Řešení potíží s modulem plug-in Microsoft Enterprise SSO Extension na zařízeních Apple
Tento článek obsahuje pokyny pro řešení potíží, které správci používají k řešení problémů s nasazením a používáním modulu plug-in Enterprise SSO. Rozšíření Apple SSO je možné nasadit do iOS/iPadOS a macOS.
Organizace se můžou rozhodnout nasadit jednotné přihlašování do firemních zařízení, aby poskytly koncovým uživatelům lepší prostředí. Tento proces na platformách Apple zahrnuje implementaci Jednotné přihlašování (SSO) prostřednictvím primárních obnovovacích tokenů. Jednotné přihlašování snižuje koncoví uživatelé zatížení nadměrných výzev k ověřování.
Microsoft implementoval modul plug-in založený na rozhraní jednotného přihlašování společnosti Apple, který poskytuje zprostředkované ověřování pro aplikace integrované s Microsoft Entra ID. Další informace najdete v článku Modul plug-in Microsoft Enterprise SSO pro zařízení Apple.
Typy rozšíření
Apple podporuje dva typy rozšíření jednotného přihlašování, která jsou součástí jeho architektury: Přesměrování a přihlašovací údaje. Modul plug-in Microsoft Enterprise SSO byl implementován jako typ přesměrování a je nejvhodnější pro zprostředkování ověřování do Microsoft Entra ID. Následující tabulka porovnává dva typy rozšíření.
Typ rozšíření | Nejvhodnější pro | Jak to funguje | Klíčové rozdíly |
---|---|---|---|
Přesměrování | Moderní metody ověřování, jako je OpenID Connect, OAUTH2 a SAML (Microsoft Entra ID) | Operační systém zachytí požadavek na ověření z aplikace na adresy URL zprostředkovatele identity definované v konfiguračním profilu MDM rozšíření. Příjem rozšíření přesměrování: adresy URL, hlavičky a text. | Před vyžádáním dat požádejte o přihlašovací údaje. Používá adresy URL v konfiguračním profilu MDM. |
Reference | Typy ověřování pro výzvy a odpovědi, jako je Kerberos (místní Active Directory Domain Services) | Požadavek se odešle z aplikace na ověřovací server (řadič domény AD). Rozšíření přihlašovacích údajů jsou nakonfigurovaná s hostiteli v konfiguračním profilu MDM. Pokud ověřovací server vrátí výzvu, která odpovídá hostiteli uvedenému v profilu, operační systém směruje výzvu k rozšíření. Rozšíření má na výběr zpracování nebo odmítnutí výzvy. Pokud se zpracuje, rozšíření vrátí autorizační hlavičky pro dokončení požadavku a ověřovací server vrátí odpověď volajícímu. | Požádejte o data a pak požádejte o ověření. Použití HOST v konfiguračním profilu MDM |
Microsoft má implementace pro zprostředkované ověřování pro následující klientské operační systémy:
Operační systém | Zprostředkovatel ověřování |
---|---|
Windows | Správce webových účtů (WAM) |
iOS/iPadOS | Microsoft Authenticator |
Android | Microsoft Authenticator nebo Microsoft Portál společnosti Intune |
macOS | Microsoft Portál společnosti Intune (prostřednictvím rozšíření jednotného přihlašování) |
Všechny zprostředkovací aplikace Microsoftu používají klíčový artefakt známý jako primární obnovovací token (PRT), což je webový token JSON (JWT) používaný k získání přístupových tokenů pro aplikace a webové prostředky zabezpečené pomocí Microsoft Entra ID. Při nasazení prostřednictvím MDM získá rozšíření Enterprise SSO pro macOS nebo iOS prT, které se podobá prT používaným na zařízeních s Windows správcem webových účtů (WAM). Další informace najdete v článku Co je primární obnovovací token.
Model řešení potíží
Následující vývojový diagram popisuje logický tok pro řešení potíží s rozšířením jednotného přihlašování. Zbytek tohoto článku podrobně popisuje kroky popsané v tomto vývojovém diagramu. Řešení potíží je možné rozdělit do dvou samostatných oblastí zaměření: nasazení a tok ověřování aplikací.
Postup odhlášení z jednotného přihlašování k platformě v systému macOS
Správci by měli odebrat profil rozšíření jednotného přihlašování s povoleným jednotným přihlašováním ze zařízení a nasadit nový profil rozšíření jednotného přihlašování s vypnutými nebo odebranými příznaky jednotného přihlašování.
- Odebrání cílení profilu jednotného přihlašování s povoleným jednotným přihlašováním
- Zahájení synchronizace zařízení a získání profilu jednotného přihlašování s povoleným jednotným přihlašováním odebraným ze zařízení
- Cílení na zařízení s novým profilem jednotného přihlašování se zakázaným jednotným přihlašováním
- Inicializovat synchronizaci zařízení, aby se nový profil nainstaloval do zařízení
Důležité
Poznámka: Aktualizace existujícího profilu jednotného přihlašování na zařízení nepomůže zakázat jednotné přihlašování po dokončení registrace jednotného přihlašování. Pouze úplné odebrání profilu jednotného přihlašování ze zařízení odebere stav jednotného přihlašování ze zařízení.
Kontext:
Uživatelům se na zařízeních s macOS 13 a novějším začnou zobrazovat oznámení o registraci jednotného přihlašování ve dvou scénářích:
- Pokud už zařízení má Portál společnosti Intune verzi podporující jednotné přihlašování a správce nasadí nové zásady rozšíření jednotného přihlašování s povoleným jednotným přihlašováním
- Pokud už je uživatel cílený na zásady rozšíření jednotného přihlašování s povoleným jednotným přihlašováním a novější verzí Portál společnosti Intune podporující jednotné přihlašování, nainstaluje se na zařízení.
Upozornění
Správci by neměli cílit na uživatele se zásadami rozšíření jednotného přihlašování, kteří mají povolené jednotné přihlašování, pokud nejsou otestovaní a připravení k nasazení, protože to může potenciálně narušit stávající uživatele a jejich podmínky dodržování předpisů.
Důležité
Poznámka: Pro uživatele, kteří dokončí registraci jednotného přihlašování, bude starší registrace WPJ odebrána z řetězce klíčů. Pokud byla registrace jednotného přihlašování provedená omylem , po odebrání profilu jednotného přihlašování správcem s PSSO a instalaci nového profilu bez jednotného přihlašování by se starší registrace WPJ měla provést znovu, aby fungovala dodržování předpisů zařízením.
Řešení potíží s nasazením
Většina problémů, se kterými se zákazníci setkávají, vychází z nesprávné konfigurace mobilních Správa zařízení (MDM) profilu rozšíření jednotného přihlašování nebo nemožnosti zařízení Apple přijímat konfigurační profil z MDM. Tato část popisuje kroky, které můžete provést, abyste zajistili, že je profil MDM nasazený na Počítač Mac a že má správnou konfiguraci.
Požadavky na nasazení
- operační systém macOS: verze 10.15 (Catalina) nebo novější.
- Operační systém iOS: verze 13 nebo vyšší.
- Zařízení spravované jakýmkoli dodavatelem MDM, který podporuje Apple macOS nebo iOS (registrace MDM).
- Nainstalovaný software zprostředkovatele ověřování: Microsoft Portál společnosti Intune nebo Microsoft Authenticator pro iOS.
Kontrola verze operačního systému macOS
Pomocí následujícího postupu zkontrolujte verzi operačního systému (OS) na zařízení s macOS. Profily rozšíření Jednotného přihlašování Apple se nasazují jenom na zařízení s macOS 10.15 (Catalina) nebo novějším. Verzi systému macOS můžete zkontrolovat v uživatelském rozhraní nebo v terminálu.
Uživatelské rozhraní
V zařízení s macOS vyberte v levém horním rohu ikonu Apple a vyberte O tomto Macu.
Verze operačního systému je uvedena vedle macOS.
Terminál
V zařízení s macOS poklikejte na složku Aplikace a potom poklikejte na složku Nástroje .
