Nota: Microsoft Entra ID es el nuevo nombre de Azure AD (Azure Active Directory)
Consideraciones de inicio de sesión
Al iniciar sesión en la ventana de inicio de sesión de Passport , siempre se debe usar la dirección de correo electrónico completa en el campo de nombre de usuario para garantizar que la sesión de autenticación esté conectada al IdP, no a la autenticación local. Para evitar confusiones al utilizar direcciones de correo electrónico en la ventana de inicio de sesión de FileVault , asegúrese de que la casilla Visibilidad de usuario administrado esté desactivada en la ventana de inicio de sesión Library Item. Puedes leer más sobre esto en nuestro Passport Compatibility article.
Kandji Passport Diagnóstico
Si un usuario no puede iniciar sesión en la ventana de inicio de sesión de Passport , puede abrir Kandji Passport Diagnóstico presionando Comando-Mayús-K-L en el teclado. Verás información útil, como mensajes de error de tu IdP.
Conectividad de red
Passport requiere conectividad de red para comprobar las credenciales de usuario con el IdP. Al personalizar la ventana de inicio de sesión en Passport, muestra el administrador de red para que los usuarios puedan unirse a una red Wi-Fi según sea necesario. El administrador de red respeta la configuración de seguridad de AirPort en macOS.
Para ponerse en contacto con el IdP, Passport necesita conectividad de red. Es común que las personas usen una Mac portátil en varias ubicaciones que proporcionan una red Wi-Fi a la que la Mac aún no se ha unido. Passport muestra un icono de Wi-Fi en la esquina superior derecha de la pantalla. Puede hacer clic en el icono de Wi-Fi para unirse a una red Wi-Fi que acepte una contraseña para unirse a la red. En este momento, Passport no admite redes que utilicen portal cautivo, autenticación de clic o redes empresariales que requieran un nombre de usuario y una contraseña para la autenticación 802.1x.
Errores comunes de ID de Microsoft Entra
Para buscar cualquier código de error de identificador de Microsoft Entra, que normalmente comienzan con AADSTS, puede usar este vínculo.
AADSTS50076
Mensaje de ID de Microsoft Entra: Debido a un cambio de configuración realizado por su administrador o porque se mudó a una nueva ubicación, debe usar la autenticación multifactor para acceder a '{resource}' - El usuario debe realizar la autenticación multifactor. Podría haber varias cosas que requieran varios factores, por ejemplo, directivas de acceso condicional, aplicación por usuario y solicitadas por el cliente, entre otras.
Corrección: asegúrese de revisar la sección Multi-factor Authentication (MFA) Considerations de este artículo de soporte técnico para asegurarse de que la autenticación multifactor está desactivada para la aplicación empresarial Passport en el entorno de Microsoft Entra ID.
AADSTS50020
Mensaje de identificador de Microsoft Entra: cuenta de usuario <nombre principal de usuario> del proveedor de identidades <su identificador de inquilino de directorio activo de Microsoft Entra> no existe en el inquilino <nombre de inquilino> y no puede acceder a la aplicación <su identificador de aplicación (cliente) Passport > en ese inquilino. Primero se debe agregar la cuenta como usuario externo en el inquilino.
Corrección: En el Centro de administración de Microsoft Entra, > Usuarios > Todos los usuarios > confirmar que el usuario existe.
AADSTS50034
Mensaje de identificador de Microsoft Entra: la cuenta de usuario <nombre principal de usuario sin el @sign y el dominio> no existe en el directorio <nombre de inquilino>.
Corrección: Para usar Passport con compatibilidad con MFA, un usuario de Microsoft Entra ID debe tener un atributo Email. Si el usuario no tiene un atributo de correo electrónico , aunque el usuario podrá autenticarse con MFA en la vista web para el identificador de Microsoft Entra, el usuario no podrá autenticarse correctamente en la pantalla de verificación "Escriba su contraseña de identificador de Microsoft Entra". En ID de Entra > Usuarios > Todos los usuarios, seleccione el usuario, haga clic en Editar propiedades y, a continuación, en el campo Correo electrónico , introduzca la dirección de correo electrónico del usuario y haga clic en Guardar. Debe agregar un valor, incluso si no se trata de una dirección que acepte correo electrónico. Es habitual usar el mismo valor que el nombre principal de usuario del usuario.
