Procédure à suivre lorsque les utilisateurs ne peuvent pas se connecter à Yammer sur des appareils Android

Si les utilisateurs ont un compte Yammer, mais ne peuvent pas s’y connecter sur leur appareil, ils devront peut-être mettre à jour Android WebView.

Sur un appareil Android, vérifiez que vous avez téléchargé la dernière version de Android WebView, un composant de Chrome qui fournit des mises à jour de sécurité et permet aux applications Android d’afficher du contenu.

Si cela ne fonctionne pas, le certificat de sécurité de votre organisation est probablement obsolète. Transférez cet article à votre administrateur informatique afin qu’il puisse résoudre le problème.

Procédure de dépannage pour les administrateurs Office 365 et Yammer

Des certificats manquants ou obsolètes peuvent empêcher l’authentification de connexion.

Avant que vos utilisateurs puissent se connecter à Yammer, les certificats SSL de votre organisation doivent passer certaines vérifications, certaines requises par Android, d’autres spécifiques à Services ADFS (AD FS). Il s’agit du moyen le plus sûr de protéger les réseaux, les informations utilisateur et les ressources internes de votre organisation.

Vos serveurs doivent en réalité prouver leur fiabilité auprès de tout système d’exploitation client ou de toute application à chaque fois qu’une personne tente de se connecter à une application sécurisée (par exemple, Yammer).

Et la fiabilité est une question complexe.

Il existe également une hiérarchie de certification entière. Quelque chose appelé certificat d’autorité de certification racine se trouve en haut de celui-ci (malgré ce que son nom peut impliquer). Il émet des certificats pour « autoriser » d’autres certificats subordonnés appelés certificats intermédiaires. Ensemble, tous ces éléments forment une chaîne de certification.

Vous vous doutez que les certificats intermédiaires dans la chaîne sont importants également. Ils sont d’ailleurs si importants qu’Android exige qu’ils soient envoyés dans un ordre spécifique :

  1. D’abord, vérifiez que vous avez placé le certificat d’autorité de certification racine dans le magasin de certification racine de confiance, qui se trouve sur vos serveurs AD FS.

  2. Ensuite, placez tous les certificats d’autorité de certification intermédiaire dans le magasin de certification intermédiaire sur l’ordinateur local, que vous trouverez sur vos serveurs AD FS et Web Proxy d'application (WAP). (Exécutez certlm.msc pour ouvrir la console sur un ordinateur Windows.)

Pour mieux comprendre l’étape 2, envisagez-la de la manière suivante : si les serveurs étaient des continents,

  • l’ordinateur local serait un pays dans ces continents ;

  • le magasin de certification serait un État ou une province, et

  • les certificats intermédiaires seraient la population de l’État.

Hiérarchie de certificats affichée sur l’ordinateur local.

Sur un ordinateur Mac, ces catégories ou dossiers varient légèrement. Utilisez Spotlight pour rechercher la console « trousseau d’accès ». Pour plus d’informations sur l’accès au trousseau, consultez Vue d’ensemble de l’accès au trousseau sur le site du support Apple.

Si votre organisation a déjà mis en place une hiérarchie de certification, vous rencontrerez peut-être un petit problème sur le serveur du service d’émission de jeton de sécurité (STS), comme indiqué ci-dessous.

Le téléchargement de certificats supplémentaires est une erreur courante.

Il existe plusieurs choses qui auraient pu mal se passer avec vos certificats SSL, mais le coupable le plus courant est une configuration de serveur qui manque une autorité de certification intermédiaire, l’élément qui signe les certificats de votre serveur avec sa clé privée. Cela déclenche une erreur AuthenticationException lorsque Yammer, ou Office 365, tente d’afficher la page de connexion.

Quelqu’un a peut-être téléchargé des certificats supplémentaires à partir du champ authorityInformationAccess d’un certificat SSL, ce qui empêche le serveur de transmettre l’intégralité de la chaîne de certificats à partir d’AD FS. Android ne prend pas en charge les téléchargements de certificats supplémentaires à partir de ce champ.

