L'autenticazione basata su certificati per iOS non riesce a richiedere i certificati utente

Sintomi

Gli utenti federati nei dispositivi Apple iOS con certificati utente validi rilevano che non possono eseguire l'autenticazione basata su certificati (CBA) rispetto all'ID Microsoft Entra. Tuttavia, gli utenti federati nei dispositivi Android e Windows possono eseguire correttamente l'autenticazione tramite CBA. Gli stessi utenti iOS non riscontrano problemi quando eseguono l'autenticazione usando il nome utente e la password.

Ecco l'esperienza tipica per gli utenti iOS che non possono eseguire l'autenticazione quando accedono alle app Office licazioni abilitate per ADAL in iOS:

1. L'utente illustra l'esperienza di configurazione app Office. Nella pagina di accesso di "Office365" l'utente seleziona Accedi.
2. Viene visualizzata la pagina di accesso ad ADAL in cui l'utente immette l'indirizzo di posta elettronica federato e quindi seleziona Avanti.
3. Il processo di accesso ad ADAL si blocca in una pagina vuota fino al timeout e restituisce un messaggio "Si è verificato un problema con l'account. Riprovare più tardi". Errore. Questa pagina include l'opzione per toccare OK.
4. Se l'utente tocca OK, si trova nella stessa pagina di accesso vuota con l'opzione nella parte superiore per toccare Indietro.
5. Toccando Indietro viene restituito l'utente alla pagina di accesso ad ADAL, in cui viene avviato tutto il processo: all'utente viene richiesto di immettere l'indirizzo di posta elettronica federato e quindi selezionare Avanti.
6. Toccando OK si torna a una schermata di accesso vuota, in cui l'utente può immettere userPrincipalName e ripetere il processo.

Per eliminare app Office licazioni come fattore, è consigliabile che gli utenti federati in un ambiente iOS testano l'autenticazione basata su certificati nel browser Safari seguendo la procedura descritta nella sezione "Altre informazioni". L'esperienza tipica per gli utenti iOS che non possono eseguire l'autenticazione https://portal.office.com da un browser Safari è la seguente:

1. All'utente non viene richiesto come previsto di approvare l'uso del certificato utente dopo aver selezionato il collegamento Accedi usando un collegamento di certificato X.509.

2. L'utente federato si trova in una pagina di accesso del servizio token di sicurezza non risponde o passa alla pagina di accesso del servizio token di sicurezza predefinita, in cui viene richiesto quanto segue:

   Selezionare un certificato da usare per l'autenticazione. Se si annulla l'operazione, chiudere il browser e riprovare.

   Nota Se in AD FS sono abilitati altri metodi di autenticazione, gli utenti visualizzano anche un collegamento che indica "Accedi con altre opzioni". Se selezionano questo collegamento, tornano alla pagina di accesso del servizio token di sicurezza.

3. Entrambe le esperienze hanno esito negativo con l'errore seguente:

   Safari non è riuscito ad aprire la pagina perché il server ha smesso di rispondere.

Causa

La catena di certificati è incompleta perché il certificato CA subordinato emittente non viene recuperato dal dispositivo come previsto quando il criterio MDM esegue il push solo del certificato radice nel dispositivo Apple insieme al profilo SCEP.

Il dispositivo iOS non acquisisce correttamente il file con estensione crt dalla CA emittente, anche se il percorso AIA nel certificato utente ha un URL valido che punta al file *.crt nella CA subordinata emittente.

Risoluzione

Se il cliente usa Intune per gestire il dispositivo, consiglia loro di creare un nuovo criterio di configurazione per un certificato radice attendibile iOS che punta alle autorità di certificazione intermedie' *. File CER. Quindi, consiglia loro di aprire il portale aziendale nel dispositivo e aggiornare i criteri. La connessione avrà esito positivo.

Ulteriori informazioni

Se si prende una traccia "Apple Configurator 2" da un client OS X connesso all'iPad usando il cavo fulmine, il log di traccia è simile all'esempio seguente:

Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad accountsd(AccountsDaemon)[216] <Notice>: -[ACDServer listener:shouldAcceptNewConnection:] (320) "<private> (<private>) received"
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
...
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_connection_endpoint_report [8 sts.<name>.info:49443 in_progress resolver (satisfied)] reported event flow:finish_transport
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Cancel [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1 portal.office.com:443 ready resolver (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1.1 13.107.7.190:443 ready socket-flow (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Notice>: __nw_socket_service_writes_block_invoke sendmsg(fd 4, 85 bytes): socket has been closed
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_flow_protocol_disconnected [1.1 13.107.7.190:443 cancelled socket-flow (null)] Output protocol disconnected
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Destroyed [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 2, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 11, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 12, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 13, Pending(0)
Nov 2 15:54:34 CSSs-iPad securityd[88] <Notice>: items matching issuer parent: Error Domain=NSOSStatusErrorDomain Code=-25300 "no matching items found" UserInfo={NSDescription=no matching items found}