Ek sertifika indirmeleri gerekiyorsa Android cihazlardan kimlik doğrulaması yapmak için ADAL kullanma işlemi başarısız oluyor
Bu makalede, ek sertifika indirmeleri gerektiğinde Android cihazlardan Azure Active Directory Kimlik Doğrulama Kitaplığı (ADAL) kimlik doğrulamasının başarısız olması sorunu açıklanmaktadır.
Orijinal ürün sürümü: Microsoft Entra ID
Özgün KB numarası: 3203929
Belirtiler
Android için ADAL kullanarak kimlik doğrulamayı denediğinizde Federasyon oturum açma işlemi başarısız olabilir. Özellikle, uygulama oturum açma sayfasını görüntülemeye çalıştığında authenticationException hatası tetikler. Google Chrome'da STS oturum açma sayfası güvenli değil olarak adlandırılabilir. Bu sorun yalnızca Android cihazlarda, Federasyon sunucusuna bağlanmak için Android için ADAL kullanan tüm uygulamalar için oluşur.
Bu sorunla karşılaşıp karşılaşmadığını belirlemek için aşağıdaki testi çalıştırın:
Güvenlik Belirteci Hizmeti (STS) sunucunuzun tam etki alanı adını (FQDN) alın. Bunu yapmak için şu adımları uygulayın:
- Android olmayan bir cihazda adresine https://login.microsoftonline.com gidin.
- İş veya okul hesabınızı girin.
- Federasyon STS oturum açma sayfanıza yeniden yönlendirildiğinde, tarayıcıdaki URL adresini not edin. Gibi
https://sts.contoso.com
görünüyor. FQDN şudur:sts.contoso.com
.
STS_SERVER_FQDN_HERE> STS FQDN'nizle değiştirerek <aşağıdaki URL'ye gidin:
https://www.ssllabs.com/ssltest/analyze.html?d=<STS_SERVER_FQDN_HERE>&hideResults=on&latest
Örneğin:
https://www.ssllabs.com/ssltest/analyze.html?d=sts.contoso.com&hideResults=on&latest
Aşağıdaki iletilerden herhangi birinin görüntülenip görüntülenmediğini görün:
- Ek indirme
- Sunucu tarafından gönderildi
- Güven deposunda
SSL sertifikalarından herhangi biri "Ek indirme" iletisini görüntülerse, bu bölümün önceki bölümlerinde aşağıdaki ekran görüntüsüne göre açıklanan sorunla karşılaşmış olursunuz:
Android cihazında başarılı kimlik doğrulamasını gösteren "Sunucu tarafından gönderildi" iletisini içeren bir sertifikayı gösteren ekran görüntüsü aşağıdadır:
Neden
Android, sertifikanın authorityInformationAccess alanından ek sertifika indirmeyi desteklemez. Bu, tüm Android sürümleri ve cihazları ve Chrome tarayıcısı için geçerlidir. authorityInformationAccess alanına göre ek indirme için işaretlenmiş herhangi bir sunucu kimlik doğrulama sertifikası, sertifika zincirinin tamamı Active Directory Federasyon Hizmetleri (AD FS) 'dan (AD FS) geçirilmezse bu hatayı tetikler.
Çözüm
Bu sorunu çözmek için STS ve Web Uygulama Ara Sunucusu (WAP) sunucularınızı gerekli ara sertifikaları SSL sertifikasıyla birlikte gönderecek şekilde yapılandırın. Bunu yapmak için şu adımları uygulayın:
- SSL sertifikasını bir bilgisayardan AD FS ve WAP sunucusunun (veya sunucularının) kişisel deposuna aktardığınızda, Özel anahtarı dışarı aktardığınızdan ve Kişisel Bilgi Değişimi - PKCS #12'yi seçtiğinizden emin olun. Ayrıca mümkünse Tüm sertifikaları sertifika yoluna ekle ve Tüm genişletilmiş özellikleri dışarı aktar onay kutularının seçili olduğundan emin olun.
- Windows sunucularında komutunu çalıştırın
certlm.msc
ve ardından * öğesini içeri aktarın. PFX dosyasını bilgisayarın kişisel sertifika deposuna aktarın. Bunu yaptığınızda, istemci uygulaması kimlik doğrulaması için ADAL kullandığında sunucu sertifika zincirinin tamamını geçirir.
Not
Ağ Yük Dengeleyicilerinin sertifika deposu da tüm sertifika zincirini içerecek şekilde güncelleştirilmelidir.
Yardım için bize ulaşın
Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin