Gli utenti non possono accedere a Viva Engage nei dispositivi Android

  • Articolo

Se gli utenti hanno un account Viva Engage, ma non possono accedere al dispositivo, potrebbe essere necessario aggiornare Android WebView.

In un dispositivo Android assicurarsi di aver scaricato la versione più recente di Android WebView. Questo componente Chrome offre aggiornamenti della sicurezza e consente alle app Android di visualizzare il contenuto.

Se il problema persiste, il certificato di sicurezza dell'organizzazione potrebbe essere obsoleto. Inoltrare questo articolo all'amministratore IT in modo che possa risolvere il problema.

Risoluzione dei problemi per gli amministratori di Viva Engage e Microsoft 365

I certificati mancanti o non aggiornati potrebbero impedire l'autenticazione di accesso.

Prima che gli utenti possano accedere a Viva Engage, i certificati SSL dell'organizzazione devono superare determinati controlli, alcuni richiesti da Android, altri specifici per Active Directory Federation Services (AD FS). È il modo più sicuro per proteggere le reti, le informazioni utente e le risorse interne dell'organizzazione.

Infatti, i server devono dimostrare l'attendibilità a qualsiasi sistema operativo client o applicazione ogni volta che qualcuno tenta di accedere a un'app sicura (ad esempio Viva Engage).

L'attendibilità è complessa.

Esiste anche un'intera gerarchia di certificazione. Un elemento denominato certificato dell'autorità di certificazione radice si trova nella parte superiore di esso (nonostante ciò che il nome potrebbe implicare). Rilascia certificati per "autorizzare" altri certificati subordinati denominati certificati intermedi. Insieme, questi certificati formano una catena di certificazione.

Anche i certificati intermedi nella catena sono importanti, così importanti che Android richiede che vengano inviati in un ordine specifico:

  1. Prima di tutto, verificare di aver inserito il certificato dell'autorità di certificazione radice nell'archivio Autorità di certificazione radice attendibili, che si trova nel server AD FS.
  2. Inserire quindi i certificati dell'autorità di certificazione intermedia nell'archivio certificazione intermedia nel computer locale, disponibile nei server AD FS e Web Application Proxy (WAP). Eseguire certlm.msc per aprire la console in un computer Windows.

Screenshot che mostra la gerarchia di certificati nel computer locale.

Per semplificare la comprensione del passaggio 2, è possibile considerare i server come continenti:

  • il computer locale sarebbe un paese/area geografica in quei continenti
  • l'archivio di certificazione sarebbe uno stato (o provincia)
  • certificati intermedi sarebbe la popolazione di stato

In un computer Mac queste categorie o cartelle variano leggermente. Usare Spotlight per cercare la console "accesso keychain". Per informazioni sull'accesso al keychain, vedere Panoramica dell'accesso keychain nel sito del supporto apple.

Se la gerarchia di certificazione dell'organizzazione è già configurata correttamente, potrebbe verificarsi un piccolo problema nel server del servizio token di sicurezza, descritto di seguito.

Il download di certificati aggiuntivi è un errore comune.

Ci sono un paio di cose che potrebbero essere andate male con i certificati SSL, ma il colpevole più comune è una configurazione del server che manca un'autorità di certificazione intermedia, il pezzo che firma i certificati del server con la relativa chiave privata. Viene generato un errore AuthenticationException quando Viva Engage o Microsoft 365 tenta di visualizzare la pagina di accesso.

È possibile che un utente abbia scaricato altri certificati dal campo authorityInformationAccess di un certificato SSL, impedendo al server di passare l'intera catena di certificati da AD FS. Android non supporta download di certificati aggiuntivi da questo campo.

Prima di passare alla procedura di risoluzione, ecco come verificare che esista questo problema.

Seguire questa procedura per verificare se è presente un certificato SSL che manca i certificati intermedi necessari:

  1. In un dispositivo non Android passare a https://login.microsoftonline.com.

  2. Accedere con l'indirizzo aziendale o dell'istituto di istruzione come si farebbe normalmente.

  3. Dopo il reindirizzamento, copiare l'URL presente nella barra degli indirizzi del browser. Si tratta del nome di dominio completo (FQDN) del server del servizio token di sicurezza, ovvero si omette la https:// parte.

  4. Inserire il nome di dominio completo nell'URL seguente. Assicurarsi di sostituire solo le lettere FQDN senza aggiungere altri caratteri:

    https://www.ssllabs.com/ssltest/analyze.html?d=FQDN&hideResults=on&latest

  5. Copiare, incollare e passare all'URL completato nel passaggio 4.

Verrà visualizzato un elenco di certificati SSL. Cercare un certificato con etichetta "download aggiuntivo". Questo errore segnala l'autenticazione non riuscita, che indica che AD FS non è riuscito a passare lungo l'intera catena di certificati.

Screenshot che mostra l'elenco dei certificati SSL con errore di download aggiuntivo.

L'autenticazione completata viene contrassegnata come inviata dal server.

Ecco come correggere un problema di download superfluo.

Seguire questa procedura per configurare i server servizio token di sicurezza (STS) e Web Application Proxy (WAP) e inviare i certificati intermedi mancanti insieme al certificato SSL. Prima di tutto, è necessario esportare il certificato SSL.

  1. Eseguire certlm.msc per aprire la console dei certificati. Solo un amministratore o un utente a cui sono state concesse le autorizzazioni appropriate può gestire i certificati.
  2. Nell'albero della console nell'archivio che contiene il certificato da esportare selezionare certificati.
  3. Nel riquadro dei dettagli selezionare il certificato che è necessario esportare.
  4. Nel menu Azione selezionare tutte le attività e quindi selezionare Esporta. Selezionare avanti.
  5. Selezionare Sì, esportare la chiave privata e selezionare Avanti.
  6. Selezionare Scambio di informazioni personali - PKCS #12 (. PFX) e accettare i valori predefiniti per includere tutti i certificati nel percorso di certificazione, se possibile. Assicurarsi inoltre che le caselle di controllo Esporta tutte le proprietà estese siano selezionate.
  7. Se necessario, assegnare utenti/gruppi e digitare una password per crittografare la chiave privata che si sta esportando. Digitare di nuovo la stessa password per confermarla e quindi selezionare Avanti.
  8. Nella pagina File da esportare passare al percorso in cui si vuole inserire il file esportato e assegnargli un nome.
  9. Usando la stessa console certificati (certlm.msc), importare il file *. File PFX nell'archivio certificati personale del computer.
  10. Infine, se l'organizzazione usa servizi di bilanciamento del carico attivi per distribuire il traffico tra i server, occorre aggiornare, o almeno verificare, gli archivi dei certificati locali anche in questi server.

Se i passaggi precedenti non funzionano, esaminare questi problemi simili o contattare il supporto Viva Engage:

Questi tre problemi sono correlati al web Application Proxy (WAP). Per altre informazioni su WAP, vedere Uso di Application Proxy Web.