يوضح هذا المستند كيفية أستكشاف أخطاء مطالبة مجموعة SAML ل Azure Active Directory وإصلاحها للمصادقة الخارجية.
توجد المصادقة الخارجية على بوابة البريد الإلكتروني الآمنة من Cisco والبريد الإلكتروني الآمن من Cisco وأجهزة إدارة الويب.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تم تكوين SAML 2.0 SSO بالفعل ويعمل لحساب إختبار واحد على الأقل.
تم تمكين تعيين المجموعة على الجهاز وتم تكوينه لاستخدام مطالبة المجموعات: مخططات Microsoft - مجموعة مطالبات الهوية.
الوصول إلى معرف Entra لتعديل تكوين مطالبات مجموعة التطبيق.
المنتجات: عبارة البريد الإلكتروني الآمن من Cisco (ESA) و Cisco Secure Email and Web Manager (SMA)، عند تكوينها لتسجيل الدخول الأحادي ل SAML 2.0 (SSO).
موفر الهوية (IdP): معرف Microsoft Entra (Azure AD).
أسلوب التفويض: دور الجهاز/تعيين الامتياز استنادا إلى مطالبات مجموعة SAML (تعيين المجموعة).
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
ينجح تعيين SSO عندما يتم تعيين المستخدم بشكل صريح (على سبيل المثال، بمعرف المستخدم)، ولكنه يفشل عندما يعتمد التفويض على تعيين المجموعة.
تظهر سجلات SSO سمة المجموعة أو أخطاء عدم تطابق تعيين المجموعة.
عندما يكون المستخدم عضوا في أكثر من 150 مجموعة، لا يقوم معرف Microsoft Entra بإرسال مطالبة المجموعات المتوقعة (Microsoft Diagram - Identity Claims Group) في تأكيد SAML. بدلا من ذلك، يقوم بإرسال مخططات Microsoft - مجموعة المطالبات، التي لا يمكن للجهاز إستخدامها لتعيين الأدوار.
ينطبق على: تم تكوين SAML 2.0 SSO باستخدام معرف Microsoft Entra (Azure AD) حيث يستخدم الجهاز مطالبات مجموعة SAML للتخويل (تعيين المجموعة).
في جهاز البريد الإلكتروني الآمن من Cisco، قم بتجميع سجلات محاولة مصادقة تسجيل الدخول الأحادي (SSO) من سجلات واجهة المستخدم الرسومية. على سبيل المثال، قم بتشغيل الأمر:
grep -i sso gui_logs
إذا كانت المشكلة مرتبطة بتعيين المجموعة في تأكيد موفر الهوية (IdP)، يمكن لسجلات SSO إظهار رسائل الخطأ هذه:
grep -i sso gui_logs
"An error occurred during SSO authentication. Details: Please check the configured Group Attributes, it does not match the Attributes from IDP assertion response"
"An error occurred during SSO authentication. Details: User: XXXXX Authorization failed on appliance, while fetching user privileges from group mapping."
"An error occurred during SSO authentication. Details: Please check the configured Group Mapping values, it does not match the Attributes values from IDP response."
لتأكيد ما إذا كانت المشكلة ناجمة عن عدد كبير من أعضاء المجموعة، قم بتجميع ملف أرشيف (HAR) لبروتوكول نقل النص التشعبي أثناء محاولة مصادقة SAML فاشلة. إستخدام أدوات مطور المستعرض أو ملحق مستعرض معتمد. لا تستخدم أدوات فك التشفير العامة عبر الإنترنت أو أدوات التحميل من قبل جهات خارجية لفحص إستجابة SAML.
الإجراء:
افتح أدوات مطور المستعرضوابدأ التقاط الشبكة.
انتقل إلى بوابة البريد الإلكتروني الآمنة من Cisco أو واجهة الويب للبريد الإلكتروني الآمن لإدارة الويب من Cisco.
ابدأ تدفق تسجيل الدخول الأحادي SAML (SSO) وإعادة إنتاج فشل التفويض.
