Debugowanie logowania jednokrotnego opartego na protokole SAML w aplikacjach

  • Artykuł

Z tego artykułu dowiesz się, jak znaleźć i rozwiązać problemy z logowaniem jednokrotnym dla aplikacji w usłudze Microsoft Entra ID, które korzystają z logowania jednokrotnego opartego na protokole SAML.

Zanim rozpoczniesz

Zalecamy zainstalowanie rozszerzenia bezpiecznego logowania Moje aplikacje. To rozszerzenie przeglądarki ułatwia zbieranie informacji o żądaniu SAML i odpowiedzi SAML, które są potrzebne do rozwiązywania problemów z logowaniem jednokrotnym. Jeśli nie możesz zainstalować rozszerzenia, w tym artykule pokazano, jak rozwiązywać problemy zarówno z zainstalowanym rozszerzeniem, jak i bez tego rozszerzenia.

Aby pobrać i zainstalować rozszerzenie bezpiecznego logowania Moje aplikacje, użyj jednego z poniższych linków.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Testowanie logowania jednokrotnego opartego na protokole SAML

Aby przetestować logowanie jednokrotne oparte na protokole SAML między identyfikatorem Microsoft Entra i aplikacją docelową:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>

  3. Z listy aplikacji dla przedsiębiorstw wybierz aplikację, dla której chcesz przetestować logowanie jednokrotne, a następnie z opcji po lewej stronie wybierz pozycję Logowanie jednokrotne.

  4. Aby otworzyć funkcję testowania logowania jednokrotnego opartego na protokole SAML, przejdź do punktu Testowanie logowania jednokrotnego (krok 5). Jeśli przycisk Testuj jest wyszarzony, musisz wypełnić i zapisać wymagane atrybuty najpierw w sekcji Podstawowa konfiguracja protokołu SAML.

  5. Na stronie Testowanie logowania jednokrotnego użyj poświadczeń firmowych, aby zalogować się do aplikacji docelowej. Możesz zalogować się jako bieżący użytkownik lub inny użytkownik. Jeśli zalogujesz się jako inny użytkownik, zostanie wyświetlony monit o uwierzytelnienie.

    Screenshot showing the test SAML SSO page

Pomyślne zalogowanie się oznacza pomyślne zaliczenie testu. W tym przypadku Microsoft Entra ID wydał aplikacji token odpowiedzi SAML. Do pomyślnego zalogowania Cię aplikacja użyła tokenu SAML.

Jeśli na stronie logowania firmy występuje błąd lub strona aplikacji, użyj jednej z następnych sekcji, aby rozwiązać ten problem.

Usuwanie błędu logowania na stronie logowania firmy

Podczas próby zalogowania może zostać wyświetlony błąd na stronie logowania firmy podobnej do poniższego przykładu.

Example showing an error in the company sign-in page

Aby debugować ten błąd, potrzebny jest komunikat o błędzie i żądanie SAML. Rozszerzenie bezpiecznego logowania Moje aplikacje automatycznie zbiera te informacje i wyświetla wskazówki dotyczące rozwiązywania problemów w witrynie Microsoft Entra ID.

Aby rozwiązać problem z błędem logowania z zainstalowanym rozszerzeniem bezpiecznego logowania Moje aplikacje

  1. Gdy wystąpi błąd, rozszerzenie przekierowuje Cię z powrotem do strony logowania jednokrotnego microsoft Entra ID Test.
  2. Na stronie Testowanie logowania jednokrotnego wybierz pozycję Pobierz żądanie SAML.
  3. Powinny zostać wyświetlone konkretne wskazówki dotyczące rozwiązywania problemów na podstawie błędu i wartości w żądaniu SAML.
  4. Zostanie wyświetlony przycisk Napraw , aby automatycznie zaktualizować konfigurację w identyfikatorze Entra firmy Microsoft, aby rozwiązać ten problem. Jeśli nie widzisz tego przycisku, problem z logowaniem nie jest spowodowany błędną konfiguracją identyfikatora Entra firmy Microsoft.

Jeśli nie podano rozwiązania błędu logowania, zalecamy użycie pola tekstowego opinii w celu poinformowania nas.

