Una pagina dell'app mostra un messaggio di errore dopo l'accesso dell'utente
In questo scenario, Microsoft Entra ID consente di accedere all'utente. L'applicazione visualizza tuttavia un messaggio di errore e non consente all'utente di completare il flusso di accesso. Il problema è che l'app non ha accettato la risposta rilasciata da Microsoft Entra ID.
Esistono diversi motivi per cui l'app non ha accettato la risposta da Microsoft Entra ID. Se è visualizzato un messaggio di errore o un codice, usare le risorse seguenti per diagnosticare l'errore:
- Codici di errore per l'autenticazione e l'autorizzazione di Microsoft Entra
- Risoluzione dei problemi relativi agli errori di richiesta di consenso
Se il messaggio di errore non identifica chiaramente ciò che manca dalla risposta, provare a eseguire le operazioni seguenti:
- Se l'applicazione si trova nella raccolta di Microsoft Entra, verificare di aver seguito i passaggi descritti in Come effettuare il debug dell'accesso Single Sign-On basato su SAML alle applicazioni in Microsoft Entra ID.
- Usare uno strumento come Fiddler per acquisire la richiesta, la risposta e il token SAML.
- Inviare la risposta SAML al fornitore dell'app e chiedere loro cosa manca.
Gli attributi non sono presenti nella risposta SAML
Per aggiungere un attributo nella configurazione di Microsoft Entra che verrà inviato nella risposta Microsoft Entra, seguire questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Cloud Application Administrator .
Passare a Identity>Applications>Enterprise applications>All applications.
Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione da configurare per l'accesso Single Sign-On.
Dopo il caricamento dell'app, selezionare Accesso Singolo nel riquadro di navigazione.
Nella sezione attributi utente selezionare Visualizza e modificare tutti gli altri attributi utente. Qui è possibile modificare gli attributi da inviare all'app nel token SAML quando gli utenti accedono.
Per aggiungere un attributo:
Selezionare Aggiungi attributo. Immettere il Nomee selezionare il valore dall'elenco a discesa.
Selezionare Salva. Nella tabella verrà visualizzato il nuovo attributo.
Salvare la configurazione.
Al successivo accesso dell'utente all'app, Microsoft Entra ID invierà il nuovo attributo nella risposta SAML.
L'app non è in grado di identificare l'utente
L'accesso all'app ha esito negativo perché la risposta SAML manca un attributo, ad esempio un ruolo. Oppure fallisce perché l'app si aspetta un formato o un valore diverso per l'attributo NameID (Identificatore utente).
Se si utilizza Microsoft Entra ID automatizzato di provisioning utenti per creare, gestire e rimuovere utenti nell'app, verificare che l'utente sia stato configurato nella app SaaS. Per altre informazioni, vedere Nessun utente viene fornito a un'applicazione di Microsoft Entra Gallery.
Aggiungere un attributo alla configurazione dell'app Microsoft Entra
Per modificare il valore di Identificatore utente, seguire questa procedura:
- Accedere all'interfaccia di amministrazione di Microsoft Entra in qualità di almeno un Cloud Application Administrator .
- Sfoglia fino a Identity>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
- Seleziona l'app che desideri configurare per l'accesso Single Sign-On.
- Dopo il caricamento dell'app, selezionare Single Sign-On nel riquadro di spostamento.
- In Attributi utente, selezionare l'identificatore univoco per l'utente dall'elenco a discesa identificatore utente.
Modificare il formato NameID
Se l'applicazione prevede un altro formato per l'attributo NameID (Identificatore utente), vedere la sezione Edit nameID per modificare il formato NameID.
Microsoft Entra ID seleziona il formato per l'attributo NameID (Identificatore utente) in base al valore selezionato o al formato richiesto dall'app in SAML AuthRequest. Per ulteriori informazioni, vedere la sezione "NameIDPolicy" del Protocollo SAML Single Sign-On.
L'app prevede un metodo di firma diverso per la risposta SAML
Per modificare le parti del token SAML firmate digitalmente da Microsoft Entra ID, seguire questa procedura:
Effettuare l'accesso all'interfaccia di amministrazione di Microsoft Entra come almeno amministratore delle applicazioni cloud .
Accedere a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
Selezionare l'applicazione da configurare per l'accesso Single Sign-On.
Dopo il caricamento dell'applicazione, selezionare Single Sign-On nel riquadro di spostamento.
In il Certificato di firma SAML, selezionare Mostra impostazioni avanzate di firma del certificato.
Selezionare l'opzione di firma prevista dall'app tra le opzioni seguenti:
- firmare la risposta SAML
- firmare la risposta e l'asserzione SAML
- Firma asserzione SAML
Al successivo accesso dell'utente all'app, Microsoft Entra ID firmerà la parte della risposta SAML selezionata.
L'app prevede l'algoritmo di firma SHA-1
Per impostazione predefinita, Microsoft Entra ID firma il token SAML usando l'algoritmo più sicuro. È consigliabile non modificare l'algoritmo di firma in SHA-1 a meno che l'app non richieda SHA-1.
Per modificare l'algoritmo di firma, seguire questa procedura:
Accedi al centro di amministrazione di Microsoft Entra come almeno un Amministratore di applicazioni cloud.
Passa a Identity>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
Selezionare l'app da configurare per l'accesso Single Sign-On.
Dopo il caricamento dell'app, selezionare Single Sign-On nel riquadro di spostamento a sinistra dell'app.
In certificato di firma SAML, seleziona Mostra le impostazioni avanzate per la firma del certificato.
Selezionare SHA-1 come algoritmo di firma .
Alla successiva accesso dell'utente all'app, Microsoft Entra ID firmerà il token SAML usando l'algoritmo SHA-1.