偵錯 SAML 型單一登入應用程式
在本文中,您將瞭解如何尋找並修正 使用 SAML 型單一登入之 Microsoft Entra ID 中的應用程式單一登入 問題。
開始之前
建議您安裝 我的應用程式安全登入擴充功能 。 此瀏覽器擴充功能可讓您輕鬆地收集 SAML 要求和 SAML 回應資訊,以解決單一登入的問題。 如果無法安裝擴充功能,本文將說明如何解決安裝和未安裝延伸模組的問題。
若要下載並安裝我的應用程式安全登入延伸模組,請使用下列其中一個連結。
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
測試 SAML 型單一登入
若要測試 Microsoft Entra ID 與目標應用程式之間的 SAML 型單一登入:
以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
流覽至 [ 身分 > 識別應用程式 > 企業應用程式 > ] [所有應用程式]。
從企業應用程式清單中,選取您要測試單一登入的應用程式,然後從左側的選項選取 [單一登入 ]。
若要開啟 SAML 型單一登入測試體驗,請移至 [測試單一登入] (步驟 5)。 如果 [ 測試 ] 按鈕呈現灰色,您需要先填寫並儲存基本 SAML 組態 區段中的必要屬性 。
在 [ 測試單一登入 ] 頁面中,使用您的公司認證登入目標應用程式。 您可以使用目前使用者或不同使用者的身分來登入。 如果您以不同的使用者身分登入,提示會要求您進行驗證。
如果您成功登入,就表示您已通過測試。 在此情況下,Microsoft Entra ID 會向應用程式發出 SAML 回應權杖。 應用程式使用 SAML 權杖成功地將您登入。
如果您在公司登入頁面或應用程式的頁面上發生錯誤,請使用下列其中一節來解決錯誤。
解決公司登入頁面上的登入錯誤
當您嘗試登入時,您可能會在公司登入頁面上看到類似下列範例的錯誤。
若要偵錯此錯誤,您需要錯誤訊息和 SAML 要求。 我的應用程式安全登入延伸模組會自動收集此資訊,並顯示 Microsoft Entra ID 的解析指引。
若要解決已安裝我的應用程式安全登入延伸模組的登入錯誤
- 發生錯誤時,擴充功能會將您重新導向回 Microsoft Entra ID Test 單一登入 頁面。
- 在 [ 測試單一登入 ] 頁面上,選取 [ 下載 SAML 要求 ]。
- 您應該會根據錯誤和 SAML 要求中的值,看到特定的解決指引。
- 您會看到 [ 修正] 按鈕,以自動更新 Microsoft Entra ID 中的設定,以解決此問題。 如果您沒有看到此按鈕,則登入問題不是因為 Microsoft Entra ID 上的設定錯誤所致。
如果未提供登入錯誤的解決方案,建議您使用 [意見反應] 文字方塊來通知我們。
若要在不安裝我的應用程式安全登入擴充功能的情況下解決錯誤
- 複製頁面右下角的錯誤訊息。 錯誤訊息包括:
- CorrelationID 和 Timestamp。 當您使用 Microsoft 建立支援案例時,這些值很重要,因為它們可協助工程師找出您的問題並提供正確的問題解決方式。
- 識別問題根本原因的 語句。
- 返回 Microsoft Entra 識別碼並尋找 [ 測試單一登入 ] 頁面。
- 在上方 的 [取得解決指引 ] 文字方塊中,貼上錯誤訊息。
- 選取 [ 取得解決指引 ] 以顯示解決問題的步驟。 本指南可能需要來自 SAML 要求或 SAML 回應的資訊。 如果您未使用 我的應用程式安全登入延伸模組,您可能需要 Fiddler 之類的 工具來擷取 SAML 要求和回應。
- 確認 SAML 要求中的目的地對應至從 Microsoft Entra ID 取得的 SAML 單一登入服務 URL。
- 確認 SAML 要求中的簽發者與您在 Microsoft Entra ID 中為應用程式設定的識別碼相同。 Microsoft Entra ID 會使用簽發者在您的目錄中尋找應用程式。
- 確認 AssertionConsumerServiceURL 是應用程式預期從 Microsoft Entra ID 接收 SAML 權杖的位置。 您可以在 Microsoft Entra ID 中設定此值,但如果它是 SAML 要求的一部分,則不是必要值。
解決應用程式頁面上的登入錯誤
您可能會成功登入,然後在應用程式的頁面上看到錯誤。 當 Microsoft Entra ID 向應用程式發出權杖,但應用程式不接受回應時,就會發生此錯誤。
若要解決錯誤,請遵循下列步驟,或觀看這段 關於如何使用 Microsoft Entra ID 針對 SAML SSO 進行疑難排解的短片:
如果應用程式位於 Microsoft Entra Gallery 中,請確認您已遵循整合應用程式與 Microsoft Entra ID 的所有步驟。 若要尋找應用程式的整合指示,請參閱 SaaS 應用程式整合教學課程 的清單。
擷取 SAML 回應。
- 如果已安裝我的應用程式安全登入延伸模組,請從 [測試單一登入 ] 頁面上,選取 [ 下載 SAML 回應 ]。
- 如果未安裝擴充功能,請使用 Fiddler 之類的 工具來擷取 SAML 回應。
請注意 SAML 回應權杖中的這些元素:
NameID 值和格式的使用者唯一識別碼
權杖中發出的宣告
用來簽署權杖的憑證。
如需 SAML 回應的詳細資訊,請參閱 單一登入 SAML 通訊協定 。
既然您已檢閱 SAML 回應,請在登入 後參閱 應用程式頁面上的錯誤,以取得如何解決問題的指引。
如果您仍然無法成功登入,您可以詢問應用程式廠商 SAML 回應中遺漏的內容。
下一步
現在,單一登入正在處理您的應用程式,您可以將 使用者布建和取消布建自動化至 SaaS 應用程式 ,或 開始使用條件式存取 。