En appsida visar ett felmeddelande när användaren har loggat in

I det här scenariot loggar Microsoft Entra-ID in användaren. Men programmet visar ett felmeddelande och låter inte användaren slutföra inloggningsflödet. Problemet är att appen inte accepterade det svar som Microsoft Entra-ID utfärdade.

Det finns flera möjliga orsaker till att appen inte accepterade svaret från Microsoft Entra ID. Om ett felmeddelande eller en kod visas använder du följande resurser för att diagnostisera felet:

• Microsoft Entra-autentisering och auktoriseringsfelkoder
• Felsöka medgivandefel

Om felmeddelandet inte tydligt identifierar vad som saknas i svaret kan du prova följande:

• Om appen finns i Microsoft Entra-galleriet kontrollerar du att du har följt stegen i Så här felsöker du SAML-baserad enkel inloggning till program i Microsoft Entra-ID.
• Använd ett verktyg som Fiddler för att samla in SAML-begäran, svar och token.
• Skicka SAML-svaret till appleverantören och fråga dem vad som saknas.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Attribut saknas i SAML-svaret

Följ dessa steg för att lägga till ett attribut i Microsoft Entra-konfigurationen som ska skickas i Microsoft Entra-svaret:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Applications Enterprise-program>>Alla program.

3. Ange namnet på det befintliga programmet i sökrutan och välj sedan det program som du vill konfigurera för enkel inloggning.

4. När appen har lästs in väljer du Enkel inloggning i navigeringsfönstret.

5. I avsnittet Användarattribut väljer du Visa och redigerar alla andra användarattribut. Här kan du ändra vilka attribut som ska skickas till appen i SAML-token när användarna loggar in.

   Så här lägger du till ett attribut:

   1. Välj Lägg till attribut. Ange Namn och välj Värdet i listrutan.

   2. Välj Spara. Du ser det nya attributet i tabellen.

6. Spara konfigurationen.

   Nästa gång användaren loggar in på appen skickar Microsoft Entra-ID det nya attributet i SAML-svaret.

Appen kan inte identifiera användaren

Det går inte att logga in i appen eftersom SAML-svaret saknar ett attribut, till exempel en roll. Eller så misslyckas det eftersom appen förväntar sig ett annat format eller värde för attributet NameID (User Identifier).

Om du använder automatisk användaretablering med Microsoft Entra-ID för att skapa, underhålla och ta bort användare i appen kontrollerar du att användaren har etablerats i SaaS-appen. Mer information finns i Inga användare etableras till ett Microsoft Entra-galleriprogram.

Lägga till ett attribut i Microsoft Entra-appkonfigurationen

Följ dessa steg om du vill ändra värdet för användaridentifierare:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
2. Bläddra till Identity>Applications Enterprise-program>>Alla program.
3. Välj den app som du vill konfigurera för enkel inloggning.
4. När appen har lästs in väljer du Enkel inloggning i navigeringsfönstret.
5. Under Användarattribut väljer du den unika identifieraren för användaren i listrutan Användaridentifierare .

Ändra Namn-ID-format

Om programmet förväntar sig ett annat format för attributet NameID (användaridentifierare) läser du avsnittet Redigera namn-ID för att ändra nameID-formatet.

Microsoft Entra-ID väljer formatet för nameID-attributet (användaridentifierare) baserat på det värde som har valts eller det format som begärs av appen i SAML AuthRequest. Mer information finns i avsnittet "NameIDPolicy" i SAML-protokollet för enkel inloggning.

Appen förväntar sig en annan signaturmetod för SAML-svaret

Följ dessa steg om du vill ändra vilka delar av SAML-token som signeras digitalt av Microsoft Entra-ID:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Applications Enterprise-program>>Alla program.

3. Välj programmet du vill konfigurera enkel inloggning för.

4. När programmet har lästs in väljer du Enkel inloggning i navigeringsfönstret.

5. Under SAML-signeringscertifikat väljer du Visa avancerade inställningar för certifikatsignering.

6. Välj det signeringsalternativ som appen förväntar sig bland följande alternativ:

   • Signera SAML-svar
   • Signera SAML-svar och -försäkran
   • Signera SAML-försäkran

   Nästa gång användaren loggar in på appen signerar Microsoft Entra-ID den del av SAML-svaret som du har valt.

Appen förväntar sig SHA-1-signeringsalgoritmen

Som standard signerar Microsoft Entra-ID SAML-token med hjälp av den säkraste algoritmen. Vi rekommenderar att du inte ändrar signeringsalgoritmen till SHA-1 om inte appen kräver SHA-1.

Följ dessa steg för att ändra signeringsalgoritmen:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Applications Enterprise-program>>Alla program.

3. Välj den app som du vill konfigurera för enkel inloggning.

4. När appen har lästs in väljer du Enkel inloggning i navigeringsfönstret till vänster i appen.

5. Under SAML-signeringscertifikat väljer du Visa avancerade inställningar för certifikatsignering.

6. Välj SHA-1 som signeringsalgoritm.

   Nästa gång användaren loggar in på appen signerar Microsoft Entra-ID SAML-token med hjälp av SHA-1-algoritmen.

Nästa steg

• Så här felsöker du SAML-baserad enkel inloggning till program i Microsoft Entra-ID
• Microsoft Entra-autentisering och auktoriseringsfelkoder
• Felsöka medgivandefel