující konzolovou aplikaci s filtrem subsystému

  6. Kde se kurzor bliká na panelu hledání, napište zprávu:Extensible.

    Snímek obrazovky znázorňující další filtrování konzoly v poli zprávy

  7. Teď byste měli vidět protokoly konzoly MDM filtrované podle aktivit konfiguračního profilu rozšiřitelného jednotného přihlašování . Následující snímek obrazovky ukazuje položku protokolu Nainstalovaný konfigurační profil, který ukazuje, že byl nainstalován konfigurační profil.

Řešení potíží s tokem ověřování aplikací

Pokyny v této části předpokládají, že zařízení s macOS má správně nasazený konfigurační profil. Postup najdete v části Ověření konfiguračního profilu jednotného přihlašování na zařízení s macOS.

Po nasazení rozšíření Microsoft Enterprise SSO pro zařízení Apple podporují dva typy toků ověřování aplikací pro každý typ aplikace. Při řešení potíží je důležité porozumět typu používané aplikace.

Typy aplikací

Typ aplikace Interaktivní ověřování Bezobslužné ověřování Popis Příklady
Nativní aplikace MSAL X X MSAL (Microsoft Authentication Library) je architektura pro vývojáře aplikací přizpůsobená pro vytváření aplikací pomocí platformy Microsoft Identity Platform (Microsoft Entra ID).
Aplikace založené na knihovně MSAL verze 1.1 nebo vyšší můžou integrovat s rozšířením Microsoft Enterprise SSO.
Pokud aplikace využívá rozšíření jednotného přihlašování (zprostředkovatel), využívá rozšíření bez další konfigurace , kde najdete další informace, přečtěte si naši ukázkovou dokumentaci pro vývojáře MSAL.		 Microsoft To Do
Non-MSAL Native/Browser SSO X Aplikace, které používají síťové technologie Apple nebo webviews, je možné nakonfigurovat tak, aby získaly sdílené přihlašovací údaje z rozšíření jednotného přihlašování.
Příznaky funkcí musí být nakonfigurované, aby se zajistilo, že ID sady prostředků pro každou aplikaci může získat sdílené přihlašovací údaje (PRT).		 Microsoft Word
Safari
Microsoft Edge
Visual Studio

Důležité

Ne všechny nativní aplikace Microsoftu používají architekturu MSAL. V době publikování tohoto článku většina aplikací systém Microsoft Office macOS stále spoléhá na starší architekturu knihovny ADAL, a proto spoléhá na tok jednotného přihlašování prohlížeče.

Jak najít ID sady prostředků pro aplikaci v systému macOS

  1. V zařízení s macOS poklikejte na složku Aplikace a potom poklikejte na složku Nástroje .

  2. Poklikejte na aplikaci Terminál .

  3. Když se terminál otevře, zadejte osascript -e 'id of app "<appname>"' na příkazovém řádku. Podívejte se na některé příklady:

    % osascript -e 'id of app "Safari"'
com.apple.Safari

% osascript -e 'id of app "OneDrive"'
com.microsoft.OneDrive

% osascript -e 'id of app "Microsoft Edge"'
com.microsoft.edgemac

  4. Teď, když byly shromážděny ID sady prostředků, postupujte podle našich pokynů a nakonfigurujte příznaky funkcí, abyste zajistili, že aplikace jednotného přihlašování bez MSAL Native/Browser SSO můžou využívat rozšíření jednotného přihlašování. Poznámka: U konfigurace příznaku funkce se rozlišují velká a malá písmena.

Upozornění

Aplikace, které nepoužívají síťové technologie Apple (například WKWebview a NSURLSession), nebudou moct používat sdílené přihlašovací údaje (PRT) z rozšíření jednotného přihlašování. Google Chrome i Mozilla Firefox spadají do této kategorie. I když jsou nakonfigurované v konfiguračním profilu MDM, výsledkem bude běžná výzva k ověření v prohlížeči.

Bootstrapping

Ve výchozím nastavení volají rozšíření jednotného přihlašování pouze aplikace MSAL a pak rozšíření získá sdílené přihlašovací údaje (PRT) z Microsoft Entra ID. Aplikaci prohlížeče Safari nebo jiné aplikace než MSAL je však možné nakonfigurovat pro získání žádosti o přijetí změn. Viz Možnost Povolit uživatelům přihlášení z aplikací, které nepoužívají knihovnu MSAL a prohlížeč Safari. Jakmile rozšíření jednotného přihlašování získá PRT, uloží přihlašovací údaje do klíčenky pro přihlášení uživatele. Dále zkontrolujte, jestli se prT nachází v klíčence uživatele:

Kontrola přístupu ke klíčence pro PRT

  1. V zařízení s macOS poklikejte na složku Aplikace a potom poklikejte na složku Nástroje .

  2. Poklikejte na aplikaci Keychain Access .

  3. V části Výchozí řetězce klíčů vyberte Místní položky (nebo iCloud).

    • Ujistěte se, že je vybraná možnost Všechny položky .
    • Na panelu hledání na pravé straně zadejte primaryrefresh (Filtr).

