Страница приложения отображает сообщение об ошибке после входа пользователя
В этом сценарии идентификатор Microsoft Entra входит в систему пользователя. Но приложение выводит сообщение об ошибке и не позволяет пользователю завершить вход. Проблема заключается в том, что приложение не приняло ответ, выданный идентификатором Microsoft Entra.
Существует несколько возможных причин, по которым приложение не принял ответ от идентификатора Microsoft Entra. Если отображается сообщение об ошибке или код, используйте следующие ресурсы для диагностики ошибки:
Если в сообщении об ошибке четко не указывается, что отсутствует в отклике, попробуйте выполнить указанные ниже действия.
- Если приложение находится в коллекции Microsoft Entra, убедитесь, что вы выполнили действия, описанные в разделе "Отладка единого входа на основе SAML" в приложения в идентификаторе Microsoft Entra ID.
- С помощью такого инструмента, как Fiddler, можно записать запрос, отклик и токен SAML.
- Отправьте отклик SAML поставщику приложения и спросите, чего в нем не хватает.
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
В отклике SAML отсутствуют атрибуты
Чтобы добавить атрибут в конфигурацию Microsoft Entra, которая будет отправлена в ответе Microsoft Entra, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
Введите имя существующего приложения в поле поиска и выберите приложение, которое нужно настроить для единого входа.
После загрузки приложения выберите Единый вход в области навигации.
В разделе Атрибуты пользователей выберите Просмотреть и изменить все другие атрибуты пользователей. Здесь можно изменить атрибуты, отправляемые приложению в токене SAML при входе пользователей.
Чтобы добавить атрибут, выполните указанные ниже действия.
Нажмите кнопку Добавить атрибут. Укажите Имя и выберите значение в раскрывающемся списке.
Выберите Сохранить. Новый атрибут появится в таблице.
Сохраните конфигурацию.
При следующем входе пользователя в приложение идентификатор Microsoft Entra отправит новый атрибут в ответе SAML.
Приложение не может идентифицировать пользователя
Войти в приложение не удается, так как в отклике SAML отсутствует атрибут, например роль. Это также может быть вызвано тем, что приложение ожидает другой формат или другое значение атрибута NameID (идентификатора пользователя).
Если вы используете автоматическую подготовку пользователей Microsoft Entra ID для создания, обслуживания и удаления пользователей в приложении, убедитесь, что пользователь был подготовлен к приложению SaaS. Дополнительные сведения см. в статье "Нет пользователей" для приложения коллекции Microsoft Entra.
Добавление атрибута в конфигурацию приложения Microsoft Entra
Чтобы изменить значение идентификатора пользователя, сделайте следующее:
- Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
- Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
- Выберите приложение, которое требуется настроить для единого входа.
- После загрузки приложения выберите Единый вход в области навигации.
- В разделе Атрибуты пользователей выберите уникальный идентификатор пользователя в раскрывающемся списке Идентификатор пользователя.
Изменение формата NameID
Если приложение ожидает другого формата атрибута NameID (Идентификатор пользователя), см . раздел "Изменить nameID", чтобы изменить формат NameID .
Идентификатор Microsoft Entra выбирает формат атрибута NameID (идентификатор пользователя) на основе выбранного значения или формата, запрошенного приложением в SAML AuthRequest. Дополнительные сведения см. в подразделе “NameIDPolicy” раздела Протокол SAML для единого входа.
Приложение ожидает другой метод подписи для ответа SAML
Чтобы изменить, какие части токена SAML цифрово подписываются идентификатором Microsoft Entra, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
Выберите приложение, для которого нужно настроить единый вход.
После загрузки приложения выберите Единый вход в области навигации.
В разделе Сертификат подписи SAML выберите Показать дополнительные параметры подписывания сертификатов.
Выберите вариант подписывания, ожидаемый приложением из перечисленных ниже вариантов.
- Ответ знака SAML
- Ответ знака SAML и утверждение
- Утверждение знака SAML
При следующем входе пользователя в приложение идентификатор Microsoft Entra будет подписывать часть выбранного ответа SAML.
Приложение ожидает алгоритм подписывания SHA-1
По умолчанию идентификатор Microsoft Entra подписывает токен SAML с помощью наиболее безопасного алгоритма. Рекомендуем не менять алгоритм на SHA-1, если только этот алгоритм не требуется приложению.
Чтобы изменить алгоритм подписи, сделайте следующее:
Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
Выберите приложение, для которого нужно настроить единый вход.
После загрузки приложения выберите Единый вход в области навигации в левой части приложения.
В разделе Сертификат подписи SAML выберите Показать дополнительные параметры подписывания сертификатов.
Выберите значение SHA-1 для параметра Алгоритм подписывания.
При следующем входе пользователя в приложение идентификатор Microsoft Entra будет подписывать токен SAML с помощью алгоритма SHA-1.