Benutzer können sich nicht bei Viva Engage auf Android-Geräten anmelden

Wenn Benutzer über ein Viva Engage-Konto verfügen, sich aber nicht auf ihrem Gerät anmelden können, müssen sie möglicherweise Android WebView aktualisieren.

Stellen Sie auf einem Android-Gerät sicher, dass Sie die neueste Version von Android WebView heruntergeladen haben. Diese Chrome-Komponente liefert Sicherheitsupdates und ermöglicht Android-Apps die Anzeige Ihrer Inhalte.

Wenn das Problem weiterhin besteht, ist das Sicherheitszertifikat Ihres organization möglicherweise veraltet. Leiten Sie diesen Artikel an Ihren IT-Administrator weiter, damit er das Problem beheben kann.

Problembehandlung für Viva Engage- und Microsoft 365-Administratoren

Fehlende oder veraltete Zertifikate können die Anmeldeauthentifizierung verhindern.

Bevor sich Ihre Benutzer bei Viva Engage anmelden können, müssen die SSL-Zertifikate Ihres organization bestimmte Überprüfungen bestehen– einige sind für Android erforderlich, andere spezifisch für Active Directory-Verbunddienste (AD FS) (AD FS). Dies ist die sicherste Möglichkeit, die Netzwerke, Benutzerinformationen und internen Ressourcen Ihrer Organisation zu schützen.

Tatsächlich müssen Ihre Server ihre Vertrauenswürdigkeit gegenüber jedem Clientbetriebssystem oder jeder Anwendung nachweisen, wenn jemand versucht, sich bei einer sicheren App anzumelden (z. B. Viva Engage).

Und Vertrauenswürdigkeit ist kompliziert.

Es gibt auch eine gesamte Zertifizierungshierarchie. Etwas, das als Zertifikat der Stammzertifizierungsstelle bezeichnet wird, befindet sich oben darin (ungeachtet dessen, was sein Name bedeuten könnte). Es stellt Zertifikate aus, um andere untergeordnete Zertifikate, die als Zwischenzertifikate bezeichnet werden, zu "autorisieren". Zusammen bilden diese Zertifikate eine Zertifizierungskette.

Zwischenzertifikate in der Kette sind wichtig und so wichtig, dass Android erfordert, dass sie in einer bestimmten Reihenfolge gesendet werden:

1. Stellen Sie zunächst sicher, dass Sie das Stammzertifizierungsstellen-Zertifikat im Speicher vertrauenswürdiger Stammzertifizierungsstellen auf Ihren AD FS-Servern abgelegt haben.
2. Platzieren Sie dann alle Zertifikate der Zwischenzertifizierungsstelle im Zwischenzertifizierungsspeicher auf dem lokalen Computer, den Sie auf Ihren AD FS- und Web Anwendungsproxy-Servern (WAP) finden. (Führen Sie aus certlm.msc , um die Konsole auf einem Windows-Computer zu öffnen.)

Um Schritt 2 einfacher zu verstehen, können Sie sich Server als Kontinente vorstellen:

• Der lokale Computer wäre ein Land/eine Region auf diesen Kontinenten.
• Der Zertifizierungsspeicher wäre ein Bundesstaat (oder eine Provinz)
• Zwischenzertifikate wären die Staatspopulationen.

Auf einem Mac-Computer unterscheiden sich diese Kategorien oder Ordner geringfügig. Verwenden Sie Spotlight, um nach der Konsole "Keychain access" zu suchen. Informationen zu Keychain Zugriff finden Sie unter Übersicht über den Schlüsselbundzugriff auf der Apple Support-Website.

Wenn Ihre Organisation bereits eine Zertifizierungshierarchie eingerichtet hat, kann es zu einem kleinen Problem auf Ihrem Sicherheitstokendienst-Server (Security Token Service, STS) kommen, das im Folgenden erläutert wird.

Das Herunterladen zusätzlicher Zertifikate ist ein häufiger Fehler.

Es gibt eine Reihe von Dingen, die mit Ihren SSL-Zertifikaten falsch gelaufen sein könnten, aber der häufigste Grund ist eine Serverkonfiguration, bei der eine Zwischenzertifizierungsstelle fehlt, also die Stelle, die die Zertifikate Ihres Servers mit seinem privaten Schlüssel signiert. Dadurch wird ein AuthenticationException-Fehler ausgelöst, wenn Viva Engage oder Microsoft 365 versucht, die Anmeldeseite anzuzeigen.

Möglicherweise hat jemand andere Zertifikate aus dem Feld authorityInformationAccess eines SSL-Zertifikats heruntergeladen, wodurch verhindert wird, dass der Server die gesamte Zertifikatkette von AD FS übergibt. Android unterstützt keine zusätzlichen Zertifikatdownloads aus diesem Feld.

