Op een app-pagina wordt een foutbericht weergegeven nadat de gebruiker zich heeft aangemeld
In dit scenario wordt de gebruiker door Microsoft Entra ID aangemeld. Maar de toepassing geeft een foutbericht weer en laat de gebruiker de aanmeldingsstroom niet voltooien. Het probleem is dat de app het antwoord dat microsoft Entra-id heeft uitgegeven, niet heeft geaccepteerd.
Er zijn verschillende mogelijke redenen waarom de app het antwoord van Microsoft Entra-id niet heeft geaccepteerd. Als er een foutbericht of code wordt weergegeven, gebruikt u de volgende bronnen om de fout te diagnosticeren:
- Foutcodes van Microsoft Entra-verificatie en -autorisatie (AADSTS)
- Problemen met toestemmingsprompts oplossen
Als het foutbericht niet duidelijk aangeeft wat er ontbreekt in het antwoord, probeert u het volgende:
- Als de app zich in de Microsoft Entra-galerie bevindt, controleert u of u de stappen hebt gevolgd in Het opsporen van fouten in op SAML gebaseerde eenmalige aanmelding bij toepassingen in Microsoft Entra ID.
- Gebruik een hulpprogramma zoals Fiddler om de SAML-aanvraag, het antwoord en het token vast te leggen.
- Verzend het SAML-antwoord naar de leverancier van de app en vraag hen wat er ontbreekt.
Tip
Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.
Kenmerken ontbreken in het SAML-antwoord
Voer de volgende stappen uit om een kenmerk toe te voegen in de Microsoft Entra-configuratie die wordt verzonden in het Antwoord van Microsoft Entra:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.
Voer de naam van de bestaande toepassing in het zoekvak in en selecteer vervolgens de toepassing die u wilt configureren voor eenmalige aanmelding.
Nadat de app is geladen, selecteert u Eenmalige aanmelding in het navigatiedeelvenster.
Selecteer in de sectie Gebruikerskenmerken alle andere gebruikerskenmerken weergeven en bewerken. Hier kunt u wijzigen welke kenmerken naar de app moeten worden verzonden in het SAML-token wanneer gebruikers zich aanmelden.
Een kenmerk toevoegen:
Selecteer Kenmerk toevoegen. Voer de naam in en selecteer de waarde in de vervolgkeuzelijst.
Selecteer Opslaan. U ziet het nieuwe kenmerk in de tabel.
Sla de configuratie op.
De volgende keer dat de gebruiker zich aanmeldt bij de app, verzendt Microsoft Entra ID het nieuwe kenmerk in het SAML-antwoord.
De app kan de gebruiker niet identificeren
Aanmelden bij de app mislukt omdat er een kenmerk ontbreekt in het SAML-antwoord, zoals een rol. Of dit mislukt omdat de app een andere indeling of waarde verwacht voor het kenmerk NameID (User Identifier).
Als u automatische inrichting van Microsoft Entra ID gebruikt om gebruikers in de app te maken, onderhouden en verwijderen, controleert u of de gebruiker is ingericht voor de SaaS-app. Zie Geen gebruikers worden ingericht voor een Microsoft Entra Gallery-toepassing voor meer informatie.
Een kenmerk toevoegen aan de configuratie van de Microsoft Entra-app
Voer de volgende stappen uit om de waarde van de gebruikers-id te wijzigen:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
- Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.
- Selecteer de app die u wilt configureren voor de eenmalige aanmelding.
- Nadat de app is geladen, selecteert u Eenmalige aanmelding in het navigatiedeelvenster.
- Selecteer onder Gebruikerskenmerken de unieke id voor de gebruiker in de vervolgkeuzelijst Gebruikers-id .
De NameID-indeling wijzigen
Als de toepassing een andere indeling verwacht voor het kenmerk NameID (User Identifier), raadpleegt u de sectie NameID bewerken om de NameID-indeling te wijzigen.
Microsoft Entra ID selecteert de indeling voor het kenmerk NameID (User Identifier) op basis van de waarde die is geselecteerd of de indeling die door de app wordt aangevraagd in de SAML AuthRequest. Zie de sectie NameIDPolicy van het SAML-protocol voor eenmalige aanmelding voor meer informatie.
De app verwacht een andere handtekeningmethode voor het SAML-antwoord
Voer de volgende stappen uit om te wijzigen welke onderdelen van het SAML-token digitaal worden ondertekend door Microsoft Entra ID:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.
Selecteer de toepassing die u wilt configureren voor eenmalige aanmelding.
Nadat de toepassing is geladen, selecteert u Eenmalige aanmelding in het navigatiedeelvenster.
Selecteer onder SAML-handtekeningcertificaat geavanceerde instellingen voor certificaatondertekening weergeven.
Selecteer de ondertekeningsoptie die de app uit deze opties verwacht:
- SAML-antwoord ondertekenen
- SAML-antwoord en -assertie ondertekenen
- SAML-assertie ondertekenen
De volgende keer dat de gebruiker zich aanmeldt bij de app, ondertekent Microsoft Entra ID het deel van het SAML-antwoord dat u hebt geselecteerd.
De app verwacht het SHA-1-ondertekeningsalgoritme
Standaard ondertekent Microsoft Entra ID het SAML-token met behulp van het veiligste algoritme. U wordt aangeraden het ondertekeningsalgoritme niet te wijzigen in SHA-1 , tenzij voor de app SHA-1 is vereist.
Voer de volgende stappen uit om het ondertekeningsalgoritme te wijzigen:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.
Selecteer de app die u wilt configureren voor eenmalige aanmelding.
Nadat de app is geladen, selecteert u Eenmalige aanmelding in het navigatiedeelvenster aan de linkerkant van de app.
Selecteer onder SAML-handtekeningcertificaat geavanceerde instellingen voor certificaatondertekening weergeven.
Selecteer SHA-1 als het ondertekeningsalgoritme.
De volgende keer dat de gebruiker zich aanmeldt bij de app, ondertekent Microsoft Entra ID het SAML-token met behulp van het SHA-1-algoritme.