Udostępnij za pośrednictwem

Użytkownicy nie mogą logować się do Viva Engage na urządzeniach z systemem Android

Jeśli użytkownicy mają konto Viva Engage, ale nie mogą zalogować się na swoim urządzeniu, może być konieczne zaktualizowanie programu Android WebView.

Na urządzeniu z systemem Android upewnij się, że pobrano najnowszą wersję programu Android WebView. Ten składnik chrome dostarcza aktualizacje zabezpieczeń i umożliwia aplikacjom systemu Android wyświetlanie zawartości.

Jeśli problem będzie się powtarzać, certyfikat zabezpieczeń organizacji może być nieaktualny. Prześlij ten artykuł do administratora IT, aby mógł rozwiązać ten problem.

Rozwiązywanie problemów z administratorami Viva Engage i platformy Microsoft 365

Brakujące lub nieaktualne certyfikaty mogą uniemożliwiać uwierzytelnianie logowania.

Aby użytkownicy mogli zalogować się do Viva Engage, certyfikaty SSL organizacji muszą przejść pewne testy — niektóre są wymagane przez system Android, inne specyficzne dla Active Directory Federation Services (AD FS). Jest to najbezpieczniejszy sposób ochrony sieci organizacji, informacji o użytkownikach i zasobów wewnętrznych.

W rzeczywistości serwery muszą udowodnić swoją wiarygodność dla dowolnego klienckiego systemu operacyjnego lub aplikacji za każdym razem, gdy ktoś próbuje zalogować się do bezpiecznej aplikacji (takiej jak Viva Engage).

A zaufanie jest skomplikowane.

Istnieje również cała hierarchia certyfikacji. Coś, co nazywa się certyfikatem głównego urzędu certyfikacji, znajduje się u jego góry (pomimo tego, co może oznaczać jego nazwa). Wystawia certyfikaty do "autoryzowania" innych certyfikatów podrzędnych nazywanych certyfikatami pośrednimi. Razem te certyfikaty tworzą łańcuch certyfikacji.

Certyfikaty pośrednie w łańcuchu są również ważne — tak ważne, że system Android wymaga wysłania ich w określonej kolejności:

  1. Najpierw upewnij się, że certyfikat głównego urzędu certyfikacji został umieszczony w zaufanym głównym magazynie certyfikacji, który znajduje się na serwerach usług AD FS.
  2. Następnie umieść wszystkie pośrednie certyfikaty urzędu certyfikacji w magazynie certyfikatów pośrednich na komputerze lokalnym, który można znaleźć na serwerach usług AD FS i Web serwer proxy aplikacji (WAP). (Uruchom polecenie certlm.msc , aby otworzyć konsolę na komputerze z systemem Windows).

Zrzut ekranu przedstawiający hierarchię certyfikatów na komputerze lokalnym.

Aby ułatwić zrozumienie kroku 2, można traktować serwery jako kontynenty:

  • Komputer lokalny będzie krajem/regionem na tych kontynentach
  • magazyn certyfikacji byłby stanem (lub prowincją)
  • certyfikaty pośrednie byłyby populacją państwową

Na komputerze Mac te kategorie lub foldery różnią się nieznacznie. Użyj funkcji Spotlight, aby wyszukać konsolę "dostęp do łańcucha kluczy". Aby uzyskać informacje na temat dostępu do łańcucha kluczy, zobacz Omówienie dostępu do łańcucha kluczy w witrynie pomocy technicznej firmy Apple.

Jeśli twoja organizacja ma już hierarchię certyfikacji do kwadratu, może wystąpić niewielki problem na serwerze usługi tokenu zabezpieczającego (STS), wyjaśniono poniżej.

Pobieranie dodatkowych certyfikatów jest typowym błędem.

Istnieje kilka rzeczy, które mogły pójść nie tak z certyfikatami SSL, ale najczęstszym winowajcą jest konfiguracja serwera, w przypadku którego brakuje pośredniego urzędu certyfikacji, który podpisuje certyfikaty serwera przy użyciu klucza prywatnego. Wyzwala to błąd AuthenticationException, gdy Viva Engage lub Microsoft 365 próbuje wyświetlić stronę logowania.

Ktoś mógł pobrać inne certyfikaty z pola authorityInformationAccess certyfikatu SSL, co uniemożliwia serwerowi przekazywanie całego łańcucha certyfikatów z usług AD FS. System Android nie obsługuje dodatkowych plików do pobrania certyfikatów z tego pola.

