Errore nella pagina di un'applicazione dopo l'accessoError on an application's page after signing in

In questo scenario l'utente ha eseguito l'accesso ad Azure AD, ma l'applicazione visualizza un errore che non consente all'utente di completare correttamente il flusso di accesso.In this scenario, Azure AD has signed the user in, but the application is displaying an error not allowing the user to successfully finish the sign in flow. In questo scenario l'applicazione non accetta la risposta di Azure AD.In this scenario, the application is not accepting the response issue by Azure AD.

Ci sono diversi motivi per cui l'applicazione non ha accettato la risposta di Azure AD.There are some possible reasons why the application didn’t accept the response from Azure AD. Se l'errore nell'applicazione non è sufficientemente chiaro per capire cosa manca nella risposta, procedere come segue:If the error in the application is not clear enough to know what is missing in the response, then:

Attributi mancanti nella risposta SAMLMissing attributes in the SAML response

Per aggiungere un attributo nella configurazione di Azure AD da inviare nella risposta di Azure AD, seguire questa procedura:To add an attribute in the Azure AD configuration to be sent in the Azure AD response, follow the steps below:

  1. Aprire il portale di Azure e accedere come Amministratore globale o Coamministratore.Open the Azure Portal and sign in as a Global Administrator or Co-admin.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.Open the Azure Active Directory Extension by clicking More services at the bottom of the main left hand navigation menu.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.click All Applications to view a list of all your applications.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Selezionare l'applicazione per cui si vuole configurare l'accesso Single Sign-On.Select the application you want to configure single sign-on.

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.Once the application loads, click the Single sign-on from the application’s left hand navigation menu.

  8. Fare clic su Visualizza e modifica tutti gli altri attributi utente nella sezione Attributi utente per modificare gli attributi da inviare all'applicazione nel token SAML quando l'utente esegue l'accesso.click View and edit all other user attributes under the User Attributes section to edit the attributes to be sent to the application in the SAML token when user sign in.

    Per aggiungere un attributo:To add an attribute:

    • Fare clic su Aggiungi attributo.click Add attribute. Immettere il Nome e selezionare il Valore nell'elenco a discesa.Enter the Name and the select the Value from the dropdown.

    • Fare clic su Salva.Click Save. Il nuovo attributo verrà visualizzato nella tabella.You see the new attribute in the table.

  9. Salvare la configurazione.Save the configuration.

Al successivo accesso dell'utente all'applicazione, Azure AD invia il nuovo attributo nella risposta SAML.Next time the user signs in to the application, Azure AD send the new attribute in the SAML response.

L'applicazione prevede un formato o un valore dell'ID utente diversoThe application expects a different User Identifier value or format

L'accesso all'applicazione non riesce perché nella risposta SAML mancano attributi come i ruoli o perché l'applicazione prevede un formato diverso per l'attributo EntityID.The sign-in to the application is failing because the SAML response is missing attributes such as roles or because the application is expecting a different format for the EntityID attribute.

Aggiungere un attributo nella configurazione dell'applicazione Azure AD:Add an attribute in the Azure AD application configuration:

Per modificare il valore dell'ID utente, seguire questa procedura:To change the User Identifier value, follow the steps below:

  1. Aprire il portale di Azure e accedere come Amministratore globale o Coamministratore.Open the Azure Portal and sign in as a Global Administrator or Co-admin.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.Open the Azure Active Directory Extension by clicking More services at the bottom of the main left hand navigation menu.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.click All Applications to view a list of all your applications.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Selezionare l'applicazione per cui si vuole configurare l'accesso Single Sign-On.Select the application you want to configure single sign-on.

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.Once the application loads, click the Single sign-on from the application’s left hand navigation menu.

  8. In Attributi utente selezionare l'identificatore univoco per gli utenti nel menu a discesa Identificatore utente.Under the User attributes, select the unique identifier for your users in the User Identifier dropdown.

