Depurar o logon único baseado em SAML em aplicativos

Saiba como localizar e corrigir problemas de logon único em aplicativos no Azure AD (Azure AD) que usam logon único baseado em SAML.

Antes de começar

É recomendado instalar a My Apps Secure Sign-in Extension. Essa extensão do navegador facilita a coleta de informações de solicitação e de resposta SAML que você precisa para resolver problemas de logon único. Caso você não possa instalar a extensão, este artigo mostrará como resolver problemas com e sem a extensão instalada.

Para baixar e instalar a My Apps Secure Sign-in Extension, use um dos links a seguir.

Testar o logon único baseado em SAML

Para testar o logon único baseado em SAML entre o Azure AD e um aplicativo de destino:

  1. Entre no portal do Azure como um administrador global ou outro administrador autorizado a gerenciar aplicativos.

  2. Na folha à esquerda, selecione Azure Active Directory e, em seguida, selecione Aplicativos corporativos.

  3. Na lista de aplicativos empresariais, selecione o aplicativo cujo logon único deseja testar e, em seguida, nas opções à esquerda, selecione Logon único.

  4. Para abrir a experiência de testes de logon único baseado em SAML, vá para Testar logon único (etapa 5). Se o botão Testar estiver esmaecido, será necessário preencher e salvar os atributos necessários primeiro na seção Configuração Básico do SAML.

  5. Na folha Testar logon único, use as credenciais corporativas para entrar no aplicativo de destino. Você pode entrar como o usuário atual ou como um usuário diferente. Se você entrar como um usuário diferente, um prompt solicitará que você se autentique.

    Captura de tela mostrando a página testar SSO do SAML

Se você tiver entrado com êxito, o teste terá sido aprovado. Nesse caso, o Azure AD emitiu um token de resposta SAML para o aplicativo. O aplicativo usou o token SAML para você entrar com êxito.

Se houver um erro na página de entrada da empresa ou na página do aplicativo, use uma das seções a seguir para resolver o erro.

Resolver um erro de entrada na página de entrada da empresa

Ao tentar entrar, você verá um erro na página de entrada da empresa, que é similar ao exemplo a seguir.

Exemplo mostrando um erro na página de entrada da empresa

Para depurar esse erro, você precisa da mensagem de erro e da solicitação SAML. A My Apps Secure Sign-in Extension coleta essas informações automaticamente e exibe as diretrizes de resolução no Azure AD.

Para resolver o erro de entrada com a Extensão de Entrada Segura dos Meus Aplicativos instalada

  1. Quando ocorre um erro, a extensão o redireciona para a folha Testar logon único do Azure AD.
  2. Na folha Testar logon único, selecione Baixar solicitação SAML.
  3. Serão exibidas diretrizes de resolução específicas com base no erro e nos valores na solicitação SAML.
  4. Você verá um botão Corrigir para atualizar automaticamente a configuração no Azure AD para resolver o problema. Se não vir esse botão, o problema de entrada não será devido a uma configuração incorreta no Azure AD.

Se nenhuma resolução for fornecida para o erro de entrada, sugerimos que você use a caixa de texto comentários para nos informar.

Para resolver o erro sem instalar a Extensão de Entrada Segura dos Meus Aplicativos

  1. Copie a mensagem de erro no canto inferior direito da página. A mensagem de erro inclui:
    • Um CorrelationID e um carimbo de data/hora. Esses valores são importantes quando você cria um caso de suporte com a Microsoft porque eles ajudam os engenheiros a identificar o problema e a fornecer uma resolução precisa do problema.
    • Uma instrução que identifica a causa raiz do problema.
  2. Volte para o Azure AD e encontre a folha Testar logon único.
  3. Na caixa de texto acima de Obter diretrizes de resolução, cole a mensagem de erro.
  4. Clique em Obter diretrizes de resolução para exibir as etapas para resolver o problema. As diretrizes podem exigir informações da solicitação SAML ou da resposta SAML. Se não estiver usando a Extensão de Entrada Segura dos Meus Aplicativos, talvez seja necessário usar uma ferramenta como a Fiddler para recuperar a resposta e a solicitação SAML.
  5. Verifique se o destino na solicitação SAML corresponde à URL do Serviço de Logon Único de SAML obtida no Azure AD.
  6. Verifique se o emissor na solicitação SAML é o mesmo identificador que você configurou para o aplicativo no Azure AD. O Azure AD usa o emissor para localizar um aplicativo no diretório.
  7. Verifique se AssertionConsumerServiceURL é onde o aplicativo espera receber o token SAML do Azure AD. Você pode configurar esse valor no Azure AD, mas isso não será obrigatório se ele fizer parte da solicitação SAML.

Resolver um erro de entrada na página do aplicativo

Você pode entrar com êxito e, em seguida, encontrar um erro na página do aplicativo. Isso ocorre quando o Azure AD emite um token para o aplicativo, mas o aplicativo não aceita a resposta.

Para resolver o erro, siga estas etapas ou assista a este vídeo rápido sobre como usar o Azure AD para solucionar problemas de SSO do SAML:

  1. Se o aplicativo estiver na Galeria do Azure AD, verifique se você seguiu todas as etapas para integrar o aplicativo ao Azure AD. Para obter as instruções de integração do aplicativo, confira a lista de tutoriais de integração de aplicativos SaaS.

  2. Recupere a resposta de SAML.

    • Se a My Apps Secure Sign-in Extension estiver instalada, na folha Testar logon único, clique em Baixar resposta SAML.
    • Se a extensão não estiver instalada, use uma ferramenta como a Fiddler para recuperar a resposta SAML.
  3. Observe estes elementos no token da resposta SAML:

    • Identificador exclusivo do usuário do valor e do formato de NameID

    • Declarações emitidas no token

    • Certificado usado para assinar o token.

      Para obter mais informações sobre a resposta SAML, confira Protocolo SAML de Logon Único.

  4. Agora que você já examinou a resposta SAML, confira Erro em uma página de aplicativo após a entrada para obter diretrizes de como resolver o problema.

  5. Se você ainda não conseguiu entrar com êxito, pergunte ao fornecedor do aplicativo o que está faltando na resposta SAML.

Próximas etapas

Agora que o logon único está funcionando para o aplicativo, é possível Automatizar o provisionamento e o desprovisionamento de usuário para aplicativos SaaS ou passar examinar uma Introdução ao acesso condicional.