通过

用户无法在 Android 设备上登录到Viva Engage

如果用户具有Viva Engage帐户,但无法在其设备上登录,则可能需要更新 Android WebView。

在 Android 设备上,请确保已下载最新版本的 Android WebView。 此 Chrome 组件提供安全更新,并允许 Android 应用显示你的内容。

如果问题仍然存在,则组织的安全证书可能已过时。 将本文转发给 IT 管理员,以便他们能够解决问题。

针对Viva Engage和 Microsoft 365 管理员的故障排除

证书丢失或过期可能会阻止进行登录身份验证。

在用户登录Viva Engage之前,组织的 SSL 证书必须通过某些检查-一些是 Android 要求,另一些是特定于 Active Directory 联合身份验证服务 (AD FS) 。 这是保护组织的网络、用户信息和内部资源的最安全方法。

事实上,每当有人尝试登录到安全应用(例如 (Viva Engage) )时,服务器都必须向任何客户端操作系统或应用程序证明其可信度。

信任是复杂的。

还有一个完整的认证层次结构。 名为根证书颁发机构证书的内容位于其顶部, (尽管其名称可能意味着) 。 它颁发证书以“授权”其他称为中间证书的从属证书。 这些证书共同构成了一个认证链。

链中的中间证书很重要,Android 要求按特定顺序发送证书也非常重要:

  1. 首先,确保你已经将根证书颁发机构证书置于受信任的根证书存储区,该存储区位于 AD FS 服务器上。
  2. 然后,将任何中间证书颁发机构证书放在本地计算机上的中间认证存储中,可以在 AD FS 和 Web 应用程序代理 (WAP) 服务器上找到这些证书。 (运行 certlm.msc 以在 Windows 计算机上打开控制台。)

显示本地计算机上的证书层次结构的屏幕截图。

若要使步骤 2 更易于理解,可以将服务器视为大陆:

  • 本地计算机将是这些大陆的国家/地区
  • 认证存储将是州 (或省)
  • 中间证书将是州总体

在 Mac 计算机上,这些类别或文件夹略有不同。 使用 Spotlight 搜索“密钥链访问”控制台。 有关密钥链访问的信息,请参阅 Apple 支持网站上的密钥链访问概述

如果组织已准备好证书层次结构,你可能会在安全令牌服务 (STS) 服务器上遇到一个小问题,如下所述。

下载其他证书是一种常见的错误。

SSL 证书 () 可能存在问题,但最常见的罪魁祸首是缺少中间证书颁发机构的服务器配置,即使用私钥对服务器证书进行签名的部分。 当Viva Engage或 Microsoft 365 尝试显示登录页时,这会触发 AuthenticationException 错误。

可能有人从 SSL 证书的 authorityInformationAccess 字段下载了其他证书,这可以防止服务器从 AD FS 传递整个证书链。 Android 不支持从此字段下载其他证书。

在进行故障排除之前,下面说明了如何确定这是一个问题。

按照以下步骤验证是否具有缺少必要中间证书的 SSL 证书:

  1. 使用非 Android 设备,转到 https://login.microsoftonline.com

  2. 像平常一样,使用工作或学校地址登录。

  3. 重定向后,复制浏览器地址栏中的 URL。 这是安全令牌服务服务器的完全限定域名 (FQDN) -请省略部分 https://

  4. 在以下 URL 中插入 FQDN。 确保只替换字母 FQDN 而不添加任何其他字符:

    https://www.ssllabs.com/ssltest/analyze.html?d=FQDN&hideResults=on&latest

  5. 复制、粘贴并转到在步骤 4 中完成的 URL。

应会看到 SSL 证书列表。 查找标有“额外下载”的证书。此错误表示身份验证失败,指示 AD FS 无法在整个证书链中传递。

显示 SSL 证书列表的屏幕截图,其中包含额外的下载错误。

成功的身份验证标记为 服务器发送

下面介绍修复附加下载的方法。

按照以下步骤配置安全令牌服务 (STS) 和 Web 应用程序代理 (WAP) 服务器,并将缺少的中间证书 () 与 SSL 证书一起发送。 首先,需要导出 SSL 证书。

  1. 运行 certlm.msc 以打开证书控制台。 只有已获得适当权限的管理员或用户才能管理证书。
  2. 在包含要导出的证书的存储的控制台树中,选择“ 证书”。
  3. 在详细信息窗格中,选择需要导出的证书。
  4. “操作 ”菜单上,选择 “所有任务”,然后选择“ 导出”。 选择“ 下一步”。
  5. 选择“ 是”,导出私钥, 然后选择“ 下一步”。
  6. 选择“ 个人信息交换 - PKCS #12 (”。PFX) , 并接受默认值以在认证路径中包含所有证书(如果可能)。 此外,请确保选中导出所有扩展属性检查框。
  7. 如果需要,请分配用户/组,并键入密码以加密要导出的私钥。 再次键入相同的密码进行确认,然后选择“ 下一步”。
  8. 在“导出文件”页,浏览要放置导出文件的位置,并为其命名。
  9. 使用相同的证书控制台 (certlm.msc) ,导入 *。PFX 文件进入计算机的个人证书存储。
  10. 最后,如果组织使用活动负载均衡器在服务器之间分发流量,这些服务器还应更新(或至少验证)其本地证书存储。

如果上述步骤不起作用,请查看这些类似问题,或联系Viva Engage支持人员

这三个问题与 Web 应用程序代理 (WAP) 相关。 有关 WAP 的详细信息,请参阅使用 Web 应用程序代理