Fouten opsporen in eenmalige aanmelding bij toepassingen op basis van SAML
In dit artikel leert u hoe u problemen met eenmalige aanmelding voor toepassingen in Microsoft Entra ID kunt vinden en oplossen die gebruikmaken van eenmalige aanmelding op basis van SAML.
Voordat u begint
U wordt aangeraden de Mijn apps-extensie voor veilig aanmelden te installeren. Met deze browserextensie kunt u eenvoudig de SAML-aanvraag- en SAML-antwoordgegevens verzamelen die u nodig hebt om problemen met eenmalige aanmelding op te lossen. Als u de extensie niet kunt installeren, ziet u in dit artikel hoe u problemen met en zonder de extensie kunt oplossen.
Gebruik een van de volgende koppelingen om de Mijn apps-extensie voor veilig aanmelden te downloaden en te installeren.
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Eenmalige aanmelding op basis van SAML testen
Eenmalige aanmelding op basis van SAML testen tussen Microsoft Entra ID en een doeltoepassing:
Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.
Selecteer in de lijst met bedrijfstoepassingen de toepassing waarvoor u eenmalige aanmelding wilt testen en selecteer vervolgens eenmalige aanmelding in de opties aan de linkerkant.
Selecteer in het deelvenster Selecteer een methode voor eenmalige aanmelding de optie SAML.
Ga naar Eenmalige aanmelding testen (stap 5) om de op SAML gebaseerde testervaring voor een aanmelding te openen. Als de knop Testen grijs wordt weergegeven, moet u eerst de vereiste kenmerken invullen en opslaan in de sectie Standaard SAML-configuratie .
Gebruik op de pagina Eenmalige aanmelding testen uw bedrijfsreferenties om u aan te melden bij de doeltoepassing. U kunt zich aanmelden als de huidige gebruiker of als een andere gebruiker. Als u zich aanmeldt als een andere gebruiker, wordt u gevraagd zich te verifiëren.
Als u zich kunt aanmelden, is de test geslaagd. In dit geval heeft Microsoft Entra ID een SAML-antwoordtoken uitgegeven aan de toepassing. De toepassing heeft het SAML-token gebruikt om u aan te melden.
Als u een fout hebt op de aanmeldingspagina van het bedrijf of op de pagina van de toepassing, gebruikt u een van de volgende secties om de fout op te lossen.
Een aanmeldingsfout oplossen op de aanmeldingspagina van uw bedrijf
Wanneer u zich probeert aan te melden, ziet u mogelijk een fout op de aanmeldingspagina van uw bedrijf die vergelijkbaar is met het volgende voorbeeld.
Als u fouten wilt opsporen in deze fout, hebt u het foutbericht en de SAML-aanvraag nodig. De Mijn apps-extensie voor veilig aanmelden verzamelt deze informatie automatisch en geeft richtlijnen voor de oplossing weer voor Microsoft Entra-id.
De aanmeldingsfout oplossen met de Mijn apps-extensie voor veilig aanmelden geïnstalleerd
- Wanneer er een fout optreedt, stuurt de extensie u terug naar de pagina eenmalige aanmelding van Microsoft Entra ID Test.
- Selecteer Op de pagina Eenmalige aanmelding testen de SAML-aanvraag downloaden.
- U ziet specifieke oplossingsrichtlijnen op basis van de fout en de waarden in de SAML-aanvraag.
- U ziet een knop Fix it om de configuratie in Microsoft Entra ID automatisch bij te werken om het probleem op te lossen. Als u deze knop niet ziet, wordt het aanmeldingsprobleem niet veroorzaakt door een onjuiste configuratie van Microsoft Entra-id.
Als er geen oplossing wordt opgegeven voor de aanmeldingsfout, raden we u aan het tekstvak feedback te gebruiken om ons te informeren.