    Snímek obrazovky znázorňující, jak najít PRT v aplikaci pro přístup ke klíčence

    Bublinový popisek snímku obrazovky Komponenta přihlašovacích údajů řetězce klíčů Popis
    1 Všechny položky Zobrazuje všechny typy přihlašovacích údajů v accessu řetězce klíčů.
    2 Panel hledání řetězce klíčů Umožňuje filtrování podle přihlašovacích údajů. Filtrování pro typ Microsoft Entra PRT primaryrefresh
    3 Kind Odkazuje na typ přihlašovacích údajů. Přihlašovací údaje Microsoft Entra PRT jsou typ přihlašovacích údajů hesla aplikace.
    4 Obchodní vztah Zobrazí uživatelský účet Microsoft Entra, který vlastní PRT ve formátu: UserObjectId.TenantId-login.windows.net
    5 Kde Zobrazí úplný název přihlašovacích údajů. Přihlašovací údaje Microsoft Entra PRT začínají následujícím formátem: primaryrefreshtoken-29d9ed98-a469-4536-ade2-f981bc1d605 29d9ed98-a469-4536-ade2-f981bc1d605 je ID aplikace pro službu Microsoft Authentication Broker zodpovědné za zpracování žádostí o získání PRT.
    6 Upravené Zobrazuje, kdy se přihlašovací údaje naposledy aktualizovaly. Pokud jde o přihlašovací údaje Microsoft Entra PRT, kdykoli se přihlašovací údaje spustí nebo aktualizují interaktivní přihlašovací událostí, aktualizuje datum a časové razítko.
    7 Keychain Určuje, který klíčence se nachází ve vybraných přihlašovacích údajích. Přihlašovací údaje Microsoft Entra PRT se nacházejí v místní položkách nebo v klíčence iCloudu . Když je na zařízení s macOS povolený iCloud, stane se řetězcem klíčů místních položek klíčenky iCloudu.

  4. Pokud se prT nenajde v klíčence Accessu, postupujte podle typu aplikace takto:

    • Nativní knihovna MSAL: Zkontrolujte, jestli vývojář aplikace, pokud byla aplikace vytvořená pomocí MSAL verze 1.1 nebo vyšší, povolila, aby aplikace byla zprostředkována. Zkontrolujte také postup řešení potíží s nasazením a vyloučíte případné problémy s nasazením.
    • Jiný než MSAL (Safari):Zkontrolujte, jestli je příznak browser_sso_interaction_enabled funkce nastavený na hodnotu 1 a ne 0 v konfiguračním profilu MDM.

Tok ověřování po spuštění žádosti o přijetí změn

Teď, když je žádost o přijetí změn (sdílené přihlašovací údaje) ověřená před hlubším řešením potíží, je užitečné pochopit základní kroky pro každý typ aplikace a způsob interakce s modulem plug-in Microsoft Enterprise SSO Extension (zprostředkující aplikace). Následující animace a popisy by měly správcům macOS pomoct pochopit scénář před tím, než se podívá na data protokolování.

Nativní aplikace MSAL

Scénář: Aplikace vyvinutá tak, aby používala službu MSAL (příklad: klient Microsoft To Do ), která běží na zařízení Apple, musí uživatele přihlásit pomocí svého účtu Microsoft Entra, aby bylo možné získat přístup ke službě chráněné microsoftem Entra (příklad: Služba Microsoft To Do).

Animace GIF znázorňující tok ověřování aplikace MSAL s PRT

  1. Aplikace vyvinuté službou MSAL volají přímo rozšíření jednotného přihlašování a odesílají žádost o přijetí změn do koncového bodu tokenu Microsoft Entra spolu s požadavkem aplikace na token pro prostředek chráněný Microsoft Entra.
  2. Id Microsoft Entra ověří přihlašovací údaje PRT a vrátí token specifický pro aplikaci zpět do zprostředkovatele rozšíření jednotného přihlašování.
  3. Zprostředkovatel rozšíření jednotného přihlašování pak předá token klientské aplikaci MSAL, která ji pak odešle do prostředku chráněného microsoftem Entra.
  4. Uživatel je teď přihlášený k aplikaci a proces ověřování je dokončený.
Jednotné přihlašování jiného než MSAL nebo prohlížeče

Scénář: Uživatel na zařízení Apple otevře webový prohlížeč Safari (nebo libovolnou nativní aplikaci bez MSAL, která podporuje Apple Networking Stack), aby se přihlásil k prostředku chráněnému Microsoft Entra (příklad: https://office.com).

Animace znázorňující tok ověřování vysoké úrovně aplikace bez MSAL pomocí rozšíření jednotného přihlašování

  1. Pomocí aplikace bez MSAL (příklad: Safari) se uživatel pokusí přihlásit k integrované aplikaci Microsoft Entra (příklad: office.com) a přesměruje se na získání tokenu z Microsoft Entra ID.
  2. Pokud je aplikace bez MSAL uvedená v konfiguraci datové části MDM, zachytí síťový zásobník Apple požadavek na ověření a přesměruje požadavek na zprostředkovatele rozšíření jednotného přihlašování.
  3. Jakmile rozšíření jednotného přihlašování přijme zachycený požadavek, odešle se žádost o přijetí změn do koncového bodu tokenu Microsoft Entra.
  4. Id Microsoft Entra ověří PRT a vrátí token specifický pro aplikaci zpět do rozšíření jednotného přihlašování.
  5. Token specifický pro aplikaci je udělen klientské aplikaci non-MSAL a klientská aplikace odešle token pro přístup k chráněné službě Microsoft Entra.
  6. Uživatel teď dokončil přihlášení a proces ověřování je dokončený.

Získání protokolů rozšíření jednotného přihlašování

Jedním z nejužitečnějších nástrojů pro řešení různých problémů s rozšířením jednotného přihlašování jsou protokoly klienta ze zařízení Apple.

Ukládání protokolů rozšíření jednotného přihlašování z aplikace Portál společnosti

  1. V zařízení s macOS poklikejte na složku Aplikace .

  2. Poklikejte na Portál společnosti aplikaci.

  3. Když se Portál společnosti načte, přejděte na horní řádek nabídek: Diagnostická sestava nápovědy> k uložení. K aplikaci se nemusíte přihlašovat.

    Snímek obrazovky znázorňující navigaci v horní nabídce nápovědy pro uložení diagnostické sestavy

  4. Uložte archiv protokolu Portál společnosti a umístěte ho podle svého výběru (například: Plocha).

  5. Otevřete archiv CompanyPortal.zip a otevřete soubor SSOExtension.log v libovolném textovém editoru.

Tip

Užitečný způsob, jak zobrazit protokoly, je použití editoru Visual Studio Code a instalace rozšíření Prohlížeče protokolů.

