Sdílet prostřednictvím

Ladění jednotného přihlašování k aplikacím založeného na SAM

  • Článek

V tomto článku se dozvíte, jak najít a opravit problémy s jednotným přihlašováním pro aplikace v MICROSOFT Entra ID, které používají jednotné přihlašování založené na SAML.

Než začnete

Doporučujeme nainstalovat rozšíření Moje aplikace zabezpečeného přihlašování. Toto rozšíření prohlížeče usnadňuje shromáždění informací o požadavku SAML a odpovědi SAML, které potřebujete vyřešit problémy s jednotným přihlašováním. V případě, že nemůžete rozšíření nainstalovat, v tomto článku se dozvíte, jak vyřešit problémy s nainstalovaným rozšířením i bez tohoto rozšíření.

Pokud chcete stáhnout a nainstalovat rozšíření Moje aplikace Zabezpečené přihlašování, použijte jeden z následujících odkazů.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Testování jednotného přihlašování založeného na SAML

Testování jednotného přihlašování založeného na SAML mezi ID Microsoft Entra a cílovou aplikací:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.

  3. V seznamu podnikových aplikací vyberte aplikaci, pro kterou chcete otestovat jednotné přihlašování, a pak v možnostech vlevo vyberte Jednotné přihlašování.

  4. V podokně Vybrat metodu jednotného přihlašování vyberte SAML.

  5. Pokud chcete otevřít prostředí pro testování jednotného přihlašování založeného na SAML, přejdete k Testu jednotného přihlašování (krok 5). Pokud je tlačítko Test zobrazené šedě, musíte nejdřív vyplnit a uložit požadované atributy v části Základní konfigurace SAML.

  6. Na stránce Testování jednotného přihlašování se přihlaste k cílové aplikaci pomocí firemních přihlašovacích údajů. Můžete se přihlásit jako aktuální uživatel nebo jako jiný uživatel. Pokud se přihlásíte jako jiný uživatel, zobrazí se výzva k ověření.

    Snímek obrazovky zobrazující testovací stránku jednotného přihlašování SAML

Pokud se můžete přihlásit, test je úspěšný. V tomto případě služba Microsoft Entra ID vydala token odpovědi SAML do aplikace. Aplikace použila tento token SAML k úspěšnému přihlášení.

Pokud na přihlašovací stránce společnosti nebo na stránce aplikace dojde k chybě, vyřešte chybu pomocí jedné z dalších částí.

Řešení chyby přihlášení na přihlašovací stránce vaší společnosti

Při pokusu o přihlášení se může zobrazit chyba na přihlašovací stránce vaší společnosti, která je podobná následujícímu příkladu.

Příklad znázorňující chybu na přihlašovací stránce společnosti

K ladění této chyby potřebujete chybovou zprávu a požadavek SAML. Rozšíření zabezpečeného přihlašování Moje aplikace automaticky shromažďuje tyto informace a zobrazuje pokyny k řešení pro MICROSOFT Entra ID.

Řešení chyby přihlášení s nainstalovaným rozšířením zabezpečeného přihlašování Moje aplikace

  1. Pokud dojde k chybě, rozšíření vás přesměruje zpět na stránku jednotného přihlašování Microsoft Entra ID Test.
  2. Na stránce Test jednotného přihlašování vyberte Stáhnout požadavek SAML.
  3. Měli byste vidět konkrétní pokyny k řešení na základě chyby a hodnot v požadavku SAML.
  4. Zobrazí se tlačítko Opravit, které automaticky aktualizuje konfiguraci v ID Microsoft Entra, aby se problém vyřešil. Pokud toto tlačítko nevidíte, znamená to, že problém s přihlášením není způsobený chybnou konfigurací u ID Microsoft Entra.

Pokud pro chybu přihlášení není k dispozici žádné řešení, doporučujeme, abyste k informování použili textové pole pro odeslání názoru.

Řešení chyby bez instalace rozšíření zabezpečeného přihlašování Moje aplikace

  1. Zkopírujte chybovou zprávu v pravém dolním rohu stránky. Chybová zpráva obsahuje:
    • A CorrelationID and Timestamp. Tyto hodnoty jsou důležité při vytváření případu podpory u Microsoftu, protože pomáhají technikům identifikovat váš problém a poskytnout přesné řešení vašeho problému.
    • A statement identifying the root cause of the problem.
  2. Vraťte se do Microsoft Entra ID a najděte stránku Pro testování jednotného přihlašování .
  3. Do textového pole výše Získejte pokyny k řešení vložte chybovou zprávu.
  4. Pokud chcete zobrazit postup řešení problému, vyberte Získat pokyny k řešení problému. Pokyny můžou vyžadovat informace z požadavku SAML nebo odpovědi SAML. Pokud nepoužíváte rozšíření Moje aplikace zabezpečeného přihlašování, možná budete potřebovat nástroj, jako je Fiddler, k načtení požadavku a odpovědi SAML.
  5. Ověřte, že cíl v požadavku SAML odpovídá adrese URL služby jednotného přihlašování SAML získané z Microsoft Entra ID.
  6. Ověřte, že vystavitel v požadavku SAML je stejný identifikátor nakonfigurovaný pro aplikaci v Microsoft Entra ID. Microsoft Entra ID používá vystavitele k vyhledání aplikace ve vašem adresáři.
  7. Ověřte AssertionConsumerServiceURL, kde aplikace očekává přijetí tokenu SAML z ID Microsoft Entra. Tuto hodnotu můžete nakonfigurovat v MICROSOFT Entra ID, ale není povinná, pokud je součástí požadavku SAML.

Řešení chyby přihlášení na stránce aplikace

Můžete se úspěšně přihlásit, ale pak se na stránce aplikace zobrazí chyba. K této chybě dochází, když Microsoft Entra ID vystavil aplikaci token, ale aplikace nepřijímá odpověď.

Pokud chcete tuto chybu vyřešit, postupujte podle těchto kroků nebo se podívejte na toto krátké video o tom, jak používat ID Microsoft Entra k řešení potíží s jednotným přihlašováním SAML:

  1. Pokud je aplikace v galerii Microsoft Entra, ověřte, že jste postupovali podle všech kroků pro integraci aplikace s Microsoft Entra ID. Pokyny k integraci pro vaši aplikaci najdete v seznamu kurzů integrace aplikací SaaS.

  2. Načtěte odpověď SAML.

    • Pokud je nainstalované rozšíření zabezpečeného přihlašování Moje aplikace, na stránce Test jednotného přihlašování vyberte stáhnout odpověď SAML.
    • Pokud rozšíření není nainstalované, použijte k načtení odpovědi SAML nástroj, jako je Fiddler .

  3. Všimněte si těchto prvků v tokenu odpovědi SAML:

    • Jedinečný identifikátor hodnoty NameID a formátu uživatele

    • Deklarace identity vydané v tokenu

    • Certifikát použitý k podepsání tokenu.

      Další informace o odpovědi SAML najdete v tématu Protokol SAML jednotného přihlašování.

  4. Když jste dokončili kontrolu odpovědi SAML, podívejte se na chybu na stránce aplikace po přihlášení , kde najdete pokyny k vyřešení problému.

  5. Pokud se stále nemůžete úspěšně přihlásit, můžete požádat dodavatele aplikace, co v odpovědi SAML chybí.

Další kroky

Teď, když jednotné přihlašování pracuje na vaší aplikaci, můžete automatizovat zřizování a rušení zřizování uživatelů pro aplikace SaaS nebo začít s podmíněným přístupem.