Freigeben über

Die Verwendung von ADAL zur Authentifizierung von Android-Geräten schlägt fehl, wenn zusätzliche Zertifikatdownloads erforderlich sind.

In diesem Artikel wird ein Problem beschrieben, bei dem die AUTHENTIFIZIERUNG der Azure Active Directory-Authentifizierung (ADAL) von Android-Geräten fehlschlägt, wenn zusätzliche Zertifikatdownloads erforderlich sind.

Ursprüngliche Produktversion: Microsoft Entra ID
Ursprüngliche KB-Nummer: 3203929

Symptome

Wenn Sie versuchen, sich mithilfe der ADAL für Android zu authentifizieren, schlägt die Verbundanmeldung möglicherweise fehl. Insbesondere löst die Anwendung einen AuthenticationException-Fehler aus, wenn versucht wird, die Anmeldeseite anzuzeigen. In Google Chrome wird die STS-Anmeldeseite möglicherweise als unsicher bezeichnet. Dieses Problem tritt nur auf Android-Geräten auf, für jede Anwendung, die ADAL für Android zum Herstellen einer Verbindung mit einem Verbundserver verwendet.

Führen Sie den folgenden Test aus, um festzustellen, ob dieses Problem auftritt:

  1. Rufen Sie den vollqualifizierten Domänennamen (FQDN) des Sicherheitstokendiensts (Security Token Service, STS) ab. Gehen Sie dazu wie folgt vor:

    1. Wechseln Sie zu https://login.microsoftonline.com einem Nicht-Android-Gerät.
    2. Geben Sie Ihr Geschäfts-, Schul- oder Unikonto ein.
    3. Wenn Sie zu Ihrer StS-Verbund-Anmeldeseite umgeleitet werden, notieren Sie sich die URL-Adresse im Browser. Dieser entspricht dem Format https://sts.contoso.com. Der FQDN lautet sts.contoso.com.

  2. Wechseln Sie zur folgenden URL, und ersetzen <Sie STS_SERVER_FQDN_HERE> durch Ihren STS-FQDN:

    https://www.ssllabs.com/ssltest/analyze.html?d=<STS_SERVER_FQDN_HERE>&hideResults=on&latest

    Zum Beispiel:

    https://www.ssllabs.com/ssltest/analyze.html?d=sts.contoso.com&hideResults=on&latest

  3. Überprüfen Sie, ob eine der folgenden Meldungen angezeigt wird:

    • Zusätzlicher Download
    • Vom Server gesendet
    • Vertrauensspeicher

    Wenn eines der SSL-Zertifikate die Meldung "Zusätzlicher Download" anzeigt, tritt das Problem auf, das weiter oben in diesem Abschnitt beschrieben wird, je nach folgendem Screenshot:

    Screenshot der zusätzlichen Downloadnachricht.

    Hier ist ein Screenshot mit einem Zertifikat mit der Meldung "Gesendet von Server" und zeigt die erfolgreiche Authentifizierung auf einem Android-Gerät:

    Screenshot der Nachricht

Ursache

Android unterstützt das Herunterladen zusätzlicher Zertifikate aus dem AuthorityInformationAccess-Feld des Zertifikats nicht. Dies gilt für alle Android-Versionen und -Geräte sowie für den Chrome-Browser. Jedes Serverauthentifizierungszertifikat, das basierend auf dem AuthorityInformationAccess-Feld für zusätzlichen Download gekennzeichnet ist, löst diesen Fehler aus, wenn die gesamte Zertifikatkette nicht von Active Directory-Verbunddienste (AD FS) (AD FS) übergeben wird.

Lösung

Um dieses Problem zu beheben, konfigurieren Sie Ihre STS- und Web-Anwendungsproxy-Server (WAP), um die erforderlichen Zwischenzertifikate zusammen mit dem SSL-Zertifikat zu senden. Gehen Sie dazu wie folgt vor:

  1. Wenn Sie das SSL-Zertifikat von einem Computer in den persönlichen Speicher des AD FS- und WAP-Servers (oder der Server) des Computers exportieren, stellen Sie sicher, dass Sie den privaten Schlüssel exportieren und persönlichen Informationsaustausch – PKCS #12 auswählen. Stellen Sie außerdem sicher, dass die Kontrollkästchen "Alle Zertifikate im Zertifikatpfad einschließen" aktiviert sind und alle erweiterten Eigenschaften exportieren aktiviert sind.
  2. Führen Sie certlm.msc die Ausführung auf den Windows-Servern aus, und importieren Sie dann das *. PFX-Datei im persönlichen Zertifikatspeicher des Computers. In diesem Fall übergibt der Server die gesamte Zertifikatkette, wenn eine Clientanwendung ADAL für die Authentifizierung verwendet.

Notiz

Der Zertifikatspeicher von Netzwerklastenausgleichsmodulen sollte ebenfalls aktualisiert werden, um die gesamte Zertifikatkette einzuschließen.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.