Les utilisateurs ne peuvent pas se connecter à Viva Engage sur des appareils Android

  • Article

Si les utilisateurs disposent d’un compte Viva Engage, mais ne peuvent pas se connecter sur leur appareil, ils devront peut-être mettre à jour Android WebView.

Sur un appareil Android, vérifiez que vous avez téléchargé la dernière version d’Android WebView. Ce composant Chrome fournit des mises à jour de sécurité et permet aux applications Android d’afficher votre contenu.

Si le problème persiste, le certificat de sécurité de votre organization peut être obsolète. Transférez cet article à votre administrateur informatique afin qu’il puisse résoudre le problème.

Résolution des problèmes pour les administrateurs Viva Engage et Microsoft 365

Des certificats manquants ou obsolètes peuvent empêcher l’authentification de connexion.

Avant que vos utilisateurs puissent se connecter à Viva Engage, les certificats SSL de votre organization doivent passer certaines vérifications, certaines requises par Android, d’autres spécifiques à Services ADFS (AD FS). Il s’agit du moyen le plus sûr de protéger les réseaux, les informations utilisateur et les ressources internes de votre organisation.

En fait, vos serveurs doivent prouver leur fiabilité à n’importe quel système d’exploitation ou application client chaque fois qu’une personne tente de se connecter à une application sécurisée (comme Viva Engage).

Et la fiabilité est une question complexe.

Il existe également une hiérarchie de certification entière. Quelque chose appelé certificat d’autorité de certification racine se trouve en haut de celui-ci (malgré ce que son nom peut impliquer). Il émet des certificats pour « autoriser » d’autres certificats subordonnés appelés certificats intermédiaires. Ensemble, ces certificats forment une chaîne de certification.

Les certificats intermédiaires de la chaîne sont également importants, si importants qu’Android exige qu’ils soient envoyés dans un ordre spécifique :

  1. D’abord, vérifiez que vous avez placé le certificat d’autorité de certification racine dans le magasin de certification racine de confiance, qui se trouve sur vos serveurs AD FS.
  2. Ensuite, placez tous les certificats d’autorité de certification intermédiaire dans le magasin de certification intermédiaire sur l’ordinateur local, que vous pouvez trouver sur vos serveurs AD FS et Web Proxy d'application (WAP). (Exécutez certlm.msc pour ouvrir la console sur un ordinateur Windows.)

Capture d’écran montrant la hiérarchie de certificats sur l’ordinateur local.

Pour faciliter la compréhension de l’étape 2, vous pouvez considérer les serveurs comme des continents :

  • l’ordinateur local serait un pays/une région dans ces continents
  • le magasin de certification serait un état (ou une province)
  • les certificats intermédiaires seraient la population de l’état

Sur un ordinateur Mac, ces catégories ou dossiers varient légèrement. Utilisez Spotlight pour rechercher la console « accès keychain ». Pour plus d’informations sur l’accès keychain, consultez Vue d’ensemble de l’accès au trousseau sur le site du support Apple.

Si votre organisation a déjà mis en place une hiérarchie de certification, vous rencontrerez peut-être un petit problème sur le serveur du service d’émission de jeton de sécurité (STS), comme indiqué ci-dessous.

Le téléchargement de certificats supplémentaires est une erreur courante.

Il existe plusieurs choses qui auraient pu mal se passer avec vos certificats SSL, mais le coupable le plus courant est une configuration de serveur qui manque une autorité de certification intermédiaire, l’élément qui signe les certificats de votre serveur avec sa clé privée. Cela déclenche une erreur AuthenticationException quand Viva Engage ou Microsoft 365 tente d’afficher la page de connexion.

Quelqu’un a peut-être téléchargé d’autres certificats à partir du champ authorityInformationAccess d’un certificat SSL, ce qui empêche le serveur de transmettre l’intégralité de la chaîne de certificats à partir d’AD FS. Android ne prend pas en charge les téléchargements de certificats supplémentaires à partir de ce champ.

Avant de procéder au dépannage, voici comment vérifier qu’il s’agit d’un problème.

Procédez comme suit pour vérifier si vous disposez d’un certificat SSL qui ne contient pas les certificats intermédiaires nécessaires :

  1. Sur un appareil autre qu’Android, accédez à https://login.microsoftonline.com.

  2. Connectez-vous avec votre adresse professionnelle ou scolaire comme vous le feriez normalement.

  3. Une fois que vous êtes redirigé, copiez l’URL qui se trouve dans la barre d’adresse de votre navigateur. Il s’agit du nom de domaine complet (FQDN) de votre serveur de jetons de sécurité. Omettez la https:// partie .

  4. Insérez votre nom de domaine complet dans l’URL suivante. Veillez à remplacer uniquement les lettres FQDN sans ajouter de caractères supplémentaires :

    https://www.ssllabs.com/ssltest/analyze.html?d=FQDN&hideResults=on&latest

  5. Copiez, collez et accédez à l’URL que vous avez effectuée à l’étape 4.

Vous devez voir une liste de certificats SSL. Recherchez un certificat intitulé « téléchargement supplémentaire ». Cette erreur signale l’échec de l’authentification, indiquant qu’AD FS n’a pas pu passer l’intégralité de la chaîne de certificats.

Capture d’écran montrant la liste des certificats SSL avec une erreur de téléchargement supplémentaire.

L’authentification réussie est marquée comme envoyée par le serveur.

Voici comment résoudre un problème de téléchargement supplémentaire.

Procédez comme suit pour configurer vos serveurs STS (Security Token Service) et Web Proxy d'application (WAP) et envoyer le ou les certificats intermédiaires manquants avec le certificat SSL. Tout d’abord, vous devez exporter le certificat SSL.

  1. Exécutez certlm.msc pour ouvrir la console des certificats. Seul un administrateur ou un utilisateur disposant des autorisations appropriées peut gérer les certificats.
  2. Dans l’arborescence de la console du magasin qui contient le certificat à exporter, sélectionnez Certificats.
  3. Dans le volet d’informations, sélectionnez le certificat que vous devez exporter.
  4. Dans le menu Action , sélectionnez toutes les tâches, puis exporter. Sélectionnez Suivant.
  5. Sélectionnez Oui, exportez la clé privée, puis sélectionnez Suivant.
  6. Sélectionnez Échange d’informations personnelles - PKCS #12 (. PFX), et acceptez les valeurs par défaut pour inclure tous les certificats dans le chemin de certification si possible. Assurez-vous également que toutes les zones Exporter toutes les propriétés étendues case activée sont sélectionnées.
  7. Si nécessaire, affectez des utilisateurs/groupes et tapez un mot de passe pour chiffrer la clé privée que vous exportez. Tapez à nouveau le même mot de passe pour le confirmer, puis sélectionnez Suivant.
  8. Sur la page Fichier à exporter, recherchez l’emplacement où placer le fichier exporté, puis nommez-le.
  9. À l’aide de la même console de certificats (certlm.msc), importez le *. Fichier PFX dans le magasin de certificats personnel de l’ordinateur.
  10. Enfin, si votre organisation utilise des équilibreurs de charge actifs pour distribuer le trafic entre les serveurs, ces serveurs doivent comporter des magasins de certificats locaux mis à jour (au moins vérifiés).

Si les étapes ci-dessus n’ont pas fonctionné pour vous, examinez ces problèmes similaires ou contactez Viva Engage support :

Ces trois problèmes sont liés à l’Proxy d'application Web (WAP). Pour plus d’informations sur WAP, consultez Utilisation des Proxy d'application web.