Protokoly rozšíření jednotného přihlašování pro tailing v systému macOS s terminálem

Při řešení potíží může být užitečné reprodukovat problém při ukládání protokolů SSOExtension v reálném čase:

  1. V zařízení s macOS poklikejte na složku Aplikace a potom poklikejte na složku Nástroje .

  2. Poklikejte na aplikaci Terminál .

  3. Když se terminál otevře, zadejte:

    tail -F ~/Library/Containers/com.microsoft.CompanyPortalMac.ssoextension/Data/Library/Caches/Logs/Microsoft/SSOExtension/*

    Poznámka:

    Koncové /* značí, že by mělo existovat více protokolů.

    % tail -F ~/Library/Containers/com.microsoft.CompanyPortalMac.ssoextension/Data/Library/Caches/Logs/Microsoft/SSOExtension/*
==> /Users/<username>/Library/Containers/com.microsoft.CompanyPortalMac.ssoextension/Data/Library/Caches/Logs/Microsoft/SSOExtension/SSOExtension 2022-12-25--13-11-52-855.log <==
2022-12-29 14:49:59:281 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Handling SSO request, requested operation: 
2022-12-29 14:49:59:281 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Ignoring this SSO request...
2022-12-29 14:49:59:282 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Finished SSO request.
2022-12-29 14:49:59:599 | I | Beginning authorization request
2022-12-29 14:49:59:599 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Checking for feature flag browser_sso_interaction_enabled, value in config 1, value type __NSCFNumber
2022-12-29 14:49:59:599 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Feature flag browser_sso_interaction_enabled is enabled
2022-12-29 14:49:59:599 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Checking for feature flag browser_sso_disable_mfa, value in config (null), value type (null)
2022-12-29 14:49:59:599 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Checking for feature flag disable_browser_sso_intercept_all, value in config (null), value type (null)
2022-12-29 14:49:59:600 | I | Request does not need UI
2022-12-29 14:49:59:600 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Checking for feature flag admin_debug_mode_enabled, value in config (null), value type (null)

  4. Při reprodukování problému nechte okno terminálu otevřené, abyste mohli sledovat výstup z chvostů protokolů SSOExtension .

Export protokolů rozšíření jednotného přihlašování v iOSu

V reálném čase není možné zobrazit protokoly rozšíření jednotného přihlašování pro iOS, protože je v systému macOS. Protokoly rozšíření jednotného přihlašování pro iOS je možné exportovat z aplikace Microsoft Authenticator a pak zkontrolovat z jiného zařízení:

  1. Otevřete aplikaci Microsoft Authenticator:

    Snímek obrazovky s ikonou aplikace Microsoft Authenticator v iOSu

  2. V levém horním rohu stiskněte tlačítko nabídky:

    Snímek obrazovky znázorňující umístění tlačítka nabídky v aplikaci Microsoft Authenticator

  3. Zvolte možnost Odeslat názor:

    Snímek obrazovky znázorňující umístění možnosti odeslání názoru v aplikaci Microsoft Authenticator

  4. Zvolte možnost "Máte potíže":

    Snímek obrazovky s umístěním možnosti potíže v aplikaci Microsoft Authenticator

  5. Stiskněte možnost Zobrazit diagnostická data:

    Snímek obrazovky zobrazující tlačítko zobrazit diagnostická data v aplikaci Microsoft Authenticator

    Tip

    Pokud pracujete s podpora Microsoftu, můžete v této fázi stisknout tlačítko Odeslat a odeslat protokoly podpoře. Tím získáte ID incidentu, které můžete poskytnout podpora Microsoftu kontaktu.

  6. Stisknutím tlačítka Kopírovat vše zkopírujte protokoly do schránky zařízení s iOSem. Soubory protokolu pak můžete uložit na jiném místě, kde je můžete zkontrolovat, nebo je odeslat e-mailem nebo jinými metodami sdílení souborů:

    Snímek obrazovky s možností Kopírovat všechny protokoly v aplikaci Microsoft Authenticator

Principy protokolů rozšíření jednotného přihlašování

Analýza protokolů rozšíření jednotného přihlašování je skvělým způsobem, jak řešit potíže s tokem ověřování z aplikací odesílacích žádosti o ověření do Microsoft Entra ID. Kdykoli se vyvolá Zprostředkovatel rozšíření jednotného přihlašování, řada výsledků aktivit protokolování a tyto aktivity se označují jako žádosti o autorizaci. Protokoly obsahují následující užitečné informace pro řešení potíží:

  • Konfigurace příznaku funkce
  • Typy žádostí o autorizaci
    • Nativní knihovna MSAL
    • Jednotné přihlašování jiného než MSAL nebo prohlížeče
  • Interakce s řetězcem klíčů macOS pro retrival přihlašovacích údajů a operace úložiště
  • ID korelace pro události přihlašování Microsoft Entra
    • Získání žádosti o přijetí změn
    • Registrace zařízení

Upozornění

Protokoly rozšíření jednotného přihlašování jsou velmi podrobné, zejména při prohlížení operací s přihlašovacími údaji řetězce klíčů. Z tohoto důvodu je vždy nejlepší pochopit scénář předtím, než se podíváte na protokoly během řešení potíží.

Struktura protokolu

Protokoly rozšíření jednotného přihlašování jsou rozdělené do sloupců. Následující snímek obrazovky ukazuje rozpis sloupců protokolů:

Snímek obrazovky znázorňující strukturu sloupců protokolů rozšíření jednotného přihlašování

Column Název sloupce Popis
1 Místní datum a čas Zobrazí se místní datum a čas.
2 I-Information
W-Warning
Chyba E		 Zobrazí informace, upozornění nebo chyby.
3 ID vlákna (TID) Zobrazí ID vlákna spuštění aplikace zprostředkovatele jednotného přihlašování.
4 Číslo verze MSAL Modul plug-in brokeru rozšíření Microsoft Enterprise SSO je build jako aplikace MSAL. Tento sloupec označuje verzi knihovny MSAL, která je spuštěná zprostředkační aplikace.
5 Verze macOS Zobrazení verze operačního systému macOS
6 Datum a čas UTC Zobrazí se datum a čas UTC .
7 ID korelace Řádky v protokolech, které musí být v operacích Microsoft Entra ID nebo řetězce klíčů, rozšiřují sloupec DATUM a čas UTC s ID korelace.
8 Zpráva Zobrazuje podrobné zprávy protokolů. Většinu informací o řešení potíží najdete v tomto sloupci.