Avant de procéder au dépannage, voici comment vérifier qu’il s’agit d’un problème.

Suivez les 5 étapes ci-dessous pour vérifier que vous n’avez pas configuré un certificat SSL pour lequel il manque des certificats intermédiaires nécessaires :

  1. Sur un appareil autre qu’Android, accédez à https://login.microsoftonline.com.

  2. Connectez-vous normalement avec votre adresse professionnelle ou scolaire.

  3. Une fois que vous êtes redirigé, copiez l’URL qui se trouve dans la barre d’adresse de votre navigateur. Il s’agit du nom de domaine complet (FQDN) de votre serveur de jetons de sécurité. Omettez la mention « https:// ».

  4. Insérez votre nom de domaine complet dans l’URL suivante. Veillez à remplacer uniquement les lettres FQDN sans ajouter de caractères supplémentaires :

    https://www.ssllabs.com/ssltest/analyze.html?d=FQDN& hideResults=on&latest

  5. Copiez, collez et accédez à l’URL que vous venez de compléter à l’étape 4.

Vous devez voir une liste de certificats SSL. Recherchez un certificat intitulé « téléchargement supplémentaire ». Cette erreur signale l’échec de l’authentification, indiquant qu’AD FS n’a pas pu passer l’intégralité de la chaîne de certificats.

Liste des certificats SSL avec une erreur de téléchargement supplémentaire.

Toute authentification réussie est marquée comme envoyée par le serveur.

Voici comment résoudre un problème de téléchargement supplémentaire.

Procédez comme suit pour configurer vos serveurs STS (Security Token Service) et Web Proxy d'application (WAP) et envoyer le ou les certificats intermédiaires manquants avec le certificat SSL. Tout d’abord, vous devez exporter le certificat SSL.

  1. Exécutez certlm.msc pour ouvrir la console des certificats. Seul un administrateur ou un utilisateur disposant des autorisations appropriées peut gérer les certificats.

  2. Dans l’arborescence de la console, dans le magasin qui contient le certificat à exporter, cliquez sur certificats.

  3. Dans le volet d’informations, cliquez sur le certificat à exporter.

  4. Dans le menu Action , cliquez sur toutes les tâches, puis sur Exporter. Lorsque l’Assistant Exportation de certificat démarre, cliquez sur Suivant.

  5. Sélectionnez Oui, exporter la clé privée et cliquez sur Suivant.

  6. Sélectionnez Échange d’informations personnelles - PKCS #12 (. PFX), et acceptez les valeurs par défaut pour inclure tous les certificats dans le chemin de certification si possible. Vérifiez également que les cases Exporter toutes les propriétés étendues sont cochées.

  7. Si nécessaire, affectez des utilisateurs/groupes et tapez un mot de passe pour chiffrer la clé privée que vous exportez. Tapez à nouveau le même mot de passe pour le confirmer, puis cliquez sur Suivant.

  8. Sur la page Fichier à exporter, recherchez l’emplacement où placer le fichier exporté, puis nommez-le.

  9. À l’aide de la même console de certificats (certlm.msc), importez le *. Fichier PFX dans le magasin de certificats personnel de l’ordinateur.

  10. Enfin, si votre organisation utilise des équilibreurs de charge actifs pour distribuer le trafic entre les serveurs, ces serveurs doivent comporter des magasins de certificats locaux mis à jour (au moins vérifiés).

Si la procédure ci-dessus n’a pas fonctionné, étudiez les problèmes suivants du même type ou contactez le support technique de Yammer :

Un certificat externe qui n’est pas encore valide

Un certificat externe qui a expiré

Un certificat externe qui n’a pas de clé privée

Ces trois problèmes sont liés à l’Proxy d'application Web (WAP). Pour plus d’informations sur WAP, accédez à https://technet.microsoft.com/library/dn584113(v=ws.11).aspx.