Poklikejte na aplikaci Terminál .
Když se terminál otevře, na příkazovém řádku zadejte sw_vers , vyhledejte výsledek podobný tomuto:
% sw_vers ProductName: macOS ProductVersion: 13.0.1 BuildVersion: 22A400
Kontrola verze operačního systému iOS
Pomocí následujících kroků zkontrolujte verzi operačního systému (OS) na zařízení s iOSem. Profily rozšíření Jednotného přihlašování Apple se nasazují jenom na zařízení s iOSem 13 nebo novějším. Verzi pro iOS můžete zkontrolovat v aplikaci Nastavení. Otevřete aplikaci Nastavení:
Přejděte na Obecné a pak Na. Tato obrazovka obsahuje informace o zařízení, včetně čísla verze iOSu:
Nasazení konfiguračního profilu rozšíření jednotného přihlašování (MDM)
Spolupracujte se správcem MDM (nebo Správa zařízení týmem) a ujistěte se, že je konfigurační profil rozšíření nasazený na zařízeních Apple. Profil rozšíření je možné nasadit z libovolného MDM, který podporuje zařízení s macOS nebo iOS.
Důležité
Apple vyžaduje, aby byla zařízení zaregistrovaná v MDM, aby bylo možné nasadit rozšíření jednotného přihlašování.
Následující tabulka obsahuje konkrétní pokyny k instalaci MDM v závislosti na tom, do kterého operačního systému nasazujete rozšíření:
- iOS/iPadOS: Nasazení modulu plug-in Microsoft Enterprise SSO
- macOS: Nasazení modulu plug-in Microsoft Enterprise SSO
Důležité
I když se pro nasazení rozšíření jednotného přihlašování podporuje jakákoli správa mobilních zařízení, mnoho organizací implementuje zásady podmíněného přístupu založené na zařízeních prostřednictvím vyhodnocování zásad dodržování předpisů MDM. Pokud se používá MDM třetí strany, ujistěte se, že dodavatel MDM podporuje dodržování předpisů partnerů Intune, pokud chcete použít zásady podmíněného přístupu založené na zařízeních. Když se rozšíření jednotného přihlašování nasadí přes Intune nebo poskytovatele MDM, který podporuje dodržování předpisů partnerů Intune, může rozšíření předat certifikát zařízení do Microsoft Entra ID, aby bylo možné dokončit ověřování zařízení.
Ověření konfigurace sítě na zařízení s macOS
Architektura rozšíření jednotného přihlašování od společnosti Apple a rozšíření Microsoft Enterprise SSO založené na něm vyžaduje, aby některé domény byly vyloučeny z zachycení/kontroly protokolu TLS (označované také jako přerušení a kontrola proxy serveru). Na následující domény se nesmí vztahovat kontrola protokolu TLS:
- app-site-association.cdn-apple.com
- app-site-association.networking.apple
Kontrola, jestli není konfigurace jednotného přihlašování poškozená kvůli kontrole protokolu TLS
Kontrolu protokolu TLS můžete ověřit spuštěním nástroje sysdiagnose z terminálové aplikace na ovlivněném zařízení:
sudo sysdiagnose -f ~/Desktop/
Sysdiagnose se uloží na plochu jako .tar.gz archiv. Extrahujte archiv a otevřete soubor system_logs.logarchive . Tím se otevře konzolová aplikace. Vyhledejte com.apple.appsso a změňte filtr na SUBSYSTÉM:
Vyhledejte události, které uvádějí, že došlo k selháním přidružené domény, zejména v souvislosti s doménami Microsoftu, jako je login.microsoftonline.com. Tyto události můžou znamenat problémy s kontrolou protokolu TLS, které zabrání správnému fungování rozšíření jednotného přihlašování. Domény Apple se v protokolu sysdiagnose nezobrazí, i když jsou ovlivněny nepodporovanou konfigurací kontroly protokolu TLS.
Ověření konfigurace kontroly protokolu TLS
Apple poskytuje nástroj pro macOS pro kontrolu řady běžných problémů s konfigurací označovaných jako Nástroj pro vyhodnocení Macu. Tento nástroj si můžete stáhnout z AppleSeed pro IT. Pokud máte přístup k AppleSeed pro IT, stáhněte si Nástroj pro hodnocení mac z oblasti Prostředky. Po instalaci aplikace spusťte vyhodnocení. Po dokončení vyhodnocení přejděte na HTTPS Interception -->Additional Content –> a zkontrolujte následující dvě položky:
Pokud tyto kontroly obsahují upozornění nebo chybu, může na zařízení dojít k kontrole protokolu TLS. Spolupracujte se svým síťovým týmem, abyste z kontroly protokolu TLS vyloučili *.cdn-apple.com a *.networking.apple .
Výstup podrobných protokolů swcd
Apple poskytuje nástroj příkazového řádku, swcutil
který umožňuje monitorovat průběh přidruženého ověření domény. K monitorování jakýchkoli souvisejících chyb domény můžete použít následující příkaz:
sudo swcutil watch --verbose
V protokolech vyhledejte následující položku a zkontrolujte, jestli je označená jako schválená, nebo jestli nedošlo k nějakým chybám:
```
Entry s = authsrv, a = UBF8T346G9.com.microsoft.CompanyPortalMac, d = login.microsoftonline.com
```
Vymazání mezipaměti kontroly protokolu TLS pro macOS
Pokud máte problémy s přidruženými doménami a máte domény uvedené v seznamu povolených v nástroji pro kontrolu protokolu TLS na zařízení, může to chvíli trvat, než se zruší platnost mezipaměti ověření domény přidružené společnosti Apple. Bohužel neexistují žádné deterministické kroky, které aktivují opětovné ověření přidružené domény na všech počítačích, ale existuje několik věcí, které se dají pokusit.
K resetování mezipaměti zařízení můžete spustit následující příkazy:
pkill -9 swcd
sudo swcutil reset
pkill -9 AppSSOAgent
Po resetování mezipaměti znovu otestujte konfiguraci rozšíření jednotného přihlašování.
Někdy je tento příkaz nedostatečný a mezipaměť úplně neobnovuje. V těchto případech se můžete pokusit o následující:
- Odeberte nebo přesuňte aplikaci Portál společnosti Intune do koše a restartujte zařízení. Po dokončení restartování můžete zkusit znovu nainstalovat Portál společnosti aplikaci.
- Znovu zaregistrujte zařízení.
Pokud váš problém nevyřeší žádná z výše uvedených metod, může ve vašem prostředí existovat něco jiného, co by mohlo blokovat přidružené ověření domény. Pokud k tomu dojde, obraťte se prosím na podporu Společnosti Apple a požádejte o další řešení potíží.
Ověření konfiguračního profilu jednotného přihlašování na zařízení s macOS
Za předpokladu, že správce MDM postupoval podle kroků v předchozí části Nasazení profilu rozšíření jednotného přihlašování, dalším krokem je ověření úspěšného nasazení profilu do zařízení.
Vyhledání konfiguračního profilu MDM rozšíření jednotného přihlašování
V zařízení s macOS vyberte v nastavení systému.
Jakmile se zobrazí nastavení systému , zadejte Profily a stiskněte return.
Tato akce by měla vyvolat panel Profily .
Bublinový popisek snímku obrazovky Popis 1 Označuje, že zařízení je ve správě MDM . 2 Může existovat více profilů, ze které si můžete vybrat. V tomto příkladu se profil rozšíření jednotného přihlašování Microsoftu nazývá Extensible Jednotné přihlašování Profile-32f37be3-302e-4549-a3e3-854d300e117a. Poznámka:
V závislosti na použitém typu MDM může být uvedeno několik profilů a jejich schéma pojmenování je libovolné v závislosti na konfiguraci MDM. Vyberte každý z nich a zkontrolujte, že řádek Nastavení označuje, že se jedná o rozšíření Jednotné přihlašování.
Poklikejte na konfigurační profil, který odpovídá hodnotě Nastavení rozšíření Jednotné přihlašování.
