Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe un problema en el que se produce un error en la autenticación de la Biblioteca de autenticación de Azure Active Directory (ADAL) desde dispositivos Android si se requieren descargas de certificados adicionales.
Versión del producto original: Microsoft Entra ID
Número de KB original: 3203929
Síntomas
Al intentar autenticarse mediante ADAL para Android, es posible que se produzca un error en el inicio de sesión de federación. En concreto, la aplicación desencadena un error AuthenticationException cuando intenta mostrar la página de inicio de sesión. En Google Chrome, es posible que la página de inicio de sesión de STS se llame como no segura. Este problema solo se produce en dispositivos Android, para cualquier aplicación que use ADAL para Android para conectarse a un servidor de federación.
Para determinar si está experimentando este problema, ejecute la prueba siguiente:
Obtenga el nombre de dominio completo (FQDN) del servidor del servicio de token de seguridad (STS). Para ello, siga estos pasos:
- Vaya a https://login.microsoftonline.com en un dispositivo que no sea Android.
- Escriba su cuenta profesional o educativa.
- Cuando se le redirija a la página de inicio de sesión de STS federado, anote la dirección URL en el explorador. Su aspecto es similar a
https://sts.contoso.com. El FQDN essts.contoso.com.
Vaya a la siguiente dirección URL, reemplazando <STS_SERVER_FQDN_HERE> por el FQDN de STS:
https://www.ssllabs.com/ssltest/analyze.html?d=<STS_SERVER_FQDN_HERE>&hideResults=on&latestPor ejemplo:
https://www.ssllabs.com/ssltest/analyze.html?d=sts.contoso.com&hideResults=on&latestVea si se muestran cualquiera de los mensajes siguientes:
- Descarga adicional
- Enviado por servidor
- En el almacén de confianza
Si alguno de los certificados SSL muestra el mensaje "Descarga adicional", está experimentando el problema descrito anteriormente en esta sección, según la captura de pantalla siguiente:
Esta es una captura de pantalla que muestra un certificado con el mensaje "Enviado por servidor", que ilustra la autenticación correcta en un dispositivo Android:
Causa
Android no admite la descarga de certificados adicionales del campo authorityInformationAccess del certificado. Esto es cierto en todas las versiones y dispositivos Android, y para el explorador Chrome. Cualquier certificado de autenticación de servidor marcado para descarga adicional basado en el campo authorityInformationAccess desencadenará este error si no se pasa toda la cadena de certificados de Servicios de federación de Active Directory (AD FS) (AD FS).
Solución
Para resolver este problema, configure los servidores STS y Web Application Proxy (WAP) para enviar los certificados intermedios necesarios junto con el certificado SSL. Para ello, siga estos pasos:
- Al exportar el certificado SSL desde un equipo al almacén personal del equipo del servidor AD FS y WAP (o servidores), asegúrese de exportar la clave privada y de que seleccione Intercambio de información personal - PKCS #12. Asegúrese también de que las casillas Incluir todos los certificados en la ruta de acceso del certificado si es posible y Exportar todas las propiedades extendidas están activadas.
- Ejecute
certlm.mscen los servidores Windows y, a continuación, importe *. Archivo PFX en el almacén de certificados personal del equipo. Al hacerlo, el servidor pasará toda la cadena de certificados cuando una aplicación cliente use ADAL para la autenticación.
Nota:
El almacén de certificados de los equilibradores de carga de red también debe actualizarse para incluir toda la cadena de certificados.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.