移动单点登录 (SSO) 错误故障诊断

在线编辑

作为用户,您在从移动设备单点登录到应用程序期间,可能会遇到一些错误。 请了解、隔离并解决错误。 某些解决方案可能需要管理员的协助。 管理员还可以检查是否有建议的恢复操作。

认证请求可能出于以下原因而失败:

设备没有正确的 MDM 策略。

解释

移动设备上的 MaaS360® MDM 概要文件没有已注册的单点登录帐户。

用户操作
当出现错误消息提示时CSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help.,请通过执行以下步骤来检查移动设备是否包含正确的 MDM 策略:
  1. 检查移动设备上的 MaaS360 MDM 概要文件。
  2. 打开常规设置,并检查单点登录帐户
  3. 打开帐户。 该帐户必须包含以下信息:
    主体名称

    这是用户认证期间读取的用户属性。 它必须包含遵循 示例中格式的值。

    这是认证时需要的服务信息。 它必须包含遵循 示例中格式的值。

    URL 前缀匹配项

    必须填写您的 Verify URL。 例如,https://<host name>.verify.ibm.com

    符合条件的应用程序标识

    这会列出管理员在 MDM 策略中列入允许列表的应用程序的捆绑软件标识。 您尝试登录到的应用程序必须列在此处。

    例如:
    MaaS360 MDM 概要文件

如果没有看到单点登录帐户和指定的参数,请联系管理员以获取进一步的帮助。

管理员操作
请联系 MaaS360 支持团队以获取进一步的帮助。 您可能需要向支持团队提供:
  • 单点登录帐户和证书的截屏。
  • 来自 iOS 设备的控制台日志或来自 Android 设备的 MaaS360 代理程序日志。 支持团队可以指导您如何获取这些日志。

证书已损坏。

解释

证书已损坏。 从 MaaS360 门户网站生成的证书有错误,或者 MaaS360 认证中心 (CA) 有问题。

用户操作
如果禁用了证书标签,或者提示您显示错误消息CSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help.,请通过执行以下步骤来检查证书是否已损坏:
  1. 检查移动设备上的 MaaS360 MDM 概要文件。
  2. 打开 常规 设置。
  3. 证书下,验证证书签发者是否为 MaaS360GATEWAYCA [M1/M2/M3/M4/M5/M6]
    例如:
    MaaS360 MDM 概要文件
  4. 点击证书。
  5. 扩展密钥用途下,验证用途是否为 Kerberos 客户机认证
    例如:
    MaaS360 MDM 概要文件

如果证书签发者不是 MaaS360GATEWAYCA,并且用途未设置为 Kerberos 客户机认证,请联系管理员以获取进一步的帮助。

管理员操作
请联系 MaaS360 支持团队以获取进一步的帮助。 您可能需要向支持团队提供:
  • 单点登录帐户和证书的截屏。
  • 来自 iOS 设备的控制台日志或来自 Android 设备的 MaaS360 代理程序日志。 支持团队可以指导您如何获取这些日志。

证书已到期。

解释

设备证书已到期,并且未向设备签发新证书。

用户操作
如果证书标签已禁用,或者系统提示您证书已到期,请通过执行以下步骤来确认到期日期:
  1. 检查移动设备上的 MaaS360 MDM 概要文件。
  2. 打开 常规 设置。
  3. 证书下,验证证书签发者是否为 MaaS360GATEWAYCA
    例如:
    MaaS360 MDM 概要文件
  4. 点击证书,并确认到期日期。 例如:

如果证书已到期,请联系管理员以获取进一步的帮助。

管理员操作
请联系 MaaS360 支持团队以获取进一步的帮助。 您可能需要向支持团队提供:
  • 单点登录帐户和证书的截屏。
  • 来自 iOS 设备的控制台日志或来自 Android 设备的 MaaS360 代理程序日志。 支持团队可以指导您如何获取这些日志。

此应用程序不属于允许列出的应用程序。

解释

设备上发布的 MDM 策略在应用程序列表中,不包括可以在受管设备上使用单点登录和有条件访问的目标应用程序。

用户操作
当出现错误消息提示时CSIAH1502E Make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help.,请通过执行以下步骤来检查应用程序是否有资格使用单点登录:
  1. 检查移动设备上的 MaaS360 MDM 概要文件。
  2. 打开 常规 设置。
  3. 打开单点登录帐户。
  4. 验证符合条件的应用程序标识下列出的目标应用程序的标识。
    例如:
    MaaS360 MDM 概要文件

如果应用程序不符合条件,请联系管理员以获取进一步的帮助。

管理员操作
作为管理员,访问 MaaS360 门户网站并在 MDM 策略中指定应用程序以进行单点登录和有条件访问。 遵循这些步骤进行操作:
  • 在 MDM 策略 iOS 中,转到 “高级设置 ”> “SSO 条件访问 ”。 输入应用程序部分名称时,工作流程会自动填写策略信息。
  • 在 Android MDM 策略中,转到 “单点登录设置 ”> “SSO 条件访问 ”。 输入应用程序部分名称时,工作流程会自动填写策略信息。
例如:
MaaS360 MDM 概要文件

设备未收到通过 MDM 策略推送的证书。

解释

MaaS 后端上设备的策略或证书生成器发生故障,或者设备在 MaaS 上尚未联机,因而无法选取 MDM 策略。

用户操作
要验证设备是否收到证书,请执行以下步骤:
  1. 检查移动设备上的 MaaS360 MDM 概要文件。
  2. 打开常规设置,并检查单点登录帐户
  3. 证书下,验证证书签发者是否为 MaaS360GATEWAYCA
    例如:
    MaaS360 MDM 概要文件

如果概要文件没有单点登录帐户和有效的证书,请联系管理员以获取进一步的帮助。

管理员操作

确认设备视图中设备的证书选项卡中具有 SSO 证书。

例如:
MaaS360 MDM 概要文件

iOS 设备已向 MaaS360 重新注册,但向其他用户注册,并且未重新启动该设备。

解释

单点登录 (SSO) 有效内容使用 Kerberos SSO,并且仅对用户凭证进行一次认证,即授予对受管设备上应用程序的访问权。

MaaS360 会自动将 SSO 有效内容推送到受管设备。 有效内容包含使用单点登录的应用程序列表。 SSO 有效内容还包含认证所需的 Kerberos 域或服务信息。

MaaS360 还会从 MaaS360 认证中心 (CA) 向设备发放身份证书。 供应的身份证书用于向 Verify认证设备。 该证书对于用户和设备唯一。

用户操作
作为已注册移动设备的新所有者,请重新启动设备后,再单点登录到移动应用程序。 重新启动设备将刷新受管设备上自动部署的 SSO 有效内容和身份证书。
管理员操作

无。