如何解决Safari浏览器访问企业内网系统时发生的身份认证失败？

Safari访问OA、HR等系统时SSO异常，主因是智能防跟踪（ITP）拦截跨站Cookie与脚本；需为受信网站禁用ITP或添加Cookie例外，并校准系统时间、手动信任内网证书。

当你用Safari访问OA、HR系统或统一认证门户时，页面卡在登录跳转、SSO重定向中断、Token丢失或反复弹出“无法验证服务器身份”，这通常不是网络不通，而是Safari智能防跟踪（ITP）主动拦截了跨站Cookie与第三方脚本，导致企业级单点登录流程被切断。

关闭当前网站的智能防跟踪功能

此方法直接禁用ITP对该域名的干预，允许其读写必需的第三方Cookie、加载跨域认证JS并完成SSO重定向，适用于已明确信任的企业内网地址。

1、使用Safari打开异常网站，例如：https://sso.corp.example.com（必须是完整URL，含https://）。

2、将鼠标移至屏幕顶部菜单栏 → 点击“Safari 浏览器” → 选择“此网站的设置”。

3、在弹出窗口中，找到“智能防跟踪”选项，取消勾选“启用智能防跟踪”。

4、关闭设置窗口，刷新页面后立即重试登录。这一步生效极快，无需重启浏览器。

将网站添加至Cookie允许例外列表

在全局保持“阻止跨站跟踪”开启的前提下，仅对目标域名放宽第三方Cookie写入权限，兼顾隐私安全与业务可用性。

方法一：macOS操作路径

1、打开Safari → 偏好设置 → 隐私 → 点击“管理网站数据”。

2、在搜索框中输入目标网站主域名（如：sso.corp.example.com），确认条目存在。

3、点击该条目右侧的“删除”按钮，清除历史残留的冲突Cookie与缓存数据——这一步不可跳过，否则新策略不生效。

4、返回常规浏览模式，重新访问该网站；当弹出Cookie权限提示时，务必点击“允许”，而非“阻止”。

5、再次进入“管理网站数据”页，向下滚动至“网站例外”区域 → 点击“添加网站” → 输入完整域名（含https://前缀）→ 保存。

方法二：iOS/iPadOS操作路径

1、进入“设置” → “Safari 浏览器” → “隐私与安全性” → “Cookie和网站数据”。

2、点击“网站例外” → “添加网站” → 输入完整域名（如：https://oa.internal.company）→ 保存。

3、返回Safari，手动清除一次历史记录和网站数据，避免旧策略残留干扰。

检查并校准系统时间与日期

SSL证书有效期验证依赖毫秒级时间精度。若系统时间偏差超过3分钟，Safari会直接拒绝发起TLS握手，连证书下载阶段都跳过，表现为页面空白或瞬间跳转回错误页。

① 点击屏幕左上角苹果图标 → “系统设置” → “通用” → “日期与时间”。

② 确保“自动设置日期与时间”和“自动设定时区”均已开启。

③ 关闭设置窗口后，在终端中执行：sudo sntp -sS time.apple.com，强制刷新NTP时间，避免缓存残留。

这一步不做，后续所有证书修复操作都无效，因为钥匙串和Safari的信任判断全基于本地时间戳。

手动导入并信任企业内网证书

对于使用自签名证书或内部CA签发的企业系统，仅安装证书不等于启用SSL信任，必须在系统级完成显式授权。

1、从IT管理员处获取有效的.cer或.crt证书文件，双击该文件，选择导入至“系统”钥匙串。

2、打开“钥匙串访问” → 左侧边栏选中“系统” → 在右侧列表中找到刚导入的证书。

3、右键点击该证书 → “显示简介” → 展开“信任”部分 → 将“使用此证书时”设为始终信任。

4、关闭窗口并输入管理员密码保存更改。

5、重启Safari，重新访问目标网站验证是否仍提示“找不到信任的证书”。