Debuggen des SAML-basierten einmaligen Anmeldens bei Anwendungen

  • Artikel

In diesem Artikel erfahren Sie, wie Sie Probleme beim einmaligen Anmelden bei Anwendungen in Microsoft Entra ID, die SAML-basiertes einmaliges Anmelden nutzen, ermitteln und beheben.

Voraussetzungen

Sie sollten die Erweiterung zur sicheren Anmeldung bei „Meine Apps“ installieren. Diese Browsererweiterung erleichtert das Erfassen der SAML-Anforderung sowie die SAML-Antwortinformationen, die Sie für das Beheben von Problemen mit einmaligem Anmelden benötigen. Für den Fall, dass Sie die Erweiterung nicht installieren können, zeigt dieser Artikel Ihnen die Behebung von Problemen mit und ohne Erweiterung.

Verwenden Sie zum Herunterladen und Installieren der Erweiterung zur sicheren Anmeldung bei „Meine Apps“ einen der folgenden Links.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Testen des einmaligen SAML-basierten Anmeldens

So testen Sie das SAML-basierte einmalige Anmelden zwischen Microsoft Entra ID und einer Zielanwendung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.

  3. Wählen Sie in der Liste mit den Unternehmensanwendungen die Anwendung aus, für die Sie einmaliges Anmelden testen möchten, und wählen Sie dann in den Optionen auf der linken Seite Einmaliges Anmelden aus.

  4. Navigieren Sie zu Einmaliges Anmelden testen (Schritt 5), um die Testumgebung für SAML-basiertes einmaliges Anmelden zu öffnen. Wenn die Schaltfläche Test ausgegraut ist, müssen Sie die erforderlichen Attribute zuerst im Abschnitt Grundlegende SAML-Konfiguration einfügen und speichern.

  5. Melden Sie sich auf der Seite Einmaliges Anmelden testen mit Ihren Unternehmensanmeldeinformationen bei der Zielanwendung an. Sie können sich als der aktuelle Benutzer oder anderer Benutzer anmelden. Wenn Sie sich als anderer Benutzer anmelden, werden Sie in einer Eingabeaufforderung gebeten, sich zu authentifizieren.

    Screenshot showing the test SAML SSO page

Wenn Sie sich erfolgreich angemeldet haben, haben Sie den Test bestanden. Microsoft Entra ID hat in diesem Fall ein SAML-Antworttoken für die Anwendung ausgestellt. Die Anwendung verwendete das SAML-Token, um Sie erfolgreich anzumelden.

Wenn die Unternehmensanmeldeseite oder die Anwendungsseite einen Fehler aufweist, lösen Sie den Fehler in einem der nächsten Abschnitte auf.

Auflösen eines Anmeldefehlers auf Ihrer Unternehmensanmeldeseite

Wenn Sie versuchen, sich anzumelden, wird auf der Anmeldeseite Ihres Unternehmens ggf. ein Fehler angezeigt, der dem folgenden Beispiel ähnelt.

Example showing an error in the company sign-in page

Um diesen Fehler zu debuggen, benötigen Sie die Fehlermeldung und die SAML-Anforderung. Die Erweiterung zur sicheren Anmeldung bei „Meine Apps“ erfasst automatisch diese Informationen und zeigt eine Auflösungsanleitung in Microsoft Entra ID an.

Beheben des Anmeldefehlers, wenn die Erweiterung zur sicheren Anmeldung bei „Meine Apps“ installiert ist

  1. Wenn ein Fehler auftritt, leitet die Erweiterung Sie zurück zur Microsoft Entra ID-Seite Einmaliges Anmelden testen.
  2. Wählen Sie auf der Seite Einmaliges Anmelden testen die Option SAML-Anforderung herunterladen aus.
  3. Sie sollten eine spezifische Auflösungsanleitung auf Basis der Fehler und Werte in der SAML-Anforderung sehen.
  4. Die Schaltfläche Korrigieren wird angezeigt, mit der Sie die Konfiguration in Microsoft Entra ID automatisch aktualisieren können, um das Problem zu beheben. Wenn diese Schaltfläche nicht angezeigt wird, ist eine Fehlkonfiguration in Microsoft Entra ID nicht der Grund für das Anmeldeproblem.

Wenn für den Anmeldefehler keine Lösung angegeben ist, schlagen wir vor, das Textfeld für Feedback zu verwenden, um uns zu informieren.

