Fehlerbehebung für Fehler bei der einmaligen Anmeldung (SSO) über mobile Geräte

Online bearbeiten

Während Sie sich als Benutzer über die einmalige Anmeldung bei einer Anwendung über Ihr mobiles Gerät anmelden, können unter Umständen einige Fehler auftreten. Sie müssen den Fehler verstehen, isolieren und beheben. Für einige der Lösungen ist möglicherweise die Unterstützung des Administrators erforderlich. Administratoren können auch prüfen, ob vorgeschlagene Wiederherstellungsaktionen vorhanden sind.

Das Fehlschlagen Ihrer Authentifizierungsanforderung kann die folgenden Ursachen haben:

Gerät verfügt nicht über die korrekte MDM-Richtlinie

Erläuterung

Das MaaS360® MDM-Profil auf Ihrem Mobilgerät enthält kein registriertes Single-Sign-On-Konto.

Benutzeraktion
Wenn die folgende Fehlermeldung angezeigt wirdCSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help., überprüfen Sie anhand der folgenden Schritte, ob auf Ihrem Mobilgerät die richtige MDM-Richtlinie installiert ist:
  1. Überprüfen Sie das MaaS360 MDM-Profil auf Ihrem Mobilgerät.
  2. Öffnen Sie die allgemeinen Einstellungen unter General und prüfen Sie, ob ein Account für die einmalige Anmeldung (SINGLE SIGN-ON ACCOUNT) vorhanden ist.
  3. Öffnen Sie den Account. Er muss die folgenden Informationen enthalten:
    Principalname

    Dies ist ein Benutzerattribut, das während der Benutzerauthentifizierung gelesen wird. Er muss einen Wert enthalten, der dem Format im Beispiel entspricht.

    Realm

    Dies sind Serviceinformationen, die für die Authentifizierung erforderlich sind. Er muss einen Wert enthalten, der dem Format im Beispiel entspricht.

    URL ÜBEREINSTIMMUNGEN MIT VORANSTELLUNGEN

    Hier muss Ihre Verify-URL aufgelistet sein. Beispiel: https://<host name>.verify.ibm.com.

    ZULÄSSIGE APP-IDs

    Hier sind die Bundle-IDs der Anwendungen aufgelistet, die der Administrator in der Zulassungsliste in der MDM-Richtlinie aufgeführt hat. Die Anwendung, bei der Sie sich anzumelden versuchen, muss hier aufgelistet sein.

    Beispiel:
    MaaS360 MDM-Profil

Wenn für die angegebenen Parameter kein Account für die einmalige Anmeldung angezeigt wird, wenden Sie sich für weitere Unterstützung an Ihren Administrator.

Administratoraktion
Wenden Sie sich an den MaaS360 Support, um weitere Unterstützung zu erhalten. Gegebenenfalls müssen Sie dem Support-Team Folgendes zur Verfügung stellen:
  • Einen Screenshot des Accounts für die einmalige Anmeldung und das Zertifikat.
  • Die Konsolenprotokolle eines iOS-Geräts oder die MaaS360-Agentenprotokolle eines Android-Geräts. Das Support-Team kann Sie beim Abrufen dieser Protokolle unterstützen.

Zertifikat ist beschädigt

Erläuterung

Das Zertifikat ist beschädigt. Entweder weist das über das MaaS360 Portal generierte Zertifikat Fehler auf oder es gibt Probleme mit der MaaS360 Zertifizierungsstelle (CA).

