Problemi di accesso a un'applicazione della raccolta configurata per il Single Sign-On federatoProblems signing in to a gallery application configured for federated single sign-on

Per risolvere il problema, è necessario verificare la configurazione dell'applicazione in Azure AD come segue:To troubleshoot your problem, you need to verify the application configuration in Azure AD as follow:

  • Assicurarsi di aver seguito tutti i passaggi di configurazione per l'applicazione nella raccolta di AD Azure.You have followed all the configuration steps for the Azure AD gallery application.

  • Controllare che l'identificatore e l'URL di risposta configurati in AAD corrispondano ai valori previsti nell'applicazioneThe Identifier and Reply URL configured in AAD match they expected values in the application

  • Verificare che siano stati assegnati utenti all'applicazioneYou have assigned users to the application

Applicazione non trovata nella directoryApplication not found in directory

Errore AADSTS70001: applicazione con identificatore 'https://contoso.com' non trovata nella directory.Error AADSTS70001: Application with Identifier ‘https://contoso.com’ was not found in the directory.

Causa possibilePossible cause

L'attributo Issuer inviato dall'applicazione ad Azure AD nella richiesta SAML non corrisponde al valore di identificatore configurato nell'applicazione di Azure AD.The Issuer attribute sends from the application to Azure AD in the SAML request doesn’t match the Identifier value configured in the application Azure AD.

RisoluzioneResolution

Assicurarsi che l'attributo Issuer nella richiesta SAML corrisponda al valore di identificatore configurato in Azure AD:Ensure that the Issuer attribute in the SAML request it’s matching the Identifier value configured in Azure AD:

  1. Aprire il Portale di Azure e accedere come Amministratore globale o Coamministratore.Open the Azure Portal and sign in as a Global Administrator or Co-admin.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.Open the Azure Active Directory Extension by clicking More services at the bottom of the main left hand navigation menu.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.click All Applications to view a list of all your applications.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco di tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Selezionare l'applicazione per cui si vuole configurare un accesso Single Sign-OnSelect the application you want to configure single sign-on

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.Once the application loads, click the Single sign-on from the application’s left hand navigation menu.

  8. Passare alla sezione URL e dominio.Go to Domain and URLs section. Verificare che il valore nella casella di testo dell'identificatore corrisponda al valore dell'identificatore visualizzato nel messaggio di errore.Verify that the value in the Identifier textbox is matching the value for the identifier value displayed in the error.

Dopo aver aggiornato il valore dell'identificatore in Azure AD in modo che corrisponda al valore inviato dall'applicazione nella richiesta SAML, dovrebbe essere possibile accedere all'applicazione.After you have updated the Identifier value in Azure AD and it’s matching the value sends by the application in the SAML request, you should be able to sign in to the application.

L'indirizzo di risposta non corrisponde agli indirizzi di risposta configurati per l'applicazione.The reply address does not match the reply addresses configured for the application.

Errore AADSTS50011: l'indirizzo di risposta 'https://contoso.com' non corrisponde agli indirizzi risposta configurati per l'applicazioneError AADSTS50011: The reply address ‘https://contoso.com’ does not match the reply addresses configured for the application

Causa possibilePossible cause

Il valore AssertionConsumerServiceURL nella richiesta SAML non corrisponde al valore o al modello dell'URL di risposta configurato in Azure AD.The AssertionConsumerServiceURL value in the SAML request doesn't match the Reply URL value or pattern configured in Azure AD. Il valore AssertionConsumerServiceURL nella richiesta SAML è l'URL visualizzato nel messaggio di errore.The AssertionConsumerServiceURL value in the SAML request is the URL you see in the error.

RisoluzioneResolution

Assicurare che il valore AssertionConsumerServiceURL nella richiesta SAML corrisponda al valore dell'URL di risposta configurato in Azure AD.Ensure that the AssertionConsumerServiceURL value in the SAML request it's matching the Reply URL value configured in Azure AD.

