Condividi tramite

Eseguire il debug di Single Sign-On basato su SAML per le applicazioni

  • Articolo

In questo articolo viene illustrato come individuare e correggere i problemi relativi all'accesso Single Sign-On per le applicazioni in Microsoft Entra ID che usano l'accesso Single Sign-On basato su SAML.

Operazioni preliminari

È consigliabile installare l'estensione My Apps Secure Sign-in. Questa estensione del browser semplifica la raccolta delle informazioni relative alle richieste e alle risposte SAML necessarie per risolvere i problemi con l'accesso Single Sign-On. Nel caso non sia possibile installare l'estensione, questo articolo descrive come risolvere i problemi anche senza l'estensione installata.

Per scaricare e installare l'estensione My Apps Secure Sign-in, usare uno dei collegamenti seguenti.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Testare l'accesso Single Sign-On basato su SAML

Per testare l'accesso Single Sign-On basato su SAML tra Microsoft Entra ID e un'applicazione di destinazione:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.

  3. Nell'elenco di applicazioni aziendali selezionare l'applicazione per cui si vuole testare l'accesso Single Sign-On e quindi nelle opzioni a sinistra selezionare Single Sign-On.

  4. Nel riquadro Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  5. Per aprire l'esperienza di test dell'accesso Single Sign-On basato su SAML, passare a Test dell'accesso Single Sign-On (passaggio 5). Se il pulsante Test appare disattivato, è prima necessario immettere e salvare gli attributi necessari nella sezione Configurazione SAML di base.

  6. Nella pagina Testa Single Sign-On usare le credenziali aziendali per accedere all'applicazione di destinazione. È possibile accedere come utente corrente o come altro utente. Se si accede come altro utente, viene chiesto di eseguire l'autenticazione.

    Screenshot che mostra la pagina di test dell'accesso SSO SAML

Se è possibile accedere, il test ha esito positivo. In questo caso, Microsoft Entra ID ha rilasciato un token di risposta SAML all'applicazione. L'applicazione ha usato il token SAML per consentire l'accesso.

Se si verifica un errore nella pagina di accesso aziendale o nella pagina dell'applicazione, usare una delle sezioni seguenti per correggere l'errore.

Risolvere un errore di accesso nella pagina di accesso aziendale

Quando si tenta di eseguire l'accesso, è possibile che venga visualizzato un errore nella pagina di accesso aziendale, simile all'esempio seguente.

Esempio che mostra un errore nella pagina di accesso aziendale

Per eseguire il debug di questo errore, sono necessari il messaggio di errore e la richiesta SAML. L'estensione My Apps Secure Sign-in raccoglie automaticamente queste informazioni e visualizza le istruzioni per risolvere il problema in Microsoft Entra ID.

Risolvere l'errore di accesso con l'estensione My Apps Secure Sign-in installata

  1. Quando si verifica un errore, l'estensione reindirizza l'utente alla pagina Testa Single Sign-On di Microsoft Entra ID.
  2. Nella pagina pannello Testa Single Sign-On selezionare Scaricare la richiesta SAML.
  3. Vengono visualizzate le istruzioni di risoluzione specifiche basate sull'errore e sui valori presenti nella richiesta SAML.
  4. Viene visualizzato il pulsante Correggi per aggiornare automaticamente la configurazione in Microsoft Entra ID per risolvere il problema. Se questo pulsante non viene visualizzato, il problema di accesso non è dovuto a una configurazione errata di Microsoft Entra ID.

Se non viene fornita alcuna risoluzione per l'errore di accesso, è consigliabile usare la casella di testo del feedback per informarci.

Risolvere l'errore senza installare l'estensione My Apps Secure Sign-in

  1. Copiare il messaggio di errore nell'angolo inferiore destro della pagina. Il messaggio di errore include:
    • Un ID correlazione e il timestamp. Questi valori sono importanti quando si crea un caso di supporto con Microsoft, perché aiutano i tecnici a identificare il problema e a proporre una risoluzione precisa.
    • Una dichiarazione che identifica la causa radice del problema.
  2. Tornare a Microsoft Entra ID e individuare la pagina Testa Single Sign-On.
  3. Nella casella di testo sopra Ottieni procedure per la risoluzione incollare il messaggio di errore.
  4. Selezionare Ottieni indicazioni per la risoluzione per visualizzare i passaggi per risolvere il problema. Le procedure fornite potrebbero richiedere informazioni dalla richiesta o dalla risposta SAML. Se non si usa l'estensione MyApps Secure Sign-in, potrebbe essere necessario usare uno strumento come Fiddler per recuperare la richiesta e la risposta SAML.
  5. Verificare che la destinazione nella richiesta SAML corrisponda all'URL del servizio Single Sign-On SAML ottenuto da Microsoft Entra ID.
  6. Verificare che l'autorità emittente nella richiesta SAML sia lo stesso identificatore configurato per l'applicazione in Microsoft Entra ID. Microsoft Entra ID usa l'emittente per trovare un'applicazione nella directory.
  7. Verificare che AssertionConsumerServiceURL sia l'URL in cui l'applicazione prevede di ricevere il token SAML da Microsoft Entra ID. È possibile configurare questo valore in Microsoft Entra ID, ma non è obbligatorio se fa parte della richiesta SAML.

Risolvere un errore di accesso nella pagina dell'applicazione

Capita talvolta che si riesca a eseguire l'accesso correttamente ma che successivamente venga visualizzato un errore nella pagina dell'applicazione. Questo errore si verifica quando Microsoft Entra ID emette un token per l'applicazione, ma quest'ultima non accetta la risposta.

Per risolvere l'errore, seguire questa procedura o guardare questo video breve su come usare Microsoft Entra ID per risolvere i problemi relativi all'accesso SSO SAML:

  1. Se l'applicazione si trova in Microsoft Entra Gallery, verificare di aver seguito tutti i passaggi per l'integrazione dell'applicazione con Microsoft Entra ID. Per trovare le istruzioni di integrazione per l'applicazione, vedere l'elenco di esercitazioni sull'integrazione di applicazioni SaaS.

  2. Recuperare la risposta SAML.

    • Se l'estensione My Apps Secure Sign-in è installata, nella pagina Testa Single Sign-On selezionare Scaricare la richiesta SAML.
    • Se l'estensione non è installata, usare uno strumento come Fiddler per recuperare la risposta SAML.

  3. Nel token della risposta SAML sono presenti gli elementi seguenti:

    • Identificatore univoco di utente del valore NameID e formato

    • Attestazioni rilasciate nel token

    • Certificato usato per firmare il token.

      Per altre informazioni sulla risposta SAML, vedere Protocollo SAML per Single Sign-On.

  4. Dopo aver esaminato la risposta SAML, vedere Errore nella pagina di un'applicazione dopo l'accesso per indicazioni su come risolvere il problema.

  5. Se non si è ancora in grado di accedere correttamente, è possibile chiedere al fornitore dell'applicazione le informazioni mancanti nella risposta SAML.

Passaggi successivi

Con l'accesso Single Sign-On operativo nell'applicazione, è possibile a questo punto automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS o eseguire le attività iniziali per l'accesso condizionale.