Konfigurace příznaku funkce

Během konfigurace MDM rozšíření Microsoft Enterprise SSO je možné odeslat volitelná data specifická pro rozšíření podle pokynů ke změně chování rozšíření jednotného přihlašování. Tyto pokyny specifické pro konfiguraci se označují jako příznaky funkcí. Konfigurace příznaku funkce je obzvláště důležitá pro typy žádostí o autorizaci přes jednotné přihlašování jiného typu než MSAL/Browser, protože ID sady prostředků může určit, jestli se rozšíření vyvolá nebo ne. Viz dokumentace příznaku funkce. Každá žádost o autorizaci začíná sestavou konfigurace příznaku funkce. Následující snímek obrazovky vás provede ukázkovou konfigurací příznaku funkce:

Snímek obrazovky znázorňující ukázkovou konfiguraci příznaku funkce rozšíření Microsoft SSO

Popisek Příznak funkce Popis
1 browser_sso_interaction_enabled Prohlížeč, který není MSAL nebo Safari, může spustit žádost o přijetí změn
2 browser_sso_disable_mfa (Nyní zastaralé) Při spouštění přihlašovacích údajů PRT se ve výchozím nastavení vyžaduje vícefaktorové ověřování. Všimněte si, že tato konfigurace je nastavená na hodnotu null , což znamená, že se vynucuje výchozí konfigurace.
3 disable_explicit_app_prompt Nahradí výzvu =žádosti o ověření přihlášení z aplikací za účelem snížení počtu výzev.
4 AppPrefixAllowList Jakákoli aplikace bez MSAL, která má ID sady, která začíná, com.micorosoft. může být zachycena a zpracována zprostředkovatelem rozšíření jednotného přihlašování.

Důležité

Příznaky funkcí nastavené na hodnotu null znamenají, že je nastavená jejich výchozí konfigurace. Další podrobnosti najdete v dokumentaci příznaku funkce.

Tok přihlášení nativní aplikace MSAL

V následující části se dozvíte, jak prozkoumat protokoly rozšíření jednotného přihlašování pro tok ověřování nativní aplikace MSAL. V tomto příkladu jako klientskou aplikaci používáme ukázkovou aplikaci MSAL pro macOS/iOS a aplikace volá rozhraní Microsoft Graph API k zobrazení informací o uživateli přihlášení.

Nativní MSAL: Interaktivní postup toku

Pro úspěšné interaktivní přihlašování by se měly provést následující akce:

  1. Uživatel se přihlásí k ukázkové aplikaci MSAL macOS.
  2. Zprostředkovatel rozšíření jednotného přihlašování Microsoftu se vyvolá a zpracuje požadavek.
  3. Zprostředkovatel rozšíření microsoftu SSO prochází procesem spuštění pro získání žádosti o přijetí změn pro přihlášeného uživatele.
  4. Uložte PRT do řetězce klíčů.
  5. Zkontrolujte přítomnost objektu Registrace zařízení v Microsoft Entra ID (WPJ).
  6. Vraťte klientským aplikacím přístupový token pro přístup k Microsoft Graphu s oborem User.Read.

Důležité

Ukázkové fragmenty protokolu, které následují, byly opatřeny poznámkami s hlavičkami komentáře //, které se v protokolech nezobrazují. Slouží k ilustraci konkrétní akce, která se provádí. Zdokumentovali jsme fragmenty protokolů tímto způsobem, abychom vám pomohli s operacemi kopírování a vkládání. Kromě toho byly příklady protokolů oříznuty tak, aby zobrazovaly pouze čáry významnosti pro řešení potíží.

Uživatel klikne na tlačítko Volat rozhraní Microsoft Graph API a vyvolá proces přihlášení.

Snímek obrazovky znázorňující ukázkovou aplikaci MSAL pro macOS spuštěnou pomocí tlačítka Volat rozhraní MICROSOFT Graph API 

//////////////////////////
//get_accounts_operation//
//////////////////////////
Handling SSO request, requested operation: get_accounts_operation
(Default accessor) Get accounts.
(MSIDAccountCredentialCache) retrieving cached credentials using credential query
(Default accessor) Looking for token with aliases (null), tenant (null), clientId 08dc26ab-e050-465e-beb4-d3f2d66647a5, scopes (null)
(Default accessor) No accounts found in default accessor.
(Default accessor) No accounts found in other accessors.
Completed get accounts SSO request with a personal device mode.
Request complete
Request needs UI
ADB 3.1.40 -[ADBrokerAccountManager allBrokerAccounts:]
ADB 3.1.40 -[ADBrokerAccountManager allMSIDBrokerAccounts:]
(Default accessor) Get accounts.
No existing accounts found, showing webview

/////////
//login//
/////////
Handling SSO request, requested operation: login
Handling interactive SSO request...
Starting SSO broker request with payload: {
    authority = "https://login.microsoftonline.com/common";
    "client_app_name" = MSALMacOS;
    "client_app_version" = "1.0";
    "client_id" = "08dc26ab-e050-465e-beb4-d3f2d66647a5";
    "client_version" = "1.1.7";
    "correlation_id" = "3506307A-E90F-4916-9ED5-25CF81AE97FC";
    "extra_oidc_scopes" = "openid profile offline_access";
    "instance_aware" = 0;
    "msg_protocol_ver" = 4;
    prompt = "select_account";
    "provider_type" = "provider_aad_v2";
    "redirect_uri" = "msauth.com.microsoft.idnaace.MSALMacOS://auth";
    scope = "user.read";
}

