次の方法で共有

アプリ ページに、ユーザーがサインインした後にエラー メッセージが表示される

  • [アーティクル]

このシナリオでは、Microsoft Entra ID によってユーザーがサインインします。 ただし、アプリケーションではエラー メッセージが表示され、ユーザーはサインイン フローを完了できません。 問題は、アプリが Microsoft Entra ID によって発行された応答を受け入れられなかったということです。

アプリが Microsoft Entra ID からの応答を受け入れなかった理由はいくつかあります。 エラー メッセージまたはコードが表示されている場合は、次のリソースを使用してエラーを診断します。

エラー メッセージで応答に不足しているものが明確に識別されない場合は、次の手順を試してください。

  • アプリが Microsoft Entra ギャラリーにある場合は、「Microsoft Entra IDでアプリケーションに対する SAML ベースのシングル サインオンをデバッグする方法」の手順に従っていることを確認します。
  • Fiddler などのツールを使用して、SAML 要求、応答、トークンをキャプチャします。
  • SAML 応答をアプリ ベンダーに送信し、不足している内容を確認します。

SAML 応答に属性がありません

Microsoft Entra 応答で送信される属性を Microsoft Entra 構成に追加するには、次の手順に従います。

  1. 少なくとも クラウド アプリケーション管理者として、Microsoft Entra 管理センター にサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] の順に参照します。

  3. 検索ボックスに既存のアプリケーションの名前を入力し、シングル サインオン用に構成するアプリケーションを選択します。

  4. アプリが読み込まれたら、ナビゲーション パネルで [シングル サインオン] を選択します。

  5. [ユーザー属性] セクションで、[その他のすべてのユーザー属性を表示および編集する] を選択します。 ここでは、ユーザーがサインインするときに SAML トークンでアプリに送信する属性を変更できます。

    属性を追加するには:

    1. を選択して、属性を追加します。 [名]を入力し、ドロップダウン リストから [値] を選択します。

    2. [保存] を選択します。 テーブルに新しい属性が表示されます。

  6. 構成を保存します。

    ユーザーが次回アプリにサインインすると、Microsoft Entra ID は SAML 応答で新しい属性を送信します。

アプリでユーザーを識別できない

SAML 応答にロールなどの属性がないため、アプリへのサインインは失敗します。 または、NameID (ユーザー識別子) 属性に別の形式または値がアプリで想定されているため、失敗します。

Microsoft Entra ID 自動ユーザー プロビジョニング を使用して、アプリ内のユーザーを作成、保守、削除する場合は、ユーザーが SaaS アプリにプロビジョニングされていることを確認します。 詳細については、「Microsoft Entra Gallery アプリケーションにユーザーがプロビジョニングされていない」を参照してください。

Microsoft Entra アプリ構成に属性を追加する

ユーザー識別子の値を変更するには、次の手順に従います。

  1. 少なくとも クラウド アプリケーション管理者として、Microsoft Entra 管理センター にサインインします。
  2. アイデンティティ>アプリケーション>エンタープライズ アプリケーション>すべてのアプリケーションを参照します。
  3. SSO 用に構成するアプリを選択します。
  4. アプリが読み込まれたら、ナビゲーションウィンドウの[シングルサインオン]を選択します。
  5. [ユーザー属性] で、[ユーザー識別子] ドロップダウン リストからユーザーの一意の識別子を選択します。

NameID 形式を変更する

アプリケーションで NameID (ユーザー識別子) 属性に別の形式が必要な場合は、「nameID の編集」セクション 参照して NameID 形式を変更してください。

Microsoft Entra ID は、選択された値または SAML AuthRequest でアプリによって要求された形式に基づいて、NameID 属性 (ユーザー識別子) の形式を選択します。 詳細については、「シングル サインオン SAML プロトコル」の「NameIDPolicy」セクションを参照してください。

アプリでは、SAML 応答に対して異なる署名方法が必要です

Microsoft Entra ID によってデジタル署名される SAML トークンのどの部分を変更するには、次の手順に従います。

  1. 少なくとも クラウド アプリケーション管理者として、Microsoft Entra 管理センター にサインインします。

  2. アイデンティティ>アプリケーション>エンタープライズ アプリケーション>すべてのアプリケーションに移動します。

  3. シングル サインオン用に構成するアプリケーションを選択します。

  4. アプリケーションが読み込まれたら、ナビゲーション ペインで [シングル サインオン] を選択します。

  5. SAML 署名証明書の下で、証明書署名の詳細設定の表示を選択します。

  6. 次のオプションの中から、アプリで想定される 署名オプション を選択します。

    • SAML 応答の署名
    • SAML 応答とアサーションへの署名
    • SAML アサーションへの署名

    ユーザーが次回アプリにサインインすると、Microsoft Entra ID は選択した SAML 応答の一部に署名します。

アプリは SHA-1 署名アルゴリズムを想定しています

既定では、Microsoft Entra ID は、最も安全なアルゴリズムを使用して SAML トークンに署名します。 アプリで SHA-1 が必要な場合を除き、署名アルゴリズムを SHA-1 に変更しないことをお勧めします。

署名アルゴリズムを変更するには、次の手順に従います。

  1. 少なくとも クラウド アプリケーション管理者として、Microsoft Entra 管理センター にサインインします。

  2. アイデンティティ>アプリケーション>エンタープライズ アプリケーション>すべてのアプリケーションを参照します。

  3. シングル サインオン用に構成するアプリを選択します。

  4. アプリが読み込まれたら、アプリの左側にあるナビゲーション ウィンドウから [シングル サインオン] を選択します。

  5. [SAML 署名証明書]で、[証明書署名の詳細設定の表示]を選択します。

  6. [署名アルゴリズム] として [SHA-1] を選択します。

    ユーザーが次回アプリにサインインすると、Microsoft Entra ID は SHA-1 アルゴリズムを使用して SAML トークンに署名します。

次の手順