Przed rozpoczęciem rozwiązywania problemów możesz mieć pewność, że jest to problem.

Wykonaj następujące kroki, aby sprawdzić, czy masz certyfikat SSL, w którym brakuje wymaganych certyfikatów pośrednich:

  1. Korzystając z urządzenia z systemem innym niż Android, przejdź do pozycji https://login.microsoftonline.com.

  2. Zaloguj się przy użyciu swojego adresu służbowego, jak zwykle.

  3. Po przekierowaniu skopiuj adres URL na pasku adresu przeglądarki. To jest w pełni kwalifikowana nazwa domeny serwera usługi tokenu zabezpieczającego https:// (FQDN) — pomiń tę część.

  4. Wstaw nazwę FQDN w następującym adresie URL. Upewnij się, że zastąpisz tylko litery FQDN bez dodawania żadnych dodatkowych znaków:

    https://www.ssllabs.com/ssltest/analyze.html?d=FQDN&hideResults=on&latest

  5. Skopiuj, wklej i przejdź do adresu URL ukończonego w kroku 4.

Powinna zostać wyświetlona lista certyfikatów SSL. Poszukaj certyfikatu z etykietą "dodatkowe pobieranie". Ten błąd sygnalizuje niepowodzenie uwierzytelniania, co wskazuje, że usługi AD FS nie mogły przejść przez cały łańcuch certyfikatów.

Zrzut ekranu przedstawiający listę certyfikatów SSL z dodatkowym błędem pobierania.

Pomyślne uwierzytelnianie jest oznaczone jako wysłane przez serwer.

Oto jak naprawić dodatkowe pobieranie.

Wykonaj następujące kroki, aby skonfigurować serwery usługi tokenu zabezpieczającego (STS) i web serwer proxy aplikacji (WAP) i wysłać brakujące certyfikaty pośrednie wraz z certyfikatem SSL. Najpierw należy wyeksportować certyfikat SSL.

  1. Uruchom polecenie certlm.msc , aby otworzyć konsolę certyfikatów. Tylko administrator lub użytkownik, któremu przyznano odpowiednie uprawnienia, może zarządzać certyfikatami.
  2. W drzewie konsoli w magazynie zawierającym certyfikat do wyeksportowania wybierz pozycję Certyfikaty.
  3. W okienku szczegółów wybierz certyfikat, który chcesz wyeksportować.
  4. W menu Akcja wybierz wszystkie zadania, a następnie wybierz pozycję eksportuj. Wybierz pozycję dalej.
  5. Wybierz pozycję Tak, wyeksportuj klucz prywatny, a następnie wybierz pozycję dalej.
  6. Wybierz pozycję Wymiana informacji osobistych — PKCS #12 (. PFX) i zaakceptuj wartości domyślne, aby w miarę możliwości uwzględnić wszystkie certyfikaty w ścieżce certyfikacji. Upewnij się również, że zaznaczono pola wyboru eksportu wszystkich właściwości rozszerzonych .
  7. W razie potrzeby przypisz użytkowników/grupy i wpisz hasło, aby zaszyfrować eksportowany klucz prywatny. Ponownie wpisz to samo hasło, aby je potwierdzić, a następnie wybierz pozycję dalej.
  8. Na stronie Plik do eksportu przejrzyj lokalizację, w której chcesz umieścić wyeksportowany plik, i nadaj mu nazwę.
  9. Używając tej samej konsoli certyfikatów (certlm.msc), zaimportuj plik *. Plik PFX do osobistego magazynu certyfikatów komputera.
  10. Na koniec, jeśli organizacja używa aktywnych modułów równoważenia obciążenia do dystrybucji ruchu między serwerami, te serwery powinny mieć również zaktualizowane lokalne magazyny certyfikatów (lub przynajmniej zweryfikowane).

Jeśli powyższe kroki nie zadziałały, zapoznaj się z tymi podobnymi problemami lub skontaktuj się z pomocą techniczną Viva Engage:

Te trzy problemy są związane z serwer proxy aplikacji sieci Web (WAP). Aby uzyskać więcej informacji na temat protokołu WAP, zobacz Working with Web serwer proxy aplikacji (Praca z serwer proxy aplikacji sieci Web).