Bevor Sie zur Problembehandlung übergehen, lesen Sie hier, wie Sie sicher sein können, dass es sich um ein Problem handelt.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Sie über ein SSL-Zertifikat verfügen, für das die erforderlichen Zwischenzertifikate fehlen:

1. Wenn Sie kein Android-Gerät verwenden, navigieren Sie zu https://login.microsoftonline.com.

2. Melden Sie sich wie gewohnt mit Ihrer Geschäfts-, Schul- oder Uniadresse an.

3. Nachdem Sie umgeleitet wurden, kopieren Sie die URL, die sich in der Adressleiste Ihres Browsers befindet. Dies ist der vollqualifizierte Domänenname (FQDN) Ihres Security Token Service-Servers. Lassen Sie den https:// Teil aus.

4. Fügen Sie Ihren FQDN in die folgende URL ein. Stellen Sie sicher, dass Sie nur die Buchstaben FQDN ersetzen, ohne zusätzliche Zeichen hinzuzufügen:

   https://www.ssllabs.com/ssltest/analyze.html?d=FQDN&hideResults=on&latest

5. Kopieren Sie die URL, fügen Sie sie ein, und wechseln Sie zu der URL, die Sie in Schritt 4 ausgefüllt haben.

Es sollte eine Liste der SSL-Zertifikate angezeigt werden. Suchen Sie nach einem Zertifikat mit der Bezeichnung "zusätzlicher Download". Dieser Fehler signalisiert eine fehlgeschlagene Authentifizierung und gibt an, dass AD FS nicht die gesamte Zertifikatkette übergeben konnte.

Die erfolgreiche Authentifizierung wird vom Server als vom Server gesendet markiert.

Hier erfahren Sie, wie Sie einen zusätzlichen Download beheben.

Führen Sie die folgenden Schritte aus, um Ihre Sicherheitstokendienst-Server (STS) und Web Anwendungsproxy (WAP) zu konfigurieren und die fehlenden Zwischenzertifikate zusammen mit dem SSL-Zertifikat zu senden. Zuerst müssen Sie das SSL-Zertifikat exportieren.

1. Führen Sie aus certlm.msc , um die Zertifikatkonsole zu öffnen. Zertifikate können nur von einem Administrator oder Benutzer verwaltet werden, dem die entsprechenden Berechtigungen erteilt wurden.
2. Wählen Sie in der Konsolenstruktur des Speichers, der das zu exportierende Zertifikat enthält, zertifikate aus.
3. Wählen Sie im Detailbereich das Zertifikat aus, das Sie exportieren müssen.
4. Wählen Sie im Menü Aktionalle Aufgaben und dann Exportieren aus. Wählen Sie Weiter aus.
5. Wählen Sie Ja aus, exportieren Sie den privaten Schlüssel, und wählen Sie Weiter aus.
6. Wählen Sie Persönlicher Informationsaustausch – PKCS #12 (. PFX), und übernehmen Sie die Standardwerte, um nach Möglichkeit alle Zertifikate in den Zertifizierungspfad einzuschließen. Stellen Sie außerdem sicher, dass die Kontrollkästchen alle erweiterten Eigenschaften exportieren aktiviert sind.
7. Weisen Sie bei Bedarf Benutzer/Gruppen zu, und geben Sie ein Kennwort ein, um den privaten Schlüssel zu verschlüsseln, den Sie exportieren. Geben Sie dasselbe Kennwort erneut ein, um es zu bestätigen, und wählen Sie dann Weiter aus.
8. Navigieren Sie auf der Seite "Zu exportierende Datei" zu dem Speicherort, an dem Sie die exportierte Datei ablegen möchten, und geben Sie ihr einen Namen.
9. Importieren Sie mithilfe der gleichen Zertifikatkonsole (certlm.msc) das *. PFX-Datei im persönlichen Zertifikatspeicher des Computers.
10. Wenn Ihr Unternehmen aktive Lastausgleichsmodule zur Verteilung des Datenverkehrs auf die Server einsetzt, sollten diese Server auch ihre lokalen Zertifikatsspeicher aktualisieren (oder zumindest verifizieren) lassen.

Wenn die oben genannten Schritte für Sie nicht funktioniert haben, sollten Sie sich mit diesen ähnlichen Problemen befassen, oder wenden Sie sich an Viva Engage Support:

• Ein externes Zertifikat, das noch nicht gültig ist
• Ein externes Zertifikat, das abgelaufen ist
• Ein externes Zertifikat, das über keinen privaten Schlüssel verfügt

Diese drei Probleme stehen im Zusammenhang mit dem Web Anwendungsproxy (WAP). Weitere Informationen zu WAP finden Sie unter Arbeiten mit Web Anwendungsproxy.