  1. Aprire il Portale di Azure e accedere come Amministratore globale o Coamministratore.Open the Azure Portal and sign in as a Global Administrator or Co-admin.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.Open the Azure Active Directory Extension by clicking More services at the bottom of the main left hand navigation menu.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.click All Applications to view a list of all your applications.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco di tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Selezionare l'applicazione per cui si vuole configurare un accesso Single Sign-OnSelect the application you want to configure single sign-on

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.Once the application loads, click the Single sign-on from the application’s left hand navigation menu.

  8. Passare alla sezione URL e dominio.Go to Domain and URLs section. Verificare o aggiornare il valore nella casella di testo URL di risposta in modo che corrisponda al valore AssertionConsumerServiceURL nella richiesta SAML.Verify or update the value in the Reply URL textbox to match the AssertionConsumerServiceURL value in the SAML request.

    • Se non viene visualizzata la casella di testo URL di risposta, selezionare la casella Mostra impostazioni URL avanzate.If you don't see the Reply URL textbox, select the Show advanced URL settings checkbox.

Dopo aver aggiornato il valore dell'URL di risposta in Azure AD in modo che corrisponda al valore inviato dall'applicazione nella richiesta SAML, dovrebbe essere possibile accedere all'applicazione.After you have updated the Reply URL value in Azure AD and it’s matching the value sends by the application in the SAML request, you should be able to sign in to the application.

All'utente non è stato assegnato un ruoloUser not assigned a role

Error AADSTS50105: The signed in user 'brian@contoso.com' is not assigned to a role for the application (Errore AADSTS50105: nessun ruolo assegnato all'utente che ha eseguito l'accesso "brian@contoso.com" per l'applicazione).Error AADSTS50105: The signed in user 'brian@contoso.com' is not assigned to a role for the application.

Causa possibilePossible cause

L'utente non ha ottenuto l'accesso all'applicazione in Azure AD.The user has not been granted access to the application in Azure AD.

RisoluzioneResolution

Per assegnare uno o più utenti direttamente a un'applicazione, seguire questa procedura:To assign one or more users to an application directly, follow the steps below:

  1. Aprire il portale di Azure e accedere come Amministratore globale.Open the Azure Portal and sign in as a Global Administrator.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.Open the Azure Active Directory Extension by clicking More services at the bottom of the main left hand navigation menu.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.click All Applications to view a list of all your applications.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Selezionare nell'elenco l'applicazione che si vuole assegnare a un utente.Select the application you want to assign a user to from the list.

  7. Dopo il caricamento dell'applicazione, fare clic su Utenti e gruppi nel menu di navigazione a sinistra dell'applicazione.Once the application loads, click Users and Groups from the application’s left hand navigation menu.

  8. Fare clic sul pulsante Aggiungi nella parte superiore dell'elenco Utenti e gruppi per aprire il pannello Aggiungi assegnazione.Click the Add button on top of the Users and Groups list to open the Add Assignment blade.

  9. Fare clic sul selettore Utenti e gruppi nel pannello Aggiungi assegnazione.click the Users and groups selector from the Add Assignment blade.

  10. Nella casella di ricerca Cerca per nome o indirizzo di posta digitare il nome completo o l'indirizzo di posta elettronica dell'utente oggetto dell'assegnazione.Type in the full name or email address of the user you are interested in assigning into the Search by name or email address search box.

  11. Passare il puntatore sull'utente nell'elenco per visualizzare una casella di controllo.Hover over the user in the list to reveal a checkbox. Fare clic sulla casella di controllo accanto alla foto o al logo del profilo dell'utente per aggiungere l'utente all'elenco Selezionato.Click the checkbox next to the user’s profile photo or logo to add your user to the Selected list.

  12. Facoltativo: se si vuole aggiungere più di un utente, digitare un altro nome completo o indirizzo di posta elettronica nella casella di ricerca Cerca per nome o indirizzo di posta e fare clic sulla casella di controllo per aggiungere l'utente all'elenco selezionato.Optional: If you would like to add more than one user, type in another full name or email address into the Search by name or email address search box, and click the checkbox to add this user to the Selected list.