Bublinový popisek snímku obrazovky Nastavení konfiguračního profilu Popis 1 Podepsaný Podpisová autorita poskytovatele MDM. 2 Nainstalovaný Datum a časové razítko ukazující, kdy bylo rozšíření nainstalováno (nebo aktualizováno). 3 Nastavení: rozšíření Jednotné přihlašování Označuje, že tento konfigurační profil je typem rozšíření Apple SSO. 4 Rozšíření Identifikátor, který se mapuje na ID sady prostředků aplikace, na které běží modul plug-in rozšíření Microsoft Enterprise. Identifikátor musí být vždy nastavený com.microsoft.CompanyPortalMac.ssoextension
a pokud je profil nainstalovaný na zařízení s macOS, musí se identifikátor týmu zobrazovat jako (UBF8T346G9 ). Pokud se některé hodnoty liší, MDM rozšíření nevyvolá správně.5 Typ Rozšíření Microsoft Enterprise SSO musí být vždy nastaveno na typ rozšíření Přesměrování. Další informace naleznete v tématu Redirect vs Credential Extension Types. 6 Adresy URL Přihlašovací adresy URL patřící zprostředkovateli identity (Microsoft Entra ID) Podívejte se na seznam podporovaných adres URL. Všechna rozšíření přesměrování jednotného přihlašování Apple musí mít v konfiguračním profilu následující součásti datové části MDM:
Komponenta datové části MDM Popis Identifikátor rozšíření Zahrnuje identifikátor sady i identifikátor týmu aplikace na zařízení s macOS, na kterém běží rozšíření. Poznámka: Rozšíření Microsoft Enterprise SSO by mělo být vždy nastaveno na: com.microsoft.CompanyPortalMac.ssoextension (UBF8T346G9), aby informoval operační systém macOS, že kód klienta rozšíření je součástí aplikace Portál společnosti Intune. Typ Musí být nastaveno přesměrování, aby bylo možné určit typ rozšíření přesměrování. Adresy URL Adresy URL koncového bodu zprostředkovatele identity (Microsoft Entra ID), kde operační systém směruje žádosti o ověření do rozšíření. Volitelná konfigurace specifická pro rozšíření Hodnoty slovníku, které mohou fungovat jako parametry konfigurace. V kontextu rozšíření Microsoft Enterprise SSO se tyto parametry konfigurace nazývají příznaky funkcí. Viz definice příznaků funkcí. Poznámka:
Definice MDM pro profil rozšíření jednotného přihlašování společnosti Apple lze odkazovat v článku Rozšiřitelná nastavení datové části MDM pro zařízení Apple implementovala naše rozšíření na základě tohoto schématu. Viz modul plug-in Microsoft Enterprise SSO pro zařízení Apple.
Chcete-li ověřit, zda je nainstalován správný profil rozšíření microsoft Enterprise SSO, musí pole Rozšíření odpovídat: com.microsoft.CompanyPortalMac.ssoextension (UBF8T346G9).
Poznamenejte si pole Nainstalováno v konfiguračním profilu, protože může být užitečným indikátorem řešení potíží při změně konfigurace.
Pokud byl ověřen správný konfigurační profil, přejděte do části Řešení potíží s tokem ověřování aplikací.
Chybí konfigurační profil MDM.
Pokud se konfigurační profil rozšíření jednotného přihlašování nezobrazuje v seznamu profilů po provedení předchozí části, může to být v tom, že konfigurace MDM má povolené cílení na uživatele nebo zařízení, což efektivně vyfiltruje uživatele nebo zařízení z příjmu konfiguračního profilu. Obraťte se na správce MDM a shromážděte protokoly konzoly , které najdete v další části.
Shromažďování protokolů konzoly specifických pro MDM
V zařízení s macOS poklikejte na složku Aplikace a potom poklikejte na složku Nástroje .
Poklikejte na konzolovou aplikaci.
Kliknutím na tlačítko Start povolte protokolování trasování konzoly.
Požádejte správce MDM, aby se pokusil znovu nasadit konfigurační profil na toto zařízení/uživatele macOS a vynutit cyklus synchronizace.
Do vyhledávacího panelu zadejte subsystem:com.apple.ManagedClient a stiskněte return.
Kde se kurzor bliká na panelu hledání, napište zprávu:Extensible.
Teď byste měli vidět protokoly konzoly MDM filtrované podle aktivit konfiguračního profilu rozšiřitelného jednotného přihlašování . Následující snímek obrazovky ukazuje položku protokolu Nainstalovaný konfigurační profil, který ukazuje, že byl nainstalován konfigurační profil.
Řešení potíží s tokem ověřování aplikací
Pokyny v této části předpokládají, že zařízení s macOS má správně nasazený konfigurační profil. Postup najdete v části Ověření konfiguračního profilu jednotného přihlašování na zařízení s macOS.
Po nasazení rozšíření Microsoft Enterprise SSO pro zařízení Apple podporují dva typy toků ověřování aplikací pro každý typ aplikace. Při řešení potíží je důležité porozumět typu používané aplikace.
Typy aplikací
Typ aplikace | Interaktivní ověřování | Bezobslužné ověřování | Popis | Příklady |
---|---|---|---|---|
Nativní aplikace MSAL | X | X | MSAL (Microsoft Authentication Library) je architektura pro vývojáře aplikací přizpůsobená pro vytváření aplikací pomocí platformy Microsoft Identity Platform (Microsoft Entra ID). Aplikace založené na knihovně MSAL verze 1.1 nebo vyšší můžou integrovat s rozšířením Microsoft Enterprise SSO. Pokud aplikace využívá rozšíření jednotného přihlašování (zprostředkovatel), využívá rozšíření bez další konfigurace , kde najdete další informace, přečtěte si naši ukázkovou dokumentaci pro vývojáře MSAL. |
Microsoft To Do |
Non-MSAL Native/Browser SSO | X | Aplikace, které používají síťové technologie Apple nebo webviews, je možné nakonfigurovat tak, aby získaly sdílené přihlašovací údaje z rozšíření jednotného přihlašování. Příznaky funkcí musí být nakonfigurované, aby se zajistilo, že ID sady prostředků pro každou aplikaci může získat sdílené přihlašovací údaje (PRT). |
Microsoft Word Safari Microsoft Edge Visual Studio |
Důležité
Ne všechny nativní aplikace Microsoftu používají architekturu MSAL. V době publikování tohoto článku většina aplikací systém Microsoft Office macOS stále spoléhá na starší architekturu knihovny ADAL, a proto spoléhá na tok jednotného přihlašování prohlížeče.
Jak najít ID sady prostředků pro aplikaci v systému macOS
V zařízení s macOS poklikejte na složku Aplikace a potom poklikejte na složku Nástroje .
Poklikejte na aplikaci Terminál .
Když se terminál otevře, zadejte
osascript -e 'id of app "<appname>"'
na příkazovém řádku. Podívejte se na některé příklady:% osascript -e 'id of app "Safari"' com.apple.Safari % osascript -e 'id of app "OneDrive"' com.microsoft.OneDrive % osascript -e 'id of app "Microsoft Edge"' com.microsoft.edgemac
Teď, když byly shromážděny ID sady prostředků, postupujte podle našich pokynů a nakonfigurujte příznaky funkcí, abyste zajistili, že aplikace jednotného přihlašování bez MSAL Native/Browser SSO můžou využívat rozšíření jednotného přihlašování. Poznámka: U konfigurace příznaku funkce se rozlišují velká a malá písmena.
Upozornění
Aplikace, které nepoužívají síťové technologie Apple (například WKWebview a NSURLSession), nebudou moct používat sdílené přihlašovací údaje (PRT) z rozšíření jednotného přihlašování. Google Chrome i Mozilla Firefox spadají do této kategorie. I když jsou nakonfigurované v konfiguračním profilu MDM, výsledkem bude běžná výzva k ověření v prohlížeči.
