Identification et traitement des erreurs de connexion unique (SSO) mobiles

En tant qu'utilisateur, vous pouvez rencontrer des erreurs lors de la connexion unique à une application de votre appareil mobile. Comprenez, isolez et résolvez les erreurs. Certaines solutions peuvent nécessiter l'aide de l'administrateur. Les administrateurs peuvent également rechercher les actions de reprise suggérées.

L'appareil ne dispose pas de la stratégie MDM appropriée.

Explication

Le MaaS360® profil MDM de votre appareil mobile ne comporte aucun compte d'authentification unique enregistré.

Action utilisateur
Lorsque le message d'erreur s'afficheCSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help., vérifiez si votre appareil mobile dispose de la bonne stratégie MDM en suivant les étapes suivantes :
  1. Vérifiez le MaaS360 profil MDM sur votre appareil mobile.
  2. Ouvrez les paramètres généraux et recherchez SINGLE SIGN-ON ACCOUNT.
  3. Ouvrez le compte. Il doit contenir les informations suivantes :
    Nom principal

    Attribut utilisateur qui est lu lors de l'authentification d'utilisateur. Elle doit contenir une valeur respectant le format indiqué dans l 'exemple.

    Domaine

    Informations de maintenance nécessaires pour l'authentification. Elle doit contenir une valeur respectant le format indiqué dans l 'exemple.

    URL CORRESPONDANCES DE PRÉFIXES

    Il doit mentionner votre Verify adresse URL. Par exemple, https://<host name>.verify.ibm.com.

    ID d'application éligibles

    Répertorie les ID de bundle des applications que l'administrateur a placées sur liste autorisée dans la stratégie MDM. L'application à laquelle vous tentez de vous connecter doit être répertoriée ici.

    Par exemple :
    MaaS360 Profil MDM

Si aucun compte de connexion unique n'apparaît avec les paramètres spécifiés, contactez votre administrateur pour obtenir de l'aide.

Action de l'administrateur
Contactez l'équipe MaaS360 d'assistance pour obtenir de l'aide. Il peut être nécessaire de lui fournir :
  • Une capture d'écran du certificat et du compte à connexion unique.
  • La console se connecte à partir d'un appareil iOS ou l'agent MaaS360 se connecte à partir d'un appareil Android. L'équipe de support peut vous aider à obtenir ces journaux.

Le certificat est corrompu.

Explication

Le certificat est corrompu. Soit le certificat généré par le MaaS360 portail comporte des erreurs, soit l'autorité MaaS360 de certification (CA) rencontre des problèmes.

Action utilisateur
Si l'étiquette du certificat est désactivée ou si le message d'erreur suivant s'afficheCSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help., vérifiez si votre certificat est endommagé en suivant les étapes suivantes :
  1. Vérifiez le MaaS360 profil MDM sur votre appareil mobile.
  2. Ouvrez les paramètres généraux.
  3. Sous CERTIFICATE, vérifiez que le certificat est émis par MaaS360GATEWAYCA [M1/M2/M3/M4/M5/M6].
    Par exemple :
    MaaS360 Profil MDM
  4. Sélectionnez le certificat.
  5. Sous EXTENDED KEY USAGE, vérifiez que l'objectif est Kerberos Client Authentication.
    Par exemple :
    MaaS360 Profil MDM

Si le certificat n'est pas émis par MaaS360GATEWAYCA et que l'objectif n'est pas défini sur Kerberos Client Authentication, contactez votre administrateur pour obtenir de l'aide.

Action de l'administrateur
Contactez l'équipe MaaS360 d'assistance pour obtenir de l'aide. Il peut être nécessaire de lui fournir :
  • Une capture d'écran du certificat et du compte à connexion unique.
  • La console se connecte à partir d'un appareil iOS ou l'agent MaaS360 se connecte à partir d'un appareil Android. L'équipe de support peut vous aider à obtenir ces journaux.

Le certificat a expiré.

Explication

Le certificat de l'appareil a expiré et aucun nouveau certificat n'a été émis sur l'appareil.

Action utilisateur
Si le label de certificat est désactivé ou si vous êtes informé que le certificat a expiré, confirmez la date d'expiration en procédant comme suit :
  1. Vérifiez le MaaS360 profil MDM sur votre appareil mobile.
  2. Ouvrez les paramètres généraux.
  3. Sous CERTIFICATE, vérifiez que le certificat est émis par MaaS360GATEWAYCA.
    Par exemple :
    MaaS360 Profil MDM
  4. Sélectionnez le certificat et confirmez la date d'expiration. Par exemple :

Si le certificat a déjà expiré, contactez votre administrateur pour obtenir de l'aide.

