Na stránce aplikace se po přihlášení uživatele zobrazí chybová zpráva

V tomto scénáři microsoft Entra ID podepíše uživatele. Aplikace ale zobrazí chybovou zprávu a nedovolí uživateli dokončit tok přihlášení. Problém je v tom, že aplikace nepřijala odpověď, kterou vydalo ID Microsoft Entra.

Existuje několik možných důvodů, proč aplikace nepřijala odpověď z ID Microsoft Entra. Pokud se zobrazí chybová zpráva nebo kód, k diagnostice chyby použijte následující zdroje informací:

• Kódy chyb autorizace a ověřování Microsoft Entra
• Řešení potíží s chybami výzvy k vyjádření souhlasu

Pokud chybová zpráva jasně neidentifikuje, co v odpovědi chybí, zkuste následující:

• Pokud je aplikace v galerii Microsoft Entra, ověřte, že jste postupovali podle kroků v tématu Ladění jednotného přihlašování založeného na SAML k aplikacím v Microsoft Entra ID.
• K zachycení požadavku, odpovědi a tokenu SAML použijte nástroj, jako je Fiddler .
• Pošlete dodavateli aplikace odpověď SAML a zeptejte se jich, co chybí.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

V odpovědi SAML chybí atributy.

Chcete-li přidat atribut v konfiguraci Microsoft Entra, který se odešle v odpovědi Microsoft Entra, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.

3. Do vyhledávacího pole zadejte název existující aplikace a vyberte aplikaci, kterou chcete nakonfigurovat pro jednotné přihlašování.

4. Po načtení aplikace vyberte v navigačním podokně jednotné přihlašování .

5. V části Atributy uživatele vyberte Zobrazit a upravit všechny ostatní atributy uživatele. Tady můžete změnit atributy, které se mají odeslat do aplikace v tokenu SAML, když se uživatelé přihlásí.

   Přidání atributu:

   1. Vyberte Přidat atribut. Zadejte název a v rozevíracím seznamu vyberte hodnotu.

   2. Zvolte Uložit. Nový atribut se zobrazí v tabulce.

6. Uložte konfiguraci.

   Při příštím přihlášení uživatele k aplikaci odešle ID Microsoft Entra nový atribut v odpovědi SAML.

Aplikace nemůže identifikovat uživatele.

Přihlášení k aplikaci selže, protože v odpovědi SAML chybí atribut, jako je role. Nebo selže, protože aplikace očekává jiný formát nebo hodnotu atributu NameID (User Identifier).

Pokud k vytváření, údržbě a odebírání uživatelů v aplikaci používáte automatizované zřizování uživatelů Microsoft Entra ID, ověřte, že je uživatel zřízený pro aplikaci SaaS. Další informace naleznete v tématu Žádné uživatele nejsou zřízeny pro aplikaci Microsoft Entra Gallery.

Přidání atributu do konfigurace aplikace Microsoft Entra

Pokud chcete změnit hodnotu identifikátoru uživatele, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.
3. Vyberte aplikaci, kterou chcete nakonfigurovat pro jednotné přihlašování.
4. Po načtení aplikace vyberte v navigačním podokně jednotné přihlašování .
5. V části Atributy uživatele vyberte jedinečný identifikátor uživatele z rozevíracího seznamu Identifikátor uživatele.

Změna formátu NameID

Pokud aplikace očekává jiný formát atributu NameID (Identifikátor uživatele), přečtěte si část Edit nameID a změňte formát NameID .

ID Microsoft Entra vybere formát atributu NameID (Identifikátor uživatele) na základě vybrané hodnoty nebo formátu požadovaného aplikací v požadavku SAML AuthRequest. Další informace najdete v části NameIDPolicy protokolu SAML jednotného přihlašování.

Aplikace očekává pro odpověď SAML jinou metodu podpisu.

Chcete-li změnit, které části tokenu SAML jsou digitálně podepsány id Microsoft Entra, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.

3. Vyberte aplikaci, pro kterou chcete nakonfigurovat jednotné přihlašování.

4. Po načtení aplikace vyberte v navigačním podokně jednotné přihlašování .

5. V části Podpisový certifikát SAML vyberte Zobrazit upřesňující nastavení podepisování certifikátů.

6. Vyberte možnost podepisování, kterou aplikace očekává z těchto možností:

   • Podepsat odpověď SAML
   • Podepsání odpovědi a kontrolního výrazu SAML
   • Podepsání kontrolního výrazu SAML

   Při příštím přihlášení uživatele k aplikaci podepíše Id Microsoft Entra část vybrané odpovědi SAML.

Aplikace očekává podpisový algoritmus SHA-1.

Ve výchozím nastavení Microsoft Entra ID podepíše token SAML pomocí nejbezpečnějšího algoritmu. Doporučujeme, abyste nezměnili podpisový algoritmus na SHA-1 , pokud aplikace nevyžaduje SHA-1.

Pokud chcete změnit podpisový algoritmus, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.

3. Vyberte aplikaci, kterou chcete nakonfigurovat pro jednotné přihlašování.

4. Po načtení aplikace vyberte v navigačním podokně na levé straně aplikace jednotné přihlašování .

5. V části Podpisový certifikát SAML vyberte Zobrazit upřesňující nastavení podepisování certifikátů.

6. Jako podpisový algoritmus vyberte SHA-1.

   Při příštím přihlášení uživatele k aplikaci microsoft Entra ID podepíše token SAML pomocí algoritmu SHA-1.

Další kroky

• Ladění jednotného přihlašování založeného na SAML k aplikacím v Microsoft Entra ID
• Kódy chyb autorizace a ověřování Microsoft Entra
• Řešení potíží s chybami výzvy k vyjádření souhlasu