Beheben des Fehlers, ohne die Erweiterung zur sicheren Anmeldung bei „Meine Apps“ zu installieren

  1. Kopieren Sie die Fehlermeldung rechts unten auf der Seite. Die Fehlermeldung enthält:
    • Eine Korrelations-ID und einen Zeitstempel. Diese Werte werden bei der Erstellung einer Supportanfrage an Microsoft benötigt, um Ihr Problem zu identifizieren und einen Lösungsvorschlag zu unterbreiten.
    • Eine Anweisung, die die Ursache des Problems identifiziert.
  2. Wechseln Sie zurück zu Microsoft Entra ID, und navigieren Sie zur Seite Einmaliges Anmelden testen.
  3. Fügen Sie die Fehlermeldung oben in das Textfeld Leitfaden zur Problemlösung abrufen ein.
  4. Wählen Sie Leitfaden zur Problemlösung abrufen aus, um Schritte zur Lösung des Problems anzuzeigen. Der Leitfaden könnte Informationen aus der SAML-Anforderung bzw. -Antwort benötigen. Wenn Sie die Erweiterung zur sicheren Anmeldung bei „Meine Apps“ nicht verwenden, könnten Sie mit einem Tool wie Fiddler die SAML-Anforderung und -Antwort abrufen.
  5. Vergewissern Sie sich, dass das Ziel in der SAML-Anforderung der URL des SAML-Diensts für einmaliges Anmelden aus Microsoft Entra ID entspricht.
  6. Vergewissern Sie sich, dass der Aussteller in der SAML-Anforderung dem Bezeichner entspricht, den Sie in Microsoft Entra ID für die Anwendung konfiguriert haben. Microsoft Entra ID sucht anhand des Ausstellers in Ihrem Verzeichnis nach einer Anwendung.
  7. Vergewissern Sie sich, dass sich AssertionConsumerServiceURL an der Stelle befindet, an der die Anwendung das SAML-Token aus Microsoft Entra ID erwartet. Sie können diesen Wert in Microsoft Entra ID konfigurieren, aber er ist nicht zwingend erforderlich, wenn er Teil der SAML-Anforderung ist.

Auflösen eines Anmeldefehlers auf der Anwendungsseite

Sie können sich vielleicht erfolgreich anmelden und sehen dann die Anzeige einer Fehlermeldung auf der Anwendungsseite. Dies geschieht, wenn Microsoft Entra ID ein Token für die Anwendung ausgestellt hat, aber die Anwendung die Antwort nicht akzeptiert.

Um den Fehler zu beheben, führen Sie die folgenden Schritte aus, oder sehen Sie sich dieses kurzes Video über die Verwendung von Microsoft Entra ID zur Problembehandlung von SAML-SSO an:

  1. Wenn sich die Anwendung im Microsoft Entra-Katalog befindet, sollten Sie sich vergewissern, dass Sie alle Schritte zur Integration der Anwendung in Microsoft Entra ID ausgeführt haben. Die Integrationsanweisungen für Ihre Anwendung finden Sie in der Liste der Tutorials zur Integration von SaaS-Anwendungen.

  2. Rufen Sie die SAML-Antwort ab.

    • Wenn die Erweiterung für sicheres Anmelden bei „Meine Apps“ installiert ist, wählen Sie auf der Seite Einmaliges Anmelden testenSAML-Antwort herunterladen aus.
    • Wenn die Erweiterung nicht installiert ist, verwenden Sie ein Tool wie Fiddler zum Abrufen der SAML-Antwort.

  3. Beachten Sie diese Elemente im SAML-Antworttoken:

    • Für den Benutzer eindeutiger Bezeichner von Wert und Format der NameID

    • Im Token ausgestellte Ansprüche

    • Zum Signieren des Tokens verwendetes Zertifikat.

      Weitere Informationen zur SAML-Antwort finden Sie unter SAML-Protokoll für einmaliges Anmelden.

  4. Da Sie nun die SAML-Antwort überprüft haben, können Sie unter Fehler auf der Seite einer Anwendung nach dem Anmelden die Anleitung zum Beheben des Problems verwenden.

  5. Wenn Sie sich immer noch nicht erfolgreich anmelden können, sollten Sie beim Anwendungsanbieter erfragen, was in der SAML-Antwort fehlt.

Nächste Schritte

Da nun einmaliges Anmelden für Ihre Anwendung funktioniert, können Sie mit Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzern für SaaS-Anwendungen oder Erste Schritte mit dem bedingten Zugriff fortfahren.