Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird ein Problem beschrieben, bei dem die AUTHENTIFIZIERUNG der Azure Active Directory-Authentifizierung (ADAL) von Android-Geräten fehlschlägt, wenn zusätzliche Zertifikatdownloads erforderlich sind.
Ursprüngliche Produktversion: Microsoft Entra ID
Ursprüngliche KB-Nummer: 3203929
Symptome
Wenn Sie versuchen, sich mithilfe der ADAL für Android zu authentifizieren, schlägt die Verbundanmeldung möglicherweise fehl. Insbesondere löst die Anwendung einen AuthenticationException-Fehler aus, wenn versucht wird, die Anmeldeseite anzuzeigen. In Google Chrome wird die STS-Anmeldeseite möglicherweise als unsicher bezeichnet. Dieses Problem tritt nur auf Android-Geräten auf, für jede Anwendung, die ADAL für Android zum Herstellen einer Verbindung mit einem Verbundserver verwendet.
Führen Sie den folgenden Test aus, um festzustellen, ob dieses Problem auftritt:
Rufen Sie den vollqualifizierten Domänennamen (FQDN) des Sicherheitstokendiensts (Security Token Service, STS) ab. Gehen Sie dazu wie folgt vor:
- Wechseln Sie zu https://login.microsoftonline.com einem Nicht-Android-Gerät.
- Geben Sie Ihr Geschäfts-, Schul- oder Unikonto ein.
- Wenn Sie zu Ihrer StS-Verbund-Anmeldeseite umgeleitet werden, notieren Sie sich die URL-Adresse im Browser. Dieser entspricht dem Format
https://sts.contoso.com
. Der FQDN lautetsts.contoso.com
.
Wechseln Sie zur folgenden URL, und ersetzen <Sie STS_SERVER_FQDN_HERE> durch Ihren STS-FQDN:
https://www.ssllabs.com/ssltest/analyze.html?d=<STS_SERVER_FQDN_HERE>&hideResults=on&latest
Zum Beispiel:
https://www.ssllabs.com/ssltest/analyze.html?d=sts.contoso.com&hideResults=on&latest
Überprüfen Sie, ob eine der folgenden Meldungen angezeigt wird:
- Zusätzlicher Download
- Vom Server gesendet
- Vertrauensspeicher
Wenn eines der SSL-Zertifikate die Meldung "Zusätzlicher Download" anzeigt, tritt das Problem auf, das weiter oben in diesem Abschnitt beschrieben wird, je nach folgendem Screenshot:
Hier ist ein Screenshot mit einem Zertifikat mit der Meldung "Gesendet von Server" und zeigt die erfolgreiche Authentifizierung auf einem Android-Gerät:
Ursache
Android unterstützt das Herunterladen zusätzlicher Zertifikate aus dem AuthorityInformationAccess-Feld des Zertifikats nicht. Dies gilt für alle Android-Versionen und -Geräte sowie für den Chrome-Browser. Jedes Serverauthentifizierungszertifikat, das basierend auf dem AuthorityInformationAccess-Feld für zusätzlichen Download gekennzeichnet ist, löst diesen Fehler aus, wenn die gesamte Zertifikatkette nicht von Active Directory-Verbunddienste (AD FS) (AD FS) übergeben wird.
Lösung
Um dieses Problem zu beheben, konfigurieren Sie Ihre STS- und Web-Anwendungsproxy-Server (WAP), um die erforderlichen Zwischenzertifikate zusammen mit dem SSL-Zertifikat zu senden. Gehen Sie dazu wie folgt vor:
- Wenn Sie das SSL-Zertifikat von einem Computer in den persönlichen Speicher des AD FS- und WAP-Servers (oder der Server) des Computers exportieren, stellen Sie sicher, dass Sie den privaten Schlüssel exportieren und persönlichen Informationsaustausch – PKCS #12 auswählen. Stellen Sie außerdem sicher, dass die Kontrollkästchen "Alle Zertifikate im Zertifikatpfad einschließen" aktiviert sind und alle erweiterten Eigenschaften exportieren aktiviert sind.
- Führen Sie
certlm.msc
die Ausführung auf den Windows-Servern aus, und importieren Sie dann das *. PFX-Datei im persönlichen Zertifikatspeicher des Computers. In diesem Fall übergibt der Server die gesamte Zertifikatkette, wenn eine Clientanwendung ADAL für die Authentifizierung verwendet.
Notiz
Der Zertifikatspeicher von Netzwerklastenausgleichsmodulen sollte ebenfalls aktualisiert werden, um die gesamte Zertifikatkette einzuschließen.
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.