Action de l'administrateur
Contactez l'équipe MaaS360 d'assistance pour obtenir de l'aide. Il peut être nécessaire de lui fournir :
  • Une capture d'écran du certificat et du compte à connexion unique.
  • La console se connecte à partir d'un appareil iOS ou l'agent MaaS360 se connecte à partir d'un appareil Android. L'équipe de support peut vous aider à obtenir ces journaux.

L'application ne fait pas partie des applications sur liste autorisée.

Explication

La stratégie MDM publiée sur l'appareil n'inclut pas l'application cible à la liste des applications pouvant utiliser la connexion unique et l'accès conditionnel sur l'appareil géré.

Action utilisateur
Lorsque le message d'erreur s'afficheCSIAH1502E Make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help., vérifiez si l'application est compatible avec l'authentification unique en suivant les étapes suivantes :
  1. Vérifiez le MaaS360 profil MDM sur votre appareil mobile.
  2. Ouvrez les paramètres généraux.
  3. Ouvrez votre compte de connexion unique.
  4. Vérifiez que l'ID de l'application cible est répertorié sous ELIGIBLE APP IDS.
    Par exemple :
    MaaS360 Profil MDM

Si l'application n'est pas autorisée, contactez votre administrateur pour obtenir de l'aide.

Action de l'administrateur
En tant qu'administrateur, connectez-vous au MaaS360 portail et ajoutez l'application à la liste blanche dans une stratégie MDM pour permettre l'authentification unique et l'accès conditionnel. Effectuez les étapes suivantes :
  • Dans une stratégie MDM d' iOS, accédez à Paramètres avancés > Accès conditionnel SSO. Le flux de travail renseigne automatiquement les informations de stratégie lorsque vous entrez un nom d’application partiel.
  • Dans une stratégie MDM Android, accédez à Paramètres d'authentification unique > Accès conditionnel SSO. Le flux de travail renseigne automatiquement les informations de stratégie lorsque vous entrez un nom d’application partiel.
Par exemple :
MaaS360 Profil MDM

L'appareil n'a pas reçu le certificat transmis avec la stratégie MDM.

Explication

La stratégie ou le générateur de certificat pour l'appareil a échoué en arrière plan du programme MaaS ou l'appareil n'a pas été mis en ligne sur MaaS pour pouvoir utiliser la stratégie MDM.

Action utilisateur
Pour vérifier que l'appareil a reçu un certificat, procédez comme suit :
  1. Vérifiez le MaaS360 profil MDM sur votre appareil mobile.
  2. Ouvrez les paramètres généraux et recherchez SINGLE SIGN-ON ACCOUNT.
  3. Sous CERTIFICATE, vérifiez que le certificat est émis par MaaS360GATEWAYCA.
    Par exemple :
    MaaS360 Profil MDM

Si le profil ne comporte pas de compte de connexion unique ni de certificat valide, contactez votre administrateur pour obtenir de l'aide.

Action de l'administrateur

Confirmez que la vue de l'appareil dispose d'un certificat SSO dans l'onglet Certificats de l'appareil.

Par exemple :
MaaS360 Profil MDM

L'appareil iOS a été réinscrit avec MaaS360 mais pour un autre utilisateur, et l'appareil n'a pas été redémarré.

Explication

Le contenu de la connexion unique utilise la connexion unique Kerberos et authentifie les données d'identification de l'utilisateur une fois seulement pour accorder l'accès aux applications sur un appareil géré.

MaaS360 envoie automatiquement une charge utile SSO à un appareil géré. Le contenu répertorie les applications utilisant la connexion unique. Il présente également les informations sur le service ou le domaine Kerberos requises pour l'authentification.

MaaS360 délivre également un certificat d'identité à un appareil par l'intermédiaire de l'autorité de certification (CA) MaaS360. Le certificat d'identité fourni sert à authentifier l'appareil auprès de Verify. Le certificat est unique pour l'utilisateur et l'appareil.

Action utilisateur
En tant que nouveau propriétaire de l'appareil mobile inscrit, redémarrez l'appareil avant de vous connecter via la connexion unique à une application mobile. Le redémarrage de l'appareil actualise le contenu de la connexion unique et le certificat d'identité qui sont déployés automatiquement sur l'appareil géré.
Action de l'administrateur

Aucune.