ユーザーがサインインした後、アプリのページにエラー メッセージが表示される
このシナリオでは、Microsoft Entra ID によってユーザーがサインインされます。 ただし、アプリケーションにはエラー メッセージが表示され、ユーザーはサインイン フローを完了できません。 問題は、Microsoft Entra ID が発行した応答をアプリが受け取らなかったことです。
アプリが Microsoft Entra ID からの応答を受け入れなかったいくつかの理由が考えられます。 エラー メッセージまたはコードが表示されている場合は、次のリソースを使ってエラーを診断します。
エラー メッセージで、応答に不足しているものを明確に識別できない場合、次の手順を試してください。
- アプリが Microsoft Entra ギャラリーにある場合は、Microsoft Entra ID のアプリケーションに対する SAML に基づいたシングル サインオンをデバッグする方法に関するページの手順に従ったことを確認します。
- Fiddler などのツールを使用して、SAML の要求、応答、およびトークンをキャプチャします。
- SAML 応答をアプリのベンダーに送信し、不足しているものを確認します。
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
SAML 応答に属性が不足している
Microsoft Entra 応答で送信される属性を Microsoft Entra 構成に追加するには、次の手順に従います。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。
検索ボックスに既存のアプリケーションの名前を入力し、シングル サインオン用に構成するアプリケーションを選択します。
アプリが読み込まれたら、ナビゲーション ウィンドウで、[シングル サインオン] を選択します。
[ユーザー属性] セクションで、[その他のすべてのユーザー属性を表示および編集する] を選択します。 ここで、ユーザーがサインインするときに SAML トークンでアプリに送信する属性を変更できます。
属性を追加するには、次の手順に従います。
[属性の追加] を選択します。 [名前] を入力し、ドロップダウン リストから [値] を選択します。
[保存] を選択します。 テーブルに新しい属性が表示されます。
構成を保存します。
次回ユーザーがアプリにサインインするときに、Microsoft Entra ID は SAML 応答で新しい属性を送信します。
アプリでユーザーを識別できない
SAML 応答にロールなどの属性が不足しているために、アプリへのサインインが失敗します。 または、アプリが NameID (ユーザー識別子) 属性に別の形式または値を期待しているため、失敗します。
アプリケーション内のユーザーを作成、管理、削除するために Microsoft Entra ID 自動ユーザー プロビジョニングを使用している場合は、ユーザーが SaaS アプリにプロビジョニングされていることを確認してください。 詳細については、「Microsoft Entra ギャラリー アプリケーションにユーザーがプロビジョニングされない」を参照してください。
Microsoft Entra アプリ構成に属性を追加する
ユーザー識別子の値を変更するには、次の手順に従います。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。
- SSO を構成するアプリを選択します。
- アプリが読み込まれたら、ナビゲーション ウィンドウで、[シングル サインオン] を選択します。
- [ユーザー属性] で、[ユーザー識別子] ドロップダウン リストからユーザーの一意の識別子を選択します。
NameID の形式を変更する
アプリケーションで NameID (ユーザー識別子) 属性に別の形式が必要な場合は、「NameID の編集」セクションを参照して NameID の形式を変更します。
Microsoft Entra ID は、選択した値に基づく NameID 属性 (ユーザー識別子) の形式、または SAML AuthRequest でアプリによって要求された形式を選択します。 詳細については、「シングル サインオンの SAML プロトコル」の「NameIDPolicy」を参照してください。
アプリが SAML 応答に別の署名方法を想定する
Microsoft Entra ID によってデジタル署名される SAML トークンの部分を変更するには、次の手順に従います。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。
シングル サインオンを構成するアプリケーションを選択します。
アプリケーションが読み込まれたら、ナビゲーション ウィンドウで、[シングル サインオン] を選択します。
[SAML 署名証明書] の下にある [詳細な証明書署名設定の表示] を選択します。
次のオプションの中から、アプリが期待する [署名オプション] を選択します。
- SAML 応答の署名
- SAML 応答とアサーションへの署名
- SAML アサーションへの署名
次回ユーザーがアプリにサインインするときに、Microsoft Entra ID は選択した SAML 応答の部分に署名します。
アプリが SHA-1 署名アルゴリズムを期待している
既定では、Microsoft Entra ID は、最も安全なアルゴリズムを使用して SAML トークンに署名します。 アプリに SHA-1 が必要な場合を除き、署名アルゴリズムを SHA-1 に変更しないことをお勧めします。
署名アルゴリズムを変更するには、次の手順に従います。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。
シングル サインオンを構成するアプリを選択します。
アプリが読み込まれたら、アプリの左側にあるナビゲーション ウィンドウから [シングル サインオン] を選択します。
[SAML 署名証明書] の下にある [詳細な証明書署名設定の表示] を選択します。
[署名アルゴリズム] として [SHA-1] を選択します。
次回ユーザーがアプリにサインインするときに、Microsoft Entra ID は SHA-1 アルゴリズムを使用して SAML トークンに署名します。