  13. Dopo avere selezionato gli utenti, fare clic sul pulsante Seleziona per aggiungerli all'elenco di utenti e gruppi da assegnare all'applicazione.When you are finished selecting users, click the Select button to add them to the list of users and groups to be assigned to the application.

  14. Facoltativo: fare clic sul selettore Seleziona ruolo nel pannello Aggiungi assegnazione per scegliere un ruolo da assegnare agli utenti selezionati.Optional: click the Select Role selector in the Add Assignment blade to select a role to assign to the users you have selected.

  15. Fare clic sul pulsante Assegna per assegnare l'applicazione agli utenti selezionati.Click the Assign button to assign the application to the selected users.

Dopo un breve periodo di tempo, gli utenti selezionati potranno avviare queste applicazioni usando i metodi illustrati nella sezione Descrizione della soluzione.After a short period of time, the users you have selected be able to launch these applications using the methods described in the solution description section.

La richiesta non è un messaggio SAML validoNot a valid SAML Request

Error AADSTS75005: The request is not a valid Saml2 protocol message.(Errore AADSTS75005: la richiesta non è un messaggio del protocollo Saml2 valido).Error AADSTS75005: The request is not a valid Saml2 protocol message.

Causa possibilePossible cause

Azure AD non supporta la richiesta di SAML inviata dall'applicazione per il Single Sign-On.Azure AD doesn’t support the SAML Request sent by the application for Single Sign-on. Alcuni problemi comuni sono:Some common issues are:

  • Campi obbligatori mancanti nella richiesta SAMLMissing required fields in the SAML request

  • Metodo codificato della richiesta SAMLSAML request encoded method

RisoluzioneResolution

  1. Acquisire la richiesta SAML.Capture SAML request. Per informazioni su come acquisire la richiesta SAML, seguire l'esercitazione Come eseguire il debug di single sign-on basato su SAML per applicazioni in Azure Active Directory.follow the tutorial How to debug SAML-based single sign-on to applications in Azure AD to learn how to capture the SAML request.

  2. Contattare il fornitore dell'applicazione e condividere:Contact the application vendor and share:

Il fornitore dovrebbe confermare di supportare l'implementazione del protocollo SAML di Azure AD SAML per il Single Sign-on.They should validate they support the Azure AD SAML implementation for Single Sign-on.

Nessuna risorsa nell'elenco requiredResourceAccessNo resource in requiredResourceAccess list

Error AADSTS65005:The client application has requested access to resource '00000002-0000-0000-c000-000000000000'. This request has failed because the client has not specified this resource in its requiredResourceAccess list. (Errore: l'applicazione client ha richiesto l'accesso alla risorsa '00000002-0000-0000-c000-000000000000'. La richiesta ha avuto esito negativo perché il client non ha specificato questa risorsa nell'elenco requiredResourceAccess).Error AADSTS65005:The client application has requested access to resource '00000002-0000-0000-c000-000000000000'. This request has failed because the client has not specified this resource in its requiredResourceAccess list.

Causa possibilePossible cause

L'oggetto applicazione è danneggiato.The application object is corrupted.

Risoluzione: opzione 1Resolution: option 1

Per risolvere il problema, aggiungere il valore dell'identificatore univoco nella configurazione di Azure AD.To solve the problem, add the unique Identifier value in the Azure AD configuration. Per aggiungere un valore dell'identificatore, seguire questa procedura:To add a Identifier value, follow the steps below:

  1. Aprire il Portale di Azure e accedere come Amministratore globale o Coamministratore.Open the Azure Portal and sign in as a Global Administrator or Co-admin.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.Open the Azure Active Directory Extension by clicking More services at the bottom of the main left hand navigation menu.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.click All Applications to view a list of all your applications.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Selezionare l'applicazione per cui è stato configurato l'accesso Single Sign-On.Select the application you have configured single sign-on.

  7. Dopo aver caricato l'applicazione, fare clic su Single Sign-On dal menu di spostamento a sinistra dell'applicazioneOnce the application loads, click on the Single sign-on from the application’s left hand navigation menu

  8. Nella sezione URL e dominio controllare Mostra impostazioni URL avanzate.Under the Domain and URL section, check on the Show advanced URL settings.