Benutzeraktion
Wenn die Zertifikatsanzeige deaktiviert ist oder wenn die folgende Fehlermeldung angezeigt wirdCSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help., überprüfen Sie anhand der folgenden Schritte, ob Ihr Zertifikat beschädigt ist:
  1. Überprüfen Sie das MaaS360 MDM-Profil auf Ihrem Mobilgerät.
  2. Öffnen Sie die allgemeinen Einstellungen.
  3. Überprüfen Sie unter CERTIFICATE, ob das Zertifikat von MaaS360GATEWAYCA [M1/M2/M3/M4/M5/M6] ausgestellt wurde.
    Beispiel:
    MaaS360 MDM-Profil
  4. Wählen Sie das Zertifikat aus.
  5. Überprüfen Sie, ob unter EXTENDED KEY USAGE als Zweck (Purpose) die Kerberos-Client-Authentifizierung (Kerberos Client Authentication) angegeben ist.
    Beispiel:
    MaaS360 MDM-Profil

Falls das Zertifikat nicht von „ MaaS360GATEWAYCA “ ausgestellt wurde und der Zweck nicht auf „ Kerberos -Client-Authentifizierung“ eingestellt ist, wenden Sie sich bitte an Ihren Administrator, um weitere Unterstützung zu erhalten.

Administratoraktion
Wenden Sie sich an den MaaS360 Support, um weitere Unterstützung zu erhalten. Gegebenenfalls müssen Sie dem Support-Team Folgendes zur Verfügung stellen:
  • Einen Screenshot des Accounts für die einmalige Anmeldung und das Zertifikat.
  • Die Konsolenprotokolle eines iOS-Geräts oder die MaaS360-Agentenprotokolle eines Android-Geräts. Das Support-Team kann Sie beim Abrufen dieser Protokolle unterstützen.

Zertifikat ist abgelaufen

Erläuterung

Das Zertifikat auf dem Gerät ist abgelaufen und es wurde kein neues Zertifikat für das Gerät ausgestellt.

Benutzeraktion
Wenn die Zertifikatsbezeichnung inaktiviert ist oder Ihnen in einer Nachricht mitgeteilt wird, dass das Zertifikat abgelaufen ist, bestätigen Sie das Ablaufdatum, indem Sie die folgenden Schritte ausführen:
  1. Überprüfen Sie das MaaS360 MDM-Profil auf Ihrem Mobilgerät.
  2. Öffnen Sie die allgemeinen Einstellungen.
  3. Überprüfen Sie unter CERTIFICATE, ob das Zertifikat von MaaS360GATEWAYCA ausgestellt wurde.
    Beispiel:
    MaaS360 MDM-Profil
  4. Wählen Sie das Zertifikat aus und bestätigen Sie das Ablaufdatum. Beispiel:

Wenn das Zertifikat bereits abgelaufen ist, wenden Sie sich für weitere Unterstützung an Ihren Administrator.

Administratoraktion
Wenden Sie sich an den MaaS360 Support, um weitere Unterstützung zu erhalten. Gegebenenfalls müssen Sie dem Support-Team Folgendes zur Verfügung stellen:
  • Einen Screenshot des Accounts für die einmalige Anmeldung und das Zertifikat.
  • Die Konsolenprotokolle eines iOS-Geräts oder die MaaS360-Agentenprotokolle eines Android-Geräts. Das Support-Team kann Sie beim Abrufen dieser Protokolle unterstützen.

Die Anwendung gehört nicht zu den in der Zulassungsliste aufgeführten Apps.

Erläuterung

Die auf dem Gerät publizierte MDM-Richtlinie schließt die Zielanwendung nicht in die Liste der Anwendungen ein, die die einmalige Anmeldung und den bedingten Zugriff auf dem verwalteten Gerät verwenden können.

Benutzeraktion
Wenn die folgende Fehlermeldung angezeigt wirdCSIAH1502E Make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help.Überprüfen Sie anhand der folgenden Schritte, ob die Anwendung für Single Sign-On geeignet ist:
  1. Überprüfen Sie das MaaS360 MDM-Profil auf Ihrem Mobilgerät.
  2. Öffnen Sie die allgemeinen Einstellungen.
  3. Öffnen Sie Ihren Account für die einmalige Anmeldung.
  4. Überprüfen Sie, ob die ID der Zielanwendung unter den IDs der berechtigten Apps (ELIGIBLE APP IDS) aufgelistet ist.
    Beispiel:
    MaaS360 MDM-Profil

Wenn die Anwendung nicht berechtigt ist, wenden Sie sich für weitere Unterstützung an Ihren Administrator.

