Halaman aplikasi memperlihatkan pesan kesalahan setelah pengguna masuk

Dalam skenario ini, MICROSOFT Entra ID memasukkan pengguna. Tetapi aplikasi menampilkan pesan kesalahan dan tidak membiarkan pengguna menyelesaikan alur masuk. Masalahnya adalah aplikasi tidak menerima respons yang dikeluarkan ID Microsoft Entra.

Ada beberapa kemungkinan alasan mengapa aplikasi tidak menerima respons dari ID Microsoft Entra. Jika ada pesan kesalahan atau kode yang ditampilkan, gunakan sumber daya berikut untuk mendiagnosis kesalahan:

• Autentikasi Microsoft Entra dan kode kesalahan autentikasi
• Memecahkan masalah kesalahan permintaan persetujuan

Jika pesan kesalahan tidak mengidentifikasi dengan jelas apa yang hilang dari respons, cobalah yang berikut ini:

• Jika aplikasi berada di galeri Microsoft Entra, verifikasi bahwa Anda mengikuti langkah-langkah dalam Cara men-debug akses menyeluruh berbasis SAML ke aplikasi di ID Microsoft Entra.
• Gunakan alat seperti Fiddler untuk mengambil permintaan, respons, dan token SAML.
• Kirim respons SAML ke vendor aplikasi dan tanyakan apa yang hilang.

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Atribut hilang dari respons SAML

Untuk menambahkan atribut dalam konfigurasi Microsoft Entra yang akan dikirim dalam respons Microsoft Entra, ikuti langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.

3. Masukkan nama aplikasi yang ada di kotak pencarian, lalu pilih aplikasi yang ingin Anda konfigurasi untuk akses menyeluruh.

4. Setelah aplikasi dimuat, pilih SSO di panel navigasi.

5. Di bagian Atribut Pengguna, pilih Lihat dan edit semua atribut pengguna lainnya. Di sini Anda dapat mengubah atribut mana yang akan dikirim ke aplikasi di token SAML saat pengguna masuk.

   Untuk menambahkan atribut:

   1. Pilih Tambahkan atribut. Masukkan Nama, dan pilih Nilai dari daftar drop-down.

   2. Pilih Simpan. Anda akan melihat atribut baru dalam tabel.

6. Simpan konfigurasi.

   Saat berikutnya pengguna masuk ke aplikasi, ID Microsoft Entra akan mengirim atribut baru dalam respons SAML.

Aplikasi tidak dapat mengidentifikasi pengguna

Gagal masuk ke aplikasi karena respons SAML tidak memiliki atribut seperti peran. Atau gagal karena aplikasi mengharapkan format atau nilai yang berbeda untuk atribut NameID (ID Pengguna).

Jika Anda menggunakan provisi pengguna otomatis ID Microsoft Entra untuk membuat, memelihara, dan menghapus pengguna di aplikasi, verifikasi bahwa pengguna telah disediakan ke aplikasi SaaS. Untuk informasi selengkapnya, lihat Tidak ada pengguna yang diprovisikan ke aplikasi Microsoft Entra Gallery.

Menambahkan atribut ke konfigurasi aplikasi Microsoft Entra

Untuk mengubah nilai ID Pengguna, ikuti langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.
3. Pilih aplikasi yang SSO-nya ingin Anda konfigurasi.
4. Setelah aplikasi dimuat, pilih SSO di panel navigasi.
5. Di bawah Atribut pengguna, pilih pengenal unik untuk pengguna dari daftar drop-down ID Pengguna.

Mengubah format NameID

Jika aplikasi mengharapkan format lain untuk atribut NameID (Pengidentifikasi Pengguna), lihat bagian Edit nameID untuk mengubah format NameID.

MICROSOFT Entra ID memilih format untuk atribut NameID (Pengidentifikasi Pengguna) berdasarkan nilai yang dipilih atau format yang diminta oleh aplikasi di SAML AuthRequest. Untuk informasi selengkapnya, lihat bagian "NameIDPolicy" dari protokol SSO SAML.

Aplikasi mengharapkan metode tanda tangan yang berbeda untuk respons SAML

Untuk mengubah bagian mana dari token SAML yang ditandatangani secara digital oleh MICROSOFT Entra ID, ikuti langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.

3. Pilih aplikasi yang ingin Anda konfigurasi untuk akses menyeluruh.

4. Setelah aplikasi dimuat, pilih SSO di panel navigasi.

5. Di bawah Sertifikat Penandatanganan SAML, pilih Perlihatkan pengaturan penandatanganan sertifikat tingkat lanjut.

6. Pilih Opsi Penandatanganan yang diharapkan aplikasi dari antara opsi berikut:

   • Tanda tangani respons SAML
   • Tanda tangani respons dan pernyataan SAML
   • Tanda tangani pernyataan SAML

   Saat berikutnya pengguna masuk ke aplikasi, MICROSOFT Entra ID akan menandatangani bagian dari respons SAML yang Anda pilih.

Aplikasi mengharapkan algoritma penandatanganan SHA-1

Secara default, Microsoft Entra ID menandatangani token SAML dengan menggunakan algoritma yang paling aman. Sebaiknya Anda tidak mengubah algoritma penandatanganan menjadi SHA-1 kecuali aplikasi memerlukan SHA-1.

Untuk mengubah algoritma penandatanganan, ikuti langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.

3. Pilih aplikasi yang ingin Anda konfigurasi untuk SSO.

4. Setelah aplikasi dimuat, pilih SSO dari panel navigasi di sisi kiri aplikasi.

5. Di bawah Sertifikat Penandatanganan SAML, pilih Perlihatkan pengaturan penandatanganan sertifikat tingkat lanjut.

6. Pilih SHA-1 sebagai Algoritma Penandatanganan.

   Saat berikutnya pengguna masuk ke aplikasi, MICROSOFT Entra ID akan menandatangani token SAML dengan menggunakan algoritma SHA-1.

Langkah berikutnya

• Cara men-debug akses menyeluruh berbasis SAML ke aplikasi di ID Microsoft Entra
• Autentikasi Microsoft Entra dan kode kesalahan autentikasi
• Memecahkan masalah kesalahan permintaan persetujuan