Bootstrapping
Ve výchozím nastavení volají rozšíření jednotného přihlašování pouze aplikace MSAL a pak rozšíření získá sdílené přihlašovací údaje (PRT) z Microsoft Entra ID. Aplikaci prohlížeče Safari nebo jiné aplikace než MSAL je však možné nakonfigurovat pro získání žádosti o přijetí změn. Viz Možnost Povolit uživatelům přihlášení z aplikací, které nepoužívají knihovnu MSAL a prohlížeč Safari. Jakmile rozšíření jednotného přihlašování získá PRT, uloží přihlašovací údaje do klíčenky pro přihlášení uživatele. Dále zkontrolujte, jestli se prT nachází v klíčence uživatele:
Kontrola přístupu ke klíčence pro PRT
V zařízení s macOS poklikejte na složku Aplikace a potom poklikejte na složku Nástroje .
Poklikejte na aplikaci Keychain Access .
V části Výchozí řetězce klíčů vyberte Místní položky (nebo iCloud).
- Ujistěte se, že je vybraná možnost Všechny položky .
- Na panelu hledání na pravé straně zadejte
primaryrefresh
(Filtr).
Bublinový popisek snímku obrazovky Komponenta přihlašovacích údajů řetězce klíčů Popis 1 Všechny položky Zobrazuje všechny typy přihlašovacích údajů v accessu řetězce klíčů. 2 Panel hledání řetězce klíčů Umožňuje filtrování podle přihlašovacích údajů. Filtrování pro typ Microsoft Entra PRT primaryrefresh
3 Kind Odkazuje na typ přihlašovacích údajů. Přihlašovací údaje Microsoft Entra PRT jsou typ přihlašovacích údajů hesla aplikace. 4 Obchodní vztah Zobrazí uživatelský účet Microsoft Entra, který vlastní PRT ve formátu: UserObjectId.TenantId-login.windows.net
5 Kde Zobrazí úplný název přihlašovacích údajů. Přihlašovací údaje Microsoft Entra PRT začínají následujícím formátem: primaryrefreshtoken-29d9ed98-a469-4536-ade2-f981bc1d605
29d9ed98-a469-4536-ade2-f981bc1d605 je ID aplikace pro službu Microsoft Authentication Broker zodpovědné za zpracování žádostí o získání PRT.6 Upravený Zobrazuje, kdy se přihlašovací údaje naposledy aktualizovaly. Pokud jde o přihlašovací údaje Microsoft Entra PRT, kdykoli se přihlašovací údaje spustí nebo aktualizují interaktivní přihlašovací událostí, aktualizuje datum a časové razítko. 7 Řetězce klíčů Určuje, který klíčence se nachází ve vybraných přihlašovacích údajích. Přihlašovací údaje Microsoft Entra PRT se nacházejí v místní položkách nebo v klíčence iCloudu . Když je na zařízení s macOS povolený iCloud, stane se řetězcem klíčů místních položek klíčenky iCloudu. Pokud se prT nenajde v klíčence Accessu, postupujte podle typu aplikace takto:
- Nativní knihovna MSAL: Zkontrolujte, jestli vývojář aplikace, pokud byla aplikace vytvořená pomocí MSAL verze 1.1 nebo vyšší, povolila, aby aplikace byla zprostředkována. Zkontrolujte také postup řešení potíží s nasazením a vyloučíte případné problémy s nasazením.
- Jiný než MSAL (Safari):Zkontrolujte, jestli je příznak
browser_sso_interaction_enabled
funkce nastavený na hodnotu 1 a ne 0 v konfiguračním profilu MDM.
Tok ověřování po spuštění žádosti o přijetí změn
Teď, když je žádost o přijetí změn (sdílené přihlašovací údaje) ověřená před hlubším řešením potíží, je užitečné pochopit základní kroky pro každý typ aplikace a způsob interakce s modulem plug-in Microsoft Enterprise SSO Extension (zprostředkující aplikace). Následující animace a popisy by měly správcům macOS pomoct pochopit scénář před tím, než se podívá na data protokolování.
Nativní aplikace MSAL
Scénář: Aplikace vyvinutá tak, aby používala službu MSAL (příklad: klient Microsoft To Do ), která běží na zařízení Apple, musí uživatele přihlásit pomocí svého účtu Microsoft Entra, aby bylo možné získat přístup ke službě chráněné microsoftem Entra (příklad: Služba Microsoft To Do).
- Aplikace vyvinuté službou MSAL volají přímo rozšíření jednotného přihlašování a odesílají žádost o přijetí změn do koncového bodu tokenu Microsoft Entra spolu s požadavkem aplikace na token pro prostředek chráněný Microsoft Entra.
- Id Microsoft Entra ověří přihlašovací údaje PRT a vrátí token specifický pro aplikaci zpět do zprostředkovatele rozšíření jednotného přihlašování.
- Zprostředkovatel rozšíření jednotného přihlašování pak předá token klientské aplikaci MSAL, která ji pak odešle do prostředku chráněného microsoftem Entra.
- Uživatel je teď přihlášený k aplikaci a proces ověřování je dokončený.
Jednotné přihlašování jiného než MSAL nebo prohlížeče
Scénář: Uživatel na zařízení Apple otevře webový prohlížeč Safari (nebo libovolnou nativní aplikaci bez MSAL, která podporuje Apple Networking Stack), aby se přihlásil k prostředku chráněnému Microsoft Entra (příklad: https://office.com
).
- Pomocí aplikace bez MSAL (příklad: Safari) se uživatel pokusí přihlásit k integrované aplikaci Microsoft Entra (příklad: office.com) a přesměruje se na získání tokenu z Microsoft Entra ID.
- Pokud je aplikace bez MSAL uvedená v konfiguraci datové části MDM, zachytí síťový zásobník Apple požadavek na ověření a přesměruje požadavek na zprostředkovatele rozšíření jednotného přihlašování.
- Jakmile rozšíření jednotného přihlašování přijme zachycený požadavek, odešle se žádost o přijetí změn do koncového bodu tokenu Microsoft Entra.
- Id Microsoft Entra ověří PRT a vrátí token specifický pro aplikaci zpět do rozšíření jednotného přihlašování.
- Token specifický pro aplikaci je udělen klientské aplikaci non-MSAL a klientská aplikace odešle token pro přístup k chráněné službě Microsoft Entra.
- Uživatel teď dokončil přihlášení a proces ověřování je dokončený.
Získání protokolů rozšíření jednotného přihlašování
Jedním z nejužitečnějších nástrojů pro řešení různých problémů s rozšířením jednotného přihlašování jsou protokoly klienta ze zařízení Apple.
Ukládání protokolů rozšíření jednotného přihlašování z aplikace Portál společnosti
V zařízení s macOS poklikejte na složku Aplikace .
Poklikejte na Portál společnosti aplikaci.
Když se Portál společnosti načte, přejděte na horní řádek nabídek: Diagnostická sestava nápovědy> k uložení. K aplikaci se nemusíte přihlašovat.
Uložte archiv protokolu Portál společnosti a umístěte ho podle svého výběru (například: Plocha).
Otevřete archiv CompanyPortal.zip a otevřete soubor SSOExtension.log v libovolném textovém editoru.
Tip
Užitečný způsob, jak zobrazit protokoly, je použití editoru Visual Studio Code a instalace rozšíření Prohlížeče protokolů.
Protokoly rozšíření jednotného přihlašování pro tailing v systému macOS s terminálem
Při řešení potíží může být užitečné reprodukovat problém při ukládání protokolů SSOExtension v reálném čase:
V zařízení s macOS poklikejte na složku Aplikace a potom poklikejte na složku Nástroje .
Poklikejte na aplikaci Terminál .
Když se terminál otevře, zadejte:
tail -F ~/Library/Containers/com.microsoft.CompanyPortalMac.ssoextension/Data/Library/Caches/Logs/Microsoft/SSOExtension/*
Poznámka:
Koncové /* značí, že by mělo existovat více protokolů.
