Страница приложения отображает сообщение об ошибке после входа пользователя

В этом сценарии идентификатор Microsoft Entra входит в систему пользователя. Но приложение отображает сообщение об ошибке и не позволяет пользователю завершить процесс входа. Проблема заключается в том, что приложение не приняло ответ, выданный идентификатором Microsoft Entra.

Существует несколько возможных причин, по которым приложение не принял ответ от идентификатора Microsoft Entra. Если отображается сообщение об ошибке или код, используйте следующие ресурсы для диагностики ошибки:

• Коды ошибок аутентификации и авторизации Microsoft Entra
• Устранение ошибок при запросе согласия

Если сообщение об ошибке не четко определяет, что отсутствует в ответе, попробуйте следующее:

• Если приложение находится в коллекции Microsoft Entra, убедитесь, что вы выполнили шаги из для отладки единого входа на основе SAML в приложения в идентификаторе Microsoft Entra.
• Используйте средство, например Fiddler для записи запроса SAML, ответа и маркера.
• Отправьте ответ SAML поставщику приложений и попросите их о том, что отсутствует.

Атрибуты отсутствуют в ответе SAML

Чтобы добавить атрибут в конфигурацию Microsoft Entra, которая будет отправлена в ответе Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений.

2. Перейдите к Идентификация>Приложения>Корпоративные приложения>Все приложения.

3. Введите имя существующего приложения в поле поиска и выберите приложение, которое нужно настроить для единого входа.

4. После загрузки приложения выберите Single Sign-On в панели навигации.

5. В разделе атрибуты пользователя выберите Просмотреть и изменить все остальные атрибуты пользователя. Здесь можно изменить, какие атрибуты отправлять в приложение в токене SAML при входе пользователей.

   Чтобы добавить атрибут, выполните приведенные действия.

   1. Выберите Добавить атрибут. Введите имя и выберите значение из раскрывающегося списка.

   2. Выберите Сохранить. В таблице появится новый атрибут.

6. Сохраните конфигурацию.

   При следующем входе пользователя в приложение идентификатор Microsoft Entra отправит новый атрибут в ответе SAML.

Приложение не может идентифицировать пользователя

Не удалось войти в приложение, так как в ответе SAML отсутствует атрибут, например, роль. Или происходит сбой, так как приложение ожидает другого формата или значения для атрибута (идентификатор пользователя) NameID.

Если вы используете автоматическое предоставление пользователей Microsoft Entra ID для создания, обслуживания и удаления пользователей в приложении, убедитесь, что пользователь был предоставлен в приложении SaaS. Дополнительные сведения см. в статье Ни одному пользователю не назначено приложение из галереи Microsoft Entra.

Добавление атрибута в конфигурацию приложения Microsoft Entra

Чтобы изменить значение идентификатора пользователя, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в роли как минимум администратора облачных приложений .
2. Перейдите к Идентичность>Приложения>Корпоративные приложения>Все приложения.
3. Выберите приложение, которое нужно настроить для единого входа.
4. После загрузки приложения выберите единый вход в навигационной панели.
5. В разделе атрибуты пользователявыберите уникальный идентификатор пользователя из раскрывающегося списка идентификатор пользователя.

Изменение формата NameID

Если приложение ожидает другого формата атрибута (идентификатор пользователя) NameID, см. раздел "Изменить nameID", чтобы изменить формат NameID.

Microsoft Entra ID выбирает формат атрибута NameID (идентификатор пользователя) в зависимости от выбранного значения или формата, запрошенного приложением в SAML AuthRequest. Дополнительные сведения см. в разделе «NameIDPolicy» протокола единой авторизации SAML .

Приложение ожидает другой метод подписи для ответа SAML

Чтобы изменить, какие части токена SAML цифрово подписываются идентификатором Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra, как минимум в роли администратора облачных приложений.

2. Перейдите в Приложения>Identity>Enterprise applications>Все приложения.

3. Выберите приложение, которое требуется настроить для единого входа.

4. После загрузки приложения выберите Единый вход в области навигации.

5. В разделе Сертификат подписи SAMLвыберите Показать расширенные параметры подписания сертификата.

6. Выберите параметр подписывания , который приложение требует из предложенных вариантов.

   • Подписать SAML-ответ
   • подписать ответ SAML и утверждение
   • подписать утверждение SAML

   При следующем входе пользователя в приложение идентификатор Microsoft Entra будет подписывать часть выбранного ответа SAML.

Приложение ожидает алгоритм подписи SHA-1

По умолчанию идентификатор Microsoft Entra подписывает токен SAML с помощью наиболее безопасного алгоритма. Рекомендуется не изменять алгоритм подписывания на SHA-1, если приложению не требуется SHA-1.

Чтобы изменить алгоритм подписывания, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений.

2. Перейдите к Идентификация>Приложения>Приложения для предприятия>Все приложения.

3. Выберите приложение, которое требуется настроить для единого входа.

4. После загрузки приложения выберите единичный вход в систему в области навигации на левой стороне приложения.

5. В разделе Сертификаты подписи SAMLвыберите Показать расширенные параметры подписания сертификатов.

6. Выберите SHA-1 в качестве алгоритма подписывания.

   При следующем входе пользователя в приложение идентификатор Microsoft Entra будет подписывать токен SAML с помощью алгоритма SHA-1.

Дальнейшие действия

• Как отлаживать единый вход на основе SAML в приложениях в Microsoft Entra ID
• коды ошибок проверки подлинности и авторизации Microsoft Entra
• Устранение ошибок запроса на получение согласия