Freigeben über

App-Seite, auf der eine Fehlermeldung angezeigt wird, nachdem sich ein Benutzer angemeldet hat

In diesem Szenario meldet Microsoft Entra ID den Benutzer an. Die Anwendung zeigt allerdings eine Fehlermeldung an, und der Benutzer kann den Anmeldevorgang nicht abschließen. Das Problem besteht darin, dass die App die von Microsoft Entra ID zurückgegebene Antwort nicht akzeptiert.

Für diese Situation gibt es mehrere mögliche Gründe. Wenn eine Fehlermeldung oder ein Code angezeigt wird, verwenden Sie die folgenden Ressourcen, um den Fehler zu diagnostizieren:

Wenn die Fehlermeldung nicht eindeutig erkennt, was in der Antwort fehlt, führen Sie die folgenden Schritte aus:

In der SAML-Antwort fehlen Attribute

Führen Sie die folgenden Schritte aus, um ein Attribut in der Microsoft Entra-Konfiguration hinzuzufügen, die in der Microsoft Entra-Antwort gesendet wird:

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>alle Anwendungen.

  3. Geben Sie den Namen der vorhandenen Anwendung in das Suchfeld ein, und wählen Sie dann die Anwendung aus, die Sie für einmaliges Anmelden konfigurieren möchten.

  4. Nachdem die App geladen wurde, wählen Sie im Navigationsbereich einmaliges Anmelden aus.

  5. Wählen Sie im Abschnitt "Benutzerattribute" die Option "Anzeigen" aus, und bearbeiten Sie alle anderen Benutzerattribute. Nun können Sie einstellen, welche Attribute im SAML-Token an die App gesendet werden sollen, wenn sich Benutzer anmelden.

    So fügen Sie ein Attribut hinzu

    1. Wählen Sie "Attribut hinzufügen" aus. Geben Sie den Namen ein, und wählen Sie den Wert aus der Dropdownliste aus.

    2. Wählen Sie "Speichern" aus. Das neue Attribut wird in der Tabelle angezeigt.

  6. Speichern Sie die Konfiguration.

    Wenn sich der Benutzer das nächste Mal bei der App anmeldet, sendet Microsoft Entra ID das neue Attribut zusammen mit der SAML-Antwort.

Die App kann den Benutzer nicht identifizieren.

Die Anmeldung bei der App schlägt möglicherweise fehl, weil in der SAML-Antwort ein Attribut (beispielsweise eine Rolle) fehlt. Andernfalls tritt ein Fehler auf, da die App ein anderes Format oder einen anderen Wert für das Attribut NameID (User Identifier) erwartet.

Wenn Sie die automatisierte Benutzerbereitstellung von Microsoft Entra ID zum Erstellen, Verwalten und Entfernen von Benutzern in der App verwenden, überprüfen Sie, ob der Benutzer für die SaaS-App bereitgestellt wird. Weitere Informationen finden Sie unter „Keine Benutzer werden für eine Microsoft Entra Gallery-Anwendung bereitgestellt“.

Hinzufügen eines Attributs zur Microsoft Entra-App-Konfiguration

Um den Benutzer-ID-Wert zu ändern, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>alle Anwendungen.
  3. Wählen Sie die App aus, die Sie für SSO konfigurieren möchten.
  4. Nachdem die App geladen wurde, wählen Sie im Navigationsbereich einmaliges Anmelden aus.
  5. Wählen Sie unter "Benutzerattribute" den eindeutigen Bezeichner für den Benutzer aus der Dropdownliste " Benutzerbezeichner " aus.

Ändern des NameID-Formats

Wenn die Anwendung ein anderes Format für das Attribut NameID (User Identifier) erwartet, lesen Sie den Abschnitt "NameID bearbeiten ", um das NameID-Format zu ändern.

Microsoft Entra ID wählt das Format für das NameID-Attribut (Benutzerbezeichner) basierend auf dem ausgewählten Wert oder dem Format aus, das von der App in der SAML AuthRequest angefordert wird. Weitere Informationen finden Sie im Abschnitt "NameIDPolicy" des SAML-Protokolls für einmaliges Anmelden.

Die App erwartet eine andere Signaturmethode für die SAML-Antwort

Führen Sie folgende Schritte durch, um einzustellen, welche Teile des SAML-Tokens von Microsoft Entra ID digital signiert werden:

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>alle Anwendungen.

  3. Wählen Sie die Anwendung aus, die Sie für das einmalige Anmelden konfigurieren möchten.

  4. Nachdem die Anwendung geladen wurde, wählen Sie im Navigationsbereich einmaliges Anmelden aus.

  5. Wählen Sie unter SAML-Signaturzertifikat die Option "Erweiterte Zertifikatsignatureinstellungen anzeigen" aus.

  6. Wählen Sie die Signaturoption aus, die von der App unter den folgenden Optionen erwartet wird:

    • SAML-Antwort signieren
    • SAML-Antwort und -Assertion signieren
    • Saml-Assertion signieren

    Wenn sich der Benutzer das nächste Mal bei der App anmeldet, signiert Microsoft Entra ID den ausgewählten Teil der SAML-Antwort.

Die App erwartet den Signaturalgorithmus SHA-1

Standardmäßig signiert Microsoft Entra ID das SAML-Token mit dem sichersten Algorithmus. Sie sollten eine Umstellung auf den Signaturalgorithmus SHA-1 vermeiden, wenn dieser nicht für die App erforderlich ist.

Um den Signaturalgorithmus zu ändern, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>alle Anwendungen.

  3. Wählen Sie die App aus, die Sie für das einmalige Anmelden konfigurieren möchten.

  4. Nachdem die App geladen wurde, wählen Sie im Navigationsbereich auf der linken Seite der App einmaliges Anmelden aus.

  5. Wählen Sie unter SAML-Signaturzertifikat die Option "Erweiterte Zertifikatsignatureinstellungen anzeigen" aus.

  6. Wählen Sie SHA-1 als Signieralgorithmus aus.

    Wenn sich der Benutzer das nächste Mal bei der App anmeldet, signiert Microsoft Entra ID das SAML-Token mithilfe des SHA-1-Algorithmus.

Verwandte Inhalte

  • Last updated on