% tail -F ~/Library/Containers/com.microsoft.CompanyPortalMac.ssoextension/Data/Library/Caches/Logs/Microsoft/SSOExtension/* ==> /Users/<username>/Library/Containers/com.microsoft.CompanyPortalMac.ssoextension/Data/Library/Caches/Logs/Microsoft/SSOExtension/SSOExtension 2022-12-25--13-11-52-855.log <== 2022-12-29 14:49:59:281 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Handling SSO request, requested operation: 2022-12-29 14:49:59:281 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Ignoring this SSO request... 2022-12-29 14:49:59:282 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Finished SSO request. 2022-12-29 14:49:59:599 | I | Beginning authorization request 2022-12-29 14:49:59:599 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Checking for feature flag browser_sso_interaction_enabled, value in config 1, value type __NSCFNumber 2022-12-29 14:49:59:599 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Feature flag browser_sso_interaction_enabled is enabled 2022-12-29 14:49:59:599 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Checking for feature flag browser_sso_disable_mfa, value in config (null), value type (null) 2022-12-29 14:49:59:599 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Checking for feature flag disable_browser_sso_intercept_all, value in config (null), value type (null) 2022-12-29 14:49:59:600 | I | Request does not need UI 2022-12-29 14:49:59:600 | I | TID=783491 MSAL 1.2.4 Mac 13.0.1 [2022-12-29 19:49:59] Checking for feature flag admin_debug_mode_enabled, value in config (null), value type (null)
Při reprodukování problému nechte okno terminálu otevřené, abyste mohli sledovat výstup z chvostů protokolů SSOExtension .
Export protokolů rozšíření jednotného přihlašování v iOSu
V reálném čase není možné zobrazit protokoly rozšíření jednotného přihlašování pro iOS, protože je v systému macOS. Protokoly rozšíření jednotného přihlašování pro iOS je možné exportovat z aplikace Microsoft Authenticator a pak zkontrolovat z jiného zařízení:
Otevřete aplikaci Microsoft Authenticator:
V levém horním rohu stiskněte tlačítko nabídky:
Zvolte možnost Odeslat názor:
Zvolte možnost "Máte potíže":
Stiskněte možnost Zobrazit diagnostická data:
Tip
Pokud pracujete s podpora Microsoftu, můžete v této fázi stisknout tlačítko Odeslat a odeslat protokoly podpoře. Tím získáte ID incidentu, které můžete poskytnout podpora Microsoftu kontaktu.
Stisknutím tlačítka Kopírovat vše zkopírujte protokoly do schránky zařízení s iOSem. Soubory protokolu pak můžete uložit na jiném místě, kde je můžete zkontrolovat, nebo je odeslat e-mailem nebo jinými metodami sdílení souborů:
Principy protokolů rozšíření jednotného přihlašování
Analýza protokolů rozšíření jednotného přihlašování je skvělým způsobem, jak řešit potíže s tokem ověřování z aplikací odesílacích žádosti o ověření do Microsoft Entra ID. Kdykoli se vyvolá Zprostředkovatel rozšíření jednotného přihlašování, řada výsledků aktivit protokolování a tyto aktivity se označují jako žádosti o autorizaci. Protokoly obsahují následující užitečné informace pro řešení potíží:
- Konfigurace příznaku funkce
- Typy žádostí o autorizaci
- Nativní knihovna MSAL
- Jednotné přihlašování jiného než MSAL nebo prohlížeče
- Interakce s řetězcem klíčů macOS pro retrival přihlašovacích údajů a operace úložiště
- ID korelace pro události přihlašování Microsoft Entra
- Získání žádosti o přijetí změn
- Registrace zařízení
Upozornění
Protokoly rozšíření jednotného přihlašování jsou velmi podrobné, zejména při prohlížení operací s přihlašovacími údaji řetězce klíčů. Z tohoto důvodu je vždy nejlepší pochopit scénář předtím, než se podíváte na protokoly během řešení potíží.
Struktura protokolu
Protokoly rozšíření jednotného přihlašování jsou rozdělené do sloupců. Následující snímek obrazovky ukazuje rozpis sloupců protokolů:
Column | Název sloupce | Popis |
---|---|---|
1 | Místní datum a čas | Zobrazí se místní datum a čas. |
2 | I-Information W-Warning Chyba E |
Zobrazí informace, upozornění nebo chyby. |
3 | ID vlákna (TID) | Zobrazí ID vlákna spuštění aplikace zprostředkovatele jednotného přihlašování. |
4 | Číslo verze MSAL | Modul plug-in brokeru rozšíření Microsoft Enterprise SSO je build jako aplikace MSAL. Tento sloupec označuje verzi knihovny MSAL, která je spuštěná zprostředkační aplikace. |
5 | Verze macOS | Zobrazení verze operačního systému macOS |
6 | Datum a čas UTC | Zobrazí se datum a čas UTC . |
7 | ID korelace | Řádky v protokolech, které musí být v operacích Microsoft Entra ID nebo řetězce klíčů, rozšiřují sloupec DATUM a čas UTC s ID korelace. |
8 | Zpráva | Zobrazuje podrobné zprávy protokolů. Většinu informací o řešení potíží najdete v tomto sloupci. |
Konfigurace příznaku funkce
Během konfigurace MDM rozšíření Microsoft Enterprise SSO je možné odeslat volitelná data specifická pro rozšíření podle pokynů ke změně chování rozšíření jednotného přihlašování. Tyto pokyny specifické pro konfiguraci se označují jako příznaky funkcí. Konfigurace příznaku funkce je obzvláště důležitá pro typy žádostí o autorizaci přes jednotné přihlašování jiného typu než MSAL/Browser, protože ID sady prostředků může určit, jestli se rozšíření vyvolá nebo ne. Viz dokumentace příznaku funkce. Každá žádost o autorizaci začíná sestavou konfigurace příznaku funkce. Následující snímek obrazovky vás provede ukázkovou konfigurací příznaku funkce:
Popisek | Příznak funkce | Popis |
---|---|---|
1 | browser_sso_interaction_enabled | Prohlížeč, který není MSAL nebo Safari, může spustit žádost o přijetí změn |
2 | browser_sso_disable_mfa | (Nyní zastaralé) Při spouštění přihlašovacích údajů PRT se ve výchozím nastavení vyžaduje vícefaktorové ověřování. Všimněte si, že tato konfigurace je nastavená na hodnotu null , což znamená, že se vynucuje výchozí konfigurace. |
3 | disable_explicit_app_prompt | Nahradí výzvu =žádosti o ověření přihlášení z aplikací za účelem snížení počtu výzev. |
4 | AppPrefixAllowList | Jakákoli aplikace bez MSAL, která má ID sady, která začíná, com.micorosoft. může být zachycena a zpracována zprostředkovatelem rozšíření jednotného přihlašování. |
Důležité
Příznaky funkcí nastavené na hodnotu null znamenají, že je nastavená jejich výchozí konfigurace. Další podrobnosti najdete v dokumentaci příznaku funkce.
Tok přihlášení nativní aplikace MSAL
V následující části se dozvíte, jak prozkoumat protokoly rozšíření jednotného přihlašování pro tok ověřování nativní aplikace MSAL. V tomto příkladu jako klientskou aplikaci používáme ukázkovou aplikaci MSAL pro macOS/iOS a aplikace volá rozhraní Microsoft Graph API k zobrazení informací o uživateli přihlášení.
Nativní MSAL: Interaktivní postup toku
Pro úspěšné interaktivní přihlašování by se měly provést následující akce:
- Uživatel se přihlásí k ukázkové aplikaci MSAL macOS.
- Zprostředkovatel rozšíření jednotného přihlašování Microsoftu se vyvolá a zpracuje požadavek.
- Zprostředkovatel rozšíření microsoftu SSO prochází procesem spuštění pro získání žádosti o přijetí změn pro přihlášeného uživatele.
- Uložte PRT do řetězce klíčů.
- Zkontrolujte přítomnost objektu Registrace zařízení v Microsoft Entra ID (WPJ).
- Vraťte klientským aplikacím přístupový token pro přístup k Microsoft Graphu s oborem User.Read.
