Wenn Sie sich am Passport-Anmeldefenster anmelden, sollte immer die vollständige E-Mail-Adresse im Feld für den Benutzernamen verwendet werden, um sicherzustellen, dass die Authentifizierungssitzung mit dem Identitätsanbieter und nicht mit der lokalen Authentifizierung verbunden ist. Um Verwechslungen bei der Verwendung von E-Mail-Adressen im FileVault-Anmeldefenster zu vermeiden, stellen Sie sicher, dass das Kontrollkästchen Sichtbarkeit für verwaltete Benutzer im Library Item des Anmeldefensters deaktiviert ist. Mehr dazu lesen Sie in unserem Passport Compatibility article.
Kandji Passport Diagnose
Wenn sich ein Benutzer nicht im Passport-Anmeldefenster anmelden kann, können Sie die Kandji Passport-Diagnose aufrufen, indem Sie Befehl-Umschalt-K-L auf der Tastatur drücken. Sie erhalten hilfreiche Informationen, z. B. Fehlermeldungen von Ihrem Identitätsanbieter (IdP).
Netzwerkverbindung
Passport erfordert eine Netzwerkverbindung, um die Anmeldeinformationen des Benutzers mit dem IdP abzugleichen. Wenn Sie das Anmeldefenster in Passport anpassen, zeigen Sie den Netzwerkmanager an, damit Benutzer bei Bedarf einem WLAN-Netzwerk beitreten können. Der Netzwerkmanager berücksichtigt die AirPort-Sicherheitseinstellungen in macOS.
Häufige OneLogin-Fehler
Konnte nicht kommunizieren
Fehler: Kommunikation mit der Hilfsanwendung (OneLogin) nicht möglich
Lösung: Stellen Sie sicher, dass die URL in Kandji korrekt ist.
HINWEIS: Die Aussteller-URL für OneLogin lautet https://<subdomain>.onelogin.com/oidc/2/.well-known/openid-configuration
MFA ist erforderlich
Fehler: Nicht autorisiert, MFA ist für diesen Benutzer erforderlich (OneLogin)
Problem: Es ist wahrscheinlich, dass der Kunde von der Benutzerrichtlinie und nicht von einer App-Richtlinie betroffen ist.
Lösung: Verwenden Sie eine App-Richtlinie für MFA, damit der Endbenutzer beim Zugriff auf Apps, die in OneLogin zugewiesen sind, dazu aufgefordert wird, und erzwingen Sie MFA nicht für die Benutzerrichtlinie. Dies kann sich jedoch auf MFA in anderen Bereichen auswirken, z. B. beim Zugriff auf das OneLogin-Portal. OneLogin verfügt nicht über eine Möglichkeit, eine Benutzerrichtlinien-MFA-Anforderung für den OIDC ROPG-Fluss zu trennen.
Hier ist ein Link zum Artikel App-Richtlinien des OneLogin-Supports.