Déboguer une authentification unique SAML pour des applications

Dans cet article, vous apprendrez comment rechercher et résoudre les problèmes d’authentification unique pour les applications dans Microsoft Entra ID qui utilisent l’authentification unique basée sur SAML.

Avant de commencer

Nous vous recommandons d’installer l’extension de connexion sécurisée à Mes applications. Cette extension de navigateur facilite la collecte des informations nécessaires sur la demande et la réponse SAML pour résoudre les problèmes liés à l’authentification unique. Au cas où vous ne parviendriez pas à l’installer, cet article explique comment résoudre les problèmes avec et sans l’extension.

Pour télécharger et installer l’extension de connexion sécurisée à Mes applications, suivez l’un des liens ci-dessous.

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Tester l’authentification unique SAML

Pour tester l’authentification unique basée sur SAML entre Microsoft Entra ID et une application cible :

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.

  3. Dans la liste des applications d’entreprise, sélectionnez l’application pour laquelle vous souhaitez tester l’authentification unique, puis dans les options de gauche, sélectionnez Authentification unique.

  4. Dans le volet Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  5. Pour ouvrir l’expérience de test d’authentification unique reposant sur SAML, accédez à Tester l’authentification unique sur (étape 5). Si le bouton Tester est grisé, commencez par remplir et enregistrer les attributs requis dans la section Configuration SAML de base.

  6. Dans la page Tester l’authentification unique, utilisez vos informations d’identification d’entreprise pour vous connecter à l’application cible. Vous pouvez vous connecter sous l’identité de l’utilisateur actuel ou sous celle d’un autre utilisateur. Si vous vous connectez en tant qu’utilisateur différent, une invite vous demande de vous authentifier.

    Capture d’écran montrant la page Tester l’authentification unique SAML

Si vous êtes en mesure de vous connecter, le test réussit. Dans ce cas, Microsoft Entra ID a émis un jeton de réponse SAML à l'application. que l’application a utilisé pour vous connecter.

Si une erreur s’affiche sur la page de connexion d’entreprise ou sur la page de l’application, utilisez l’une des sections suivantes pour la résoudre.

Résoudre une erreur de connexion sur votre page de connexion d’entreprise

Il peut arriver qu’une erreur semblable à ce qui suit apparaisse sur la page de connexion d’entreprise lors d’une tentative de connexion.

Exemple illustrant une erreur dans la page de connexion d’entreprise

Pour déboguer cette erreur, vous aurez besoin du message d’erreur et de la demande SAML. L’extension de connexion sécurisée My Apps rassemble automatiquement ces informations et affiche des conseils de résolution sur Microsoft Entra ID.

Pour résoudre l’erreur de connexion si l’extension de connexion sécurisée à Mes applications est installée

  1. Lorsqu'une erreur se produit, l'extension vous redirige vers la page d'authentification unique Microsoft Entra ID Test.
  2. Sur la page Tester l’authentification unique, sélectionnez Télécharger la requête SAML.
  3. Lisez l’aide à la résolution qui s’affiche. Elle dépend de l’erreur et des valeurs de la
  4. Vous voyez un bouton Réparer pour mettre à jour automatiquement la configuration dans Microsoft Entra ID afin de résoudre le problème. Si vous ne voyez pas ce bouton, le problème de connexion n'est pas dû à une mauvaise configuration sur Microsoft Entra ID.

Si aucune résolution n’est proposée pour l’erreur de connexion, nous vous suggérons d’utiliser la zone de texte des commentaires pour nous en informer.

Pour résoudre l’erreur sans installer l’extension de connexion sécurisée à Mes applications

  1. Copiez le message d’erreur dans le coin inférieur droit de la page. Il comporte :
    • Un ID de corrélation et un timestamp. Ces valeurs sont importantes lors de la création d’une demande de support auprès de Microsoft, car elles permettent aux ingénieurs d’identifier le problème et de le résoudre avec précision.
    • Une instruction identifiant la cause du problème.
  2. Revenez à Microsoft Entra ID et recherchez la page Test d’authentification unique.
  3. Dans la zone de texte au-dessus de Obtenir une aide à la résolution, collez le message d’erreur.
  4. Sélectionnez Obtenir une aide à la résolution pour afficher les étapes de résolution du problème. Elles sont susceptibles de demander des informations sur la demande ou la réponse SAML. Si vous n’utilisez pas l’extension de connexion sécurisée à Mes applications, il vous faudra peut-être un outil comme Fiddler pour récupérer la demande et la réponse SAML.
  5. Vérifiez que la destination dans la demande SAML correspond à l'URL du service d'authentification unique SAML obtenue à partir de Microsoft Entra ID.
  6. Vérifiez que l’émetteur dans la demande SAML est le même identifiant configuré pour l’application dans Microsoft Entra ID. Microsoft Entra ID utilise l'émetteur pour rechercher une application dans votre répertoire.
  7. Vérifiez que AssertionConsumerServiceURL est l'endroit où l'application s'attend à recevoir le jeton SAML de Microsoft Entra ID. Vous pouvez configurer cette valeur dans Microsoft Entra ID, mais elle n'est pas obligatoire si elle fait partie de la requête SAML.

Résoudre une erreur de connexion sur la page d’application

Il peut arriver que la connexion réussisse, puis qu’une erreur s’affiche sur la page de l’application. Cette erreur se produit lorsque Microsoft Entra ID a émis un jeton à l’application, mais que l’application n’accepte pas la réponse.

Pour résoudre l'erreur, suivez ces étapes ou regardez cette courte vidéo expliquant comment utiliser Microsoft Entra ID pour dépanner SAML SSO :

  1. Si l’application se trouve dans Microsoft Entra Gallery, vérifiez que vous avez suivi toutes les étapes d’intégration de l’application avec Microsoft Entra ID. Pour trouver les instructions d’intégration relatives à votre application, voir la liste des tutoriels d’intégration d’applications SaaS.

  2. Récupérez la réponse SAML.

    • Si l’extension de connexion sécurisée à Mes applications est installée, à partir de la page Tester l’authentification unique, sélectionnez télécharger la réponse SAML.
    • Si l’extension n’est pas installée, utilisez un outil comme Fiddler pour récupérer la réponse SAML.
  3. Notez ces éléments dans le jeton de la réponse SAML :

    • Identificateur unique de la valeur NameID et du format

    • Revendications émises dans le jeton

    • Certificat utilisé pour signer le jeton.

      Pour plus d’informations sur la réponse SAML, voir Protocole SAML d’authentification unique.

  4. Maintenant que vous avez terminé la vérification de la réponse SAML, consultez l’aide à la résolution du problème dans Erreur sur la page d’une application après connexion.

  5. Si vous ne parvenez toujours pas à vous connecter, vous pouvez demander au fournisseur de l’application ce qui manque dans la réponse SAML.

Étapes suivantes

Maintenant que l’authentification unique fonctionne dans votre application, vous pouvez Automatiser l’attribution d’utilisateurs et la suppression de privilèges d'accès pour les applications SaaS ou bien démarrer avec l’accès conditionnel.