Důležité
Ukázkové fragmenty protokolu, které následují, byly opatřeny poznámkami s hlavičkami komentáře //, které se v protokolech nezobrazují. Slouží k ilustraci konkrétní akce, která se provádí. Zdokumentovali jsme fragmenty protokolů tímto způsobem, abychom vám pomohli s operacemi kopírování a vkládání. Kromě toho byly příklady protokolů oříznuty tak, aby zobrazovaly pouze čáry významnosti pro řešení potíží.
Uživatel klikne na tlačítko Volat rozhraní Microsoft Graph API a vyvolá proces přihlášení.
//////////////////////////
//get_accounts_operation//
//////////////////////////
Handling SSO request, requested operation: get_accounts_operation
(Default accessor) Get accounts.
(MSIDAccountCredentialCache) retrieving cached credentials using credential query
(Default accessor) Looking for token with aliases (null), tenant (null), clientId 00001111-aaaa-2222-bbbb-3333cccc4444, scopes (null)
(Default accessor) No accounts found in default accessor.
(Default accessor) No accounts found in other accessors.
Completed get accounts SSO request with a personal device mode.
Request complete
Request needs UI
ADB 3.1.40 -[ADBrokerAccountManager allBrokerAccounts:]
ADB 3.1.40 -[ADBrokerAccountManager allMSIDBrokerAccounts:]
(Default accessor) Get accounts.
No existing accounts found, showing webview
/////////
//login//
/////////
Handling SSO request, requested operation: login
Handling interactive SSO request...
Starting SSO broker request with payload: {
authority = "https://login.microsoftonline.com/common";
"client_app_name" = MSALMacOS;
"client_app_version" = "1.0";
"client_id" = "00001111-aaaa-2222-bbbb-3333cccc4444";
"client_version" = "1.1.7";
"correlation_id" = "aaaa0000-bb11-2222-33cc-444444dddddd";
"extra_oidc_scopes" = "openid profile offline_access";
"instance_aware" = 0;
"msg_protocol_ver" = 4;
prompt = "select_account";
"provider_type" = "provider_aad_v2";
"redirect_uri" = "msauth.com.microsoft.idnaace.MSALMacOS://auth";
scope = "user.read";
}
////////////////////////////////////////////////////////////
//Request PRT from Microsoft Authentication Broker Service//
////////////////////////////////////////////////////////////
Using request handler <ADInteractiveDevicelessPRTBrokerRequestHandler: 0x117ea50b0>
(Default accessor) Looking for token with aliases (null), tenant (null), clientId 11112222-bbbb-3333-cccc-4444dddd5555, scopes (null)
Attempting to get Deviceless Primary Refresh Token interactively.
Caching AAD Environements
networkHost: login.microsoftonline.com, cacheHost: login.windows.net, aliases: login.microsoftonline.com, login.windows.net, login.microsoft.com, sts.windows.net
networkHost: login.partner.microsoftonline.cn, cacheHost: login.partner.microsoftonline.cn, aliases: login.partner.microsoftonline.cn, login.chinacloudapi.cn
networkHost: login.microsoftonline.de, cacheHost: login.microsoftonline.de, aliases: login.microsoftonline.de
networkHost: login.microsoftonline.us, cacheHost: login.microsoftonline.us, aliases: login.microsoftonline.us, login.usgovcloudapi.net
networkHost: login-us.microsoftonline.com, cacheHost: login-us.microsoftonline.com, aliases: login-us.microsoftonline.com
Resolved authority, validated: YES, error: 0
[MSAL] Resolving authority: Masked(not-null), upn: Masked(null)
[MSAL] Resolved authority, validated: YES, error: 0
[MSAL] Start webview authorization session with webview controller class MSIDAADOAuthEmbeddedWebviewController:
[MSAL] Presenting web view controller.
Ukázku protokolování je možné rozdělit do tří segmentů:
Segment | Popis |
---|---|
get_accounts_operation |
Zkontroluje, jestli v mezipaměti existují nějaké existující účty. - ClientID: ID aplikace zaregistrované v Microsoft Entra ID pro tuto aplikaci MSAL ADB 3.1.40 označuje, že verze modulu plug-in Microsoft Enterprise SSO Extension Broker |
login |
Zprostředkovatel zpracovává žádost o ID Microsoft Entra: - Zpracování interaktivní žádosti o jednotné přihlašování...: Označuje interaktivní požadavek. - correlation_id: Užitečné pro křížový odkaz s protokoly přihlašování na straně serveru Microsoft Entra - scope: Obor oprávnění rozhraní User.Read API, který se požaduje z Microsoft Graphu - client_version: verze knihovny MSAL, na které aplikace běží - redirect_uri: Aplikace MSAL používají formát msauth.com.<Bundle ID>://auth |
Žádost PRT | Proces spuštění pro interaktivní získání žádosti o přijetí změn byl zahájen a vykreslí relaci jednotného přihlašování k webovému zobrazení. Microsoft Authentication Broker Service - clientId: 29d9ed98-a469-4536-ade2-f981bc1d605e – Všechny žádosti PRT se provádějí ve službě Microsoft Authentication Broker Service. |
Zobrazí se kontroler jednotného přihlašování a uživateli se zobrazí výzva k zadání přihlašovacího jména Microsoft Entra (UPN/e-mail).
Poznámka:
Kliknutím na i v levém dolním rohu kontroleru webového zobrazení se zobrazí další informace o rozšíření jednotného přihlašování a o specifikách aplikace, která ji vyvolala.
Po úspěšném zadání přihlašovacích údajů Microsoft Entra se do protokolů rozšíření jednotného přihlašování zapíšou následující položky protokolu.
SSOExtensionLogs
///////////////
//Acquire PRT//
///////////////
[MSAL] -completeWebAuthWithURL: msauth://microsoft.aad.brokerplugin/?code=(not-null)&client_info=(not-null)&state=(not-null)&session_state=(not-null)
[MSAL] Dismissed web view controller.
[MSAL] Result from authorization session callbackURL host: microsoft.aad.brokerplugin , has error: NO
[MSAL] (Default accessor) Looking for token with aliases (
"login.windows.net",
"login.microsoftonline.com",
"login.windows.net",
"login.microsoft.com",
"sts.windows.net"
), tenant (null), clientId 29d9ed98-a469-4536-ade2-f981bc1d605e, scopes (null)
Saving PRT response in cache since no other PRT was found
[MSAL] Saving keychain item, item info Masked(not-null)
[MSAL] Keychain find status: 0
Acquired PRT.
///////////////////////////////////////////////////////////////////////
//Discover if there is an Azure AD Device Registration (WPJ) present //
//and if so re-acquire a PRT and associate with Device ID //
///////////////////////////////////////////////////////////////////////
WPJ Discovery: do discovery in environment 0
Attempt WPJ discovery using tenantId.
WPJ discovery succeeded.
Using cloud authority from WPJ discovery: https://login.microsoftonline.com/common
ADBrokerDiscoveryAction completed. Continuing Broker Flow.
PRT needs upgrade as device registration state has changed. Device is joined 1, prt is joined 0
Beginning ADBrokerAcquirePRTInteractivelyAction
Attempting to get Primary Refresh Token interactively.
Acquiring broker tokens for broker client id.
Resolving authority: Masked(not-null), upn: auth.placeholder-61945244__domainname.com
Resolved authority, validated: YES, error: 0
Enrollment id read from intune cache : (null).
Handle silent PRT response Masked(not-null), error Masked(null)
Acquired broker tokens.
Acquiring PRT.
Acquiring PRT using broker refresh token.
Requesting PRT from authority https://login.microsoftonline.com/<TenantID>/oauth2/v2.0/token
[MSAL] (Default accessor) Looking for token with aliases (
"login.windows.net",
"login.microsoftonline.com",
"login.windows.net",
"login.microsoft.com",
"sts.windows.net"
), tenant (null), clientId (null), scopes (null)
[MSAL] Acquired PRT successfully!
Acquired PRT.
ADBrokerAcquirePRTInteractivelyAction completed. Continuing Broker Flow.
