Po zalogowaniu się użytkownika na stronie aplikacji jest wyświetlany komunikat o błędzie
W tym scenariuszu identyfikator Entra firmy Microsoft podpisuje użytkownika. Jednak aplikacja wyświetla komunikat o błędzie i nie pozwala użytkownikowi zakończyć przepływu logowania. Problem polega na tym, że aplikacja nie zaakceptowała odpowiedzi wydanej przez identyfikator Entra firmy Microsoft.
Istnieje kilka możliwych powodów, dla których aplikacja nie zaakceptowała odpowiedzi z identyfikatora Entra firmy Microsoft. Jeśli jest wyświetlany komunikat o błędzie lub kod, użyj następujących zasobów, aby zdiagnozować błąd:
- Kody błędów uwierzytelniania i autoryzacji usługi Microsoft Entra
- Rozwiązywanie problemów z błędami monitu o wyrażenie zgody
Jeśli komunikat o błędzie nie identyfikuje wyraźnie braku odpowiedzi, spróbuj wykonać następujące czynności:
- Jeśli aplikacja znajduje się w galerii Microsoft Entra, sprawdź, czy wykonano kroki opisane w temacie Jak debugować logowanie jednokrotne oparte na protokole SAML do aplikacji w usłudze Microsoft Entra ID.
- Użyj narzędzia takiego jak Fiddler , aby przechwycić żądanie SAML, odpowiedź i token.
- Wyślij odpowiedź SAML do dostawcy aplikacji i zapytaj ich, czego brakuje.
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Brak atrybutów w odpowiedzi SAML
Aby dodać atrybut w konfiguracji microsoft Entra, który zostanie wysłany w odpowiedzi firmy Microsoft Entra, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>
Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację, którą chcesz skonfigurować na potrzeby logowania jednokrotnego.
Po załadowaniu aplikacji wybierz pozycję Logowanie jednokrotne w okienku nawigacji.
W sekcji Atrybuty użytkownika wybierz pozycję Wyświetl i edytuj wszystkie inne atrybuty użytkownika. W tym miejscu możesz zmienić atrybuty, które mają być wysyłane do aplikacji w tokenie SAML podczas logowania użytkowników.
Aby dodać atrybut:
Wybierz pozycję Dodaj atrybut. Wprowadź nazwę i wybierz wartość z listy rozwijanej.
Wybierz pozycję Zapisz. Nowy atrybut zostanie wyświetlony w tabeli.
Zapisz konfigurację.
Następnym razem, gdy użytkownik zaloguje się do aplikacji, identyfikator Microsoft Entra wyśle nowy atrybut w odpowiedzi SAML.
Aplikacja nie może zidentyfikować użytkownika
Logowanie do aplikacji kończy się niepowodzeniem, ponieważ w odpowiedzi SAML brakuje atrybutu takiego jak rola. Lub kończy się niepowodzeniem, ponieważ aplikacja oczekuje innego formatu lub wartości atrybutu NameID (Identyfikator użytkownika).
Jeśli używasz zautomatyzowanej aprowizacji użytkowników identyfikatora Entra firmy Microsoft do tworzenia, obsługi i usuwania użytkowników w aplikacji, sprawdź, czy użytkownik został aprowizowany w aplikacji SaaS. Aby uzyskać więcej informacji, zobacz Brak użytkowników, którzy są aprowizowani w aplikacji Microsoft Entra Gallery.
Dodawanie atrybutu do konfiguracji aplikacji Microsoft Entra
Aby zmienić wartość identyfikatora użytkownika, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
- Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>
- Wybierz aplikację, którą chcesz skonfigurować na potrzeby logowania jednokrotnego.
- Po załadowaniu aplikacji wybierz pozycję Logowanie jednokrotne w okienku nawigacji.
- W obszarze Atrybuty użytkownika wybierz unikatowy identyfikator użytkownika z listy rozwijanej Identyfikator użytkownika.
Zmienianie formatu NameID
Jeśli aplikacja oczekuje innego formatu atrybutu NameID (Identyfikator użytkownika), zobacz sekcję Edit nameID (Edytuj identyfikator nazwy), aby zmienić format NameID .
Identyfikator entra firmy Microsoft wybiera format atrybutu NameID (identyfikator użytkownika) na podstawie wybranej wartości lub formatu żądanego przez aplikację w żądaniu AuthRequest języka SAML. Aby uzyskać więcej informacji, zobacz sekcję "NameIDPolicy" protokołu SAML logowania jednokrotnego.
Aplikacja oczekuje innej metody podpisu dla odpowiedzi SAML
Aby zmienić części tokenu SAML podpisane cyfrowo przez identyfikator Entra firmy Microsoft, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>
Wybierz aplikację, dla której chcesz skonfigurować logowanie jednokrotne.
Po załadowaniu aplikacji wybierz pozycję Logowanie jednokrotne w okienku nawigacji.
W obszarze Certyfikat podpisywania SAML wybierz pozycję Pokaż zaawansowane ustawienia podpisywania certyfikatów.
Wybierz opcję podpisywania oczekiwaną przez aplikację spośród następujących opcji:
- Podpisz odpowiedź SAML
- Podpisywanie odpowiedzi i asercji SAML
- Podpisywanie asercji SAML
Następnym razem, gdy użytkownik zaloguje się do aplikacji, identyfikator Firmy Microsoft Entra podpisze część wybranej odpowiedzi SAML.
Aplikacja oczekuje algorytmu podpisywania SHA-1
Domyślnie identyfikator Entra firmy Microsoft podpisuje token SAML przy użyciu najbezpieczniejszego algorytmu. Zalecamy, aby nie zmieniać algorytmu podpisywania na SHA-1 , chyba że aplikacja wymaga algorytmu SHA-1.
Aby zmienić algorytm podpisywania, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>
Wybierz aplikację, którą chcesz skonfigurować na potrzeby logowania jednokrotnego.
Po załadowaniu aplikacji wybierz pozycję Logowanie jednokrotne w okienku nawigacji po lewej stronie aplikacji.
W obszarze Certyfikat podpisywania SAML wybierz pozycję Pokaż zaawansowane ustawienia podpisywania certyfikatów.
Wybierz algorytm SHA-1 jako algorytm podpisywania.
Następnym razem, gdy użytkownik zaloguje się do aplikacji, identyfikator Firmy Microsoft Entra podpisze token SAML przy użyciu algorytmu SHA-1.