移动单点登录 (SSO) 错误故障诊断

在线编辑

作为用户,您在从移动设备单点登录到应用程序期间,可能会遇到一些错误。 请了解、隔离并解决错误。 某些解决方案可能需要管理员的协助。 管理员还可以检查是否有建议的恢复操作。

认证请求可能出于以下原因而失败:

设备没有正确的 MDM 策略。

解释

您的移动设备上的 MDM 配置文件中 MaaS360® 未注册任何单点登录账户。

用户操作
当系统显示以下错误信息时CSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help.请按照以下步骤检查您的移动设备是否已应用正确的 MDM 策略:
  1. 请检查您移动设备上的 MDM 配置文件 MaaS360
  2. 打开常规设置,并检查单点登录帐户
  3. 打开帐户。 该帐户必须包含以下信息:
    主体名称

    这是用户认证期间读取的用户属性。 该字段必须包含符合示例中格式要求的值。

    这是认证时需要的服务信息。 该字段必须包含符合示例中格式要求的值。

    URL 前缀匹配项

    它必须列出您的 VerifyURL。 例如,https://<host name>.verify.ibm.com

    符合条件的应用程序标识

    这会列出管理员在 MDM 策略中列入允许列表的应用程序的捆绑软件标识。 您尝试登录到的应用程序必须列在此处。

    例如:
    MaaS360 MDM 配置文件

如果没有看到单点登录帐户和指定的参数,请联系管理员以获取进一步的帮助。

管理员操作
如需进一步协助,请联系支持团队 MaaS360 。 您可能需要向支持团队提供:
  • 单点登录帐户和证书的截屏。
  • iOS 设备的控制台日志,或Android设备的代理日志 MaaS360 。 支持团队可以指导您如何获取这些日志。

证书已损坏。

解释

证书已损坏。 要么是门户 MaaS360 生成的证书存在错误,要么是证书颁发 MaaS360 机构(CA)出了问题。

用户操作
如果证书标签被禁用,或者系统提示错误信息时CSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help.请按照以下步骤检查您的证书是否已损坏:
  1. 请检查您移动设备上的 MDM 配置文件 MaaS360
  2. 打开 “常规 ”设置。
  3. 证书下,验证证书签发者是否为 MaaS360GATEWAYCA [M1/M2/M3/M4/M5/M6]
    例如:
    MaaS360 MDM 配置文件
  4. 点击证书。
  5. 扩展密钥用途下,验证用途是否为 Kerberos 客户机认证
    例如:
    MaaS360 MDM 配置文件

如果证书签发者不是 MaaS360GATEWAYCA,并且用途未设置为 Kerberos 客户机认证,请联系管理员以获取进一步的帮助。

管理员操作
如需进一步协助,请联系支持团队 MaaS360 。 您可能需要向支持团队提供:
  • 单点登录帐户和证书的截屏。
  • iOS 设备的控制台日志,或Android设备的代理日志 MaaS360 。 支持团队可以指导您如何获取这些日志。

证书已到期。

解释

设备证书已到期,并且未向设备签发新证书。

用户操作
如果证书标签已禁用,或者系统提示您证书已到期,请通过执行以下步骤来确认到期日期:
  1. 请检查您移动设备上的 MDM 配置文件 MaaS360
  2. 打开 “常规 ”设置。
  3. 证书下,验证证书签发者是否为 MaaS360GATEWAYCA
    例如:
    MaaS360 MDM 配置文件
  4. 点击证书,并确认到期日期。 例如:

如果证书已到期,请联系管理员以获取进一步的帮助。

管理员操作
如需进一步协助,请联系支持团队 MaaS360 。 您可能需要向支持团队提供:
  • 单点登录帐户和证书的截屏。
  • iOS 设备的控制台日志,或Android设备的代理日志 MaaS360 。 支持团队可以指导您如何获取这些日志。

此应用程序不属于允许列出的应用程序。

解释

设备上发布的 MDM 策略在应用程序列表中,不包括可以在受管设备上使用单点登录和有条件访问的目标应用程序。

用户操作
当系统显示以下错误信息时CSIAH1502E Make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help.请按照以下步骤检查该应用程序是否符合使用单点登录的条件:
  1. 请检查您移动设备上的 MDM 配置文件 MaaS360
  2. 打开 “常规 ”设置。
  3. 打开单点登录帐户。
  4. 验证符合条件的应用程序标识下列出的目标应用程序的标识。
    例如:
    MaaS360 MDM 配置文件

如果应用程序不符合条件,请联系管理员以获取进一步的帮助。

管理员操作
作为管理员,访问 MaaS360 门户网站并在 MDM 策略中指定应用程序以进行单点登录和有条件访问。 遵循这些步骤进行操作:
  • 在 iOS 的 MDM 策略中,转到 “高级设置 ”> “SSO 条件访问 ”。 输入应用程序部分名称时,工作流程会自动填写策略信息。
  • 在 Android MDM 策略中,转至 “单点登录设置 ”> “SSO 条件访问 ”。 输入应用程序部分名称时,工作流程会自动填写策略信息。
例如:
MaaS360 MDM 配置文件

设备未收到通过 MDM 策略推送的证书。

解释

MaaS 后端上设备的策略或证书生成器发生故障,或者设备在 MaaS 上尚未联机,因而无法选取 MDM 策略。

用户操作
要验证设备是否收到证书,请执行以下步骤:
  1. 请检查您移动设备上的 MDM 配置文件 MaaS360
  2. 打开常规设置,并检查单点登录帐户
  3. 证书下,验证证书签发者是否为 MaaS360GATEWAYCA
    例如:
    MaaS360 MDM 配置文件

如果概要文件没有单点登录帐户和有效的证书,请联系管理员以获取进一步的帮助。

管理员操作

确认设备视图中设备的证书选项卡中具有 SSO 证书。

例如:
MaaS360 MDM 配置文件

MaaS360iOS 设备已重新注册,但注册到了另一个用户名下,且设备未重启。

解释

单点登录 (SSO) 有效内容使用 Kerberos SSO,并且仅对用户凭证进行一次认证,即授予对受管设备上应用程序的访问权。

MaaS360 自动将 SSO 负载推送至受管设备。 有效内容包含使用单点登录的应用程序列表。 SSO 有效内容还包含认证所需的 Kerberos 域或服务信息。

MaaS360 还会向设备签发由 MaaS360 证书颁发机构(CA)签发的身份证书。 Verify已分配的身份证书用于对设备进行身份验证。 该证书对于用户和设备唯一。

用户操作
作为已注册移动设备的新所有者,请重新启动设备后,再单点登录到移动应用程序。 重新启动设备将刷新受管设备上自动部署的 SSO 有效内容和身份证书。
管理员操作

无。