Beginning ADBrokerAcquireTokenWithPRTAction
Resolving authority: Masked(not-null), upn: auth.placeholder-61945244__domainname.com
Resolved authority, validated: YES, error: 0
Handle silent PRT response Masked(not-null), error Masked(null)
//////////////////////////////////////////////////////////////////////////
//Provide Access Token received from Azure AD back to Client Application//
//and complete authorization request //
//////////////////////////////////////////////////////////////////////////
[MSAL] (Default cache) Removing credentials with type AccessToken, environment login.windows.net, realm TenantID, clientID 00001111-aaaa-2222-bbbb-3333cccc4444, unique user ID dbb22b2f, target User.Read profile openid email
ADBrokerAcquireTokenWithPRTAction succeeded.
Composing broker response.
Sending broker response.
Returning to app (msauth.com.microsoft.idnaace.MSALMacOS://auth) - protocol version: 3
hash: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
payload: Masked(not-null)
Completed interactive SSO request.
Completed interactive SSO request.
Request complete
Completing SSO request...
Finished SSO request.
V tomto okamžiku v toku ověřování/autorizace se žádost o přijetí změn spouští a měla by být viditelná v přístupu ke klíčence macOS. Viz Kontrola přístupu ke klíčence pro PRT. Ukázková aplikace MSAL macOS používá přístupový token přijatý zprostředkovatele rozšíření jednotného přihlašování Microsoftu k zobrazení informací o uživateli.
Dále zkontrolujte protokoly přihlašování Microsoft Entra na straně serveru na základě ID korelace shromážděné z protokolů rozšíření jednotného přihlašování na straně klienta. Další informace najdete v protokolech přihlášení v Microsoft Entra ID.
Zobrazení protokolů přihlášení k Microsoft Entra podle filtru ID korelace
- Otevřete přihlášení Microsoft Entra pro tenanta, ve kterém je aplikace zaregistrovaná.
- Vyberte přihlášení uživatelů (interaktivní).
- Vyberte tlačítko Přidat filtry a vyberte přepínač ID korelace.
- Zkopírujte a vložte ID korelace získané z protokolů rozšíření jednotného přihlašování a vyberte Použít.
U toku interaktivního přihlášení MSAL očekáváme, že se u prostředku služby Microsoft Authentication Broker zobrazí interaktivní přihlášení. Tato událost je místo, kde uživatel zadal heslo pro spuštění žádosti o přijetí změn.
K získání přístupového tokenu pro žádost klientské aplikace také dochází k neinteraktivním událostem přihlášení. Postupujte podle protokolů přihlášení Microsoft Entra podle filtru ID korelace, ale v kroku 2 vyberte přihlášení uživatelů (neinteraktivní).
Atribut protokolu přihlášení | Popis |
---|---|
Aplikace | Zobrazovaný název registrace aplikace v tenantovi Microsoft Entra, kde se klientská aplikace ověřuje. |
ID aplikace | Odkazuje se také na ID klienta registrace aplikace v tenantovi Microsoft Entra. |
Prostředek | Prostředek rozhraní API, ke kterému se klientská aplikace pokouší získat přístup. V tomto příkladu je prostředek rozhraní Microsoft Graph API. |
Typ příchozího tokenu | Typ příchozího tokenu primárního obnovovacího tokenu (PRT) ukazuje vstupní token, který se používá k získání přístupového tokenu pro prostředek. |
Uživatelský agent | Řetězec uživatelského agenta v tomto příkladu ukazuje, že rozšíření jednotného přihlašování Microsoftu je aplikace zpracovávající tento požadavek. Užitečný indikátor, že se používá rozšíření jednotného přihlašování a probíhá žádost o ověření zprostředkovatele. |
Microsoft Entra App Authentication Library | Když se používá aplikace MSAL, podrobnosti o knihovně a platforma se tady zapíše. |
Informace o oboru Oauth | Informace o rozsahu Oauth2 požadované pro přístupový token. (User.Read, profile, openid, email). |
MsAL Native: Návod pro bezobslužný tok
Po určité době už přístupový token nebude platný. Pokud se tedy uživatel na tlačítko Volat rozhraní Microsoft Graph API znovu zobrazí. Rozšíření jednotného přihlašování se pokusí aktualizovat přístupový token s již získaným PRT.
SSOExtensionLogs
/////////////////////////////////////////////////////////////////////////
//refresh operation: Assemble Request based on User information in PRT /
/////////////////////////////////////////////////////////////////////////
Beginning authorization request
Request does not need UI
Handling SSO request, requested operation: refresh
Handling silent SSO request...
Looking account up by home account ID dbb22b2f, displayable ID auth.placeholder-61945244__domainname.com
Account identifier used for request: Masked(not-null), auth.placeholder-61945244__domainname.com
Starting SSO broker request with payload: {
authority = "https://login.microsoftonline.com/<TenantID>";
"client_app_name" = MSALMacOS;
"client_app_version" = "1.0";
"client_id" = "00001111-aaaa-2222-bbbb-3333cccc4444";
"client_version" = "1.1.7";
"correlation_id" = "aaaa0000-bb11-2222-33cc-444444dddddd";
"extra_oidc_scopes" = "openid profile offline_access";
"home_account_id" = "<UserObjectId>.<TenantID>";
"instance_aware" = 0;
"msg_protocol_ver" = 4;
"provider_type" = "provider_aad_v2";
"redirect_uri" = "msauth.com.microsoft.idnaace.MSALMacOS://auth";
scope = "user.read";
username = "auth.placeholder-61945244__domainname.com";
}
//////////////////////////////////////////
//Acquire Access Token with PRT silently//
//////////////////////////////////////////
Using request handler <ADSSOSilentBrokerRequestHandler: 0x127226a10>
Executing new request
Beginning ADBrokerAcquireTokenSilentAction
Beginning silent flow.
[MSAL] Resolving authority: Masked(not-null), upn: auth.placeholder-61945244__domainname.com
[MSAL] (Default cache) Removing credentials with type AccessToken, environment login.windows.net, realm <TenantID>, clientID 00001111-aaaa-2222-bbbb-3333cccc4444, unique user ID dbb22b2f, target User.Read profile openid email
[MSAL] (MSIDAccountCredentialCache) retrieving cached credentials using credential query
[MSAL] Silent controller with PRT finished with error Masked(null)
ADBrokerAcquireTokenWithPRTAction succeeded.
Composing broker response.
Sending broker response.
Returning to app (msauth.com.microsoft.idnaace.MSALMacOS://auth) - protocol version: 3
hash: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
payload: Masked(not-null)
Completed silent SSO request.
Request complete
Completing SSO request...
Finished SSO request.
Ukázku protokolování je možné rozdělit do dvou segmentů:
Segment | Popis |
---|---|
refresh |
Zprostředkovatel zpracovává žádost o ID Microsoft Entra: - Zpracování tichého požadavku jednotného přihlašování...: Označuje bezobslužný požadavek. - correlation_id: Užitečné pro křížový odkaz s protokoly přihlašování na straně serveru Microsoft Entra - scope: Obor oprávnění rozhraní User.Read API, který se požaduje z Microsoft Graphu - client_version: verze knihovny MSAL, na které aplikace běží - redirect_uri: Aplikace MSAL používají formát msauth.com.<Bundle ID>://auth Aktualizace má velmi užitečné rozdíly v datové části požadavku: - authority: Obsahuje koncový bod adresy URL tenanta Microsoft Entra na rozdíl od společného koncového bodu. - home_account_id: Zobrazte uživatelský účet ve formátu <UserObjectId.<>ID tenanta> - uživatelské jméno: formát hlavního názvu uživatele (UPN) s hodnotou hash auth.placeholder-XXXXXXXX__domainname.com |
Aktualizace a získání přístupového tokenu PRT | Tato operace znovu aktualizuje žádost o přijetí změn a v případě potřeby ji aktualizuje před vrácením přístupového tokenu zpět do volající klientské aplikace. |
Můžeme znovu získat ID korelace získané z protokolů rozšíření jednotného přihlašování na straně klienta a křížový odkaz s protokoly přihlašování Microsoft Entra na straně serveru.
