App-Seite, auf der eine Fehlermeldung angezeigt wird, nachdem sich ein Benutzer angemeldet hat

In diesem Szenario meldet Microsoft Entra ID den Benutzer an. Die Anwendung zeigt allerdings eine Fehlermeldung an, und der Benutzer kann den Anmeldevorgang nicht abschließen. Das Problem besteht darin, dass die App die von Microsoft Entra ID zurückgegebene Antwort nicht akzeptiert.

Für diese Situation gibt es mehrere mögliche Gründe. Wenn eine Fehlermeldung oder ein Code angezeigt wird, verwenden Sie die folgenden Ressourcen, um den Fehler zu diagnostizieren:

• Microsoft Entra-Authentifizierungs- und -Autorisierungsfehlercodes
• Behandeln von Problemen mit der Aufforderung zur Zustimmung

Wenn aus der Fehlermeldung nicht deutlich hervorgeht, welche Antwortinformationen fehlen, können Sie Folgendes versuchen:

• Wenn es sich bei der App um den Microsoft Entra-Katalog handelt, müssen Sie alle Schritte im Artikel Debuggen des SAML-basierten einmaligen Anmeldens bei Anwendungen ausführen.
• Verwenden Sie ein Tool wie Fiddler, um die SAML-Anforderung, die SAML-Antwort und das SAML-Token zu erfassen.
• Senden Sie die SAML-Antwort dem App-Verkäufer, und erkundigen Sie sich bei ihm, welche Informationen fehlen.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

In der SAML-Antwort fehlen Attribute

Führen Sie die folgenden Schritte aus, um der Microsoft Entra-Konfiguration ein Attribut hinzuzufügen, das in der Microsoft Entra-Antwort gesendet wird:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.

3. Geben Sie den Namen der vorhandenen Anwendung in das Suchfeld ein, und wählen Sie dann die Anwendung aus, die Sie für einmaliges Anmelden konfigurieren möchten.

4. Warten Sie, bis die App geladen ist, und klicken Sie anschließend im Navigationsbereich auf Einmaliges Anmelden.

5. Aktivieren Sie im Abschnitt Benutzerattribute das Kontrollkästchen Alle weiteren Benutzerattribute anzeigen und bearbeiten. Nun können Sie einstellen, welche Attribute im SAML-Token an die App gesendet werden sollen, wenn sich Benutzer anmelden.

   So fügen Sie ein Attribut hinzu

   1. Klicken Sie auf Attribut hinzufügen. Geben Sie unter Name einen Namen ein, und wählen Sie aus der Dropdownliste den Wert aus.

   2. Wählen Sie Speichern aus. Das neue Attribut wird in der Tabelle angezeigt.

6. Speichern Sie die Konfiguration.

   Wenn sich der Benutzer das nächste Mal bei der App anmeldet, sendet Microsoft Entra ID das neue Attribut zusammen mit der SAML-Antwort.

Die App kann den Benutzer nicht identifizieren.

Die Anmeldung bei der App schlägt möglicherweise fehl, weil in der SAML-Antwort ein Attribut (beispielsweise eine Rolle) fehlt. Sie kann auch fehlschlagen, wenn die App ein anderes Format oder einen anderen Wert für das NameID-Attribut (Benutzer-ID) erwartet.

Wenn Sie die automatische Benutzerbereitstellung von Microsoft Entra ID verwenden, um Benutzer in der App zu erstellen, zu verwalten und aus dieser zu löschen, müssen Sie darauf achten, dass der Benutzer in der SaaS-App bereitgestellt wurde. Weitere Informationen finden Sie unter Es werden keine Benutzer für eine Microsoft Entra-Kataloganwendung bereitgestellt.

Hinzufügen eines Attributs zur Microsoft Entra-App-Konfiguration

Um den Benutzer-ID-Wert zu ändern, führen Sie die folgenden Schritte aus:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.
3. Wählen Sie die App aus, die Sie für SSO konfigurieren möchten.
4. Warten Sie, bis die App geladen ist, und klicken Sie anschließend im Navigationsbereich auf Einmaliges Anmelden.
5. Wählen Sie unter Benutzerattribute in der Dropdownliste Benutzer-ID den eindeutigen Bezeichner für den Benutzer aus.

Ändern des NameID-Formats

Wenn die Anwendung ein anderes Format für das NameID-Attribut (Benutzer-ID) erwartet, finden Sie im Abschnitt Bearbeiten von NameID weitere Informationen dazu, wie Sie das NameID-Format anpassen.

Microsoft Entra ID wählt das Format für das NameID-Attribut (Benutzer-ID) auf Grundlage des ausgewählten Werts oder des Formats aus, das in der SAML-Authentifizierungsanforderung von der App angefordert wird. Weitere Informationen finden Sie im Abschnitt „NameIDPolicy“ des Artikels Single sign-on SAML protocol (SAML-Protokoll für einmaliges Anmelden).

Die App erwartet eine andere Signaturmethode für die SAML-Antwort

Führen Sie folgende Schritte durch, um einzustellen, welche Teile des SAML-Tokens von Microsoft Entra ID digital signiert werden:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.

3. Wählen Sie die Anwendung aus, die Sie für das einmalige Anmelden konfigurieren möchten.

4. Warten Sie, bis die App geladen ist, und klicken Sie anschließend im Navigationsbereich auf Einmaliges Anmelden.

5. Klicken Sie unter SAML-Signaturzertifikat auf Erweiterte Einstellungen für die Zertifikatsignatur.

6. Wählen Sie aus den folgenden Optionen die Signaturoption aus, die von der App erwartet wird:

   • SAML-Antwort signieren
   • SAML-Antwort und -Assertion signieren
   • SAML-Assertion signieren

   Wenn sich der Benutzer das nächste Mal bei der App anmeldet, signiert Microsoft Entra ID den ausgewählten Teil der SAML-Antwort.

Die App erwartet den Signaturalgorithmus SHA-1

Standardmäßig signiert Microsoft Entra ID das SAML-Token mit dem sichersten Algorithmus. Sie sollten eine Umstellung auf den Signaturalgorithmus SHA-1 vermeiden, wenn dieser nicht für die App erforderlich ist.

Um den Signaturalgorithmus zu ändern, führen Sie die folgenden Schritte aus:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.

3. Wählen Sie die App aus, die Sie für das einmalige Anmelden konfigurieren möchten.

4. Warten Sie, bis die App geladen ist, und klicken Sie anschließend im Navigationsbereich auf der linken Seite auf Einmaliges Anmelden.

5. Klicken Sie unter SAML-Signaturzertifikat auf Erweiterte Einstellungen für die Zertifikatsignatur.

6. Wählen Sie SHA-1 als Signaturalgorithmus aus.

   Wenn sich der Benutzer das nächste Mal bei der App anmeldet, signiert Microsoft Entra ID das SAML-Token mithilfe des SHA-1-Algorithmus.

Nächste Schritte

• Debuggen des SAML-basierten einmaligen Anmeldens bei Anwendungen in Microsoft Entra ID
• Microsoft Entra-Authentifizierungs- und -Autorisierungsfehlercodes
• Behandeln von Problemen mit der Aufforderung zur Zustimmung