Al iniciar sesión en la ventana de inicio de sesión de Passport, siempre se debe usar la dirección de correo electrónico completa en el campo de nombre de usuario para garantizar que la sesión de autenticación esté conectada al proveedor de identidad y no a la autenticación local. Para evitar confusiones con el uso de direcciones de correo electrónico en la ventana de inicio de sesión de FileVault, asegúrese de que la casilla Visibilidad de usuario administrado esté desactivada en el elemento de biblioteca de la ventana de inicio de sesión. Puedes leer más sobre esto en nuestro Passport Compatibility article.
Diagnóstico de pasaportes Kandji
Si un usuario no puede iniciar sesión en la ventana de inicio de sesión de Passport, puede abrir Kandji Passport Diagnostics presionando Comando-Mayús-K-L en el teclado. Verá información útil, como mensajes de error de su proveedor de identidad (IdP).
Conectividad de red
Passport requiere conectividad de red para comprobar las credenciales de usuario con el IdP. Al personalizar la ventana de inicio de sesión en Passport, muestre el administrador de red para que los usuarios puedan unirse a una red Wi-Fi según sea necesario. El administrador de red respeta la configuración de seguridad de AirPort en macOS.
Errores comunes de OneLogin
No podía comunicarse
Error: No se pudo comunicar con la aplicación auxiliar (OneLogin)
Solución: Asegúrese de que la URL sea correcta en Kandji.
NOTA: La URL del emisor de OneLogin es https://<subdominio>.onelogin.com/oidc/2/.well-known/openid-configuration
Se requiere MFA
Error: No autorizado, se requiere MFA para este usuario (OneLogin)
Problema: Es probable que el cliente se vea afectado por la política de usuario en lugar de por una política de aplicación.
Solución: Use una directiva de aplicaciones para MFA de modo que se le solicite al usuario final cuando acceda a las aplicaciones asignadas en OneLogin y no aplique MFA en la directiva de usuario. Sin embargo, esto puede afectar a MFA en otras áreas, como el acceso al portal OneLogin. OneLogin no tiene una manera de separar un requisito de MFA de política de usuario para el flujo ROPG de OIDC.
Aquí hay un enlace al artículo Políticas de aplicaciones de OneLogin Support.