Depurar o logon único baseado em SAML em aplicativos
Nesse artigo, você aprenderá como localizar e corrigir problemas de logon único em aplicativos no Microsoft Entra ID que usam logon único baseado em SAML.
Antes de começar
É recomendado instalar a My Apps Secure Sign-in Extension. Essa extensão do navegador facilita a coleta de informações de solicitação e de resposta SAML que você precisa para resolver problemas de logon único. Caso você não possa instalar a extensão, este artigo mostrará como resolver problemas com e sem a extensão instalada.
Para baixar e instalar a My Apps Secure Sign-in Extension, use um dos links a seguir.
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Testar o logon único baseado em SAML
Para testar o logon único baseado em SAML entre o Microsoft Entra ID e um aplicativo de destino:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.
Na lista de aplicativos empresariais, selecione o aplicativo para o qual você deseja testar o logon único e, nas opções à esquerda, selecione Logon único.
No painel Selecionar um método de logon único, selecione SAML.
Para abrir a experiência de testes de logon único baseado em SAML, vá para Testar logon único (etapa 5). Se o botão Testar estiver esmaecido, será necessário preencher e salvar os atributos necessários primeiro na seção Configuração Básico do SAML.
Na página Testar logon único, use suas credenciais corporativas para entrar no aplicativo de destino. Você pode entrar como o usuário atual ou como um usuário diferente. Se você entrar como um usuário diferente, um prompt solicitará que você se autentique.
Se você conseguir entrar, o teste será bem-sucedido. Nesse caso, o Microsoft Entra ID emitiu um token de resposta SAML para o aplicativo. O aplicativo usou o token SAML para você entrar com êxito.
Se houver um erro na página de entrada da empresa ou na página do aplicativo, use uma das seções a seguir para resolver o erro.
Resolver um erro de entrada na página de entrada da empresa
Ao tentar entrar, você verá um erro na página de entrada da empresa, que é similar ao exemplo a seguir.
Para depurar esse erro, você precisa da mensagem de erro e da solicitação SAML. A My Apps Secure Sign-in Extension coleta essas informações automaticamente e exibe as diretrizes de resolução no Microsoft Entra ID.
Para resolver o erro de entrada com a Extensão de Entrada Segura dos Meus Aplicativos instalada
- Quando ocorre um erro, a extensão o redireciona para a página Testar logon único do Microsoft Entra ID.
- Na página Testar logon único, selecione Baixar a solicitação SAML.
- Serão exibidas diretrizes de resolução específicas com base no erro e nos valores na solicitação SAML.
- Você vê um botão Corrigir para atualizar automaticamente a configuração no Microsoft Entra ID para resolver o problema. Se não vir esse botão, o problema de entrada não será devido a uma configuração incorreta no Microsoft Entra ID.
Se nenhuma resolução for fornecida para o erro de entrada, sugerimos que você use a caixa de texto comentários para nos informar.
Para resolver o erro sem instalar a Extensão de Entrada Segura dos Meus Aplicativos
- Copie a mensagem de erro no canto inferior direito da página. A mensagem de erro inclui:
- Um CorrelationID e um carimbo de data/hora. Esses valores são importantes quando você cria um caso de suporte com a Microsoft porque eles ajudam os engenheiros a identificar o problema e a fornecer uma resolução precisa do problema.
- Uma instrução que identifica a causa raiz do problema.
- Volte para o Microsoft Entra ID e encontre a página Testar logon único.
- Na caixa de texto acima de Obter diretrizes de resolução, cole a mensagem de erro.
- Selecione Obter diretrizes de resolução para exibir as etapas para resolver o problema. As diretrizes podem exigir informações da solicitação SAML ou da resposta SAML. Se não estiver usando a Extensão de Entrada Segura dos Meus Aplicativos, talvez seja necessário usar uma ferramenta como a Fiddler para recuperar a resposta e a solicitação SAML.
- Verifique se o destino na solicitação SAML corresponde à URL do Serviço de Logon Único de SAML obtida no Microsoft Entra ID.
- Verifique se o emissor na solicitação SAML é o mesmo identificador configurado para o aplicativo no Microsoft Entra ID. O Microsoft Entra ID usa o emissor para localizar um aplicativo no diretório.
- Verifique se AssertionConsumerServiceURL é onde o aplicativo espera receber o token SAML do Microsoft Entra ID. Você pode configurar esse valor no Microsoft Entra ID, mas isso não será obrigatório se ele fizer parte da solicitação SAML.
Resolver um erro de entrada na página do aplicativo
Você pode entrar com êxito e, em seguida, encontrar um erro na página do aplicativo. Esse erro ocorre quando o Microsoft Entra ID emite um token para o aplicativo, mas o aplicativo não aceita a resposta.
Para resolver o erro, siga estas etapas ou assista a este vídeo rápido sobre como usar o Microsoft Entra ID para solucionar problemas de SSO do SAML:
Se o aplicativo estiver na Galeria do Microsoft Entra, verifique se você seguiu todas as etapas para integrar o aplicativo ao Microsoft Entra ID. Para obter as instruções de integração do aplicativo, confira a lista de tutoriais de integração de aplicativos SaaS.
Recupere a resposta de SAML.
- Se a extensão de Entrada Segura de Meus Aplicativos estiver instalada, na página Testar logon único, selecione baixar a resposta SAML.
- Se a extensão não estiver instalada, use uma ferramenta como a Fiddler para recuperar a resposta SAML.
Observe estes elementos no token da resposta SAML:
Identificador exclusivo do usuário do valor e do formato de NameID
Declarações emitidas no token
Certificado usado para assinar o token.
Para obter mais informações sobre a resposta SAML, confira Protocolo SAML de Logon Único.
Agora que você terminou de examinar a resposta SAML, confira Erro em uma página do aplicativo após a entrada para obter diretrizes de como resolver o problema.
Se você ainda não conseguiu entrar com êxito, pergunte ao fornecedor do aplicativo o que está faltando na resposta SAML.
Próximas etapas
Agora que o logon único está funcionando para o seu aplicativo, você pode Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS ou Começar a usar o acesso condicional.