應用程式頁面會在使用者登入之後顯示錯誤訊息

在此案例中，Microsoft Entra ID 會將使用者登入。但應用程式會顯示錯誤訊息，且不會讓使用者完成登入流程。問題是應用程式不接受 Microsoft Entra ID 所發出的回應。

應用程式不接受來自 Microsoft Entra 識別碼的回應有數個可能的原因。如果顯示錯誤訊息或程式代碼，請使用下列資源來診斷錯誤：

如果錯誤訊息無法清楚識別回應中遺漏的內容，請嘗試下列動作：

如果應用程式位於 Microsoft Entra 資源庫中，請確認您已遵循如何對 Microsoft Entra ID 中的應用程式進行 SAML 型單一登錄偵錯中的步驟。
使用 Fiddler 之類的工具來擷取 SAML 要求、回應和令牌。
將 SAML 回應傳送給應用程式廠商，並詢問他們遺失的內容。

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

SAML 回應中遺漏屬性

若要在 Microsoft Entra 設定中新增將在 Microsoft Entra 回應中傳送的屬性，請遵循下列步驟：

以至少雲端應用程式管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式>企業應用程式>] [所有應用程式]。
在搜尋方塊中輸入現有應用程式的名稱，然後選取您要設定單一登錄的應用程式。
應用程式載入之後，請在瀏覽窗格中選取 [單一登錄 ]。
在 [ 用戶屬性] 區段中，選取 [ 檢視及編輯所有其他使用者屬性]。您可以在這裡變更當使用者登入時，要傳送至 SAML 令牌中應用程式的屬性。

若要新增屬性：
1. 選取 [ 新增屬性]。輸入 [ 名稱]，然後從下拉式清單中選取 [值 ]。
2. 選取 [儲存]。您會在資料表中看到新的屬性。
儲存設定。

下次使用者登入應用程式時，Microsoft Entra ID 會在 SAML 回應中傳送新的屬性。

登入應用程式失敗，因為 SAML 回應遺漏角色之類的屬性。或者它失敗，因為應用程式預期 NameID （使用者識別子）屬性的格式或值不同。

如果您使用 Microsoft Entra ID 自動使用者布建來建立、維護及移除應用程式中的使用者，請確認使用者已佈建至 SaaS 應用程式。如需詳細資訊，請參閱未將使用者布建至 Microsoft Entra Gallery 應用程式。

若要變更使用者識別碼值，請遵循下列步驟：

如果應用程式需要 NameID （使用者識別子）屬性的另一種格式，請參閱編輯 nameID 區段以變更 NameID 格式。

Microsoft Entra ID 會根據選取的值，或應用程式在 SAML AuthRequest 中要求的格式，選取 NameID 屬性（使用者識別符）的格式。如需詳細資訊，請參閱單一登錄 SAML 通訊協定的 “NameIDPolicy” 一節。

若要變更 MICROSOFT Entra ID 以數位方式簽署 SAML 令牌的哪些部分，請遵循下列步驟：

以至少雲端應用程式管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式>企業應用程式>] [所有應用程式]。
選取您要為單一登入設定的應用程式。
應用程式載入之後，請在瀏覽窗格中選取 [單一登錄 ]。
在 [SAML 簽署憑證] 底下，選取 [顯示進階憑證簽署設定]。
從下列選項中選取應用程式預期的 [簽署選項]：
- 簽署 SAML 回應
- 簽署 SAML 回應和判斷提示
- 簽署 SAML 判斷提示
下次使用者登入應用程式時，Microsoft Entra ID 將會簽署您所選取 SAML 回應的一部分。

根據預設，Microsoft Entra ID 會使用最安全的演算法簽署 SAML 令牌。除非應用程式需要SHA-1，否則建議您不要將簽署演算法變更為 SHA-1 。

若要變更簽署演算法，請遵循下列步驟：

以至少雲端應用程式管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式>企業應用程式>] [所有應用程式]。
選取您要為單一登入設定的應用程式。
應用程式載入之後，從應用程式左側的瀏覽窗格中選取 [單一登錄 ]。
在 [SAML 簽署憑證] 底下，選取 [顯示進階憑證簽署設定]。
選取 [SHA-1 ] 作為 [ 簽署演算法]。

下次使用者登入應用程式時，Microsoft Entra ID 會使用 SHA-1 演算法簽署 SAML 令牌。