  9. Nel casella di testo Identificatore digitare un identificatore univoco per l'applicazione.in the Identifier textbox type a unique identifier for the application.

  10. Salvare la configurazione.Save the configuration.

Risoluzione: opzione 2Resolution option 2

Se l'opzione 1 precedente non risolve il problema, provare a rimuovere l'applicazione dalla directory.If option 1 above did not work for you, try removing the application from the directory. e quindi aggiungerla e riconfigurarla seguendo questa procedura:Then, add and reconfigure the application, follow the steps below:

  1. Aprire il Portale di Azure e accedere come Amministratore globale o Coamministratore.Open the Azure Portal and sign in as a Global Administrator or Co-admin.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.Open the Azure Active Directory Extension by clicking More services at the bottom of the main left hand navigation menu.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.click All Applications to view a list of all your applications.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco di tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Selezionare l'applicazione per cui si vuole configurare un accesso Single Sign-OnSelect the application you want to configure single sign-on

  7. Fare clic su Elimina in alto a sinistra del pannello Panoramica dell'applicazione.Click Delete at the top-left of the application Overview blade.

  8. Aggiornare Azure AD, aggiungere l'applicazione dalla raccolta di Azure ADRefresh Azure AD and Add the application from the Azure AD gallery. e quindi configurarla.Then, Configure the application

Dopo la riconfigurazione dell'applicazione, dovrebbe essere possibile accedere all'applicazione.After reconfiguring the application, you should be able to sign in to the application.

Chiave o certificato non configuratoCertificate or key not configured

Error AADSTS50003: No signing key configured. (Errore AADSTS50003: nessuna chiave di firma configurata).Error AADSTS50003: No signing key configured.

Causa possibilePossible cause

L'oggetto applicazione è danneggiato e Azure AD non riconosce il certificato configurato per l'applicazione.The application object is corrupted and Azure AD doesn’t recognize the certificate configured for the application.

RisoluzioneResolution

Per eliminare e creare un nuovo certificato, seguire questa procedura:To delete and create a new certificate, follow the steps below:

  1. Aprire il Portale di Azure e accedere come Amministratore globale o Coamministratore.Open the Azure Portal and sign in as a Global Administrator or Co-admin.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.Open the Azure Active Directory Extension by clicking More services at the bottom of the main left hand navigation menu.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.click All Applications to view a list of all your applications.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco di tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Selezionare l'applicazione per cui si vuole configurare un accesso Single Sign-OnSelect the application you want to configure single sign-on

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.Once the application loads, click the Single sign-on from the application’s left hand navigation menu.

  8. Nella sezione Certificato di firma SAML fare clic su Crea nuovo certificato.click Create new certificate under the SAML signing Certificate section.

  9. Selezionare la data di scadenza.Select Expiration date. Fare quindi clic su Salva.Then, click Save.

  10. Selezionare l'opzione per attivare il nuovo certificato in modo da sostituire il certificato attivo.Check Make new certificate active to override the active certificate. Fare quindi clic su Salva nella parte superiore del pannello e accettare di attivare il certificato di rollover.Then, click Save at the top of the blade and accept to activate the rollover certificate.

  11. Nella sezione Certificato di firma SAML selezionare Rimuovi per rimuovere il certificato Inutilizzato.Under the SAML Signing Certificate section, click remove to remove the Unused certificate.

Problema di personalizzazione delle attestazioni SAML inviate a un'applicazioneProblem when customizing the SAML claims sent to an application

Per informazioni su come personalizzare le attestazioni degli attributi SAML inviate all'applicazione, vedere Claims mapping in Azure Active Directory (Mapping di attestazioni in Azure Active Directory).To learn how to customize the SAML attribute claims sent to your application, see Claims mapping in Azure Active Directory for more information.

Passaggi successiviNext steps

Come eseguire il debug di single sign-on basato su SAML per applicazioni in Azure Active DirectoryHow to debug SAML-based single sign-on to applications in Azure AD