Identification et traitement des erreurs de connexion unique (SSO) mobiles

En tant qu'utilisateur, vous pouvez rencontrer des erreurs lors de la connexion unique à une application de votre appareil mobile. Comprenez, isolez et résolvez les erreurs. Certaines solutions peuvent nécessiter l'aide de l'administrateur. Les administrateurs peuvent également rechercher les actions de reprise suggérées.

Votre requête d'authentification peut échouer pour les raisons suivantes :

L'appareil ne dispose pas de la stratégie MDM appropriée.

Explication

Le profil MDM MaaS360® sur votre appareil mobile ne possède pas de compte de connexion unique enregistré.

Action utilisateur
Lorsque vous êtes invité à entrer le message d'erreurCSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help., vérifiez si votre appareil mobile contient la politique MDM appropriée en procédant comme suit:
  1. Vérifiez le profil MDM MaaS360 sur votre appareil mobile.
  2. Ouvrez les paramètres généraux et recherchez SINGLE SIGN-ON ACCOUNT.
  3. Ouvrez le compte. Il doit contenir les informations suivantes :
    Nom principal

    Attribut utilisateur qui est lu lors de l'authentification d'utilisateur. Elle doit contenir une valeur qui suit le format de l' exemple.

    Domaine

    Informations de maintenance nécessaires pour l'authentification. Elle doit contenir une valeur qui suit le format de l' exemple.

    URL PREFIX MATCHES

    Il doit répertorier votre URL Verify . Par exemple, https://<host name>.verify.ibm.com.

    ID APPLICATION ELIGIBLES

    Répertorie les ID de bundle des applications que l'administrateur a placées sur liste autorisée dans la stratégie MDM. L'application à laquelle vous tentez de vous connecter doit être répertoriée ici.

    Par exemple :
    Profil MDM MaaS360

Si aucun compte de connexion unique n'apparaît avec les paramètres spécifiés, contactez votre administrateur pour obtenir de l'aide.

Action de l'administrateur
Contactez l'équipe de support MaaS360 pour obtenir de l'aide. Il peut être nécessaire de lui fournir :
  • Une capture d'écran du certificat et du compte à connexion unique.
  • La console se connecte à partir d'un appareil iOS ou l'agent MaaS360 se connecte à partir d'un appareil Android. L'équipe de support peut vous aider à obtenir ces journaux.

Le certificat est corrompu.

Explication

Le certificat est endommagé. Le certificat généré à partir du portail MaaS360 comporte des erreurs ou l'autorité de certification MaaS360 a des problèmes.

Action utilisateur
Si le libellé de certificat est désactivé ou lorsque vous êtes invité à indiquer le message d'erreurCSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help., vérifiez si votre certificat est endommagé en procédant comme suit:
  1. Vérifiez le profil MDM MaaS360 sur votre appareil mobile.
  2. Ouvrez les paramètres Général .
  3. Sous CERTIFICATE, vérifiez que le certificat est émis par MaaS360GATEWAYCA [M1/M2/M3/M4/M5/M6].
    Par exemple :
    Profil MDM MaaS360
  4. Sélectionnez le certificat.
  5. Sous EXTENDED KEY USAGE, vérifiez que l'objectif est Kerberos Client Authentication.
    Par exemple :
    Profil MDM MaaS360

Si le certificat n'est pas émis par MaaS360GATEWAYCA et que l'objectif n'est pas défini sur Kerberos Client Authentication, contactez votre administrateur pour obtenir de l'aide.

Action de l'administrateur
Contactez l'équipe de support MaaS360 pour obtenir de l'aide. Il peut être nécessaire de lui fournir :
  • Une capture d'écran du certificat et du compte à connexion unique.
  • La console se connecte à partir d'un appareil iOS ou l'agent MaaS360 se connecte à partir d'un appareil Android. L'équipe de support peut vous aider à obtenir ces journaux.

Le certificat a expiré.

Explication

Le certificat de l'appareil a expiré et aucun nouveau certificat n'a été émis sur l'appareil.

Action utilisateur
Si le label de certificat est désactivé ou si vous êtes informé que le certificat a expiré, confirmez la date d'expiration en procédant comme suit :
  1. Vérifiez le profil MDM MaaS360 sur votre appareil mobile.
  2. Ouvrez les paramètres Général .
  3. Sous CERTIFICATE, vérifiez que le certificat est émis par MaaS360GATEWAYCA.
    Par exemple :
    Profil MDM MaaS360
  4. Sélectionnez le certificat et confirmez la date d'expiration. Par exemple :

Si le certificat a déjà expiré, contactez votre administrateur pour obtenir de l'aide.

