分享方式:

偵錯 SAML 型單一登入應用程式

  • 文章

在本文中,您會了解如何在 Microsoft Entra ID 中,為使用 SAML 型單一登入的應用程式尋找及修正單一登入問題。

開始之前

建議您安裝 My Apps 安全登入擴充功能。 此瀏覽器擴充功能可輕鬆地收集 SAML 要求和 SAML 回應資訊,以供您解決單一登入問題。 如果您無法安裝此擴充功能,本文會說明如何在已安裝/未安裝此擴充功能的情況下解決問題。

若要下載並安裝 My Apps 安全登入擴充功能,請使用下列其中一個連結。

提示

根據您從中開始的入口網站,本文中的步驟可能會略有不同。

測試 SAML 型單一登入

若要在 Microsoft Entra ID 與目標應用程式之間測試 SAML 型單一登入,請執行下列動作:

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]> [所有應用程式]

  3. 從企業應用程式清單中,選取要測試單一登入的應用程式,然後從左側的選項中選取 [單一登入]

  4. 在 [選取單一登入方法] 窗格中,選取 [SAML]

  5. 若要開啟 SAML 型單一登入測試體驗,請移至 [測試單一登入] (步驟 5)。 如果 [測試] 按鈕呈現灰色,則您需要先在 [基本 SAML 組態] 區段中填妥並儲存所需的屬性。

  6. 在 [測試單一登入] 頁面中,使用公司的認證來登入目標應用程式。 您可以使用目前使用者或不同使用者的身分來登入。 若使用不同使用者的身分登入,會有提示要求您進行驗證。

    螢幕擷取畫面:顯示測試 SAML SSO 頁面

如果您能夠登入,測試就會成功。 在此情況下,Microsoft Entra ID 會向應用程式發出 SAML 回應權杖。 應用程式使用 SAML 權杖成功地將您登入。

如果您在公司的登入頁面或應用程式的頁面上遇到錯誤,請使用下列其中一節來解決錯誤。

解決公司登入頁面上的登入錯誤

當您嘗試登入時,可能會在公司的登入頁面上看到與下列範例類似的錯誤。

範例:顯示公司登入頁面中的錯誤

若要對這個錯誤進行偵錯,您需要錯誤訊息和 SAML 要求。 我的應用程式安全登入延伸模組會自動收集此資訊,並在 Microsoft Entra ID 上顯示解決指導方針。

若要在已安裝 My Apps 安全登入擴充功能的情況下解決登入錯誤

  1. 在發生錯誤時,此延伸模組會將您重新導向回到 Microsoft Entra ID 的 [測試單一登入] 頁面。
  2. 在 [測試單一登入] 頁面中,選取 [下載 SAML 要求]
  3. 根據錯誤和 SAML 要求中的值,您應該會看到特定的解決指導方針。
  4. 您會看到 [修正] 按鈕,以自動更新 Microsoft Entra ID 中的設定來解決問題。 若未看到此按鈕,表示登入問題並非因 Microsoft Entra ID 設定不正確所致。

如果未針對登入錯誤提供任何解決方案,我們建議您使用 [意見反應] 文字方塊來通知我們。

若要在未安裝 My Apps 安全登入擴充功能的情況下解決錯誤

  1. 複製頁面右下角的錯誤訊息。 錯誤訊息包括:
    • 相互關聯識別碼和時間戳記。 在向 Microsoft 建立支援案例時務必要有這些值,原因是這些值可協助工程師識別問題並提供正確的問題解決方式。
    • 可識別問題根本原因的陳述。
  2. 返回 Microsoft Entra ID,並尋找 [測試單一登入] 頁面。
  3. 在 [取得解決指導方針] 上方的文字方塊中,貼上錯誤訊息。
  4. 選取 [取得解決指導方針] 以顯示問題的解決步驟。 此指導方針可能需要來自 SAML 要求或 SAML 回應的資訊。 如果您未使用 My Apps 安全登入擴充功能,則可能需要 Fiddler 之類的工具來擷取 SAML 要求和回應。
  5. 確認 SAML 要求中的目的地,會對應到從 Microsoft Entra ID 中取得的 SAML 單一登入服務 URL。
  6. 確認 SAML 要求中的簽發者與在 Entra ID Microsoft 中為應用程式設定的標識符相同。 Microsoft Entra ID 會使用簽發者尋找您目錄中的應用程式。
  7. 確認 AssertionConsumerServiceURL 是應用程式預期會從 Microsoft Entra ID 收到 SAML 權杖的位置。 您可以在 Microsoft Entra ID 中設定這個值,但如果其為 SAML 要求的一部分,則不一定要設定。

解決應用程式頁面上的登入錯誤

您可能會先成功登入,之後才在應用程式的頁面上看到錯誤。 若 Microsoft Entra ID 核發權杖給應用程式,但應用程式不接受該回應時,就會發生此錯誤。

若要解決此錯誤,請遵循下列步驟,或觀賞這段短片,了解如何使用 Microsoft Entra ID 對 SAML SSO 進行疑難排解

  1. 如果應用程式位於 Microsoft Entra 資源庫,請確認您已遵循將應用程式與 Microsoft Entra ID 整合的所有步驟。 若要尋找應用程式的整合指示,請參閱 SaaS 應用程式整合教學課程清單

  2. 擷取 SAML 回應。

    • 若已安裝我的應用程式安全登入延伸模組,請從 [測試單一登入] 頁面中,選取 [下載 SAML 回應]
    • 如果未安裝此擴充功能,則請使用 Fiddler 之類的工具來擷取 SAML 回應。

  3. 請注意 SAML 回應權杖中的這些元素:

    • NameID 值和格式的使用者唯一識別碼

    • 在權杖中所發出的宣告

    • 用來簽署權杖的憑證。

      如需 SAML 回應的詳細資訊,請參閱單一登入 SAML 通訊協定

  4. 既然您已檢閱 SAML 回應,請在登入后參閱應用程式頁面上的錯誤,以取得如何解決問題的指引。

  5. 如果您仍無法成功登入,則可以詢問應用程式廠商 SAML 回應中遺漏了什麼。

下一步

既然應用程式已可使用單一登入,您可以將 SaaS 應用程式的使用者佈建和解除佈建自動化,也可以開始使用條件式存取