Une page d’application affiche un message d’erreur une fois que l’utilisateur est connecté
Dans ce scénario, Microsoft Entra ID connecte l’utilisateur. Toutefois, l’application affiche un message d’erreur et ne permet pas à l’utilisateur de terminer le flux de connexion. Le problème est que l'application n'a pas accepté la réponse émise par Microsoft Entra ID.
Il existe plusieurs raisons possibles pour lesquelles l'application n'a pas accepté la réponse de Microsoft Entra ID. Si un message ou code d’erreur est affiché, utilisez les ressources suivantes pour diagnostiquer l’erreur :
- Codes d’erreur d’authentification et d’autorisation Microsoft Entra
- Résolution des erreurs d’invite de consentement
Si le message d’erreur n’identifie pas clairement ce qui manque dans la réponse, essayez ce qui suit :
- Si l'application se trouve dans la galerie Microsoft Entra, vérifiez que vous avez suivi les étapes décrites dans Comment déboguer l'authentification unique basée sur SAML aux applications dans Microsoft Entra ID.
- Utilisez un outil tel que Fiddler pour capturer la requête, la réponse et le jeton SAML.
- Envoyez la réponse SAML à l’éditeur de l’application et demandez-lui ce qui manque.
Conseil
Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.
Attributs manquants dans la réponse SAML
Pour ajouter un attribut dans la configuration Microsoft Entra qui sera envoyé dans la réponse Microsoft Entra, procédez comme suit :
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.
Entrez le nom de l’application existante dans la zone de recherche, puis sélectionnez l’application que vous souhaitez configurer pour l’authentification unique.
Après le chargement de l’application, sélectionnez Authentification unique dans le volet de navigation à gauche.
Dans la section Attributs utilisateur, sélectionnez Afficher et modifier tous les autres attributs utilisateur. Ici, vous pouvez modifier les attributs à envoyer à l’application dans le jeton SAML lorsque les utilisateurs se connectent.
Pour ajouter un attribut :
Sélectionnez Ajouter un attribut. Entrez le nom, puis sélectionnez la valeur dans la liste déroulante.
Sélectionnez Enregistrer. Le nouvel attribut s’affiche dans le tableau.
Enregistrez la configuration.
La prochaine fois que l'utilisateur se connectera à l'application, Microsoft Entra ID enverra le nouvel attribut dans la réponse SAML.
L’application ne peut pas identifier l’utilisateur
La connexion à l’application échoue, car il manque un attribut (par exemple, un rôle) dans la réponse SAML. Elle peut également échouer, car l’application attend un format différent ou une autre valeur pour l’attribut NameID (identificateur d’utilisateur).
Si vous utilisez le provisionnement automatisé des utilisateurs Microsoft Entra ID pour créer, gérer et supprimer des utilisateurs dans l'application, vérifiez que l'utilisateur a été provisionné dans l'application SaaS. Pour plus d'informations, voir Aucun utilisateur n'est configuré pour une application Microsoft Entra Gallery.
Ajouter un attribut à la configuration de l'application Microsoft Entra
Pour modifier la valeur de l’identificateur d’utilisateur, procédez comme suit :
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.
- Sélectionnez l’application que vous voulez configurer pour l’authentification unique.
- Après le chargement de l’application, sélectionnez Authentification unique dans le volet de navigation à gauche.
- Sous Attributs utilisateur, sélectionnez l’identificateur unique de l’utilisateur dans la liste déroulante Identificateur de l’utilisateur.
Modifier le format NameID
Si l’application attend un autre format pour l’attribut NameID (identificateur d’utilisateur), consultez la section Modification de nameID pour modifier le format NameID.
Microsoft Entra ID sélectionne le format de l'attribut NameID (User Identifier) en fonction de la valeur sélectionnée ou du format demandé par l'application dans SAML AuthRequest. Pour plus d’informations, consultez la section « NameIDPolicy » du protocole SAML d’authentification unique.
L’application attend une méthode de signature différente pour la réponse SAML
Pour modifier les parties du jeton SAML qui sont signées numériquement par Microsoft Entra ID, procédez comme suit :
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.
Sélectionnez l’application pour laquelle vous souhaitez configurer l’authentification unique.
Après le chargement de l’application, sélectionnez Authentification unique dans le volet de navigation à gauche.
Sous Certificat de signature SAML, sélectionnez Afficher les paramètres avancés de signature de certificat.
Sélectionnez l’option de signature que l’application attend parmi ces options :
- Signer la réponse SAML
- Signer la réponse et l’assertion SAML
- Signer l’assertion SAML
La prochaine fois que l'utilisateur se connectera à l'application, Microsoft Entra ID signera la partie de la réponse SAML que vous avez sélectionnée.
L’application attend l’algorithme de signature SHA-1
Par défaut, Microsoft Entra ID signe le jeton SAML en utilisant l'algorithme le plus sécurisé. Nous vous recommandons de ne pas remplacer l’algorithme de signature par SHA-1 si l’application ne nécessite pas SHA-1.
Pour modifier l’algorithme de signature, procédez comme suit :
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.
Sélectionnez l’application pour laquelle vous souhaitez configurer l’authentification unique.
Après le chargement de l’application, sélectionnez Authentification unique dans le volet de navigation à gauche de l’application.
Sous Certificat de signature SAML, sélectionnez Afficher les paramètres avancés de signature de certificat.
Sélectionnez SHA-1 comme Algorithme de signature.
La prochaine fois que l'utilisateur se connectera à l'application, Microsoft Entra ID signera le jeton SAML à l'aide de l'algorithme SHA-1.
Étapes suivantes
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour