In questo documento viene descritto come risolvere i problemi relativi agli errori di attestazione basata su gruppo SAML di Azure Active Directory per l'autenticazione esterna.
L'autenticazione esterna viene effettuata sui dispositivi Cisco Secure Email Gateway, Cisco Secure Email e Web Manager.
Cisco raccomanda la conoscenza dei seguenti argomenti:
L'SSO SAML 2.0 è già configurato e funzionante per almeno un account di test.
Il mapping dei gruppi è abilitato sull'accessorio e configurato per l'utilizzo dell'attestazione basata su gruppi: Schemi Microsoft - Gruppo di attestazioni d'identità.
Accedere a Entra ID per modificare la configurazione delle attestazioni basate su gruppo dell'applicazione.
Prodotti: Cisco Secure Email Gateway (ESA) e Cisco Secure Email e Web Manager (SMA), quando configurati per SAML 2.0 Single Sign-On (SSO).
Provider di identità (IdP): ID Entra Microsoft (Azure AD).
Metodo di autorizzazione: Assegnazione di ruoli/privilegi dell'accessorio in base alle attestazioni di gruppo SAML (mapping di gruppi).
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
L'SSO ha esito positivo quando un utente viene mappato in modo esplicito (ad esempio in base all'ID utente), ma ha esito negativo quando l'autorizzazione si basa sul mapping di gruppo.
Nei log SSO vengono visualizzati errori di mancata corrispondenza del mapping degli attributi o dei gruppi del gruppo.
Se un utente è membro di più di 150 gruppi, nell'asserzione SAML Microsoft Entra ID non genera l'attestazione basata su gruppi prevista (Microsoft Schemas - Identity Claims Group). Al contrario, genera Microsoft Schemas - Claims Group, che l'accessorio non può utilizzare per il mapping dei ruoli.
Si applica a: SSO SAML 2.0 configurato con Microsoft Entra ID (Azure AD) in cui l'accessorio utilizza le attestazioni di gruppo SAML per l'autorizzazione (mapping di gruppo).
Sul dispositivo Cisco Secure Email, raccogliere i log dei tentativi di autenticazione Single Sign-On (SSO) dai log della GUI. Ad esempio, eseguire il comando:
grep -i sso gui_logs
Se il problema è relativo al mapping dei gruppi nell'asserzione del provider di identità (IdP), nei log SSO possono essere visualizzati i messaggi di errore seguenti:
grep -i sso gui_logs
"An error occurred during SSO authentication. Details: Please check the configured Group Attributes, it does not match the Attributes from IDP assertion response"
"An error occurred during SSO authentication. Details: User: XXXXX Authorization failed on appliance, while fetching user privileges from group mapping."
"An error occurred during SSO authentication. Details: Please check the configured Group Mapping values, it does not match the Attributes values from IDP response."
Per verificare se il problema è causato da un numero elevato di appartenenze ai gruppi, raccogliere un file HAR (Hypertext Transfer Protocol) Archive durante un tentativo di autenticazione SAML non riuscito. Utilizzare gli strumenti di sviluppo del browser o un'estensione del browser approvata. Non utilizzare decoder online pubblici o strumenti di caricamento di terze parti per ispezionare la risposta SAML.
Procedura:
Aprire gli strumenti di sviluppo browser e avviare un'acquisizione rete.
Passare all'interfaccia Web Cisco Secure Email Gateway o Cisco Secure Email e Web Manager.
Avviare il flusso SAML Single Sign-On (SSO) e riprodurre l'errore di autorizzazione.
Esporta la sessione acquisita come file HAR.
Nota: I passaggi esatti variano a seconda del browser. Utilizzare un metodo browser supportato che mantenga la risposta SAML locale nella workstation.
Utilizzare il file HAR per verificare quale attributo di gruppo Microsoft Entra ID restituisce nell'asserzione SAML.
Aprire il file HAR negli strumenti di sviluppo del browser.
Individuare la richiesta di risposta SAML, come mostrato nell'Immagine 1.
Copiare il valore del campo SAMLResponse. Nell'immagine 1, identificare il valore codificato tra le virgolette dopo value=.
Decodificare il valore SAMLResponse con codifica Base64 utilizzando un metodo non in linea approvato. Ad esempio, utilizzare un'utilità della riga di comando locale:
# macOS/Linux
printf '%s' "" | base64 --decode > saml_response.xml
# Windows PowerShell
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('')) | Out-File -Encoding utf8 saml_response.xml Esaminare il file XML decodificato e verificare se Microsoft Entra ID restituisce l'attributo gruppi previsto o l'attributo collegamento alternativo.

In uno scenario di lavoro, la risposta SAML decodificata contiene l'attributo groups previsto: Schemi Microsoft - Gruppi di attestazioni d'identità. Quando si verifica questo problema, Microsoft Entra ID restituisce Microsoft Schemas - Claims Groups anziché l'attributo groups previsto.
Questo comportamento si verifica perché Microsoft Entra ID limita il numero di gruppi emessi nell'attestazione dei gruppi SAML. Se l'asserzione SAML contiene più di 150 appartenenze a gruppi, Azure AD restituisce l'attributo groups.link anziché l'attributo groups. L'appliance Cisco Secure Email non può utilizzare groups.link per il mapping dei ruoli, pertanto l'autorizzazione non riesce.
Modificare l'applicazione Microsoft Entra ID in modo che l'asserzione SAML restituisca un'attestazione basata su gruppi utilizzabili per l'accessorio. L'obiettivo è impedire ad Azure AD di restituire Schemi Microsoft - Gruppi attestazioni anziché l'attributo gruppi previsto.
In Azure AD aprire l'applicazione enterprise utilizzata per l'autenticazione SAML di Cisco Secure Email Gateway o Cisco Secure Email e Web Manager.
Passare alla configurazione SAML token attributes o group claim.
Modificare l'impostazione delle attestazioni di gruppo su Gruppi assegnati all'applicazione, se tale impostazione soddisfa i requisiti di distribuzione.
Assicurarsi che l'account amministratore interessato sia assegnato solo ai gruppi richiesti per l'autorizzazione dell'accessorio.
Salvare la configurazione di Azure AD e avviare un nuovo log SAML nel tentativo.
Sull'accessorio, eseguire il comando grep -i sso gui.current da /data/pub/gui_logs e verificare che gli errori di autorizzazione precedenti non si verifichino più.
Convalidare la risposta SAML decodificata e verificare che Azure AD restituisca Microsoft Schemas - Identity Claims Groups anziché Microsoft Schemas - Claims Groups.
Nota: Se la configurazione richiesta delle attestazioni di gruppo di Azure AD non è disponibile o non soddisfa i requisiti di distribuzione, contattare l'amministratore di Microsoft Entra ID o il team del supporto tecnico Microsoft.
Informazioni su Microsoft: Configura attestazioni basate su gruppo per applicazioni
MuleSoft Limitazione degli attributi del gruppo SAML di Azure AD
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
13-Jul-2026
|
Versione iniziale |