Depurar o início de sessão único baseado em SAML nas aplicações

  • Artigo

Neste artigo, você aprenderá a localizar e corrigir problemas de logon único para aplicativos no Microsoft Entra ID que usam logon único baseado em SAML.

Antes de começar

Recomendamos a instalação da Extensão de Início de Sessão Seguro das Minhas Aplicações. Essa extensão do navegador facilita a coleta das informações de solicitação SAML e resposta SAML necessárias para resolver problemas com o logon único. Caso não consiga instalar a extensão, este artigo mostra como resolver problemas com e sem a extensão instalada.

Para baixar e instalar a Extensão de Login Seguro de Meus Aplicativos, use um dos links a seguir.

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Testar o logon único baseado em SAML

Para testar o logon único baseado em SAML entre o Microsoft Entra ID e um aplicativo de destino:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.

  3. Na lista de aplicativos corporativos, selecione o aplicativo para o qual você deseja testar o logon único e, nas opções à esquerda, selecione Logon único.

  4. Para abria a experiência de teste do início de sessão único baseado em SAML, aceda a Testar início de sessão único (passo 5). Se o botão Testar estiver acinzentado, você precisará preencher e salvar os atributos necessários primeiro na seção Configuração Básica de SAML.

  5. Na página Testar logon único, use suas credenciais corporativas para entrar no aplicativo de destino. Pode iniciar sessão como o utilizador atual ou como outro utilizador. Se você entrar como um usuário diferente, um prompt solicitará que você se autentique.

    Screenshot showing the test SAML SSO page

Se tiver iniciado sessão com êxito, significa que o teste passou. Neste caso, o Microsoft Entra ID emitiu um token de resposta SAML para a aplicação. A aplicação utilizou o token SAML para iniciar a sua sessão com êxito.

Se você tiver um erro na página de entrada da empresa ou na página do aplicativo, use uma das próximas seções para resolver o erro.

Resolver um erro de início de sessão na página de início de sessão da sua empresa

Quando tenta iniciar sessão, poderá ver um erro na página de início de sessão da sua empresa semelhante ao exemplo seguinte.

Example showing an error in the company sign-in page

Para depurar esse erro, você precisa da mensagem de erro e da solicitação SAML. A Extensão de Início de Sessão Seguro das Minhas Aplicações reúne automaticamente estas informações e apresenta orientações de resolução no Microsoft Entra ID.

Para resolver o erro de início de sessão com a Extensão de Início de Sessão Seguro das Minhas Aplicações instalada

  1. Quando ocorre um erro, a extensão redireciona você de volta para a página de logon único do Microsoft Entra ID Test.
  2. Na página Testar logon único, selecione Baixar a solicitação SAML.
  3. Você deve ver orientações de resolução específicas com base no erro e nos valores na solicitação SAML.
  4. Você verá um botão Fix it para atualizar automaticamente a configuração no Microsoft Entra ID para resolver o problema. Se não vir este botão, o problema de início de sessão não se deve a uma configuração incorreta no Microsoft Entra ID.

Se não for fornecida uma resolução para o erro de início de sessão, sugerimos que utilize a caixa de texto de comentários para nos informar.

Para resolver o erro sem instalar a Extensão de Início de Sessão Seguro das Minhas Aplicações

  1. Copie a mensagem de erro no canto inferior direito da página. A mensagem de erro inclui:
    • Um CorrelationID e um carimbo de data/hora. Esses valores são importantes quando você cria um caso de suporte com a Microsoft porque ajudam os engenheiros a identificar seu problema e fornecer uma resolução precisa para ele.
    • Uma declaração que identifica a causa raiz do problema.
  2. Volte para o ID do Microsoft Entra e localize a página de logon único de teste.
  3. Na caixa de texto acima de Obter orientação de resolução, cole a mensagem de erro.
  4. Selecione Obter orientação de resolução para exibir as etapas para resolver o problema. As orientações podem exigir informações da solicitação SAML ou da resposta SAML. Se você não estiver usando a Extensão de Entrada Segura de Meus Aplicativos, talvez precise de uma ferramenta como o Fiddler para recuperar a solicitação e a resposta SAML.
  5. Verifique se o destino na solicitação SAML corresponde à URL do Serviço de Logon Único SAML obtida da ID do Microsoft Entra.
  6. Verifique se o emissor na solicitação SAML é o mesmo identificador que você configurou para o aplicativo no Microsoft Entra ID. O Microsoft Entra ID usa o emissor para localizar um aplicativo em seu diretório.
  7. Verifique se AssertionConsumerServiceURL é onde o aplicativo espera receber o token SAML do Microsoft Entra ID. Você pode configurar esse valor no Microsoft Entra ID, mas não é obrigatório se ele fizer parte da solicitação SAML.

Resolver um erro de início de sessão na página da aplicação

Pode iniciar sessão com êxito e, em seguida, ver um erro na página da aplicação. Este erro ocorre quando o Microsoft Entra ID emitiu um token para o aplicativo, mas o aplicativo não aceita a resposta.

Para resolver o erro, siga estas etapas ou assista a este pequeno vídeo sobre como usar o Microsoft Entra ID para solucionar problemas de SSO SAML:

  1. Se o aplicativo estiver na Galeria do Microsoft Entra, verifique se você seguiu todas as etapas para integrar o aplicativo com o Microsoft Entra ID. Para encontrar as instruções de integração para seu aplicativo, consulte a lista de tutoriais de integração de aplicativos SaaS.

  2. Recupere a resposta SAML.

    • Se a extensão My Apps Secure Sign-in estiver instalada, na página Testar logon único, selecione baixar a resposta SAML.
    • Se a extensão não estiver instalada, use uma ferramenta como o Fiddler para recuperar a resposta SAML.

  3. Observe estes elementos no token de resposta SAML:

    • Identificador exclusivo do usuário do valor e formato NameID

    • Declarações emitidas no token

    • Certificado usado para assinar o token.

      Para obter mais informações sobre a resposta SAML, consulte Protocolo SAML de logon único.

  4. Agora que você analisou a resposta SAML, consulte Erro na página de um aplicativo depois de entrar para obter orientação sobre como resolver o problema.

  5. Se você ainda não conseguir entrar com êxito, poderá perguntar ao fornecedor do aplicativo o que está faltando na resposta SAML.

Próximos passos

Agora que o logon único está funcionando para seu aplicativo, você pode automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS ou começar a usar o Acesso Condicional.