Uma página de aplicativo mostra uma mensagem de erro após o usuário entrar
Neste cenário, o Microsoft Entra ID conecta o usuário. Mas o aplicativo exibe uma mensagem de erro e não permite que o usuário termine o fluxo de logon. No entanto, o aplicativo não aceita a resposta emitida pelo Microsoft Entra ID.
Há diversos motivos possíveis para o aplicativo não aceitar a resposta do Microsoft Entra ID. Se houver a exibição de uma mensagem de erro ou um código, use os seguintes recursos para diagnosticar o erro:
- Códigos de erro de autenticação e autorização do Microsoft Entra
- Solucionando problemas de erros de prompt de consentimento
Se a mensagem de erro não identificar claramente o que está faltando na resposta, tente o seguinte:
- Se o aplicativo estiver na galeria do Microsoft Entra, verifique se você seguiu as etapas em Como depurar o logon único baseado em SAML para aplicativos no Microsoft Entra ID.
- Use uma ferramenta como Fiddler para capturar a solicitação SAML, resposta SAML e token SAML.
- Envie a resposta SAML para o fornecedor do aplicativo e pergunte o que está faltando.
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Os atributos estão ausentes da resposta SAML
Para adicionar um atributo à configuração do Microsoft Entra que será enviada na resposta do serviço, siga estas etapas:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.
Insira o nome do aplicativo existente na caixa de pesquisa e selecione o aplicativo que você deseja configurar para logon único.
Depois que o aplicativo é carregado, selecione Logon único no painel de navegação no lado esquerdo.
Na seção Atributos do usuário, selecione Exibir e editar todos os outros atributos de usuário. Aqui você pode alterar quais atributos enviar ao aplicativo no token SAML quando os usuários entrarem.
Para adicionar um atributo:
Selecione Adicionar Atributo. Insira o Nomee selecione o Valor na lista suspensa.
Selecione Salvar. Você verá o novo atributo na tabela.
Salve a configuração.
Na próxima vez que o usuário entrar no aplicativo, o Microsoft Entra ID enviará o novo atributo na resposta SAML.
O aplicativo não pode identificar o usuário
A assinatura no aplicativo falha porque a resposta SAML não tem um atributo, como uma função. Ou falha porque o aplicativo espera um formato ou valor diferente para o atributo NameID (Identificador de Usuário).
Se você estiver usando o provisionamento automático de usuários do Microsoft Entra ID para criar, manter e remover usuários no aplicativo, verifique se o usuário foi provisionado no aplicativo SaaS. Para saber mais, confira Nenhum usuário é provisionado para um aplicativo da galeria do Microsoft Entra.
Adicionar um atributo à configuração de aplicativo do Microsoft Entra
Para alterar o valor do Identificador de Usuário, siga estas etapas:
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
- Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.
- Selecione o aplicativo em que você deseja configurar o SSO.
- Depois que o aplicativo é carregado, selecione Logon único no painel de navegação no lado esquerdo.
- Em Atributos de usuário, selecione o identificador exclusivo para os usuários na lista suspensa Identificador de usuário.
Alterar o formato NameID
Se o aplicativo espera outro formato para o atributo NameID (identificador de usuário), consulte a seção Editando NameID para alterar o formato NameID.
O Microsoft Entra ID seleciona o formato do atributo NameID (identificador de usuário) com base no valor selecionado ou no formato solicitado pelo aplicativo na AuthRequest SAML. Para mais informações, consulte a seção "NameIDPolicy" do protocolo SAML de logon único.
O aplicativo espera um método de assinatura diferente para a resposta SAML
Para alterar as partes do token SAML que são assinadas digitalmente pelo Microsoft Entra ID, siga estas etapas:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.
Selecione o aplicativo para o qual você deseja configurar o logon único.
Depois que o aplicativo for carregado, selecione Logon único no painel de navegação no lado esquerdo.
Em Certificado de autenticação SAML, selecione Mostrar configurações avançadas de assinatura de certificado.
Selecione a opção de assinatura que o aplicativo espera entre estas opções:
- Assinar resposta SAML
- Assinar resposta SAML e declaração
- Assinar declaração SAML
Na próxima vez que o usuário entrar no aplicativo, o Microsoft Entra ID assinará a parte da resposta SAML que você selecionou.
O aplicativo espera o algoritmo de assinatura SHA-1
Por padrão, o Microsoft Entra ID assina o token SAML usando o algoritmo mais seguro. Recomendamos que você não altere o algoritmo de assinatura para SHA-1, a menos que o aplicativo exija SHA-1.
Para alterar o algoritmo de assinatura, siga estas etapas:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.
Selecione o aplicativo para o qual você deseja configurar o logon único.
Depois que o aplicativo é carregado, selecione Logon único no painel de navegação no lado esquerdo.
Em Certificado de autenticação SAML, selecione Mostrar configurações avançadas de assinatura de certificado.
Selecione SHA-1 como o Algoritmo de Assinatura.
Na próxima vez que o usuário entrar no aplicativo, o Microsoft Entra ID assinará o token SAML usando o algoritmo SHA-1.