Na stronie aplikacji jest wyświetlany komunikat o błędzie po zalogowaniu się użytkownika
W tym scenariuszu Microsoft Entra ID loguje użytkownika. Jednak aplikacja wyświetla komunikat o błędzie i nie pozwala użytkownikowi zakończyć przepływu logowania. Problem polega na tym, że aplikacja nie zaakceptowała odpowiedzi wydanej przez identyfikator Entra firmy Microsoft.
Istnieje kilka możliwych powodów, dla których aplikacja nie zaakceptowała odpowiedzi z identyfikatora Entra firmy Microsoft. Jeśli jest wyświetlany komunikat o błędzie lub kod, użyj następujących zasobów, aby zdiagnozować błąd:
- kody błędów uwierzytelniania i autoryzacji Microsoft Entra
- Rozwiązywanie problemów z błędami monitu o wyrażenie zgody
Jeśli komunikat o błędzie nie identyfikuje wyraźnie, czego brakuje w odpowiedzi, spróbuj wykonać następujące czynności:
- Jeśli aplikacja znajduje się w galerii Microsoft Entra, sprawdź, czy wykonano kroki opisane w Jak debugować logowanie jednokrotne oparte na protokole SAML do aplikacji w usłudze Microsoft Entra ID.
- Użyj narzędzia, takiego jak Fiddler, aby przechwycić żądanie SAML, odpowiedź i token.
- Wyślij odpowiedź SAML do dostawcy aplikacji i zapytaj ich, czego brakuje.
Brak atrybutów w odpowiedzi SAML
Aby dodać atrybut w konfiguracji microsoft Entra, który zostanie wysłany w odpowiedzi firmy Microsoft Entra, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstwa>Wszystkie aplikacje.
Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację, którą chcesz skonfigurować na potrzeby logowania jednokrotnego.
Po załadowaniu aplikacji wybierz logowanie jednokrotne (SSO) w panelu nawigacyjnym.
W sekcji Atrybuty użytkownika wybierz opcję Wyświetl i edytuj wszystkie inne atrybuty użytkownika. W tym miejscu możesz zmienić atrybuty, które mają być wysyłane do aplikacji w tokenie SAML podczas logowania użytkowników.
Aby dodać atrybut:
Wybierz pozycję Dodaj atrybut. Wprowadź Nazwai wybierz Wartość z listy rozwijanej.
Wybierz pozycję Zapisz. Nowy atrybut zostanie wyświetlony w tabeli.
Zapisz konfigurację.
Następnym razem, gdy użytkownik zaloguje się do aplikacji, identyfikator Microsoft Entra wyśle nowy atrybut w odpowiedzi SAML.
Aplikacja nie może zidentyfikować użytkownika
Logowanie do aplikacji kończy się niepowodzeniem, ponieważ w odpowiedzi SAML brakuje atrybutu takiego jak rola. Lub kończy się niepowodzeniem, ponieważ aplikacja oczekuje innego formatu lub wartości atrybutu NameID (identyfikator użytkownika).
Jeśli używasz Microsoft Entra ID do zautomatyzowanej aprowizacji użytkowników do tworzenia, konserwacji i usuwania użytkowników w aplikacji, sprawdź, czy użytkownik został przypisany do aplikacji SaaS. Aby uzyskać więcej informacji, zobacz Nie są przydzielani żadni użytkownicy do aplikacji Microsoft Entra Gallery.
Dodawanie atrybutu do konfiguracji aplikacji Microsoft Entra
Aby zmienić wartość identyfikatora użytkownika, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
- Przejdź do Identity>Applications>Enterprise applications>All applications.
- Wybierz aplikację, którą chcesz skonfigurować na potrzeby logowania jednokrotnego.
- Po załadowaniu aplikacji wybierz logowanie jednokrotne w panelu nawigacji.
- W obszarze Atrybuty użytkownikawybierz unikatowy identyfikator użytkownika z listy rozwijanej Identyfikator użytkownika.
Zmienianie formatu NameID
Jeśli aplikacja oczekuje innego formatu atrybutu NameID (Identyfikator użytkownika), zobacz sekcję Edit nameID , aby zmienić format NameID.
Microsoft Entra ID wybiera format atrybutu NameID (identyfikator użytkownika) na podstawie wartości wybranej lub formatu żądanego przez aplikację w żądaniu uwierzytelnienia SAML. Aby uzyskać więcej informacji, zobacz sekcję "NameIDPolicy" w protokole SAML logowania jednokrotnego .
Aplikacja oczekuje innej metody podpisu dla odpowiedzi SAML
Aby zmienić części tokenu SAML podpisane cyfrowo przez identyfikator Entra firmy Microsoft, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
Przejdź do Tożsamość>Aplikacje>Aplikacje korporacyjne>Wszystkie aplikacje.
Wybierz aplikację, którą chcesz skonfigurować na potrzeby logowania jednokrotnego.
Po załadowaniu aplikacji wybierz logowanie jednokrotne w okienku nawigacji.
W obszarze certyfikat podpisywania SAMLwybierz pozycję Pokaż zaawansowane ustawienia podpisywania certyfikatów.
Wybierz opcję podpisywania oczekiwaną przez aplikację spośród następujących opcji:
- podpisywania odpowiedzi SAML
- Podpisz odpowiedź SAML i asercję
- Podpisz asercję SAML
Następnym razem, gdy użytkownik zaloguje się do aplikacji, Microsoft Entra ID podpisze tę część odpowiedzi SAML, którą wybrałeś.
Aplikacja oczekuje algorytmu podpisywania SHA-1
Domyślnie identyfikator Entra firmy Microsoft podpisuje token SAML przy użyciu najbezpieczniejszego algorytmu. Zalecamy, aby nie zmieniać algorytmu podpisywania na SHA-1, chyba że aplikacja wymaga algorytmu SHA-1.
Aby zmienić algorytm podpisywania, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
Przejdź do Identity>Applications>Enterprise applications>All applications.
Wybierz aplikację, którą chcesz skonfigurować na potrzeby logowania jednokrotnego.
Po załadowaniu aplikacji wybierz pozycję Jednolite logowanie w okienku nawigacji po lewej stronie aplikacji.
W obszarze certyfikat podpisywania SAMLwybierz pozycję Pokaż zaawansowane ustawienia podpisywania certyfikatów.
Wybierz SHA-1 jako algorytm podpisywania .
Następnym razem, gdy użytkownik zaloguje się do aplikacji, identyfikator Firmy Microsoft Entra podpisze token SAML przy użyciu algorytmu SHA-1.