Přihlášení Microsoft Entra zobrazuje stejné informace jako prostředek Microsoft Graphu z přihlašovací operace v předchozí interaktivní části přihlášení.
Tok přihlášení aplikace bez MSAL nebo prohlížeče
V následující části se dozvíte, jak prozkoumat protokoly rozšíření jednotného přihlašování pro tok ověřování aplikací jiného typu než MSAL/Browser. V tomto příkladu jako klientskou aplikaci používáme prohlížeč Apple Safari a aplikace volá webovou aplikaci Office.com (OfficeHome).
Průvodce tokem jednotného přihlašování bez MSAL nebo prohlížeče
Pro úspěšné přihlášení by se měly provést následující akce:
- Předpokládejme, že uživatel, který už prošel procesem bootstrappingu, má existující PRT.
- Na zařízení se nasazeným nástrojem Microsoft SSO Extension Broker se kontrolují nakonfigurované příznaky funkcí, aby se zajistilo, že rozšíření jednotného přihlašování dokáže aplikaci zpracovat.
- Vzhledem k tomu, že prohlížeč Safari dodržuje zásobník sítí Apple, pokusí se rozšíření jednotného přihlašování zachycovat žádost o ověření Microsoft Entra.
- Žádost o přijetí změn se používá k získání tokenu pro požadovaný prostředek.
- Pokud je zařízení zaregistrované v Microsoft Entra, předá ID zařízení spolu s požadavkem.
- Rozšíření jednotného přihlašování naplní hlavičku požadavku prohlížeče pro přihlášení k prostředku.
Následující protokoly rozšíření jednotného přihlašování na straně klienta ukazují, že požadavek, který zpracovává transparentně zprostředkovatel rozšíření jednotného přihlašování, aby požadavek splnil.
SSOExtensionLogs
Created Browser SSO request for bundle identifier com.apple.Safari, cookie SSO include-list (
), use cookie sso for this app 0, initiating origin https://www.office.com
Init MSIDKeychainTokenCache with keychainGroup: Masked(not-null)
[Browser SSO] Starting Browser SSO request for authority https://login.microsoftonline.com/common
[MSAL] (Default accessor) Found 1 tokens
[Browser SSO] Checking PRTs for deviceId 73796663
[MSAL] [Browser SSO] Executing without UI for authority https://login.microsoftonline.com/common, number of PRTs 1, device registered 1
[MSAL] [Browser SSO] Processing request with PRTs and correlation ID in headers (null), query aaaa0000-bb11-2222-33cc-444444dddddd
[MSAL] Resolving authority: Masked(not-null), upn: Masked(null)
[MSAL] No cached preferred_network for authority
[MSAL] Caching AAD Environements
[MSAL] networkHost: login.microsoftonline.com, cacheHost: login.windows.net, aliases: login.microsoftonline.com, login.windows.net, login.microsoft.com, sts.windows.net
[MSAL] networkHost: login.partner.microsoftonline.cn, cacheHost: login.partner.microsoftonline.cn, aliases: login.partner.microsoftonline.cn, login.chinacloudapi.cn
[MSAL] networkHost: login.microsoftonline.de, cacheHost: login.microsoftonline.de, aliases: login.microsoftonline.de
[MSAL] networkHost: login.microsoftonline.us, cacheHost: login.microsoftonline.us, aliases: login.microsoftonline.us, login.usgovcloudapi.net
[MSAL] networkHost: login-us.microsoftonline.com, cacheHost: login-us.microsoftonline.com, aliases: login-us.microsoftonline.com
[MSAL] Resolved authority, validated: YES, error: 0
[MSAL] Found registration registered in login.microsoftonline.com, isSameAsRequestEnvironment: Yes
[MSAL] Passing device header in browser SSO for device id 43cfaf69-0f94-4d2e-a815-c103226c4c04
[MSAL] Adding SSO-cookie header with PRT Masked(not-null)
SSO extension cleared cookies before handling request 1
[Browser SSO] SSO response is successful 0
[MSAL] Keychain find status: 0
[MSAL] (Default accessor) Found 1 tokens
Request does not need UI
[MSAL] [Browser SSO] Checking PRTs for deviceId 73796663
Request complete
Komponenta protokolu rozšíření jednotného přihlašování | Popis |
---|---|
Vytvoření žádosti o jednotné přihlašování v prohlížeči | Všechny požadavky na jednotné přihlašování jiné než MSAL/Browser začínají tímto řádkem: - identifikátor sady: ID sady: com.apple.Safari - iniciace původu: Webová adresa URL, ke které prohlížeč přistupuje, než přejdete na některou z přihlašovacích adres URL pro Microsoft Entra ID (https://office.com) |
Spuštění žádosti o jednotné přihlašování v prohlížeči pro autoritu | Vyřeší počet žádostí o přijetí změn a pokud je zařízení zaregistrované: https://login.microsoftonline.com/common, počet PRT 1, zařízení zaregistrované 1 |
ID korelace | [Jednotné přihlašování prohlížeče] Zpracování požadavku s PRT a ID korelace v hlavicích (null), ID korelace> dotazu < Toto ID je důležité pro křížové odkazování s protokoly přihlašování na straně serveru Microsoft Entra. |
Registrace zařízení | Pokud je zařízení zaregistrované v Microsoft Entra, může rozšíření jednotného přihlašování předat hlavičku zařízení v žádostech o jednotné přihlašování v prohlížeči: - Nalezena registrace zaregistrovaná v - login.microsoftonline.com, isSameAsRequestEnvironment: Ano Předání hlavičky zařízení v jednotném přihlašování v prohlížeči pro ID zařízení 43cfaf69-0f94-4d2e-a815-c103226c4c04 |
Dále použijte ID korelace získané z protokolů rozšíření jednotného přihlašování prohlížeče k křížovému odkazu na protokoly přihlášení Microsoft Entra.
Atribut protokolu přihlášení | Popis |
---|---|
Aplikace | Zobrazovaný název registrace aplikace v tenantovi Microsoft Entra, kde se klientská aplikace ověřuje. V tomto příkladu je zobrazovaný název OfficeHome. |
ID aplikace | Odkazuje se také na ID klienta registrace aplikace v tenantovi Microsoft Entra. |
Prostředek | Prostředek rozhraní API, ke kterému se klientská aplikace pokouší získat přístup. V tomto příkladu je zdrojem webová aplikace OfficeHome . |
Typ příchozího tokenu | Typ příchozího tokenu primárního obnovovacího tokenu (PRT) ukazuje vstupní token, který se používá k získání přístupového tokenu pro prostředek. |
Zjištěná metoda ověřování | Na kartě Podrobnosti o ověřování je hodnota modulu plug-in Microsoft Entra SSO užitečný indikátor, že se rozšíření jednotného přihlašování používá k usnadnění žádosti o jednotné přihlašování v prohlížeči. |
Verze rozšíření Microsoft Entra SSO | Na kartě Další podrobnosti tato hodnota zobrazuje verzi aplikace zprostředkovatele rozšíření jednotného přihlašování Microsoft Enterprise. |
ID zařízení | Pokud je zařízení zaregistrované, rozšíření jednotného přihlašování může předat ID zařízení pro zpracování žádostí o ověření zařízení. |
Operační systém | Zobrazuje typ operačního systému. |
Povolný | Rozšíření jednotného přihlašování může usnadnit zásady dodržování předpisů předáním hlavičky zařízení. Požadavky: - Registrace zařízení Microsoft Entra - Správa MDM - Intune nebo Dodržování předpisů pro partnery Intune |
Spravované | Označuje, že zařízení je pod správou. |
Typ spojení | macOS a iOS, pokud je zaregistrovaný, může být pouze typu: Microsoft Entra registrován. |
Tip
Pokud používáte Jamf Connect, doporučujeme postupovat podle nejnovějších pokynů k jamf při integraci Jamf Connect s Microsoft Entra ID. Doporučený model integrace zajišťuje, aby Jamf Connect správně fungoval s vašimi zásadami podmíněného přístupu a ochranou Microsoft Entra ID Protection.