Cerrar
MENU
mobile-logo
InicioCertificadosAutenticación en los Servicios de Office 365 desde dispositivos Android
Certificados ISA Server /TMG Microsoft Microsoft TEAMS Office 365 REVERSE-PROXY

Autenticación en los Servicios de Office 365 desde dispositivos Android

2 Comentarios
0

Nada que decir sobre la penetración en el mercado mundial de dispositivos móviles Android, de ahí los millones de usuarios que utilizan Android, los cuales, algunos los utilizan para conectarse a servicios de Office 365 (Exchange, OneDrive, SharePoint, Teams). Hasta aquí todo normal, pero la empresa tiene implementando los servicios de Federación + Reverse-Proxy + Certificados es posible que tengamos alguna “sorpresa” al querer iniciar sesión en cualquier de los servicios de Office 365. Uno de las topologias más comunes en las empresas que tienen Office 365 como servicios de nube es la siguiente:

La topología es muy sencilla de explicar, tenemos nuestro Directorio Activo sincronizado con Office 365 y además configurado el servicio de federación para realizar la autenticación de nuestros usuarios internos con sus credenciales de dominio en todos los servicios de Office 365. Hasta aquí, problemas cero, los usuarios desde sus equipos pueden iniciar sesión sin problema y con sus credenciales corporativas.

Para la publicación de los servicios de ADFS es recomendable utilizar un reverse-proxy (TMG, Kemp, F5, WAP) para securizar su publicación, aquí os dejo algunos artículos que había publicado en su momento al respecto:

Lo que voy a comentaros hoy es la solución cuando se os presentan problemas acceso a los servicios de Office 365 desde dispositivos Android con desplegado ADFS, el cual me ha sucedido recientemente. Antes de nada, aclarar que este “problema” se da en determinadas configuraciones, pero esto lo iré comentando en este artículo.

El problema que se tenía es que a los usuarios con Android (el resto de usuarios con iOS, Windows, MAC funcionaban sin problema) no les permitía iniciar sesión en Teams, mostrándoles el siguiente error cuando querían iniciar sesión:

El error parece claro, pero .. resulta un poco extraño, puesto que el resto de usuarios podían acceder sin problema, por lo que empezamos con la batería de pruebas para ver cual puede ser el problema:

  • Acceder a la web de la empresa que tiene el mismo certificado (tenemos un wildcard) y sin problemas, no nos muestra alerta alguna sobre el certificado
  • Acceder a la URL de Login del ADFS y aunque mostrar un error de acceso no parecía que se “quejase” por el certificado

En mi caso, tengo un Kemp como Reverse-Proxy el cual tiene el certificado público y como os indicaba, tenemos más servicios publicados y no habíamos tenido problemas con el mismo. Por lo que, voy a revisar el certificado instalado en el servidor y parece que también todo está OK, el certificado está instalado en el contenedor personal del equipo local y el certificado raíz e intermedio están correctamente instalados:

Como parecía que todo estaba correcto, he realizado un test a la URL del servicio de federación (https://www.ssllabs.com/ssltest/analyze.html?d=<URL_ADFS>&hideResults=on&late) donde tenemos el certificado asignado al Kemp que es quien se encarga de la publicación y parece estar todo OK:

Uno de los problemas comunes suele ser que el cliente soporte SNI, pero en este caso no había problema que las versiones de Android que tenemos todos los soportan.

Además, en tanto en el Kemp como en el ADFS ya se había quitado la configuración de SNI, evitando este tipo de problemas. Por lo tanto, sin descartar nada, seguimos investigando por donde viene el problema. Uno de mis compañeros me hace llegar un LOG de Teams del proceso de inicio de sesión y .. .seguimos con problemas de certificados:

Y seguimos investigando, ahora habilito la captura de trazas en el Kemp la cual analizo en Wireshark y se veía un claro RST en la conexión:

Como todo apuntaba a algún problema entre el certificado y los dispositivos Android, vuelto a repetir el test del certificado y ahora me doy cuenta de lo siguiente:

Se ve claramente que los dispositivos Android necesitan tener conectado con la entidad intermedia que ha emitido nuestro certificado () y buscando en Google ya más centro el tiro veo que …

Android does not support downloading additional certificates from the authorityInformationAccess field of the certificate. This is true across all Android versions and devices, and for the Chrome browser. Any server authentication certificate that’s marked for extra download based on the authorityInformationAccess field will trigger this error if the entire certificate chain is not passed from Active Directory Federation Services (AD FS).

Por lo que .. la causa del problema ya se había encontrado por lo que, únicamente quedaba solventarlo. Si volvemos a la captura donde os muestro el certificado instalado en el servidor, vemos que tiene todos los certificados necesarios e instalados donde corresponden pero y el Kemp??? Pues claramente no, no tenía el certificado intermedio que los Android no son capaces de descargarlo por por si solos y se lo tenemos que dar nosotros!! Ya teniendo claro esto, la solución es tan sencilla como exportar el certificado raíz del servidor e importarlo en el Kemp:

Una vez instalado ..

Para importar los certificados intermedios en el Kemp debéis previamente convertirlo al forma que el quiere, aquí os dejo el enlace que os dirá como se hace: How-To-Import-SSL-Intermediate-Certificates-To-Your-LoadMaster

Los clientes se han podido conectar a cualquier servicio de Office 365 autenticando con ADFS, en este caso lo primero que hemos probado ha sido Teams:

Con esto todo listo, como veis, este problema se os dará si en vuestro reverse-proxy no instaláis los certificados raiz intermedios de la CA que firma vuestros certificados. Por defecto, en Windows ya casi va en automático, por lo que, si utilizáis el TMG o WAP (articulos comentados al principio de este artículo) no tendréis problemas porque ya tenéis instalado y los dispositivos Android los podrán descargar. Pero, si utlizais Kemp, F5 u otros reverse-proxy del mercado, acordaros de subir el certificado raíz intermedio sino tendréis el mismo problema.

Sino os ha sucedido este problema, ya estáis alertados y si lo estáis sufriendo ya sabéis como solucionarlo!!

ETIQUETAS:
COMPARTE EN:
Microsoft Teams, con
Instalación de apli

Sbuitrago@asirsl.com

ARTÍCULOS RELACIONADOS
  1. Microsot Intune: Unir Equipo a AzureAD por el Usuario Final
  2. Microsoft Defender for Cloud Apps: autenticación con certificado en tu cliente VPN con autenticación via AzureAD SSO
  3. Microsoft Azure: Configurar Contexto de Autenticación para Controlar las Sesiones en Aplicaciones desde Microsoft Defender for Cloud App
  4. Microsoft Defender for Cloud Apps: Autenticación con Certificado de Usuario
  5. Microsoft AzureAD: Laps (Solución de contraseñas de Administrador local de Windows)
  6. Acceso Condicional: Requerir Métodos de Autenticación para Usuarios en Riesgo Alto
  7. Microsoft Azure: Instalación y Configuración de un Firewall Fortinet (Parte Final)
  8. Microsoft Azure: Instalación y Configuración de un Firewall Fortinet (Parte IV)
  9. Microsoft Azure: Instalación y Configuración de un Firewall Fortinet (Parte II)
  10. Microsoft Azure: Instalación y Configuración de un Firewall Fortinet (Parte I)
2 COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This