Debug SAML-based single sign-on to applications

  • Cikk

Ebből a cikkből megtudhatja, hogyan keresheti meg és oldhatja meg az egyszeri bejelentkezés problémáit az SAML-alapú egyszeri bejelentkezést használó Microsoft Entra-azonosítóban.

Előkészületek

Javasoljuk, hogy telepítse a Saját alkalmazások biztonságos bejelentkezési bővítményt. Ez a böngészőbővítmény megkönnyíti az egyszeri bejelentkezéssel kapcsolatos problémák megoldásához szükséges SAML-kérések és SAML-válaszinformációk gyűjtését. Ha nem tudja telepíteni a bővítményt, ez a cikk bemutatja, hogyan oldhatja meg a bővítmény telepítésével és anélkül is kapcsolatos problémákat.

A Saját alkalmazások Biztonságos bejelentkezési bővítmény letöltéséhez és telepítéséhez használja az alábbi hivatkozások egyikét.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

SAML-alapú egyszeri bejelentkezés tesztelése

SAML-alapú egyszeri bejelentkezés tesztelése a Microsoft Entra ID és a célalkalmazás között:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.

  3. A vállalati alkalmazások listájában válassza ki azt az alkalmazást, amelyhez tesztelni szeretné az egyszeri bejelentkezést, majd a bal oldali lehetőségek közül válassza az Egyszeri bejelentkezés lehetőséget.

  4. To open the SAML-based single sign-on testing experience, go to Test single sign-on (step 5). Ha a Teszt gomb szürkítve jelenik meg, először ki kell töltenie és mentenie kell a szükséges attribútumokat az Egyszerű SAML-konfiguráció szakaszban.

  5. Az egyszeri bejelentkezés tesztelése lapon a vállalati hitelesítő adataival jelentkezzen be a célalkalmazásba. You can sign in as the current user or as a different user. Ha másik felhasználóként jelentkezik be, egy üzenet kéri a hitelesítést.

    Screenshot showing the test SAML SSO page

If you're successfully signed in, the test has passed. In this case, Microsoft Entra ID issued a SAML response token to the application. The application used the SAML token to successfully sign you in.

Ha a céges bejelentkezési oldalon vagy az alkalmazás oldalán hibaüzenet jelenik meg, a hiba megoldásához használja a következő szakaszok egyikét.

Bejelentkezési hiba elhárítása a vállalati bejelentkezési oldalon

Amikor megpróbál bejelentkezni, előfordulhat, hogy a céges bejelentkezési oldalon az alábbi példához hasonló hibaüzenet jelenik meg.

Example showing an error in the company sign-in page

A hiba hibakereséséhez szüksége van a hibaüzenetre és az SAML-kérelemre. A Saját alkalmazások biztonságos bejelentkezési bővítmény automatikusan összegyűjti ezeket az információkat, és feloldási útmutatást jelenít meg a Microsoft Entra-azonosítóval kapcsolatban.

A bejelentkezési hiba megoldása a telepített Saját alkalmazások Biztonságos bejelentkezési bővítménysel

  1. Hiba esetén a bővítmény visszairányítja Önt a Microsoft Entra ID Test egyszeri bejelentkezési oldalára.
  2. Az egyszeri bejelentkezés tesztelése lapon válassza az SAML-kérelem letöltése lehetőséget.
  3. Az SAML-kérelemben szereplő hiba és értékek alapján konkrét megoldási útmutatást kell látnia.
  4. Megjelenik a Javítás gomb, amely automatikusan frissíti a konfigurációt a Microsoft Entra-azonosítóban a probléma megoldásához. Ha nem látja ezt a gombot, akkor a bejelentkezési problémát nem a Microsoft Entra ID helytelen konfigurációja okozza.

Ha nincs megoldás a bejelentkezési hibára vonatkozóan, javasoljuk, hogy a visszajelzési szövegmezőt használva értesítsen minket.

