Uma página de aplicativo mostra uma mensagem de erro depois que o usuário entra

Nesse cenário, o Microsoft Entra ID conecta o usuário. Mas o aplicativo exibe uma mensagem de erro e não permite que o usuário conclua o fluxo de entrada. O problema é que o aplicativo não aceitou a resposta que o Microsoft Entra ID emitiu.

Há várias razões possíveis pelas quais o aplicativo não aceitou a resposta do Microsoft Entra ID. Se houver uma mensagem de erro ou código exibido, use os seguintes recursos para diagnosticar o erro:

• códigos de erro de autenticação e autorização do Microsoft Entra
• Resolver problemas de erros do pedido de consentimento

Se a mensagem de erro não identificar claramente o que está faltando na resposta, tente o seguinte:

• Se o aplicativo estiver na galeria do Microsoft Entra, verifique se você seguiu as etapas em Como depurar logon único baseado em SAML para aplicativos no Microsoft Entra ID.
• Use uma ferramenta como Fiddler para capturar a solicitação, a resposta e o token SAML.
• Envie a resposta SAML para o fornecedor do aplicativo e pergunte o que está faltando.

Atributos estão faltando na resposta SAML

Para adicionar um atributo na configuração do Microsoft Entra que será enviado na resposta do Microsoft Entra, siga estas etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Cloud Application Administrator.

2. Navegue até Identity>Applications>Enterprise applications>All applications.

3. Introduza o nome da aplicação existente na caixa de procura e, em seguida, selecione a aplicação que pretende configurar para início de sessão único.

4. Depois que o aplicativo carregar, selecione de logon único no painel de navegação.

5. Na seção Atributos do Utilizador, selecione Ver e editar todos os outros atributos do utilizador. Aqui você pode alterar quais atributos enviar para o aplicativo no token SAML quando os usuários entrarem.

   Para adicionar um atributo:

   1. Selecione Adicionar atributo. Insira o Nomee selecione o Valor na lista suspensa.

   2. Selecione Salvar. Você verá o novo atributo na tabela.

6. Salve a configuração.

   Na próxima vez que o usuário entrar no aplicativo, a ID do Microsoft Entra enviará o novo atributo na resposta SAML.

O aplicativo não consegue identificar o usuário

O login no aplicativo falha porque a resposta SAML está faltando um atributo, como uma função. Ou falha porque o aplicativo espera um formato ou valor diferente para o atributo NameID (User Identifier).

Se você estiver usando de provisionamento de usuário automatizado do Microsoft Entra ID para criar, manter e remover usuários no aplicativo, verifique se o usuário foi provisionado para o aplicativo SaaS. Para obter mais informações, consulte Nenhum usuário está sendo provisionado para um aplicativo Microsoft Entra Gallery.

Adicionar um atributo à configuração do aplicativo Microsoft Entra

Para alterar o valor do identificador de utilizador, siga estes passos:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicações em nuvem.
2. Navegue até Identidade>Aplicações>Aplicações empresariais>Todas as aplicações.
3. Selecione o aplicativo que você deseja configurar para SSO.
4. Depois de o aplicativo carregar, selecione logon único no painel de navegação.
5. Em Atributos de Usuário, selecione o identificador exclusivo do usuário na lista suspensa Identificador de Usuário.

Alterar o formato NameID

Se o aplicativo espera outro formato para o atributo NameID (User Identifier), consulte a seção Edit nameID para alterar o formato NameID.

Microsoft Entra ID seleciona o formato para o atributo NameID (User Identifier) com base no valor escolhido ou no formato solicitado pela aplicação no SAML AuthRequest. Para mais informações, consulte a secção "NameIDPolicy" do protocolo SAML de autenticação única .

O aplicativo espera um método de assinatura diferente para a resposta SAML

Para alterar quais partes do token SAML são assinadas digitalmente pela ID do Microsoft Entra, siga estas etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Cloud Application Administrator.

2. Navegue até Identity>Aplicações>Aplicações empresariais>Todas as aplicações.

3. Selecione o aplicativo que você deseja configurar para logon único.

4. Depois que o aplicativo for carregado, selecione de logon único no painel de navegação.

5. Em Certificado de Assinatura SAML, selecione Mostrar definições avançadas de assinatura do certificado.

6. Selecione a opção de assinatura que o aplicativo espera entre estas opções:

   • Assine a resposta SAML
   • Assine a resposta SAML e a asserção
   • Assinar a asserção SAML

   Na próxima vez que o usuário entrar no aplicativo, a ID do Microsoft Entra assinará a parte da resposta SAML selecionada.

O aplicativo espera o algoritmo de assinatura SHA-1

Por padrão, o Microsoft Entra ID assina o token SAML usando o algoritmo mais seguro. Recomendamos que você não altere o algoritmo de assinatura para SHA-1, a menos que o aplicativo exija SHA-1.

Para alterar o algoritmo de assinatura, siga estes passos:

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de Aplicações na Cloud .

2. Navegue para Identity>Aplicações>Aplicações empresariais>Todas as aplicações.

3. Selecione o aplicativo que você deseja configurar para logon único.

4. Após o carregamento da aplicação, selecione Início de sessão único no painel de navegação à esquerda da aplicação.

5. Em Certificado de Assinatura SAML , selecione Mostrar configurações avançadas de assinatura de certificado.

6. Selecione SHA-1 como o algoritmo de assinatura .

   Na próxima vez que o usuário entrar no aplicativo, o ID do Microsoft Entra assinará o token SAML usando o algoritmo SHA-1.

Próximos passos

• Como depurar logon único baseado em SAML para aplicativos no Microsoft Entra ID
• códigos de erro de autenticação e de autorização do Microsoft Entra
• Solução de problemas de erros de prompt de consentimento