Aby rozwiązać ten problem bez instalowania rozszerzenia bezpiecznego logowania Moje aplikacje

  1. Skopiuj komunikat o błędzie w prawym dolnym rogu strony. Komunikat o błędzie zawiera:
    • Identyfikator korelacji i sygnatura czasowa. Te wartości są ważne podczas tworzenia zgłoszenia do pomocy technicznej w firmie Microsoft, ponieważ pomagają inżynierom zidentyfikować twój problem i zapewnić dokładne rozwiązanie problemu.
    • Instrukcja identyfikująca główną przyczynę problemu.
  2. Wróć do pozycji Microsoft Entra ID i znajdź stronę Testowanie logowania jednokrotnego .
  3. W powyższym polu tekstowym Uzyskaj wskazówki dotyczące rozwiązywania problemów wklej komunikat o błędzie.
  4. Wybierz pozycję Uzyskaj wskazówki dotyczące rozwiązywania problemów , aby wyświetlić kroki rozwiązywania problemu. Wskazówki mogą wymagać informacji z żądania SAML lub odpowiedzi SAML. Jeśli nie używasz rozszerzenia bezpiecznego logowania Moje aplikacje, może być potrzebne narzędzie, takie jak Fiddler, aby pobrać żądanie i odpowiedź SAML.
  5. Sprawdź, czy miejsce docelowe w żądaniu SAML odpowiada adresowi URL usługi logowania jednokrotnego SAML uzyskanym z identyfikatora Firmy Microsoft Entra.
  6. Sprawdź, czy wystawca w żądaniu SAML jest tym samym identyfikatorem, który został skonfigurowany dla aplikacji w identyfikatorze Entra firmy Microsoft. Identyfikator Entra firmy Microsoft używa wystawcy do znalezienia aplikacji w katalogu.
  7. Sprawdź, czy assertionConsumerServiceURL to miejsce, w którym aplikacja oczekuje otrzymania tokenu SAML z identyfikatora Entra firmy Microsoft. Tę wartość można skonfigurować w identyfikatorze Entra firmy Microsoft, ale nie jest to obowiązkowe, jeśli jest częścią żądania SAML.

Usuwanie błędu logowania na stronie aplikacji

Możesz zalogować się pomyślnie, a następnie zobaczyć błąd na stronie aplikacji. Ten błąd występuje, gdy identyfikator Entra firmy Microsoft wystawił token aplikacji, ale aplikacja nie akceptuje odpowiedzi.

Aby rozwiązać ten problem, wykonaj następujące kroki lub obejrzyj ten krótki film wideo na temat sposobu używania identyfikatora Entra firmy Microsoft do rozwiązywania problemów z logowaniem jednokrotnym SAML:

  1. Jeśli aplikacja znajduje się w galerii entra firmy Microsoft, sprawdź, czy wykonano wszystkie kroki integracji aplikacji z identyfikatorem Entra firmy Microsoft. Aby znaleźć instrukcje dotyczące integracji aplikacji, zobacz listę samouczków dotyczących integracji aplikacji SaaS.

  2. Pobierz odpowiedź SAML.

    • Jeśli zainstalowano rozszerzenie bezpiecznego logowania Moje aplikacje, na stronie Testowanie logowania jednokrotnego wybierz pozycję Pobierz odpowiedź SAML.
    • Jeśli rozszerzenie nie jest zainstalowane, użyj narzędzia takiego jak Fiddler , aby pobrać odpowiedź SAML.

  3. Zwróć uwagę na następujące elementy w tokenie odpowiedzi SAML:

    • Unikatowy identyfikator użytkownika wartości i formatu NameID

    • Oświadczenia wystawione w tokenie

    • Certyfikat używany do podpisywania tokenu.

      Aby uzyskać więcej informacji na temat odpowiedzi SAML, zobacz Protokół SAML logowania jednokrotnego.

  4. Po przejrzeniu odpowiedzi SAML zobacz Błąd na stronie aplikacji po zalogowaniu , aby uzyskać wskazówki dotyczące rozwiązywania problemu.

  5. Jeśli nadal nie możesz się zalogować pomyślnie, możesz zapytać dostawcę aplikacji, czego brakuje w odpowiedzi SAML.

Następne kroki

Teraz, gdy logowanie jednokrotne działa w aplikacji, możesz zautomatyzować aprowizowanie użytkowników i anulowanie aprowizacji aplikacji SaaS lub rozpocząć pracę z dostępem warunkowym.