Отладка единого входа на основе SAML в приложениях

  • Статья

В этой статье вы узнаете, как найти и устранить проблемы единого входа для приложений в Идентификаторе Microsoft Entra, использующих единый вход на основе SAML.

Подготовка к работе

Мы рекомендуем установить расширение защищенного входа в мои приложения. Это расширение браузера позволяет собирать сведения о запросах SAML и ответах SAML, необходимые для решения проблем с единым входом. Если вы не можете установить расширение, ознакомьтесь с этой статьей, которая описывает решение проблем при наличии или отсутствии этого расширения.

Перейдите по одной из следующих ссылок, чтобы загрузить и установить расширение защищенного входа в мои приложения.

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Тестирование единого входа на основе SAML

Чтобы проверить единый вход на основе SAML между идентификатором Microsoft Entra и целевым приложением:

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>

  3. В списке корпоративных приложений выберите приложение, для которого требуется проверить единый вход, а затем в параметрах слева выберите единый вход.

  4. Чтобы открыть интерфейс проверки единого входа на основе SAML, перейдите к разделу Проверка единого входа (шаг 5). Если кнопка Тестировать неактивна, сначала необходимо указать и сохранить обязательные атрибуты в разделе Базовая конфигурация SAML.

  5. На странице единого входа Test используйте корпоративные учетные данные для входа в целевое приложение. Вы можете выполнить вход как текущий пользователь или как другой пользователь. При входе в систему в качестве другого пользователя запрос запрашивает проверку подлинности.

    Screenshot showing the test SAML SSO page

Если вы успешно выполнили вход, тест пройден. В этом случае Microsoft Entra ID выдает маркер ответа SAML приложению. Приложение использует маркер SAML, чтобы обработать ваш вход.

Если на странице входа компании или на странице приложения отображается ошибка, воспользуйтесь инструкциями из следующих разделов, чтобы решить ее.

Решение ошибки входа на странице входа компании

При попытке входа вы можете увидеть ошибку на странице входа компании. Она аналогична приведенному ниже примеру.

Example showing an error in the company sign-in page

Чтобы устранить эту ошибку, вам понадобится сообщение об ошибке и запрос SAML. Расширение безопасного входа Мои приложения автоматически собирает эти сведения и отображает рекомендации по разрешению для идентификатора Microsoft Entra.

Устранение ошибки входа с установленным расширением защищенного входа на страницу "Мои приложения"

  1. При возникновении ошибки расширение перенаправляет вас обратно на страницу единого входа Microsoft Entra ID Test.
  2. На странице единого входа Test выберите "Скачать запрос SAML".
  3. Отобразятся инструкции по устранению в зависимости от ошибки и значений в запросе SAML.
  4. Вы увидите кнопку "Исправить" , чтобы автоматически обновить конфигурацию в идентификаторе Microsoft Entra, чтобы устранить эту проблему. Если эта кнопка не отображается, проблема входа не возникает из-за неправильной настройки идентификатора Microsoft Entra.

Если для ошибки входа не указано разрешение, рекомендуется воспользоваться текстовым полем отзыва и сообщить нам об этом.

Устранение ошибки, когда расширение защищенного входа на страницу "Мои приложения" не установлено

  1. Скопируйте сообщение об ошибке в нижнем правом углу страницы. В сообщение об ошибке входит следующее:
    • CorrelationID и Timestamp. Эти значения важно указать при обращении в службу поддержки корпорации Майкрософт. Это поможет нашим инженерам быстрее определить проблему и найти ей решение.
    • Инструкция, определяющая первопричину проблемы.
  2. Вернитесь к идентификатору Microsoft Entra и найдите страницу единого входа Test.
  3. В текстовое поле над пунктом Получить рекомендации по устранению вставьте сообщение об ошибке.
  4. Нажмите Получить рекомендации по устранению, чтобы просмотреть инструкции по устранению ошибки. Для рекомендаций может потребоваться информация из запроса SAML или ответа SAML. Если вы не используете расширение защищенного входа на страницу "Мои приложения", для получения запроса и ответа SAML вам потребуется другое средство, например Fiddler.
  5. Убедитесь, что назначение в запросе SAML соответствует URL-адресу службы единого входа SAML, полученному из идентификатора Microsoft Entra.
  6. Убедитесь, что издатель в запросе SAML совпадает с идентификатором, настроенным для приложения в идентификаторе Microsoft Entra. Идентификатор Microsoft Entra использует издателя для поиска приложения в каталоге.
  7. Проверка УтвержденияConsumerServiceURL, где приложение ожидает получения токена SAML от идентификатора Microsoft Entra. Это значение можно настроить в идентификаторе Microsoft Entra, но это не обязательно, если это часть запроса SAML.

Устранение ошибки входа на странице приложения

Ошибка на странице приложения может отображаться даже после успешного входа. Эта ошибка возникает, когда идентификатор Microsoft Entra выпустил маркер приложению, но приложение не принимает ответ.

Чтобы устранить ошибку, выполните следующие действия или просмотрите это короткое видео о том, как использовать идентификатор Microsoft Entra для устранения неполадок единого входа SAML:

  1. Если приложение находится в коллекции Microsoft Entra, убедитесь, что вы выполнили все действия по интеграции приложения с идентификатором Microsoft Entra. Инструкции по интеграции для приложения вы найдете в руководствах по интеграции приложений SaaS.

  2. Получите ответ SAML.

    • Если установлено расширение безопасного входа Мои приложения, на странице тестового единого входа выберите ответ SAML.
    • Если расширение не установлено, получите ответ SAML с помощью дополнительного средства, например Fiddler.

  3. Обратите внимание на следующие элементы в маркере ответа SAML:

    • Уникальный идентификатор пользователя значения и формата NameID

    • Утверждения, выданные в маркере

    • Сертификат, использованный для подписи маркера.

      Дополнительные сведения об ответе SAM см. в статье Протокол единого входа SAML.

  4. Получив ответ SAML, изучите статью об ошибке на странице входа в приложение и ознакомьтесь с инструкциями по решению проблемы.

  5. Если вы по-прежнему не можете выполнить вход, обратитесь к поставщику приложения и узнайте, чего не хватает в ответе SAML.

Следующие шаги

Теперь, когда единый вход работает в приложении, вы можете автоматизировать подготовку пользователей и отмену подготовки пользователей к приложениям SaaS или начать работу с условным доступом.