Action de l'administrateur
Contactez l'équipe de support MaaS360 pour obtenir de l'aide. Il peut être nécessaire de lui fournir :
  • Une capture d'écran du certificat et du compte à connexion unique.
  • La console se connecte à partir d'un appareil iOS ou l'agent MaaS360 se connecte à partir d'un appareil Android. L'équipe de support peut vous aider à obtenir ces journaux.

L'application ne fait pas partie des applications sur liste autorisée.

Explication

La stratégie MDM publiée sur l'appareil n'inclut pas l'application cible à la liste des applications pouvant utiliser la connexion unique et l'accès conditionnel sur l'appareil géré.

Action utilisateur
Lorsque vous êtes invité à entrer le message d'erreurCSIAH1502E Make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help., vérifiez si l'application peut utiliser la connexion unique en procédant comme suit:
  1. Vérifiez le profil MDM MaaS360 sur votre appareil mobile.
  2. Ouvrez les paramètres Général .
  3. Ouvrez votre compte de connexion unique.
  4. Vérifiez que l'ID de l'application cible est répertorié sous ELIGIBLE APP IDS.
    Par exemple :
    Profil MDM MaaS360

Si l'application n'est pas autorisée, contactez votre administrateur pour obtenir de l'aide.

Action de l'administrateur
En tant qu'administrateur, accédez au portail MaaS360 et autorisez l'application dans une politique MDM pour la connexion unique et l'accès conditionnel. Effectuez les étapes suivantes :
  • Dans une politique MDM iOS , accédez à Paramètres avancés > Accès conditionnel SSO. Le flux de travail renseigne automatiquement les informations de stratégie lorsque vous entrez un nom d’application partiel.
  • Dans une politique Android MDM, accédez à Paramètres de connexion unique > Accès conditionnel SSO. Le flux de travail renseigne automatiquement les informations de stratégie lorsque vous entrez un nom d’application partiel.
Par exemple :
Profil MDM MaaS360

L'appareil n'a pas reçu le certificat transmis avec la stratégie MDM.

Explication

La stratégie ou le générateur de certificat pour l'appareil a échoué en arrière plan du programme MaaS ou l'appareil n'a pas été mis en ligne sur MaaS pour pouvoir utiliser la stratégie MDM.

Action utilisateur
Pour vérifier que l'appareil a reçu un certificat, procédez comme suit :
  1. Vérifiez le profil MDM MaaS360 sur votre appareil mobile.
  2. Ouvrez les paramètres généraux et recherchez SINGLE SIGN-ON ACCOUNT.
  3. Sous CERTIFICATE, vérifiez que le certificat est émis par MaaS360GATEWAYCA.
    Par exemple :
    Profil MDM MaaS360

Si le profil ne comporte pas de compte de connexion unique ni de certificat valide, contactez votre administrateur pour obtenir de l'aide.

Action de l'administrateur

Confirmez que la vue de l'appareil dispose d'un certificat SSO dans l'onglet Certificats de l'appareil.

Par exemple :
Profil MDM MaaS360

L'appareil iOS a été réinscrit avec MaaS360 mais pour un autre utilisateur, et l'appareil n'a pas été redémarré.

Explication

Le contenu de la connexion unique utilise la connexion unique Kerberos et authentifie les données d'identification de l'utilisateur une fois seulement pour accorder l'accès aux applications sur un appareil géré.

MaaS360 envoie automatiquement un contenu SSO à un appareil géré. Le contenu répertorie les applications utilisant la connexion unique. Il présente également les informations sur le service ou le domaine Kerberos requises pour l'authentification.

MaaS360 émet également un certificat d'identité sur un appareil à partir de l'autorité de certification MaaS360 . Le certificat d'identité mis à disposition est utilisé pour authentifier l'appareil auprès de Verify. Le certificat est unique pour l'utilisateur et l'appareil.

Action utilisateur
En tant que nouveau propriétaire de l'appareil mobile inscrit, redémarrez l'appareil avant de vous connecter via la connexion unique à une application mobile. Le redémarrage de l'appareil actualise le contenu de la connexion unique et le certificat d'identité qui sont déployés automatiquement sur l'appareil géré.
Action de l'administrateur

Aucune.