Administratoraktion
Greifen Sie als Administrator auf das MaaS360-Portal zu und führen Sie die App in der Zulassungsliste einer MDM-Richtlinie für die einmalige Anmeldung und den bedingten Zugriff auf. Führen Sie die folgenden Schritte aus:
  • In einer iOS MDM-Richtlinie gehen Sie zu Erweiterte Einstellungen > Bedingter SSO-Zugriff. Der Workflow vervollständigt automatisch die Richtlinieninformationen, wenn Sie einen Teil des App-Namens eingeben.
  • In einer Android MDM-Richtlinie gehen Sie zu Single Sign-On-Einstellungen > SSO-bedingter Zugriff. Der Workflow vervollständigt automatisch die Richtlinieninformationen, wenn Sie einen Teil des App-Namens eingeben.
Beispiel:
MaaS360 MDM-Profil

Gerät hat das mit der MDM-Richtlinie mit einer Push-Operation übertragene Zertifikat nicht empfangen

Erläuterung

Entweder ist der Richtlinien- oder Zertifikatsgenerator für das Gerät am MaaS-Backend fehlgeschlagen oder das Gerät wurde in MaaS für den Empfang der MDM-Richtlinie nicht online geschaltet.

Benutzeraktion
Um zu überprüfen, ob das Gerät ein Zertifikat empfangen hat, führen Sie die folgenden Schritte aus:
  1. Überprüfen Sie das MaaS360 MDM-Profil auf Ihrem Mobilgerät.
  2. Öffnen Sie die allgemeinen Einstellungen unter General und prüfen Sie, ob ein Account für die einmalige Anmeldung (SINGLE SIGN-ON ACCOUNT) vorhanden ist.
  3. Überprüfen Sie unter CERTIFICATE, ob das Zertifikat von MaaS360GATEWAYCA ausgestellt wurde.
    Beispiel:
    MaaS360 MDM-Profil

Wenn das Profil über keinen Account für die einmalige Anmeldung und kein gültiges Zertifikat verfügt, wenden Sie sich für weitere Unterstützung an Ihren Administrator.

Administratoraktion

Vergewissern Sie sich, dass in der Geräteansicht auf der Registerkarte „Zertifikate“ ein SSO-Zertifikat für das Gerät vorhanden ist.

Beispiel:
MaaS360 MDM-Profil

Das iOS-Gerät wurde mit MaaS360 erneut registriert, die Registrierung erfolgte jedoch für einen anderen Benutzer und das Gerät wurde nicht erneut gestartet.

Erläuterung

Die Nutzdaten der einmaligen Anmeldung (SSO) verwenden Kerberos-SSO und authentifizieren Benutzerberechtigungsnachweise nur ein einziges Mal, um Zugriff auf Apps auf einem verwalteten Gerät zu erteilen.

MaaS360 übermittelt automatisch eine SSO-Nutzlast an ein verwaltetes Gerät. Die Nutzdaten enthalten eine Liste der Apps, die die einmalige Anmeldung verwenden. Die SSO-Nutzdaten enthalten außerdem Kerberos-Realm- oder Serviceinformationen, die für die Authentifizierung erforderlich sind.

MaaS360 stellt außerdem ein Identitätszertifikat für ein Gerät von der Zertifizierungsstelle „ MaaS360 “ aus. Das bereitgestellte Identitätszertifikat wird für die Authentifizierung des Geräts bei Verifyverwendet. Das Zertifikat ist für den Benutzer und das Gerät eindeutig.

Benutzeraktion
Starten Sie als der neue Eigner des registrierten mobilen Geräts das Gerät erneut, bevor Sie sich über die einmalige Anmeldung bei einer mobilen Anwendung anmelden. Durch den Neustart des Geräts werden die SSO-Nutzdaten und das Identitätszertifikat aktualisiert, die bzw. das automatisch auf dem verwalteten Gerät bereitgestellt werden/wird.
Administratoraktion

Keiner