Eseguire il debug dell'accesso Single Sign-On basato su SAML su applicazioni in Azure Active DirectoryDebug SAML-based single sign-on to applications in Azure Active Directory

Informazioni su come individuare e correggere i problemi di accesso Single Sign-On per applicazioni in Azure Active Directory (Azure AD) che supportano Security Assertion Markup Language (SAML) 2.0.Learn how to find and fix single sign-on issues for applications in Azure Active Directory (Azure AD) that support Security Assertion Markup Language (SAML) 2.0.

Prima di iniziareBefore you begin

È consigliabile installare l'estensione My Apps Secure Sign-in.We recommend installing the My Apps Secure Sign-in Extension. Questa estensione di browser semplifica la raccolta delle informazioni relative alle richieste e alle risposte SAML necessarie per risolvere i problemi con l'accesso Single Sign-On.This browser extension makes it easy to gather the SAML request and SAML response information that you need for resolving issues with single sign-on. Nel caso non sia possibile installare l'estensione, questo articolo descrive come risolvere i problemi anche senza l'estensione installata.In case you cannot install the extension, this article shows you how to resolve issues both with and without the extension installed.

Per scaricare e installare l'estensione My Apps Secure Sign-in, usare uno dei collegamenti seguenti.To download and install the My Apps Secure Sign-in Extension, use one of the following links.

Testare l'accesso Single Sign-On basato su SAMLTest SAML-based single sign-on

Per testare l'accesso Single Sign-On basato su SAML tra Azure Active Directory e un'applicazione di destinazione:To test SAML-based single sign-on between AAD and a target application:

  1. Accedere al portale di Azure come amministratore globale e altro amministratore autorizzato a gestire le applicazioni.Sign in to the Azure portal as a global administrator or other administrator that is authorized to manage applications.
  2. Nel pannello di sinistra fare clic su Azure Active Directory e quindi su Applicazioni aziendali.In the left blade, click Azure Active Directory, and then click Enterprise applications.
  3. Nell'elenco Applicazioni aziendali fare clic sull'applicazione per cui si vuole testare l'accesso Single Sign-On, quindi nelle opzioni a sinistra fare clic su Single Sign-On.From the list of Enterprise Applications, click the application for which you want to test single sign-on, and then from the options on the left click Single sign-on.
  4. Per aprire l'esperienza di test dell'accesso Single Sign-On basato su SAML, nella sezione Dominio e URL fare clic su Test impostazioni SAML.To open the SAML-based single sign-on testing experience, in the Domain and URLs section click Test SAML Setting. Se il pulsante Test impostazioni SAML appare disattivato, occorre prima immettere e salvare gli attributi necessari.If the Test SAML Setting button is greyed out, you need to fill out and save the required attributes first.
  5. Nel pannello Test dell'accesso Single Sign-On usare le credenziali aziendali per accedere all'applicazione di destinazione.In the Test single sign-on blade, use your corporate credentials to sign in to the target application. È possibile accedere come utente corrente o come altro utente.You can sign in as the current user or as a different user. Se si accede come altro utente, verrà chiesto di eseguire l'autenticazione.If you sign in as a different user, a prompt will ask you to authenticate.

    Pagina Test SAML

Se è stato effettuato l'accesso, è stato superato il test.If you are successfully signed in, the test has passed. In questo caso, Azure AD ha rilasciato un token di risposta SAML all'applicazione.In this case, Azure AD issued a SAML response token to the application. L'applicazione ha usato il token SAML per consentire l'accesso.The application used the SAML token to successfully sign you in.

Se si verifica un errore nella pagina di accesso aziendale o nella pagina dell'applicazione, usare una delle sezioni seguenti per correggere l'errore.If you have an error on the company sign-in page or the application's page, use one of the next sections to resolve the error.

Risolvere un errore di accesso nella pagina di accesso aziendaleResolve a sign-in error on your company sign-in page

Quando si tenta di eseguire l'accesso, è possibile che si verifichi un errore nella pagina di accesso aziendale.When you try to sign in you might see an error on your company sign-in page.

Errore di accesso

Per eseguire il debug di questo errore, sono necessari il messaggio di errore e la richiesta SAML.To debug this error, you need the error message and the SAML request. L'estensione My Apps Secure Sign-in raccoglie automaticamente queste informazioni e visualizza le istruzioni per risolvere il problema in Azure AD.The My Apps Secure Sign-in Extension automatically gathers this information and displays resolution guidance on Azure AD.

Per risolvere l'errore di accesso con l'estensione MyApps Secure Sign-in installata:To resolve the sign-in error with the MyApps Secure Sign-in Extension installed:

  1. Quando si verifica un errore, l'estensione reindirizza l'utente al pannello Test dell'accesso Single Sign-On di Azure AD.When an error occurs, the extension redirects you back to the Azure Ad Test single sign-on blade.
  2. Nel pannello Test dell'accesso Single Sign-On fare clic su Scaricare la richiesta SAML.On the Test single sign-on blade, click Download the SAML request.
  3. Vengono visualizzate le istruzioni di risoluzione specifiche basate sull'errore e sui valori presenti nella richiesta SAML.You should see specific resolution guidance based on the error and the values in the SAML request. Esaminare le istruzioni.Review the guidance.