////////////////////////////////////////////////////////////
//Request PRT from Microsoft Authentication Broker Service//
////////////////////////////////////////////////////////////
Using request handler <ADInteractiveDevicelessPRTBrokerRequestHandler: 0x117ea50b0>
(Default accessor) Looking for token with aliases (null), tenant (null), clientId 29d9ed98-a469-4536-ade2-f981bc1d605e, scopes (null)
Attempting to get Deviceless Primary Refresh Token interactively.
Caching AAD Environements
networkHost: login.microsoftonline.com, cacheHost: login.windows.net, aliases: login.microsoftonline.com, login.windows.net, login.microsoft.com, sts.windows.net
networkHost: login.partner.microsoftonline.cn, cacheHost: login.partner.microsoftonline.cn, aliases: login.partner.microsoftonline.cn, login.chinacloudapi.cn
networkHost: login.microsoftonline.de, cacheHost: login.microsoftonline.de, aliases: login.microsoftonline.de
networkHost: login.microsoftonline.us, cacheHost: login.microsoftonline.us, aliases: login.microsoftonline.us, login.usgovcloudapi.net
networkHost: login-us.microsoftonline.com, cacheHost: login-us.microsoftonline.com, aliases: login-us.microsoftonline.com
Resolved authority, validated: YES, error: 0
[MSAL] Resolving authority: Masked(not-null), upn: Masked(null)
[MSAL] Resolved authority, validated: YES, error: 0
[MSAL] Start webview authorization session with webview controller class MSIDAADOAuthEmbeddedWebviewController: 
[MSAL] Presenting web view controller.

Ukázku protokolování je možné rozdělit do tří segmentů:

Segment Popis
get_accounts_operation Zkontroluje, jestli v mezipaměti existují nějaké existující účty.
- ClientID: ID aplikace zaregistrované v Microsoft Entra ID pro tuto aplikaci MSAL
ADB 3.1.40 označuje, že verze modulu plug-in Microsoft Enterprise SSO Extension Broker
login Zprostředkovatel zpracovává žádost o ID Microsoft Entra:
- Zpracování interaktivní žádosti o jednotné přihlašování...: Označuje interaktivní požadavek.
- correlation_id: Užitečné pro křížový odkaz s protokoly přihlašování na straně serveru Microsoft Entra
- scope: Obor oprávnění rozhraní User.Read API, který se požaduje z Microsoft Graphu
- client_version: verze knihovny MSAL, na které aplikace běží
- redirect_uri: Aplikace MSAL používají formátmsauth.com.<Bundle ID>://auth
Žádost PRT Proces spuštění pro interaktivní získání žádosti o přijetí změn byl zahájen a vykreslí relaci jednotného přihlašování k webovému zobrazení.

Microsoft Authentication Broker Service
- clientId: 29d9ed98-a469-4536-ade2-f981bc1d605e
– Všechny žádosti PRT se provádějí ve službě Microsoft Authentication Broker Service.

Zobrazí se kontroler jednotného přihlašování a uživateli se zobrazí výzva k zadání přihlašovacího jména Microsoft Entra (UPN/e-mail).

Snímek obrazovky s výzvou k jednotnému přihlašování Apple se zadanými informacemi o uživateli a popiskem dalších informací

Poznámka:

Kliknutím na i v levém dolním rohu kontroleru webového zobrazení se zobrazí další informace o rozšíření jednotného přihlašování a o specifikách aplikace, která ji vyvolala.

Snímek obrazovky s dalšími informacemi o rozšíření jednotného přihlašování z obrazovky výzvy k jednotnému přihlašování Po úspěšném zadání přihlašovacích údajů Microsoft Entra se do protokolů rozšíření jednotného přihlašování zapíšou následující položky protokolu.

SSOExtensionLogs
///////////////
//Acquire PRT//
///////////////
[MSAL] -completeWebAuthWithURL: msauth://microsoft.aad.brokerplugin/?code=(not-null)&client_info=(not-null)&state=(not-null)&session_state=(not-null)
[MSAL] Dismissed web view controller.
[MSAL] Result from authorization session callbackURL host: microsoft.aad.brokerplugin , has error: NO
[MSAL] (Default accessor) Looking for token with aliases (
    "login.windows.net",
    "login.microsoftonline.com",
    "login.windows.net",
    "login.microsoft.com",
    "sts.windows.net"
), tenant (null), clientId 29d9ed98-a469-4536-ade2-f981bc1d605e, scopes (null)
Saving PRT response in cache since no other PRT was found
[MSAL] Saving keychain item, item info Masked(not-null)
[MSAL] Keychain find status: 0
Acquired PRT.

///////////////////////////////////////////////////////////////////////
//Discover if there is an Azure AD Device Registration (WPJ) present //
//and if so re-acquire a PRT and associate with Device ID            //
///////////////////////////////////////////////////////////////////////
WPJ Discovery: do discovery in environment 0
Attempt WPJ discovery using tenantId.
WPJ discovery succeeded.
Using cloud authority from WPJ discovery: https://login.microsoftonline.com/common
ADBrokerDiscoveryAction completed. Continuing Broker Flow.
PRT needs upgrade as device registration state has changed. Device is joined 1, prt is joined 0
Beginning ADBrokerAcquirePRTInteractivelyAction
Attempting to get Primary Refresh Token interactively.
Acquiring broker tokens for broker client id.
Resolving authority: Masked(not-null), upn: auth.placeholder-61945244__domainname.com
Resolved authority, validated: YES, error: 0
Enrollment id read from intune cache : (null).
Handle silent PRT response Masked(not-null), error Masked(null)
Acquired broker tokens.
Acquiring PRT.
Acquiring PRT using broker refresh token.
Requesting PRT from authority https://login.microsoftonline.com/<TenantID>/oauth2/v2.0/token
[MSAL] (Default accessor) Looking for token with aliases (
    "login.windows.net",
    "login.microsoftonline.com",
    "login.windows.net",
    "login.microsoft.com",
    "sts.windows.net"
), tenant (null), clientId (null), scopes (null)
[MSAL] Acquired PRT successfully!
Acquired PRT.
ADBrokerAcquirePRTInteractivelyAction completed. Continuing Broker Flow.
Beginning ADBrokerAcquireTokenWithPRTAction
Resolving authority: Masked(not-null), upn: auth.placeholder-61945244__domainname.com
Resolved authority, validated: YES, error: 0
Handle silent PRT response Masked(not-null), error Masked(null)

