Eseguire il debug di Single Sign-On basato su SAML per le applicazioni

Questo articolo illustra come trovare e risolvere i problemi di Single Sign-On per le applicazioni in Microsoft Entra ID che usano l'accesso Single Sign-On basato su SAML.

Operazioni preliminari

È consigliabile installare l'estensione My Apps Secure Sign-in. Questa estensione del browser semplifica la raccolta delle informazioni sulla richiesta SAML e sulla risposta SAML necessarie per risolvere i problemi relativi all'accesso Single Sign-On. Se non è possibile installare l'estensione, questo articolo illustra come risolvere i problemi sia con che senza l'estensione installata.

Per scaricare e installare l'estensione My Apps Secure Sign-in, usare uno dei collegamenti seguenti.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Testare l'accesso Single Sign-On basato su SAML

Per testare l'accesso Single Sign-On basato su SAML tra Microsoft Entra ID e un'applicazione di destinazione:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.

  3. Nell'elenco delle applicazioni aziendali selezionare l'applicazione per cui si vuole testare l'accesso Single Sign-On e quindi selezionare Single Sign-On a sinistra.

  4. Per aprire l'esperienza di test dell'accesso Single Sign-On basato su SAML, passare a Test dell'accesso Single Sign-On (passaggio 5). Se il pulsante Test è disattivato, è necessario compilare e salvare prima gli attributi necessari nella sezione Configurazione SAML di base.

  5. Nella pagina Test single sign-on usare le credenziali aziendali per accedere all'applicazione di destinazione. È possibile accedere come utente corrente o come altro utente. Se si accede come utente diverso, viene chiesto di eseguire l'autenticazione.

    Screenshot showing the test SAML SSO page

Se l'accesso è stato effettuato correttamente, è stato superato il test. In questo caso, Microsoft Entra ID ha rilasciato un token di risposta SAML all'applicazione. L'applicazione ha usato il token SAML per consentire l'accesso.

Se si verifica un errore nella pagina di accesso aziendale o nella pagina dell'applicazione, usare una delle sezioni seguenti per correggere l'errore.

Risolvere un errore di accesso nella pagina di accesso aziendale

Quando si tenta di accedere, è possibile che venga visualizzato un errore nella pagina di accesso aziendale simile all'esempio seguente.

Example showing an error in the company sign-in page

Per eseguire il debug di questo errore, sono necessari il messaggio di errore e la richiesta SAML. L'estensione di accesso sicuro App personali raccoglie automaticamente queste informazioni e visualizza le linee guida per la risoluzione su Microsoft Entra ID.

Per risolvere l'errore di accesso con l'estensione di accesso sicuro App personali installata

  1. Quando si verifica un errore, l'estensione reindirizza di nuovo alla pagina Single Sign-On di Microsoft Entra ID Test.
  2. Nella pagina Test single sign-on selezionare Scarica la richiesta SAML.
  3. Vengono visualizzate le istruzioni di risoluzione specifiche basate sull'errore e sui valori presenti nella richiesta SAML.
  4. Viene visualizzato un pulsante Correggi per aggiornare automaticamente la configurazione in Microsoft Entra ID per risolvere il problema. Se questo pulsante non viene visualizzato, il problema di accesso non è dovuto a una configurazione errata nell'ID Microsoft Entra.

Se non viene fornita alcuna risoluzione per l'errore di accesso, è consigliabile usare la casella di testo feedback per informarci.

Per risolvere l'errore senza installare l'estensione di accesso sicuro App personali

  1. Copiare il messaggio di errore nell'angolo inferiore destro della pagina. Il messaggio di errore include:
    • Un ID correlazione e il timestamp. Questi valori sono importanti quando si crea un caso di supporto con Microsoft, perché aiutano i tecnici a identificare il problema e a proporre una risoluzione precisa.
    • Una dichiarazione che identifica la causa radice del problema.
  2. Tornare a Microsoft Entra ID e trovare la pagina Test Single Sign-On .
  3. Nella casella di testo sopra Ottieni procedure per la risoluzione incollare il messaggio di errore.
  4. Selezionare Ottieni indicazioni per la risoluzione per visualizzare i passaggi per la risoluzione del problema. Le procedure fornite potrebbero richiedere informazioni dalla richiesta o dalla risposta SAML. Se non si usa l'estensione di accesso sicuro App personali, potrebbe essere necessario uno strumento come Fiddler per recuperare la richiesta e la risposta SAML.
  5. Verificare che la destinazione nella richiesta SAML corrisponda all'URL del servizio Single Sign-On SAML ottenuto da Microsoft Entra ID.
  6. Verificare che l'autorità emittente nella richiesta SAML sia lo stesso identificatore configurato per l'applicazione in Microsoft Entra ID. Microsoft Entra ID usa l'autorità emittente per trovare un'applicazione nella directory.
  7. Verificare che AssertionConsumerServiceURL sia la posizione in cui l'applicazione prevede di ricevere il token SAML dall'ID Microsoft Entra. È possibile configurare questo valore in Microsoft Entra ID, ma non è obbligatorio se fa parte della richiesta SAML.

Risolvere un errore di accesso nella pagina dell'applicazione

Capita talvolta che si riesca a eseguire l'accesso correttamente ma che successivamente venga visualizzato un errore nella pagina dell'applicazione. Questo errore si verifica quando Microsoft Entra ID ha rilasciato un token all'applicazione, ma l'applicazione non accetta la risposta.

Per risolvere l'errore, seguire questa procedura o guardare questo breve video su come usare Microsoft Entra ID per risolvere i problemi relativi all'accesso SSO SAML:

  1. Se l'applicazione si trova in Microsoft Entra Gallery, verificare di aver seguito tutti i passaggi per l'integrazione dell'applicazione con Microsoft Entra ID. Per trovare le istruzioni di integrazione per l'applicazione, vedere l'elenco di esercitazioni sull'integrazione di applicazioni SaaS.

  2. Recuperare la risposta SAML.

    • Se l'estensione di accesso sicuro App personali è installata, nella pagina Test single sign-on selezionare Scarica la risposta SAML.
    • Se l'estensione non è installata, usare uno strumento come Fiddler per recuperare la risposta SAML.
  3. Nel token della risposta SAML sono presenti gli elementi seguenti:

    • Identificatore univoco di utente del valore NameID e formato

    • Attestazioni rilasciate nel token

    • Certificato usato per firmare il token.

      Per altre informazioni sulla risposta SAML, vedere Protocollo SAML per Single Sign-On.

  4. Dopo aver esaminato la risposta SAML, vedere Errore nella pagina di un'applicazione dopo l'accesso per indicazioni su come risolvere il problema.

  5. Se non è ancora possibile accedere correttamente, è possibile chiedere al fornitore dell'applicazione cosa manca dalla risposta SAML.

Passaggi successivi

Ora che l'accesso Single Sign-On funziona con l'applicazione, è possibile automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS o iniziare a usare l'accesso condizionale.