偵錯 SAML 型單一登入應用程式

  • 發行項

在本文中,您將瞭解如何尋找並修正 使用 SAML 型單一登入之 Microsoft Entra ID 中的應用程式單一登入 問題。

開始之前

建議您安裝 我的應用程式安全登入擴充功能 。 此瀏覽器擴充功能可讓您輕鬆地收集 SAML 要求和 SAML 回應資訊,以解決單一登入的問題。 如果無法安裝擴充功能,本文將說明如何解決安裝和未安裝延伸模組的問題。

若要下載並安裝我的應用程式安全登入延伸模組,請使用下列其中一個連結。

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

測試 SAML 型單一登入

若要測試 Microsoft Entra ID 與目標應用程式之間的 SAML 型單一登入:

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [ 身分 > 識別應用程式 > 企業應用程式 > ] [所有應用程式]。

  3. 從企業應用程式清單中,選取您要測試單一登入的應用程式,然後從左側的選項選取 [單一登入 ]。

  4. 若要開啟 SAML 型單一登入測試體驗,請移至 [測試單一登入] (步驟 5)。 如果 [ 測試 ] 按鈕呈現灰色,您需要先填寫並儲存基本 SAML 組態 區段中的必要屬性

  5. 在 [ 測試單一登入 ] 頁面中,使用您的公司認證登入目標應用程式。 您可以使用目前使用者或不同使用者的身分來登入。 如果您以不同的使用者身分登入,提示會要求您進行驗證。

    Screenshot showing the test SAML SSO page

如果您成功登入,就表示您已通過測試。 在此情況下,Microsoft Entra ID 會向應用程式發出 SAML 回應權杖。 應用程式使用 SAML 權杖成功地將您登入。

如果您在公司登入頁面或應用程式的頁面上發生錯誤,請使用下列其中一節來解決錯誤。

解決公司登入頁面上的登入錯誤

當您嘗試登入時,您可能會在公司登入頁面上看到類似下列範例的錯誤。

Example showing an error in the company sign-in page

若要偵錯此錯誤,您需要錯誤訊息和 SAML 要求。 我的應用程式安全登入延伸模組會自動收集此資訊,並顯示 Microsoft Entra ID 的解析指引。

若要解決已安裝我的應用程式安全登入延伸模組的登入錯誤

  1. 發生錯誤時,擴充功能會將您重新導向回 Microsoft Entra ID Test 單一登入 頁面。
  2. 在 [ 測試單一登入 ] 頁面上,選取 [ 下載 SAML 要求 ]。
  3. 您應該會根據錯誤和 SAML 要求中的值,看到特定的解決指引。
  4. 您會看到 [ 修正] 按鈕,以自動更新 Microsoft Entra ID 中的設定,以解決此問題。 如果您沒有看到此按鈕,則登入問題不是因為 Microsoft Entra ID 上的設定錯誤所致。

如果未提供登入錯誤的解決方案,建議您使用 [意見反應] 文字方塊來通知我們。

若要在不安裝我的應用程式安全登入擴充功能的情況下解決錯誤

  1. 複製頁面右下角的錯誤訊息。 錯誤訊息包括:
    • CorrelationID 和 Timestamp。 當您使用 Microsoft 建立支援案例時,這些值很重要,因為它們可協助工程師找出您的問題並提供正確的問題解決方式。
    • 識別問題根本原因的 語句。
  2. 返回 Microsoft Entra 識別碼並尋找 [ 測試單一登入 ] 頁面。
  3. 在上方 的 [取得解決指引 ] 文字方塊中,貼上錯誤訊息。
  4. 選取 [ 取得解決指引 ] 以顯示解決問題的步驟。 本指南可能需要來自 SAML 要求或 SAML 回應的資訊。 如果您未使用 我的應用程式安全登入延伸模組,您可能需要 Fiddler 之類的 工具來擷取 SAML 要求和回應。
  5. 確認 SAML 要求中的目的地對應至從 Microsoft Entra ID 取得的 SAML 單一登入服務 URL。
  6. 確認 SAML 要求中的簽發者與您在 Microsoft Entra ID 中為應用程式設定的識別碼相同。 Microsoft Entra ID 會使用簽發者在您的目錄中尋找應用程式。
  7. 確認 AssertionConsumerServiceURL 是應用程式預期從 Microsoft Entra ID 接收 SAML 權杖的位置。 您可以在 Microsoft Entra ID 中設定此值,但如果它是 SAML 要求的一部分,則不是必要值。

解決應用程式頁面上的登入錯誤

您可能會成功登入,然後在應用程式的頁面上看到錯誤。 當 Microsoft Entra ID 向應用程式發出權杖,但應用程式不接受回應時,就會發生此錯誤。

若要解決錯誤,請遵循下列步驟,或觀看這段 關於如何使用 Microsoft Entra ID 針對 SAML SSO 進行疑難排解的短片:

  1. 如果應用程式位於 Microsoft Entra Gallery 中,請確認您已遵循整合應用程式與 Microsoft Entra ID 的所有步驟。 若要尋找應用程式的整合指示,請參閱 SaaS 應用程式整合教學課程 的清單。

  2. 擷取 SAML 回應。

    • 如果已安裝我的應用程式安全登入延伸模組,請從 [測試單一登入 ] 頁面上,選取 [ 下載 SAML 回應 ]。
    • 如果未安裝擴充功能,請使用 Fiddler 之類的 工具來擷取 SAML 回應。

  3. 請注意 SAML 回應權杖中的這些元素:

    • NameID 值和格式的使用者唯一識別碼

    • 權杖中發出的宣告

    • 用來簽署權杖的憑證。

      如需 SAML 回應的詳細資訊,請參閱 單一登入 SAML 通訊協定

  4. 既然您已檢閱 SAML 回應,請在登入 後參閱 應用程式頁面上的錯誤,以取得如何解決問題的指引。

  5. 如果您仍然無法成功登入,您可以詢問應用程式廠商 SAML 回應中遺漏的內容。

下一步

現在,單一登入正在處理您的應用程式,您可以將 使用者布建和取消布建自動化至 SaaS 應用程式 ,或 開始使用條件式存取