Una pagina dell'app contiene un messaggio di errore dopo l'accesso dell'utente
In questo scenario, Microsoft Entra ID consente di accedere all'utente. L'applicazione visualizza tuttavia un messaggio di errore e non consente all'utente di completare il flusso di accesso. Il problema è che l'app non ha accettato la risposta rilasciata da Microsoft Entra ID.
Esistono diversi motivi per cui l'app non ha accettato la risposta da Microsoft Entra ID. Se è visualizzato un messaggio di errore o un codice, usare le risorse seguenti per diagnosticare l'errore:
- Codici errore di autenticazione e autorizzazione di Microsoft Entra
- Risoluzione degli errori relativi alla richiesta di consenso
Se il messaggio di errore non identifica chiaramente ciò che manca dalla risposta, provare a eseguire le operazioni seguenti:
- Se l'app si trova nella raccolta di Microsoft Entra, verificare di aver seguito i passaggi descritti in Come eseguire il debug dell'accesso Single Sign-On basato su SAML alle applicazioni in Microsoft Entra ID.
- Usare uno strumento come Fiddler per acquisire la richiesta, la risposta e il token SAML.
- Inviare la risposta SAML al fornitore dell'app e chiedere loro cosa manca.
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Gli attributi non sono presenti nella risposta SAML
Per aggiungere un attributo nella configurazione di Microsoft Entra che verrà inviato nella risposta Microsoft Entra, seguire questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.
Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione da configurare per l'accesso Single Sign-On.
Dopo il caricamento dell'app, selezionare Single Sign-On nel riquadro di spostamento.
Nella sezione Attributi utente selezionare Visualizza e modificare tutti gli altri attributi utente. Qui è possibile modificare gli attributi da inviare all'app nel token SAML quando gli utenti accedono.
Per aggiungere un attributo:
Selezionare Aggiungi attributo. Immettere il nome e selezionare il valore nell'elenco a discesa.
Seleziona Salva. Nella tabella verrà visualizzato il nuovo attributo.
Fare clic su Salva per salvare la configurazione.
Al successivo accesso dell'utente all'app, Microsoft Entra ID invierà il nuovo attributo nella risposta SAML.
L'app non è in grado di identificare l'utente
L'accesso all'app ha esito negativo perché la risposta SAML manca un attributo, ad esempio un ruolo. In caso contrario, l'app prevede un formato o un valore diverso per l'attributo NameID (Identificatore utente).
Se si usa il provisioning utenti automatizzato di Microsoft Entra ID per creare, gestire e rimuovere utenti nell'app, verificare che sia stato effettuato il provisioning dell'utente nell'app SaaS. Per altre informazioni, vedere Nessun utente di cui viene effettuato il provisioning in un'applicazione di Microsoft Entra Gallery.
Aggiungere un attributo alla configurazione dell'app Microsoft Entra
Per modificare il valore dell'ID utente, seguire questa procedura:
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
- Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.
- Selezionare l'app che si vuole configurare per l'accesso SSO.
- Dopo il caricamento dell'app, selezionare Single Sign-On nel riquadro di spostamento.
- In Attributi utente selezionare l'identificatore univoco per l'utente dall'elenco a discesa Identificatore utente.
Modificare il formato NameID
Se l'applicazione prevede un altro formato per l'attributo NameID (Identificatore utente), vedere la sezione Modifica nomeID per modificare il formato NameID.
Microsoft Entra ID seleziona il formato per l'attributo NameID (Identificatore utente) in base al valore selezionato o al formato richiesto dall'app in SAML AuthRequest. Per altre informazioni, vedere la sezione "NameIDPolicy" del protocollo SAML Single Sign-On.
L'app prevede un metodo di firma diverso per la risposta SAML
Per modificare le parti del token SAML firmate digitalmente da Microsoft Entra ID, seguire questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.
Selezionare l'applicazione da configurare con l'accesso Single Sign-On.
Dopo il caricamento dell'applicazione, selezionare Single Sign-On nel riquadro di spostamento.
In Certificato di firma SAML selezionare Mostra impostazioni di firma del certificato avanzate.
Selezionare l'opzione di firma prevista dall'app tra le opzioni seguenti:
- Firmare la risposta SAML
- Firmare la risposta e l'asserzione SAML
- Firmare l'asserzione SAML
Al successivo accesso dell'utente all'app, Microsoft Entra ID firmerà la parte della risposta SAML selezionata.
L'app prevede l'algoritmo di firma SHA-1
Per impostazione predefinita, Microsoft Entra ID firma il token SAML usando l'algoritmo più sicuro. È consigliabile non modificare l'algoritmo di firma in SHA-1 a meno che l'app non richieda SHA-1.
Per modificare l'algoritmo di firma, seguire questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.
Selezionare l'app da configurare per l'accesso Single Sign-On.
Dopo il caricamento dell'app, selezionare Single Sign-On nel riquadro di spostamento a sinistra dell'app.
In Certificato di firma SAML selezionare Mostra impostazioni di firma del certificato avanzate.
Selezionare SHA-1 come algoritmo di firma.
Alla successiva accesso dell'utente all'app, Microsoft Entra ID firmerà il token SAML usando l'algoritmo SHA-1.