Aracılığıyla paylaş

Ek sertifika indirmeleri gerekiyorsa Android cihazlardan kimlik doğrulaması yapmak için ADAL kullanma işlemi başarısız oluyor

  • Makale

Bu makalede, ek sertifika indirmeleri gerektiğinde Android cihazlardan Azure Active Directory Kimlik Doğrulama Kitaplığı (ADAL) kimlik doğrulamasının başarısız olması sorunu açıklanmaktadır.

Orijinal ürün sürümü: Microsoft Entra ID
Özgün KB numarası: 3203929

Belirtiler

Android için ADAL kullanarak kimlik doğrulamayı denediğinizde Federasyon oturum açma işlemi başarısız olabilir. Özellikle, uygulama oturum açma sayfasını görüntülemeye çalıştığında authenticationException hatası tetikler. Google Chrome'da STS oturum açma sayfası güvenli değil olarak adlandırılabilir. Bu sorun yalnızca Android cihazlarda, Federasyon sunucusuna bağlanmak için Android için ADAL kullanan tüm uygulamalar için oluşur.

Bu sorunla karşılaşıp karşılaşmadığını belirlemek için aşağıdaki testi çalıştırın:

  1. Güvenlik Belirteci Hizmeti (STS) sunucunuzun tam etki alanı adını (FQDN) alın. Bunu yapmak için şu adımları uygulayın:

    1. Android olmayan bir cihazda adresine https://login.microsoftonline.com gidin.
    2. İş veya okul hesabınızı girin.
    3. Federasyon STS oturum açma sayfanıza yeniden yönlendirildiğinde, tarayıcıdaki URL adresini not edin. Gibi https://sts.contoso.comgörünüyor. FQDN şudur: sts.contoso.com.

  2. STS_SERVER_FQDN_HERE> STS FQDN'nizle değiştirerek <aşağıdaki URL'ye gidin:

    https://www.ssllabs.com/ssltest/analyze.html?d=<STS_SERVER_FQDN_HERE>&hideResults=on&latest

    Örneğin:

    https://www.ssllabs.com/ssltest/analyze.html?d=sts.contoso.com&hideResults=on&latest

  3. Aşağıdaki iletilerden herhangi birinin görüntülenip görüntülenmediğini görün:

    • Ek indirme
    • Sunucu tarafından gönderildi
    • Güven deposunda

    SSL sertifikalarından herhangi biri "Ek indirme" iletisini görüntülerse, bu bölümün önceki bölümlerinde aşağıdaki ekran görüntüsüne göre açıklanan sorunla karşılaşmış olursunuz:

    Ek indirme iletisinin ekran görüntüsü.

    Android cihazında başarılı kimlik doğrulamasını gösteren "Sunucu tarafından gönderildi" iletisini içeren bir sertifikayı gösteren ekran görüntüsü aşağıdadır:

    Sunucu tarafından gönderildi iletisinin ekran görüntüsü.

Neden

Android, sertifikanın authorityInformationAccess alanından ek sertifika indirmeyi desteklemez. Bu, tüm Android sürümleri ve cihazları ve Chrome tarayıcısı için geçerlidir. authorityInformationAccess alanına göre ek indirme için işaretlenmiş herhangi bir sunucu kimlik doğrulama sertifikası, sertifika zincirinin tamamı Active Directory Federasyon Hizmetleri (AD FS) 'dan (AD FS) geçirilmezse bu hatayı tetikler.

Çözüm

Bu sorunu çözmek için STS ve Web Uygulama Ara Sunucusu (WAP) sunucularınızı gerekli ara sertifikaları SSL sertifikasıyla birlikte gönderecek şekilde yapılandırın. Bunu yapmak için şu adımları uygulayın:

  1. SSL sertifikasını bir bilgisayardan AD FS ve WAP sunucusunun (veya sunucularının) kişisel deposuna aktardığınızda, Özel anahtarı dışarı aktardığınızdan ve Kişisel Bilgi Değişimi - PKCS #12'yi seçtiğinizden emin olun. Ayrıca mümkünse Tüm sertifikaları sertifika yoluna ekle ve Tüm genişletilmiş özellikleri dışarı aktar onay kutularının seçili olduğundan emin olun.
  2. Windows sunucularında komutunu çalıştırın certlm.msc ve ardından * öğesini içeri aktarın. PFX dosyasını bilgisayarın kişisel sertifika deposuna aktarın. Bunu yaptığınızda, istemci uygulaması kimlik doğrulaması için ADAL kullandığında sunucu sertifika zincirinin tamamını geçirir.

Not

Ağ Yük Dengeleyicilerinin sertifika deposu da tüm sertifika zincirini içerecek şekilde güncelleştirilmelidir.

Yardım için bize ulaşın

Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.