//////////////////////////////////////////////////////////////////////////
//Provide Access Token received from Azure AD back to Client Application// 
//and complete authorization request                                    //
//////////////////////////////////////////////////////////////////////////
[MSAL] (Default cache) Removing credentials with type AccessToken, environment login.windows.net, realm TenantID, clientID 08dc26ab-e050-465e-beb4-d3f2d66647a5, unique user ID dbb22b2f, target User.Read profile openid email
ADBrokerAcquireTokenWithPRTAction succeeded.
Composing broker response.
Sending broker response.
Returning to app (msauth.com.microsoft.idnaace.MSALMacOS://auth) - protocol version: 3
hash: 4A07DFC2796FD75A27005238287F2505A86BA7BB9E6A00E16A8F077D47D6D879
payload: Masked(not-null)
Completed interactive SSO request.
Completed interactive SSO request.
Request complete
Completing SSO request...
Finished SSO request.

V tomto okamžiku v toku ověřování/autorizace se žádost o přijetí změn spouští a měla by být viditelná v přístupu ke klíčence macOS. Viz Kontrola přístupu ke klíčence pro PRT. Ukázková aplikace MSAL macOS používá přístupový token přijatý zprostředkovatele rozšíření jednotného přihlašování Microsoftu k zobrazení informací o uživateli.

Dále zkontrolujte protokoly přihlašování Microsoft Entra na straně serveru na základě ID korelace shromážděné z protokolů rozšíření jednotného přihlašování na straně klienta. Další informace najdete v protokolech přihlášení v Microsoft Entra ID.

Zobrazení protokolů přihlášení k Microsoft Entra podle filtru ID korelace
  1. Otevřete přihlášení Microsoft Entra pro tenanta, ve kterém je aplikace zaregistrovaná.
  2. Vyberte přihlášení uživatelů (interaktivní).
  3. Vyberte tlačítko Přidat filtry a vyberte přepínač ID korelace.
  4. Zkopírujte a vložte ID korelace získané z protokolů rozšíření jednotného přihlašování a vyberte Použít.

U toku interaktivního přihlášení MSAL očekáváme, že se u prostředku služby Microsoft Authentication Broker zobrazí interaktivní přihlášení. Tato událost je místo, kde uživatel zadal heslo pro spuštění žádosti o přijetí změn.

Snímek obrazovky znázorňující interaktivní přihlášení uživatelů z ID Microsoft Entra s interaktivním přihlášením ke službě Microsoft Authentication Broker Service

K získání přístupového tokenu pro žádost klientské aplikace také dochází k neinteraktivním událostem přihlášení. Postupujte podle protokolů přihlášení Microsoft Entra podle filtru ID korelace, ale v kroku 2 vyberte přihlášení uživatelů (neinteraktivní).

Snímek obrazovky znázorňující, jak rozšíření jednotného přihlašování používá PRT k získání přístupového tokenu pro Microsoft Graph

Atribut protokolu přihlášení Popis
Aplikace Zobrazovaný název registrace aplikace v tenantovi Microsoft Entra, kde se klientská aplikace ověřuje.
ID aplikace Odkazuje se také na ID klienta registrace aplikace v tenantovi Microsoft Entra.
Prostředek Prostředek rozhraní API, ke kterému se klientská aplikace pokouší získat přístup. V tomto příkladu je prostředek rozhraní Microsoft Graph API.
Typ příchozího tokenu Typ příchozího tokenu primárního obnovovacího tokenu (PRT) ukazuje vstupní token, který se používá k získání přístupového tokenu pro prostředek.
Uživatelský agent Řetězec uživatelského agenta v tomto příkladu ukazuje, že rozšíření jednotného přihlašování Microsoftu je aplikace zpracovávající tento požadavek. Užitečný indikátor, že se používá rozšíření jednotného přihlašování a probíhá žádost o ověření zprostředkovatele.
Microsoft Entra App Authentication Library Když se používá aplikace MSAL, podrobnosti o knihovně a platforma se tady zapíše.
Informace o oboru Oauth Informace o rozsahu Oauth2 požadované pro přístupový token. (User.Read, profile, openid, email).
MsAL Native: Návod pro bezobslužný tok

Po určité době už přístupový token nebude platný. Pokud se tedy uživatel na tlačítko Volat rozhraní Microsoft Graph API znovu zobrazí. Rozšíření jednotného přihlašování se pokusí aktualizovat přístupový token s již získaným PRT.

