Ce document décrit comment dépanner les échecs de revendication de groupe SAML Azure Active Directory pour l'authentification externe.
L'authentification externe s'effectue sur les appliances Cisco Secure Email Gateway, Cisco Secure Email et Web Manager.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
L'authentification unique SAML 2.0 est déjà configurée et fonctionne pour au moins un compte de test.
Le mappage de groupe est activé sur l'appliance et configuré pour utiliser la revendication de groupe : Schémas Microsoft - Groupe de revendications d'identité.
Accès à Entra ID pour modifier la configuration des revendications de groupe de l'application.
Produits : Cisco Secure Email Gateway (ESA) et Cisco Secure Email and Web Manager (SMA), lorsqu'ils sont configurés pour l'authentification unique SAML 2.0.
Fournisseur d'identités (IdP) : Microsoft Entra ID (Azure AD).
Méthode d'autorisation : Attribution de rôle/privilège d'appliance basée sur des revendications de groupe SAML (mappage de groupe).
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
L'authentification unique réussit lorsqu'un utilisateur est explicitement mappé (par exemple, par ID utilisateur), mais échoue lorsque l'autorisation repose sur le mappage de groupe.
Les journaux SSO affichent les erreurs de non-concordance d'attribut de groupe ou de mappage de groupe.
Lorsqu'un utilisateur est membre de plus de 150 groupes, Microsoft Entra ID n'émet pas la revendication de groupe attendue (Schémas Microsoft - Groupe de revendications d'identité) dans l'assertion SAML. À la place, il émet Schémas Microsoft - Groupe de revendications, que la solution matérielle-logicielle ne peut pas utiliser pour le mappage de rôles.
S'applique à : SSO SAML 2.0 configuré avec Microsoft Entra ID (Azure AD) où l'appliance utilise des revendications de groupe SAML pour l'autorisation (mappage de groupe).
Sur l'appliance de messagerie sécurisée Cisco, collectez les journaux des tentatives d'authentification SSO (Single Sign-On) à partir des journaux de l'interface utilisateur graphique. Par exemple, exécutez la commande :
grep -i sso gui_logs
Si le problème est lié au mappage de groupe dans l'assertion du fournisseur d'identité (IdP), les journaux SSO peuvent afficher les messages d'erreur suivants :
grep -i sso gui_logs
"An error occurred during SSO authentication. Details: Please check the configured Group Attributes, it does not match the Attributes from IDP assertion response"
"An error occurred during SSO authentication. Details: User: XXXXX Authorization failed on appliance, while fetching user privileges from group mapping."
"An error occurred during SSO authentication. Details: Please check the configured Group Mapping values, it does not match the Attributes values from IDP response."
Pour confirmer si le problème est causé par un nombre élevé d'appartenances au groupe, collectez un fichier d'archivage HTTP (Hypertext Transfer Protocol) (HAR) lors d'une tentative d'authentification SAML ayant échoué. Utilisez les outils de développement de navigateur ou une extension de navigateur approuvée. N'utilisez pas de décodeurs publics en ligne ou d'outils de téléchargement tiers pour vérifier la réponse SAML.
Procédure:
Ouvrez les outils de développement du navigateur et lancez une capture réseau.
Accédez à l'interface Web Cisco Secure Email Gateway ou Cisco Secure Email and Web Manager.
Lancez le flux SSO (Single Sign-On) SAML et reproduisez l'échec de l'autorisation.
Exportez la session capturée en tant que fichier HAR.
Remarque : Les étapes exactes varient selon le navigateur. Utilisez une méthode de navigateur prise en charge qui conserve la réponse SAML en local sur la station de travail.
Utilisez le fichier HAR pour vérifier quel attribut de groupe Microsoft Entra ID renvoie dans l'assertion SAML.
Ouvrez le fichier HAR dans les outils de développement du navigateur.
Recherchez la demande de réponse SAML, comme illustré dans l'image 1.
Copiez la valeur du champ SAMLResponse. Dans l'image 1, identifiez la valeur codée entre les guillemets après value=.
Décodez la valeur SAMLResponse codée en Base64 à l'aide d'une méthode hors ligne approuvée. Par exemple, utilisez un utilitaire de ligne de commande local :
# macOS/Linux
printf '%s' "" | base64 --decode > saml_response.xml
# Windows PowerShell
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('')) | Out-File -Encoding utf8 saml_response.xml Vérifiez le code XML décodé et vérifiez si Microsoft Entra ID renvoie l'attribut groups attendu ou l'attribut de liaison de remplacement.

Dans un scénario de travail, la réponse SAML décodée contient l'attribut groupes attendus : Schémas Microsoft - Groupes de revendications d'identité . Lorsque ce problème se produit, Microsoft Entra ID renvoie Microsoft Schemas - Claims Groups au lieu de l'attribut groups attendu.
Ce comportement se produit parce que Microsoft Entra ID limite le nombre de groupes émis dans la revendication de groupes SAML. Si l'assertion SAML contient plus de 150 appartenances de groupe, Azure AD renvoie l'attribut groups.link au lieu de l'attribut groups. L'appliance de messagerie sécurisée Cisco ne peut pas utiliser groups.link pour le mappage des rôles, donc l'autorisation échoue.
Modifiez l'application Microsoft Entra ID de sorte que l'assertion SAML renvoie une revendication de groupe utilisable pour l'appliance. L'objectif est d'empêcher Azure AD de renvoyer des schémas Microsoft - Revendications Groups au lieu de l'attribut groups attendu.
Dans Azure AD, ouvrez l'application d'entreprise utilisée pour l'authentification Cisco Secure Email Gateway ou Cisco Secure Email and Web Manager SAML.
Accédez à la configuration des attributs de jeton SAML ou des revendications de groupe.
Modifiez le paramètre Revendications de groupe sur Groupes affectés à l'application, si ce paramètre répond aux exigences de déploiement.
Assurez-vous que le compte d'administrateur affecté est affecté uniquement aux groupes requis pour l'autorisation de l'appliance.
Enregistrez la configuration Azure AD et démarrez une nouvelle tentative de connexion SAML.
Sur l'appliance, exécutez la commande grep -i sso gui.current à partir de /data/pub/gui_logs et vérifiez que les erreurs d'autorisation précédentes ne se produisent plus.
Validez la réponse SAML décodée et confirmez qu'Azure AD renvoie des schémas Microsoft - Groupes de revendications d'identité au lieu de schémas Microsoft - Groupes de revendications.
Remarque : Si la configuration requise des revendications de groupe Azure AD n'est pas disponible ou ne répond pas aux exigences de déploiement, contactez l'administrateur Microsoft Entra ID ou l'équipe de support technique Microsoft.
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
13-Jul-2026
|
Première publication |