A hiba megoldása a Saját alkalmazások biztonságos bejelentkezési bővítmény telepítése nélkül

  1. Másolja ki a hibaüzenetet a lap jobb alsó sarkában. A hibaüzenet a következőket tartalmazza:
    • Korrelációs azonosító és időbélyeg. Ezek az értékek azért fontosak, amikor támogatási esetet hoz létre a Microsofttal, mert segítenek a mérnököknek azonosítani a problémát, és pontos megoldást nyújtani a problémára.
    • A probléma kiváltó okát azonosító utasítás.
  2. Lépjen vissza a Microsoft Entra-azonosítóhoz, és keresse meg az egyszeri bejelentkezés tesztelése lapot.
  3. A megoldási útmutató kérése fenti szövegmezőbe illessze be a hibaüzenetet.
  4. A probléma megoldási lépéseinek megjelenítéséhez válassza a Megoldási útmutató kérése lehetőséget. Az útmutatóhoz szükség lehet az SAML-kérelem vagy az SAML-válasz információira. Ha nem a Saját alkalmazások biztonságos bejelentkezési bővítményt használja, előfordulhat, hogy egy olyan eszközre van szüksége, mint a Fiddler az SAML-kérés és a válasz lekéréséhez.
  5. Ellenőrizze, hogy az SAML-kérelem célja megfelel-e a Microsoft Entra-azonosítóból beszerzett SAML egyszeri bejelentkezési szolgáltatás URL-címének.
  6. Ellenőrizze, hogy az SAML-kérelem kiállítója ugyanaz-e az azonosító, amelyet az alkalmazáshoz konfigurált a Microsoft Entra-azonosítóban. A Microsoft Entra ID a kibocsátóval keres egy alkalmazást a címtárban.
  7. Ellenőrizze, hogy az AssertionConsumerServiceURL az, ahol az alkalmazás elvárja az SAML-jogkivonat fogadását a Microsoft Entra-azonosítótól. Ezt az értéket a Microsoft Entra-azonosítóban konfigurálhatja, de nem kötelező, ha az SAML-kérelem része.

Bejelentkezési hiba elhárítása az alkalmazásoldalon

Előfordulhat, hogy sikeresen bejelentkezik, majd hibát tapasztal az alkalmazás oldalán. Ez a hiba akkor fordul elő, ha a Microsoft Entra ID jogkivonatot adott ki az alkalmazásnak, de az alkalmazás nem fogadja el a választ.

A hiba elhárításához kövesse az alábbi lépéseket, vagy tekintse meg ezt a rövid videót arról, hogyan használhatja a Microsoft Entra ID-t az SAML egyszeri bejelentkezés hibaelhárításához:

  1. Ha az alkalmazás a Microsoft Entra Katalógusban található, ellenőrizze, hogy követte-e az alkalmazás Microsoft Entra-azonosítóval való integrálásának összes lépését. Az alkalmazás integrációs utasításainak megkereséséhez tekintse meg az SaaS-alkalmazásintegrációs oktatóanyagok listáját.

  2. Kérje le az SAML-választ.

    • Ha telepítve van a Saját alkalmazások biztonságos bejelentkezési bővítmény, az egyszeri bejelentkezés tesztelése lapon válassza az SAML-válasz letöltését.
    • Ha a bővítmény nincs telepítve, az SAML-válasz lekéréséhez használjon egy olyan eszközt, mint a Fiddler .

  3. Figyelje meg az SAML-válasz jogkivonat alábbi elemeit:

    • A NameID érték és formátum felhasználó egyedi azonosítója

    • A jogkivonatban kibocsátott jogcímek

    • A jogkivonat aláírásához használt tanúsítvány.

      Az SAML-válaszról további információt az egyszeri bejelentkezéses SAML-protokollban talál.

  4. Most, hogy áttekintette az SAML-választ, tekintse meg az alkalmazás oldalán megjelenő hibaüzenetet, miután bejelentkezett , és útmutatást talál a probléma megoldásához.

  5. Ha továbbra sem tud sikeresen bejelentkezni, megkérdezheti az alkalmazás gyártójától, hogy mi hiányzik az SAML-válaszból.

További lépések

Most, hogy az egyszeri bejelentkezés működik az alkalmazáson, automatizálhatja a felhasználók kiépítését és kivonását az SaaS-alkalmazásokban, vagy megkezdheti a feltételes hozzáférést.