تصدير جلسة عمل الالتقاط كملف HAR.
ملاحظة: تختلف الخطوات الدقيقة حسب المستعرض. أستخدم طريقة مستعرض مدعومة تبقي إستجابة SAML محلية لمحطة العمل.
أستخدم ملف HAR للتحقق من سمة المجموعة التي يرجعها معرف Microsoft Entra في تأكيد SAML.
افتح ملف HAR في أدوات مطور المتصفح.
حدد موقع طلب إستجابة SAML ، كما هو موضح في الصورة 1.
انسخ قيمة حقل SAMLResonse. في الصورة 1، قم بتعريف القيمة المرمزة بين علامات الاقتباس بعد القيمة=.
قم بفك ترميز قيمة SAMLResonse التي تم ترميزها بواسطة Base64 باستخدام طريقة معتمدة دون اتصال. على سبيل المثال، أستخدم أداة مساعدة محلية لسطر الأوامر:
# macOS/Linux
printf '%s' "" | base64 --decode > saml_response.xml
# Windows PowerShell
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('')) | Out-File -Encoding utf8 saml_response.xml راجع XML المشفر وتحقق مما إذا كان معرف Microsoft Entra يرجع سمة المجموعات المتوقعة أو سمة الارتباط البديل.

في سيناريو العمل، تحتوي إستجابة SAML التي تم فك ترميزها على سمة المجموعات المتوقعة: مخططات Microsoft - مجموعات مطالبات الهوية . عند حدوث هذه المشكلة، يقوم معرف Microsoft Entra بإرجاع مخططات Microsoft - مجموعات المطالبات بدلا من سمة المجموعات المتوقعة.
يحدث هذا السلوك لأن معرف Microsoft Entra يحد عدد المجموعات التي تم إصدارها في المطالبة SAML Groups. إذا كان تأكيد SAML يحتوي على أكثر من 150 عضو في المجموعة، يقوم Azure AD بإرجاع سمة groups.link بدلا من سمة المجموعات. لا يمكن لجهاز البريد الإلكتروني الآمن من Cisco إستخدام groups.link لتعيين الأدوار، لذلك يفشل التفويض.
قم بتعديل تطبيق معرف Microsoft Entra بحيث يقوم تأكيد SAML بإرجاع مطالبة مجموعات قابلة للاستخدام للجهاز. الهدف هو منع Azure AD من إرجاع مخططات Microsoft - مجموعات المطالبات بدلا من سمة المجموعات المتوقعة.
في Azure AD، افتح تطبيق المؤسسة المستخدم لعبارة البريد الإلكتروني الآمنة من Cisco أو مصادقة SAML لمدير الويب والبريد الإلكتروني الآمن من Cisco.
انتقل إلى سمات رمز SAML المميزأو تكوين مطالبات المجموعة.
قم بتغيير إعداد مطالبات المجموعة إلى المجموعات المعينة للتطبيق، إذا كان هذا الإعداد يفي بمتطلبات النشر.
تأكد من تعيين حساب المسؤول المتأثر فقط إلى المجموعات المطلوبة لتفويض الجهاز.
قم بحفظ تكوين Azure AD وابدأ محاولة SAML جديدة لتسجيل الدخول.
على الجهاز، قم بتشغيل الأمر grep -i sso gui.current من /data/pub/gui_log، وتأكد من أن أخطاء التفويض السابقة لم تعد تحدث.
تحقق من صحة إستجابة SAML التي تم فك ترميزها وتأكد من أن Azure AD يرجع مخططات Microsoft - مجموعات مطالبات الهوية بدلا من مخططات Microsoft - مجموعات المطالبات.
ملاحظة: في حالة عدم توفر تكوين مطالبات Azure AD Group المطلوبة أو عدم استيفائه لمتطلبات النشر، اتصل بمسؤول معرف Microsoft Entra أو بفريق دعم Microsoft.
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
13-Jul-2026
|
الإصدار الأولي |