SSOExtensionLogs
/////////////////////////////////////////////////////////////////////////
//refresh operation: Assemble Request based on User information in PRT  /  
/////////////////////////////////////////////////////////////////////////
Beginning authorization request
Request does not need UI
Handling SSO request, requested operation: refresh
Handling silent SSO request...
Looking account up by home account ID dbb22b2f, displayable ID auth.placeholder-61945244__domainname.com
Account identifier used for request: Masked(not-null), auth.placeholder-61945244__domainname.com
Starting SSO broker request with payload: {
    authority = "https://login.microsoftonline.com/<TenantID>";
    "client_app_name" = MSALMacOS;
    "client_app_version" = "1.0";
    "client_id" = "08dc26ab-e050-465e-beb4-d3f2d66647a5";
    "client_version" = "1.1.7";
    "correlation_id" = "45418AF5-0901-4D2F-8C7D-E7C5838A977E";
    "extra_oidc_scopes" = "openid profile offline_access";
    "home_account_id" = "<UserObjectId>.<TenantID>";
    "instance_aware" = 0;
    "msg_protocol_ver" = 4;
    "provider_type" = "provider_aad_v2";
    "redirect_uri" = "msauth.com.microsoft.idnaace.MSALMacOS://auth";
    scope = "user.read";
    username = "auth.placeholder-61945244__domainname.com";
}
//////////////////////////////////////////
//Acquire Access Token with PRT silently//
//////////////////////////////////////////
Using request handler <ADSSOSilentBrokerRequestHandler: 0x127226a10>
Executing new request
Beginning ADBrokerAcquireTokenSilentAction
Beginning silent flow.
[MSAL] Resolving authority: Masked(not-null), upn: auth.placeholder-61945244__domainname.com
[MSAL] (Default cache) Removing credentials with type AccessToken, environment login.windows.net, realm <TenantID>, clientID 08dc26ab-e050-465e-beb4-d3f2d66647a5, unique user ID dbb22b2f, target User.Read profile openid email
[MSAL] (MSIDAccountCredentialCache) retrieving cached credentials using credential query
[MSAL] Silent controller with PRT finished with error Masked(null)
ADBrokerAcquireTokenWithPRTAction succeeded.
Composing broker response.
Sending broker response.
Returning to app (msauth.com.microsoft.idnaace.MSALMacOS://auth) - protocol version: 3
hash: 292FBF0D32D7EEDEB520098E44C0236BA94DDD481FAF847F7FF6D5CD141B943C
payload: Masked(not-null)
Completed silent SSO request.
Request complete
Completing SSO request...
Finished SSO request.

Ukázku protokolování je možné rozdělit do dvou segmentů:

Segment Popis
refresh Zprostředkovatel zpracovává žádost o ID Microsoft Entra:
- Zpracování tichého požadavku jednotného přihlašování...: Označuje bezobslužný požadavek.
- correlation_id: Užitečné pro křížový odkaz s protokoly přihlašování na straně serveru Microsoft Entra
- scope: Obor oprávnění rozhraní User.Read API, který se požaduje z Microsoft Graphu
- client_version: verze knihovny MSAL, na které aplikace běží
- redirect_uri: Aplikace MSAL používají formátmsauth.com.<Bundle ID>://auth

Aktualizace má velmi užitečné rozdíly v datové části požadavku:
- authority: Obsahuje koncový bod adresy URL tenanta Microsoft Entra na rozdíl od společného koncového bodu.
- home_account_id: Zobrazte uživatelský účet ve formátu <UserObjectId.<>ID tenanta>
- uživatelské jméno: formát hlavního názvu uživatele (UPN) s hodnotou hash auth.placeholder-XXXXXXXX__domainname.com
Aktualizace a získání přístupového tokenu PRT Tato operace znovu aktualizuje žádost o přijetí změn a v případě potřeby ji aktualizuje před vrácením přístupového tokenu zpět do volající klientské aplikace.

Můžeme znovu získat ID korelace získané z protokolů rozšíření jednotného přihlašování na straně klienta a křížový odkaz s protokoly přihlašování Microsoft Entra na straně serveru.

Snímek obrazovky znázorňující žádost Microsoft Entra o tiché přihlášení pomocí modulu plug-in Enterprise SSO Broker

Přihlášení Microsoft Entra zobrazuje stejné informace jako prostředek Microsoft Graphu z přihlašovací operace v předchozí interaktivní části přihlášení.

Tok přihlášení aplikace bez MSAL nebo prohlížeče

V následující části se dozvíte, jak prozkoumat protokoly rozšíření jednotného přihlašování pro tok ověřování aplikací jiného typu než MSAL/Browser. V tomto příkladu jako klientskou aplikaci používáme prohlížeč Apple Safari a aplikace volá webovou aplikaci Office.com (OfficeHome).

Průvodce tokem jednotného přihlašování bez MSAL nebo prohlížeče

Pro úspěšné přihlášení by se měly provést následující akce:

  1. Předpokládejme, že uživatel, který už prošel procesem bootstrappingu, má existující PRT.
  2. Na zařízení se nasazeným nástrojem Microsoft SSO Extension Broker se kontrolují nakonfigurované příznaky funkcí, aby se zajistilo, že rozšíření jednotného přihlašování dokáže aplikaci zpracovat.
  3. Vzhledem k tomu, že prohlížeč Safari dodržuje zásobník sítí Apple, pokusí se rozšíření jednotného přihlašování zachycovat žádost o ověření Microsoft Entra.
  4. Žádost o přijetí změn se používá k získání tokenu pro požadovaný prostředek.
  5. Pokud je zařízení zaregistrované v Microsoft Entra, předá ID zařízení spolu s požadavkem.
  6. Rozšíření jednotného přihlašování naplní hlavičku požadavku prohlížeče pro přihlášení k prostředku.

Následující protokoly rozšíření jednotného přihlašování na straně klienta ukazují, že požadavek, který zpracovává transparentně zprostředkovatel rozšíření jednotného přihlašování, aby požadavek splnil.

