A página de uma aplicação apresenta uma mensagem de erro após o utilizador iniciar sessão
Nesse cenário, o Microsoft Entra ID conecta o usuário. Mas o aplicativo exibe uma mensagem de erro e não permite que o usuário conclua o fluxo de entrada. O problema é que o aplicativo não aceitou a resposta que o Microsoft Entra ID emitiu.
Há várias razões possíveis pelas quais o aplicativo não aceitou a resposta do Microsoft Entra ID. Se houver uma mensagem de erro ou código exibido, use os seguintes recursos para diagnosticar o erro:
- Códigos de erro de autenticação e autorização do Microsoft Entra
- Solução de problemas de erros de prompt de consentimento
Se a mensagem de erro não identificar claramente o que está faltando na resposta, tente o seguinte:
- Se o aplicativo estiver na galeria do Microsoft Entra, verifique se você seguiu as etapas em Como depurar logon único baseado em SAML para aplicativos no Microsoft Entra ID.
- Use uma ferramenta como o Fiddler para capturar a solicitação, a resposta e o token SAML.
- Envie a resposta SAML para o fornecedor do aplicativo e pergunte o que está faltando.
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Atributos estão faltando na resposta SAML
Para adicionar um atributo na configuração do Microsoft Entra que será enviado na resposta do Microsoft Entra, siga estas etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.
Introduza o nome da aplicação existente na caixa de pesquisa e, em seguida, selecione a aplicação que pretende configurar para início de sessão único.
Depois que o aplicativo carregar, selecione Logon único no painel de navegação.
Na seção Atributos do Usuário, selecione Exibir e editar todos os outros atributos do usuário. Aqui você pode alterar quais atributos enviar para o aplicativo no token SAML quando os usuários entrarem.
Para adicionar um atributo:
Selecione Adicionar atributo. Digite o Nome e selecione o Valor na lista suspensa.
Selecione Guardar. Você verá o novo atributo na tabela.
Guardar a configuração.
Na próxima vez que o usuário entrar no aplicativo, a ID do Microsoft Entra enviará o novo atributo na resposta SAML.
O aplicativo não consegue identificar o usuário
O login no aplicativo falha porque a resposta SAML está faltando um atributo, como uma função. Ou falha porque o aplicativo espera um formato ou valor diferente para o atributo NameID (User Identifier).
Se você estiver usando o provisionamento automatizado de usuários do Microsoft Entra ID para criar, manter e remover usuários no aplicativo, verifique se o usuário foi provisionado para o aplicativo SaaS. Para obter mais informações, consulte Nenhum usuário está sendo provisionado para um aplicativo Microsoft Entra Gallery.
Adicionar um atributo à configuração do aplicativo Microsoft Entra
Para alterar o valor do identificador de utilizador, siga estes passos:
- Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
- Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.
- Selecione o aplicativo que você deseja configurar para SSO.
- Depois que o aplicativo carregar, selecione Logon único no painel de navegação.
- Em Atributos de usuário, selecione o identificador exclusivo do usuário na lista suspensa Identificador de usuário.
Alterar o formato NameID
Se o aplicativo espera outro formato para o atributo NameID (User Identifier), consulte a seção Edit nameID para alterar o formato NameID.
O Microsoft Entra ID seleciona o formato para o atributo NameID (User Identifier) com base no valor selecionado ou no formato solicitado pelo aplicativo no SAML AuthRequest. Para obter mais informações, consulte a seção "NameIDPolicy" do protocolo SAML de logon único.
O aplicativo espera um método de assinatura diferente para a resposta SAML
Para alterar quais partes do token SAML são assinadas digitalmente pela ID do Microsoft Entra, siga estas etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.
Selecione a aplicação que quer configurar para o início de sessão único.
Depois que o aplicativo for carregado, selecione Logon único no painel de navegação.
Em Certificado de Assinatura SAML, selecione Mostrar configurações avançadas de assinatura de certificado.
Selecione a opção de assinatura que o aplicativo espera entre estas opções:
- Assinar resposta SAML
- Assinar resposta e asserção SAML
- Assinar asserção SAML
Na próxima vez que o usuário entrar no aplicativo, a ID do Microsoft Entra assinará a parte da resposta SAML selecionada.
O aplicativo espera o algoritmo de assinatura SHA-1
Por padrão, o Microsoft Entra ID assina o token SAML usando o algoritmo mais seguro. Recomendamos que você não altere o algoritmo de assinatura para SHA-1, a menos que o aplicativo exija SHA-1 .
Para alterar o algoritmo de assinatura, siga estes passos:
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.
Selecione o aplicativo que você deseja configurar para logon único.
Depois que o aplicativo carregar, selecione Logon único no painel de navegação no lado esquerdo do aplicativo.
Em Certificado de Assinatura SAML, selecione Mostrar configurações avançadas de assinatura de certificado.
Selecione SHA-1 como o algoritmo de assinatura.
Na próxima vez que o usuário entrar no aplicativo, o ID do Microsoft Entra assinará o token SAML usando o algoritmo SHA-1.