Mensaje de error en la página de la aplicación cuando el usuario inicia sesión
En este escenario, Microsoft Entra ID inicia la sesión del usuario. Pero la aplicación muestra un mensaje de error y no permite al usuario finalizar el flujo de inicio de sesión. El problema es que la aplicación no aceptó la respuesta de Microsoft Entra ID.
Hay algunos posibles motivos de por qué la aplicación no aceptó la respuesta de Microsoft Entra ID. Si se muestra un mensaje o código de error, con los siguientes recursos podrá diagnosticarlo:
- Códigos de error de autenticación y autorización de Microsoft Entra
- Solución de problemas de solicitud de consentimiento
Si el mensaje de error no identifica claramente lo que no está presente en la respuesta, intente lo siguiente:
- Si la aplicación está en la Galería de Microsoft Entra, compruebe que ha seguido todos los pasos del artículo Cómo depurar el inicio de sesión único basado en SAML en aplicaciones de Microsoft Entra ID.
- Use una herramienta como Fiddler para capturar la solicitud, la respuesta y el token de SAML.
- Envíe la respuesta SAML al proveedor de la aplicación y pídale lo que falta.
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Faltan atributos de la respuesta SAML
Para agregar un atributo en la configuración de Microsoft Entra que se enviará en la respuesta Microsoft Entra, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
Escriba el nombre de la aplicación existente en el cuadro de búsqueda y, a continuación, seleccione la aplicación que desea configurar para el inicio de sesión único.
Después de que la aplicación se cargue, seleccione Inicio de sesión único en el panel de navegación.
En la sección Atributos de usuario, seleccione Ver y editar todos los demás atributos de usuario. Aquí puede cambiar qué atributos enviar a la aplicación en el token SAML cuando los usuarios inician sesión.
Para agregar un atributo:
Seleccione Agregar atributo. Escriba el Nombre y seleccione el Valor de la lista desplegable.
Seleccione Guardar. En la tabla verá el nuevo atributo.
Guarde la configuración.
La próxima vez que el usuario inicie sesión en la aplicación, Microsoft Entra ID enviará el nuevo atributo en la respuesta de SAML.
La aplicación no puede identificar al usuario
No se puede iniciar sesión en la aplicación porque falta un atributo, como un rol, en la respuesta SAML. O bien, se produce un error porque la aplicación espera un valor o un formato diferente para el atributo NameID (identificador de usuario).
Si usa el aprovisionamiento automático de usuarios de Microsoft Entra ID para crear, mantener y quitar usuarios de la aplicación, compruebe que el usuario se haya aprovisionado en la aplicación SaaS. Para más información, consulte No se aprovisionan usuarios en una aplicación de la galería de Microsoft Entra.
Adición de un atributo a la configuración de la aplicación de Microsoft Entra
Para cambiar el valor del identificador de usuario, siga estos pasos:
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
- Seleccione la aplicación para la que quiere configurar el SSO.
- Después de que la aplicación se cargue, seleccione Inicio de sesión único en el panel de navegación.
- En Atributos de usuario, seleccione el identificador único para los usuarios de la lista desplegable Identificador de usuario.
Cambio del formato de NameID
Si la aplicación espera otro formato para el atributo NameID (id. de usuario), consulte la sección Edición de NameID para cambiar el formato de NameID.
Microsoft Entra ID selecciona el formato del atributo NameID (identificador de usuario) en función del valor que se selecciona o del formato que solicite la aplicación en el elemento AuthRequest de SAML. Para obtener más información, vea la sección "NameIDPolicy" de Protocolo SAML de inicio de sesión único.
La aplicación espera un método de firma diferente para la respuesta de SAML
Para cambiar qué partes del token de SAML que Microsoft Entra ID firma digitalmente, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
Seleccione la aplicación que desea configurar para el inicio de sesión único.
Después de que la aplicación se cargue, seleccione Inicio de sesión único en el panel de navegación.
En Certificado de firma de SAML, seleccione Mostrar configuración avanzada de firma de certificados.
Seleccione la opción de firma que espera la aplicación entre estas opciones:
- Firmar respuesta SAML
- Firmar respuesta y aserción SAML
- Firmar aserción SAML
La próxima vez que el usuario inicie sesión en la aplicación, Microsoft Entra ID firmará la parte de la respuesta de SAML seleccionada.
La aplicación espera el algoritmo de firma SHA-1
De forma predeterminada, Microsoft Entra ID firma el token de SAML con el algoritmo de máxima seguridad. Le recomendamos que no cambie el algoritmo de firma para SHA-1 a menos que la aplicación requiera SHA-1.
Para cambiar el algoritmo de firma, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
Seleccione la aplicación que desea configurar para el inicio de sesión único.
Después de que la aplicación se carga, seleccione Inicio de sesión único en el panel de navegación de la izquierda de la aplicación.
En Certificado de firma de SAML, seleccione Mostrar configuración avanzada de firma de certificados.
Seleccione SHA-1 como el Algoritmo de firma.
La próxima vez que el usuario inicie sesión en la aplicación, Microsoft Entra ID firmará el token SAML con el algoritmo SHA-1.