Modificare il formato di EntityID (ID utente)Change EntityID (User Identifier) format

Se l'applicazione prevede un altro formato per l'attributo EntityID,If the application expects another format for the EntityID attribute. non sarà possibile selezionare il formato di EntityID (ID utente) che Azure AD invia all'applicazione nella risposta dopo l'autenticazione utente.Then, you won’t be able to select the EntityID (User Identifier) format that Azure AD sends to the application in the response after user authentication.

Azure AD seleziona il formato per l'attributo NameID (ID utente) in base al valore selezionato o al formato richiesto dall'applicazione nell'oggetto AuthRequest SAML.Azure AD select the format for the NameID attribute (User Identifier) based on the value selected or the format requested by the application in the SAML AuthRequest. Per altre informazioni, vedere la sezione NameIDPolicy dell'articolo Protocollo SAML per Single Sign-On.For more information visit the article Single Sign-On SAML protocol under the section NameIDPolicy.

L'applicazione prevede un metodo di firma diverso per la risposta SAMLThe application expects a different signature method for the SAML response

Per modificare le parti del token SAML con firma digitale di Azure Active Directory.To change what parts of the SAML token are digitally signed by Azure Active Directory. Attenersi ai passaggi indicati di seguito:Follow the steps below:

  1. Aprire il portale di Azure e accedere come Amministratore globale o Coamministratore.Open the Azure Portal and sign in as a Global Administrator or Co-admin.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.Open the Azure Active Directory Extension by clicking More services at the bottom of the main left hand navigation menu.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.click All Applications to view a list of all your applications.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Selezionare l'applicazione per cui si vuole configurare l'accesso Single Sign-On.Select the application you want to configure single sign-on.

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.Once the application loads, click the Single sign-on from the application’s left hand navigation menu.

  8. Fare clic su Mostra impostazioni avanzate per la firma di certificati nella sezione Certificato di firma SAML.click Show advanced certificate signing settings under the SAML Signing Certificate section.

  9. Selezionare un valore appropriato per Opzione di firma in base a quanto previsto dall'applicazione:Select the appropriate Signing Option expected by the application:

    • Firma risposta SAMLSign SAML response

    • Firma asserzione e risposta SAMLSign SAML response and assertion

    • Firma asserzione SAMLSign SAML assertion

Al successivo accesso dell'utente all'applicazione, Azure AD firma la parte della risposta SAML selezionata.Next time the user signs in to the application, Azure AD sign the part of the SAML response selected.

L'applicazione prevede che l'algoritmo di firma sia SHA-1The application expects the signing algorithm to be SHA-1

Per impostazione predefinita, Azure AD firma il token SAML usando l'algoritmo più sicuro.By default, Azure AD signs the SAML token using the most security algorithm. Non è consigliabile modificare l'algoritmo di firma scegliendo SHA-1, a meno che non sia richiesto dall'applicazione.Changing the sign algorithm to SHA-1 is not recommended unless required by the application.

Per modificare l'algoritmo di firma, seguire questa procedura:To change the signing algorithm, follow the steps below:

  1. Aprire il portale di Azure e accedere come Amministratore globale o Coamministratore.Open the Azure Portal and sign in as a Global Administrator or Co-admin.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.Open the Azure Active Directory Extension by clicking More services at the bottom of the main left hand navigation menu.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.click All Applications to view a list of all your applications.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Selezionare l'applicazione per cui si vuole configurare l'accesso Single Sign-On.Select the application you want to configure single sign-on.

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.Once the application loads, click the Single sign-on from the application’s left hand navigation menu.

  8. Fare clic su Mostra impostazioni avanzate per la firma di certificati nella sezione Certificato di firma SAML.click Show advanced certificate signing settings under the SAML Signing Certificate section.

  9. Selezionare SHA-1 in Algoritmo di firma.Select SHA-1, in the Signing Algorithm.

Al successivo accesso dell'utente all'applicazione, Azure AD firma il token SAML usando l'algoritmo SHA-1.Next time the user signs in to the application, Azure AD sign the SAML token using SHA-1 algorithm.

Passaggi successiviNext steps

Come eseguire il debug di single sign-on basato su SAML per applicazioni in Azure Active DirectoryHow to debug SAML-based single sign-on to applications in Azure Active Directory