De fout oplossen zonder de Mijn apps-extensie voor veilig aanmelden te installeren
- Kopieer het foutbericht in de rechterbenedenhoek van de pagina. Het foutbericht bevat:
- Een CorrelationID en Timestamp. Deze waarden zijn belangrijk wanneer u een ondersteuningsaanvraag bij Microsoft maakt, omdat ze de technici helpen uw probleem te identificeren en een nauwkeurige oplossing voor uw probleem te bieden.
- Een instructie die de hoofdoorzaak van het probleem identificeert.
- Ga terug naar Microsoft Entra ID en zoek de pagina eenmalige aanmelding testen.
- Plak in het tekstvak hierboven richtlijnen voor het oplossen van de oplossing het foutbericht.
- Selecteer Richtlijnen voor oplossing ophalen om stappen weer te geven voor het oplossen van het probleem. De richtlijnen vereisen mogelijk informatie uit de SAML-aanvraag of het SAML-antwoord. Als u de Mijn apps-extensie voor veilig aanmelden niet gebruikt, hebt u mogelijk een hulpprogramma nodig, zoals Fiddler om de SAML-aanvraag en het antwoord op te halen.
- Controleer of de bestemming in de SAML-aanvraag overeenkomt met de SAML-service-URL voor eenmalige aanmelding die is verkregen via Microsoft Entra-id.
- Controleer of de verlener in de SAML-aanvraag dezelfde id is die is geconfigureerd voor de toepassing in Microsoft Entra-id. Microsoft Entra ID gebruikt de verlener om een toepassing in uw directory te vinden.
- Controleer of AssertionConsumerServiceURL de locatie is waar de toepassing verwacht het SAML-token van Microsoft Entra-id te ontvangen. U kunt deze waarde configureren in Microsoft Entra-id, maar dit is niet verplicht als deze deel uitmaakt van de SAML-aanvraag.
Een aanmeldingsfout oplossen op de toepassingspagina
Mogelijk meldt u zich aan en ziet u vervolgens een foutmelding op de pagina van de toepassing. Deze fout treedt op wanneer microsoft Entra-id een token heeft uitgegeven aan de toepassing, maar de toepassing accepteert het antwoord niet.
Als u de fout wilt oplossen, volgt u deze stappen of bekijkt u deze korte video over het gebruik van Microsoft Entra ID om problemen met SAML SSO op te lossen:
Als de toepassing zich in de Microsoft Entra Gallery bevindt, controleert u of u alle stappen voor het integreren van de toepassing met Microsoft Entra-id hebt gevolgd. Zie de lijst met zelfstudies voor integratie van SaaS-toepassingen voor de integratie van uw toepassing.
Haal het SAML-antwoord op.
- Als de Mijn apps Secure Sign-in-extensie is geïnstalleerd, selecteert u op de pagina Eenmalige aanmelding testen het SAML-antwoord downloaden.
- Als de extensie niet is geïnstalleerd, gebruikt u een hulpprogramma zoals Fiddler om het SAML-antwoord op te halen.
Let op deze elementen in het SAML-antwoordtoken:
Unieke gebruikers-id van nameid-waarde en -notatie
Claims die zijn uitgegeven in het token
Het certificaat dat wordt gebruikt om het token te ondertekenen.
Zie Het SAML-protocol voor eenmalige aanmelding voor meer informatie over het SAML-antwoord.
Nu u klaar bent met het controleren van het SAML-antwoord, raadpleegt u Fout op de pagina van een toepassing nadat u zich hebt aangemeld voor hulp bij het oplossen van het probleem.
Als u zich nog steeds niet kunt aanmelden, kunt u de leverancier van de toepassing vragen wat er ontbreekt in het SAML-antwoord.
Volgende stappen
Nu eenmalige aanmelding aan uw toepassing werkt, kunt u het inrichten en ongedaan maken van de inrichting van gebruikers automatiseren voor SaaS-toepassingen of aan de slag gaan met voorwaardelijke toegang.