AADSTS50126
Mensaje de identificador de Microsoft Entra: InvalidUserNameOrPassword: error al validar credenciales debido a un nombre de usuario o contraseña no válidos. El usuario no ha introducido las credenciales correctas. Se espera ver algunos de estos errores en los registros debido a que los usuarios cometen errores.
Corrección: Este es un mensaje de error de ID de Microsoft Entra muy genérico. En el contexto de Passport, ha habido algunos escenarios en los que se ha visto este error.
Es posible que el nombre de usuario o la contraseña sean, de hecho, incorrectos.
Es posible que el identificador de Microsoft Entra esté federado con AD FS u otro proveedor de identidades. Esto hará que el flujo de autenticación dé como resultado un error que se envía a Passport. Consulte la sección Flujo de autenticación en un entorno federado de este artículo para obtener más información.
AADSTS700025
Mensaje de identificador de Microsoft Entra: el cliente es público, por lo que no se deben presentar ni 'client_assertion' ni 'client_secret'.
Corrección: En el centro de administración de Entra > Aplicaciones > Registros de aplicaciones > Todas las aplicaciones > [la aplicación Passport ] > Autenticación > Configuraciones de plataforma > aplicaciones móviles y de escritorio, asegúrese de que la sección URI de redireccionamiento tenga la casilla de verificación seleccionada para https://login.microsoftonline.com/common/oauth2/nativeclient. Vaya a Certificados y secretos y quite el secreto de cliente. En Kandji, confirme que en el elemento de la biblioteca Passport , el campo Secreto de cliente (opcional) está vacío.
AADSTS7000215
Mensaje de identificador de Microsoft Entra: se ha proporcionado un secreto de cliente no válido. Asegúrese de que el secreto que se envía en la solicitud es el valor del secreto del cliente.
Corrección: En el centro de administración de Entra > Aplicaciones > Registros de aplicaciones > [su aplicación Passport ] > Autenticación > Configuraciones de plataforma > aplicaciones móviles y de escritorio, asegúrese de que la sección URI de redireccionamiento tenga la casilla de verificación seleccionada para https://login.microsoftonline.com/common/oauth2/nativeclient. Vaya a Certificados y secretos y quite el secreto de cliente. En Kandji, confirme que en el elemento de biblioteca Passport , el campo Secreto de cliente (opcional) está vacío.
AADSTS50079
Debido a un cambio de configuración realizado por su administrador, o porque se mudó a una nueva ubicación, debe inscribirse en la autenticación multifactor para acceder a '{identifier}'.
Corrección: Si utiliza el inicio de sesión de Mac para la autenticación de Passport , es posible que el usuario tenga habilitada la MFA heredada por usuario. Un usuario administrado necesita registrar información de seguridad para completar la autenticación multifactor, o bien un usuario federado necesita obtener la notificación multifactor del proveedor de identidades federadas. Podría haber varias cosas que requieran varios factores, por ejemplo, directivas de acceso condicional, aplicación por usuario, solicitadas por el cliente, entre otras.
Error en la decodificación de tickets
Error en la decodificación de tickets
Error al iniciar sesión con posible error: Desconocido
Normalmente, se trata de un problema con el secreto de cliente opcional. Para solucionar problemas, quite por completo el secreto de cliente opcional del elemento de biblioteca Passport y asegúrese de que el dispositivo se registre. Una vez que se haya registrado, cierre la sesión del usuario local y vuelva a iniciarla con Passport. Este error también podría estar relacionado con una condición de red. Para descartarlo, intente conectarse a un punto de acceso móvil como parte de la solución de problemas para ver si el error aún está presente.
Se ha producido un error al obtener información del usuario: No se ha encontrado ninguna clave que coincida con "givenName"
Corrección: En el Centro de administración de Microsoft Entra > Identificar > usuarios > comprobar que el usuario que está iniciando sesión tiene la propiedad Nombre rellenada