Depuración del inicio de sesión único basado en SAML en aplicaciones

En este artículo, aprenda a buscar y corregir problemas del inicio de sesión único en aplicaciones de Microsoft Entra ID que utilizan el inicio de sesión único basado en SAML.

Antes de empezar

Se recomienda instalar la Extensión de inicio de sesión seguro de mis aplicaciones. Esta extensión de explorador facilita la reunión de la información de la solicitud SAML y de la respuesta SAML que necesita para resolver problemas con el inicio de sesión único. En caso de que no pueda instalar la extensión, este artículo muestra cómo resolver problemas con y sin la extensión instalada.

Para descargar e instalar la extensión de inicio de sesión seguro de mis aplicaciones, utilice uno de los siguientes vínculos.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Prueba del inicio de sesión único basado en SAML

Para probar el inicio de sesión único basado en SAML entre Microsoft Entra ID y una aplicación de destino:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.

  3. En la lista de aplicaciones empresariales, seleccione la aplicación para la que desea probar el inicio de sesión único y, a continuación, en las opciones de la izquierda, seleccione Inicio de sesión único.

  4. Para abrir la experiencia de prueba de inicio de sesión único basado en SAML, vaya a Prueba del inicio de sesión único (paso 5). Si el botón Probar está atenuado, primero deberá rellenar y guardar los atributos obligatorios en la sección Configuración básica de SAML.

  5. En la página Probar el inicio de sesión único, use sus credenciales corporativas para iniciar sesión en la aplicación de destino. Puede iniciar sesión como el usuario actual o como otro usuario. Si inicia sesión como otro usuario, un mensaje le pedirá que se autentique.

    Screenshot showing the test SAML SSO page

Si ha iniciado sesión correctamente, se ha superado la prueba. En este caso, Microsoft Entra ID ha emitido un token de respuesta de SAML a la aplicación. La aplicación ha usado el token de SAML para su inicio de sesión correcto.

Si tiene un error en la página de inicio de sesión de la compañía o la página de la aplicación, use una de las secciones siguientes para resolver el error.

Resolver un error de inicio de sesión en la página de inicio de sesión de compañía

Cuando intenta iniciar sesión, es posible que vea un error en la página de inicio de sesión de la empresa que sea similar al ejemplo siguiente.

Example showing an error in the company sign-in page

Para depurar este error, se necesita el mensaje de error y la solicitud SAML. La extensión de inicio de sesión seguro de mis aplicaciones recopila automáticamente esta información y muestra una guía para la resolución en Microsoft Entra ID.

Para resolver el error de inicio de sesión con la extensión de inicio de sesión seguro de Mis aplicaciones instalada

  1. Cuando se produce un error, la extensión le redirige a la página Probar el inicio de sesión único de Microsoft Entra ID.
  2. En la página Probar el inicio de sesión único, seleccione Download the SAML request (Descargar la solicitud SAML).
  3. Debería ver instrucciones específicas para la resolución en función del error y los valores de la solicitud SAML.
  4. Verá el botón Corregir para actualizar automáticamente la configuración en Microsoft Entra ID y solucionar el problema. Si no ve este botón, el problema del inicio de sesión no se debe a una configuración incorrecta de Microsoft Entra ID.

Si no se proporciona ninguna solución para el error de inicio de sesión, le recomendamos usar el cuadro de texto de comentarios para indicárnoslo.

Para resolver el error sin instalar la extensión de inicio de sesión seguro de Mis aplicaciones

  1. Copie el mensaje de error de la esquina inferior derecha de la página. El mensaje de error incluye:
    • Un elemento CorrelationID y una marca de tiempo. Estos valores son importantes cuando se crea un caso de soporte técnico con Microsoft ya que ayudan a los ingenieros a identificar el problema y a proporcionar una solución más precisa y rápida para el problema.
    • Una instrucción que identifica la causa principal del problema.
  2. Vuelva a Microsoft Entra ID y busque la página Probar el inicio de sesión único.
  3. En el cuadro de texto situado encima de Get resolution guidance (Obtener instrucciones para la resolución), pegue el mensaje de error.
  4. Seleccione Obtener instrucciones para la resolución para mostrar los pasos para resolver el problema. Las instrucciones pueden requerir información de la solicitud SAML o la respuesta de SAML. Si no usa la extensión de inicio de sesión seguro de Mis aplicaciones, puede que necesite una herramienta como Fiddler para recuperar la solicitud y la respuesta de SAML.
  5. Compruebe que el destino de la solicitud SAML corresponda con la dirección URL del servicio de inicio de sesión único de SAML obtenido en Microsoft Entra ID.
  6. Compruebe que el emisor de la solicitud SAML es el mismo identificador que ha configurado para la aplicación en Microsoft Entra ID. Microsoft Entra ID usa al emisor para buscar una aplicación en el directorio.
  7. Compruebe que AssertionConsumerServiceURL es la dirección en la que la aplicación espera recibir el token SAML de Microsoft Entra ID. Puede configurar este valor en Microsoft Entra ID, pero no es obligatorio si forma parte de la solicitud SAML.

Resolución de un error de inicio de sesión único en la página de la aplicación

Puede iniciar sesión correctamente y luego ver un error en la página de la aplicación. Este error se produce cuando Microsoft Entra ID ha emitido un token a la aplicación, pero la aplicación no acepta la respuesta.

Para resolver el error, siga estos pasos o vea este breve vídeo sobre cómo usar Microsoft Entra ID para solucionar problemas de SSO de SAML:

  1. Si la aplicación se encuentra en la galería de Microsoft Entra, compruebe que ha seguido todos los pasos para la integración de la aplicación con Microsoft Entra ID. Para buscar las instrucciones de integración de la aplicación, consulte la lista de tutoriales sobre la integración de aplicaciones de SaaS.

  2. Recupere la respuesta SAML.

    • Si se ha instalado la extensión de inicio de sesión seguro de mis aplicaciones, en la página Probar el inicio de sesión único, seleccione descargar la respuesta SAML.
    • Si no se ha instalado la extensión, use una herramienta como Fiddler para recuperar la respuesta SAML.
  3. Observe estos elementos en el token de la respuesta SAML:

    • Identificador único del usuario del valor NameID y formato

    • Notificaciones emitidas en el token

    • Certificado usado en el token de inicio de sesión.

      Para más información sobre la respuesta SAML, vea Protocolo SAML de inicio de sesión único.

  4. Ahora que ha revisado la respuesta SAML, consulte Error en la página de aplicación después de iniciar sesión para obtener instrucciones sobre cómo resolver el problema.

  5. Si sigue sin poder iniciar sesión correctamente, puede preguntar al proveedor de la aplicación lo que falta en la respuesta SAML.

Pasos siguientes

Ahora que el inicio de sesión único funciona para la aplicación, puede ir a la Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Azure Active Directory o a la Introducción al acceso condicional en Azure Active Directory.