Per risolvere l'errore senza installare l'estensione MyApps Secure Sign-in:To resolve the error without installing MyApps Secure Sign-in Extension:

  1. Copiare il messaggio di errore nell'angolo inferiore destro della pagina.Copy the error message at the bottom right corner of the page. Il messaggio di errore include:The error message includes:
    • Un ID correlazione e il timestamp.A CorrelationID and Timestamp. Questi valori sono importanti quando si crea un caso di supporto con Microsoft, perché aiutano i tecnici a identificare il problema e a proporre una risoluzione precisa.These values are important when you create a support case with Microsoft because they help the engineers to identify your problem and provide an accurate resolution to your issue.
    • Una dichiarazione che identifica la causa radice del problema.A statement identifying the root cause of the problem.
  2. Tornare ad Azure AD e individuare il pannello Test dell'accesso Single Sign-On.Go back to Azure AD and find the Test single sign-on blade.
  3. Nella casella di testo sopra Ottieni procedure per la risoluzione incollare il messaggio di errore.In the text box above Get resolution guidance, paste the error message.
  4. Fare clic su Ottieni procedure per la risoluzione per visualizzare i passaggi per risolvere il problema.Click Get resolution guidance to display steps for resolving the issue. Le procedure fornite potrebbero richiedere informazioni dalla richiesta o dalla risposta SAML.The guidance might require information from the SAML request or SAML response. Se non si usa l'estensione MyApps Secure Sign-in, potrebbe essere necessario usare uno strumento come Fiddler per recuperare la richiesta e la risposta SAML.If you’re not using the MyApps Secure Sign-in Extension, you might need a tool such as Fiddler to retrieve the SAML request and response.
  5. Verificare che la destinazione nella richiesta SAML corrisponda all'URL del servizio Single Sign-On SAML ottenuto da Azure Active DirectoryVerify the destination in the SAML request corresponds to the SAML Single Sign-On Service URL obtained from Azure Active Directory
  6. Verificare che l'emittente nella richiesta SAML sia lo stesso identificatore che è stato configurato per l'applicazione in Azure Active Directory.Verify the issuer in the SAML request is the same identifier you have configured for the application in Azure Active Directory. Azure AD usa l'emittente per trovare un'applicazione nella directory.Azure AD uses the issuer to find an application in your directory.
  7. Verificare che AssertionConsumerServiceURL sia l'URL in cui l'applicazione prevede di ricevere il token SAML da Azure Active Directory.Verify AssertionConsumerServiceURL is where the application expects to receive the SAML token from Azure Active Directory. È possibile configurare questo valore in Azure Active Directory, ma non è obbligatorio se fa parte della richiesta SAML.You can configure this value in Azure Active Directory, but it’s not mandatory if it’s part of the SAML request.

Risolvere un errore di accesso nella pagina dell'applicazioneResolve a sign-in error on the application page

Capita talvolta che si riesca a eseguire l'accesso correttamente ma che successivamente venga visualizzato un errore nella pagina dell'applicazione.You might sign in successfully and then see an error on the application's page. Questa situazione si verifica quando Azure AD ha emesso un token per l'applicazione, ma questa non accetta la risposta.This occurs when Azure AD issued a token to the application, but the application does not accept the response.

Per risolvere l'errore:To resolve the error:

  1. Se l'applicazione si trova nella raccolta di Azure Active Directory, verificare di avere seguito tutti i passaggi per integrare l'applicazione con Azure AD.If the application is in the Azure AD Gallery, verify you have followed all the steps for integrating the application with Azure AD. Per trovare le istruzioni di integrazione per l'applicazione, vedere l'elenco di esercitazioni sull'integrazione di applicazioni SaaS.To find the integration instructions for your application, see the list of SaaS application integration tutorials.
  2. Recuperare la risposta SAML.Retrieve the SAML response.
    • Se l'estensione My Apps Secure Sign-in è installata, nel pannello Test dell'accesso Single Sign-On fare clic su Scaricare la richiesta SAML.If the My Apps Secure Sign-in extension is installed, from the Test single sign-on blade, click download the SAML response.
    • Se l'estensione non è installata, usare uno strumento quale Fiddler per recuperare la risposta SAML.If the extension is not installed, use a tool such as Fiddler to retrieve the SAML response.
  3. Nel token della risposta SAML sono presenti gli elementi seguenti:Notice these elements in the SAML response token:
    • Identificatore univoco di utente del valore NameID e formatoUser unique identifier of NameID value and format
    • Attestazioni rilasciate nel tokenClaims issued in the token
    • Certificato usato per firmare il token.Certificate used to sign the token. Per informazioni su come esaminare la risposta SAML, vedere Protocollo SAML per Single Sign-On.For information on how to review the SAML response, see Single Sign-On SAML protocol.
  4. Per altre informazioni sulla risposta SAML, vedere Protocollo SAML per Single Sign-On.For more information on the SAML response, see Single Sign-on SAML protocol.
  5. Dopo aver esaminato la risposta SAML, vedere Errore nella pagina dell'applicazione dopo l'accesso per indicazioni sulla risoluzione del problema.Now that you have reviewed the SAML response, see Error on an application's page after signing in for guidance on resolving the problem.
  6. Se non si è ancora in grado di accedere correttamente, è possibile chiedere al fornitore dell'applicazione le informazioni mancanti nella risposta SAML.If you are still not able to sign in successfully, you can ask the application vendor what is missing from the SAML response.

Passaggi successiviNext steps

Con l'accesso Single Sign-On operativo nell'applicazione, è possibile a questo punto automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS o eseguire le attività iniziali per l'accesso condizionale.Now that single sign-on is working to your application, you could Automate user provisioning and deprovisioning to SaaS applications, or get started with conditional access.