SSOExtensionLogs
Created Browser SSO request for bundle identifier com.apple.Safari, cookie SSO include-list (
), use cookie sso for this app 0, initiating origin https://www.office.com
Init MSIDKeychainTokenCache with keychainGroup: Masked(not-null)
[Browser SSO] Starting Browser SSO request for authority https://login.microsoftonline.com/common
[MSAL] (Default accessor) Found 1 tokens
[Browser SSO] Checking PRTs for deviceId 73796663
[MSAL] [Browser SSO] Executing without UI for authority https://login.microsoftonline.com/common, number of PRTs 1, device registered 1
[MSAL] [Browser SSO] Processing request with PRTs and correlation ID in headers (null), query 67b6a62f-6c5d-40f1-8440-a8edac7a1f87
[MSAL] Resolving authority: Masked(not-null), upn: Masked(null)
[MSAL] No cached preferred_network for authority
[MSAL] Caching AAD Environements
[MSAL] networkHost: login.microsoftonline.com, cacheHost: login.windows.net, aliases: login.microsoftonline.com, login.windows.net, login.microsoft.com, sts.windows.net
[MSAL] networkHost: login.partner.microsoftonline.cn, cacheHost: login.partner.microsoftonline.cn, aliases: login.partner.microsoftonline.cn, login.chinacloudapi.cn
[MSAL] networkHost: login.microsoftonline.de, cacheHost: login.microsoftonline.de, aliases: login.microsoftonline.de
[MSAL] networkHost: login.microsoftonline.us, cacheHost: login.microsoftonline.us, aliases: login.microsoftonline.us, login.usgovcloudapi.net
[MSAL] networkHost: login-us.microsoftonline.com, cacheHost: login-us.microsoftonline.com, aliases: login-us.microsoftonline.com
[MSAL] Resolved authority, validated: YES, error: 0
[MSAL] Found registration registered in login.microsoftonline.com, isSameAsRequestEnvironment: Yes
[MSAL] Passing device header in browser SSO for device id 43cfaf69-0f94-4d2e-a815-c103226c4c04
[MSAL] Adding SSO-cookie header with PRT Masked(not-null)
SSO extension cleared cookies before handling request 1
[Browser SSO] SSO response is successful 0
[MSAL] Keychain find status: 0
[MSAL] (Default accessor) Found 1 tokens
Request does not need UI
[MSAL] [Browser SSO] Checking PRTs for deviceId 73796663
Request complete
Komponenta protokolu rozšíření jednotného přihlašování Popis
Vytvoření žádosti o jednotné přihlašování v prohlížeči Všechny požadavky na jednotné přihlašování jiné než MSAL/Browser začínají tímto řádkem:
- identifikátor sady: ID sady:com.apple.Safari
- iniciace původu: Webová adresa URL, ke které prohlížeč přistupuje, než přejdete na některou z přihlašovacích adres URL pro Microsoft Entra ID (https://office.com)
Spuštění žádosti o jednotné přihlašování v prohlížeči pro autoritu Vyřeší počet žádostí o přijetí změn a pokud je zařízení zaregistrované:
https://login.microsoftonline.com/common, počet PRT 1, zařízení zaregistrované 1
ID korelace [Jednotné přihlašování prohlížeče] Zpracování požadavku s PRT a ID korelace v hlavicích (null), ID korelace> dotazu < Toto ID je důležité pro křížové odkazování s protokoly přihlašování na straně serveru Microsoft Entra.
Registrace zařízení Pokud je zařízení zaregistrované v Microsoft Entra, může rozšíření jednotného přihlašování předat hlavičku zařízení v žádostech o jednotné přihlašování v prohlížeči:
- Nalezena registrace zaregistrovaná v
- login.microsoftonline.com, isSameAsRequestEnvironment: Ano

Předání hlavičky zařízení v jednotném přihlašování v prohlížeči pro ID zařízení43cfaf69-0f94-4d2e-a815-c103226c4c04

Dále použijte ID korelace získané z protokolů rozšíření jednotného přihlašování prohlížeče k křížovému odkazu na protokoly přihlášení Microsoft Entra.

Snímek obrazovky znázorňující křížový odkaz v protokolech přihlašování Microsoft Entra pro rozšíření jednotného přihlašování prohlížeče

Atribut protokolu přihlášení Popis
Aplikace Zobrazovaný název registrace aplikace v tenantovi Microsoft Entra, kde se klientská aplikace ověřuje. V tomto příkladu je zobrazovaný název OfficeHome.
ID aplikace Odkazuje se také na ID klienta registrace aplikace v tenantovi Microsoft Entra.
Prostředek Prostředek rozhraní API, ke kterému se klientská aplikace pokouší získat přístup. V tomto příkladu je zdrojem webová aplikace OfficeHome .
Typ příchozího tokenu Typ příchozího tokenu primárního obnovovacího tokenu (PRT) ukazuje vstupní token, který se používá k získání přístupového tokenu pro prostředek.
Zjištěná metoda ověřování Na kartě Podrobnosti o ověřování je hodnota modulu plug-in Microsoft Entra SSO užitečný indikátor, že se rozšíření jednotného přihlašování používá k usnadnění žádosti o jednotné přihlašování v prohlížeči.
Verze rozšíření Microsoft Entra SSO Na kartě Další podrobnosti tato hodnota zobrazuje verzi aplikace zprostředkovatele rozšíření jednotného přihlašování Microsoft Enterprise.
ID zařízení Pokud je zařízení zaregistrované, rozšíření jednotného přihlašování může předat ID zařízení pro zpracování žádostí o ověření zařízení.
Operační systém Zobrazuje typ operačního systému.
Kompatibilní Rozšíření jednotného přihlašování může usnadnit zásady dodržování předpisů předáním hlavičky zařízení. Požadavky:
- Registrace zařízení Microsoft Entra
- Správa MDM
- Intune nebo Dodržování předpisů pro partnery Intune
Spravované Označuje, že zařízení je pod správou.
Typ spojení macOS a iOS, pokud je zaregistrovaný, může být pouze typu: Microsoft Entra registrován.

Tip

Pokud používáte jamf Připojení, doporučujeme postupovat podle nejnovějších pokynů k Jamf při integraci jamf Připojení s Microsoft Entra ID. Doporučený způsob integrace zajišťuje, že Jamf Připojení správně funguje se zásadami podmíněného přístupu a ochranou Microsoft Entra ID Protection.

Další kroky