Partager via

Déboguer une authentification unique SAML pour des applications

Dans cet article, vous allez découvrir comment rechercher et résoudre les problèmes d’authentification unique pour les applications dans l’ID Microsoft Entra qui utilisent l’authentification unique basée sur SAML.

Avant de commencer

Nous vous recommandons d’installer l’extension de connexion sécurisée My Apps. Cette extension de navigateur facilite la collecte des informations nécessaires sur la demande et la réponse SAML pour résoudre les problèmes liés à l’authentification unique. Au cas où vous ne parviendriez pas à l’installer, cet article explique comment résoudre les problèmes avec et sans l’extension.

Pour télécharger et installer l’extension de connexion sécurisée à Mes applications, suivez l’un des liens ci-dessous.

Tester l’authentification unique SAML

Pour tester l’authentification unique basée sur SAML entre Microsoft Entra ID et une application cible :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

  2. Accédez à Entra ID>applications d'entreprise>Toutes les applications.

  3. Dans la liste des applications d’entreprise, sélectionnez l’application pour laquelle vous souhaitez tester l’authentification unique, puis, dans les options de gauche, sélectionnez Authentification unique.

  4. Dans le volet Sélectionner une méthode d’authentification unique , sélectionnez SAML.

  5. Pour ouvrir l’expérience de test de l’authentification unique SAML, accédez à Tester l’authentification unique (étape 5). Si le bouton Test est grisé, vous devez d’abord remplir et enregistrer les attributs requis dans la section Configuration SAML de base .

  6. Dans la page Tester l’authentification unique , utilisez vos informations d’identification d’entreprise pour vous connecter à l’application cible. Vous pouvez vous connecter sous l’identité de l’utilisateur actuel ou sous celle d’un autre utilisateur. Si vous vous connectez en tant qu’utilisateur différent, une invite vous demande de vous authentifier.

    Capture d’écran montrant la page de test SAML SSO

Si vous êtes en mesure de vous connecter, le test réussit. Dans ce cas, Microsoft Entra ID a émis un jeton de réponse SAML à l'application. que l’application a utilisé pour vous connecter.

Si une erreur s’affiche sur la page de connexion d’entreprise ou sur la page de l’application, utilisez l’une des sections suivantes pour la résoudre.

Résoudre une erreur de connexion sur votre page de connexion d’entreprise

Il peut arriver qu’une erreur semblable à ce qui suit apparaisse sur la page de connexion d’entreprise lors d’une tentative de connexion.

Exemple montrant une erreur dans la page de connexion de l’entreprise

Pour déboguer cette erreur, vous aurez besoin du message d’erreur et de la demande SAML. L’extension de connexion sécurisée My Apps rassemble automatiquement ces informations et affiche des conseils de résolution sur Microsoft Entra ID.

Pour résoudre l’erreur de connexion si l’extension de connexion sécurisée à Mes applications est installée

  1. Lorsqu’une erreur se produit, l’extension vous redirige vers la page d’authentification unique Microsoft Entra ID Test .
  2. Dans la page Tester l’authentification unique , sélectionnez Télécharger la requête SAML.
  3. Lisez l’aide à la résolution qui s’affiche. Elle dépend de l’erreur et des valeurs de la
  4. Vous voyez un bouton Corriger pour mettre à jour automatiquement la configuration dans Microsoft Entra ID pour résoudre le problème. Si vous ne voyez pas ce bouton, le problème de connexion n'est pas dû à une mauvaise configuration sur Microsoft Entra ID.

Si aucune résolution n’est proposée pour l’erreur de connexion, nous vous suggérons d’utiliser la zone de texte des commentaires pour nous en informer.

Pour résoudre l’erreur sans installer l’extension de connexion sécurisée à Mes applications

  1. Copiez le message d’erreur dans le coin inférieur droit de la page. Il comporte :
    • Un ID de corrélation et un timestamp. Ces valeurs sont importantes lors de la création d’une demande de support auprès de Microsoft, car elles permettent aux ingénieurs d’identifier le problème et de le résoudre avec précision.
    • Une instruction identifiant la cause du problème.
  2. Revenez à l’ID Microsoft Entra et trouvez la page Test de l’authentification unique.
  3. Dans la zone de texte ci-dessus obtenir des conseils de résolution, collez le message d’erreur.
  4. Sélectionnez Obtenir des conseils de résolution pour afficher les étapes de résolution du problème. Elles sont susceptibles de demander des informations sur la demande ou la réponse SAML. Si vous n’utilisez pas l’extension de connexion sécurisée My Apps, vous aurez peut-être besoin d’un outil tel que Fiddler pour récupérer la demande et la réponse SAML.
  5. Vérifiez que la destination dans la demande SAML correspond à l'URL du service d'authentification unique SAML obtenue à partir de Microsoft Entra ID.
  6. Vérifiez que l’émetteur dans la demande SAML est le même identifiant configuré pour l’application dans Microsoft Entra ID. Microsoft Entra ID utilise l'émetteur pour rechercher une application dans votre répertoire.
  7. Vérifiez que AssertionConsumerServiceURL est l'endroit où l'application s'attend à recevoir le jeton SAML de Microsoft Entra ID. Vous pouvez configurer cette valeur dans Microsoft Entra ID, mais elle n'est pas obligatoire si elle fait partie de la requête SAML.

Résoudre une erreur de connexion sur la page d’application

Il peut arriver que la connexion réussisse, puis qu’une erreur s’affiche sur la page de l’application. Cette erreur se produit lorsque Microsoft Entra ID a émis un jeton à l’application, mais que l’application n’accepte pas la réponse.

Pour résoudre l’erreur, suivez ces étapes ou regardez cette courte vidéo sur l’utilisation de Microsoft Entra ID pour résoudre les problèmes d’authentification unique SAML :

  1. Si l’application se trouve dans Microsoft Entra Gallery, vérifiez que vous avez suivi toutes les étapes d’intégration de l’application avec Microsoft Entra ID. Pour trouver les instructions d’intégration de votre application, consultez la liste des didacticiels d’intégration d’applications SaaS.

  2. Récupérez la réponse SAML.

    • Si l’extension de connexion sécurisée My Apps est installée, à partir de la page test de l’authentification unique , sélectionnez télécharger la réponse SAML.
    • Si l’extension n’est pas installée, utilisez un outil tel que Fiddler pour récupérer la réponse SAML.

  3. Notez ces éléments dans le jeton de la réponse SAML :

    • Identificateur unique de la valeur NameID et du format

    • Revendications émises dans le jeton

    • Certificat utilisé pour signer le jeton.

      Pour plus d’informations sur la réponse SAML, consultez le protocole SAML d’authentification unique.

  4. Maintenant que vous avez terminé d’examiner la réponse SAML, consultez Erreur sur la page d’une application après vous être connecté pour obtenir des conseils sur la façon de résoudre le problème.

  5. Si vous ne parvenez toujours pas à vous connecter, vous pouvez demander au fournisseur de l’application ce qui manque dans la réponse SAML.

Contenu connexe

Maintenant que l’authentification unique fonctionne pour votre application, vous pouvez automatiser l’approvisionnement et le déprovisionnement d’utilisateurs pour les applications SaaS ou commencer à utiliser l’accès conditionnel.