Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Schritte zur Problembehandlung und Lösungen für den Fehler "AADSTS650056: Falsch konfigurierte Anwendung".
Symptome
Wenn Sie versuchen, sich bei einer Webanwendung anzumelden, die Microsoft Entra-ID verwendet, wird die folgende Fehlermeldung angezeigt:
AADSTS650056: Falsch konfigurierte Anwendung. Dies kann auf eine der folgenden Ursachen zurückzuführen sein: Der Client hat keine Berechtigungen für "AAD Graph" in den angeforderten Berechtigungen in der Anwendungsregistrierung des Clients aufgelistet. Ebenfalls möglich ist, dass der Administrator auf dem Mandanten nicht eingewilligt hat. Sie sollten auch den Anwendungsbezeichner in der Anforderung überprüfen, um sicherzustellen, dass er mit dem konfigurierten Clientanwendungsbezeichner übereinstimmt. Wenden Sie sich an Ihren Administrator, um die Konfiguration zu korrigieren oder im Auftrag des Mandanten einzuwilligen.
Ursache
Dieser Fehler tritt in der Regel aus einem der folgenden Gründe auf:
- Der Aussteller, der in der SAML-Request enthalten ist, ist ungültig.
- Die Anwendung verfügt nicht über die erforderlichen Berechtigungen zum Aufrufen von Microsoft Graph-APIs.
- Der Administrator hat den Berechtigungen für die Anwendung im Namen des Mandanten nicht zugestimmt.
Lösung 1: Der im SAMLRequest bereitgestellte Aussteller ist ungültig (für SAML-Authentifizierungsflüsse)
Im folgenden SAML-Anforderungsbeispiel muss der Ausstellerwert mit dem Bezeichner (Entitäts-ID) übereinstimmen, der in der Unternehmensanwendung konfiguriert ist. Dieser Wert wird auch als Bezeichner-URI oder App-ID-URI bezeichnet. Eine SAML-Anforderung könnte z. B. der folgenden Anforderung ähneln:
<samlp:AuthnRequest xmlns="urn:oasis:names:tc:SAML:2.0:metadata" ID="id6c1c178c166d486687be4aaf5e482730" Version="2.0" IssueInstant="2013-03-18T03:28:54.1839884Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer> </samlp:AuthnRequest>
In diesem Beispiel ist der Bezeichner-URI https://www.contoso.com.
Führen Sie eine der folgenden Aktionen aus, um eine Nichtübereinstimmung zu beheben:
- Aktualisieren Sie den Bezeichner in der Unternehmensanwendung so, dass er dem Aussteller in der SAML-Anforderung entspricht.
- Aktualisieren Sie die SaaS-Anwendungskonfiguration auf der Anbieterseite, damit sie den richtigen Aussteller übergibt.
Lösung 2: Überprüfen von Anwendungsberechtigungen und Zustimmung
Wenn Ihre Organisation die Anwendung besitzt, führen Sie die folgenden Schritte aus:
Melden Sie sich beim Azure-Portal an, wechseln Sie zum Bildschirm " App-Registrierungen ", wählen Sie Ihre App-Registrierung aus, und wählen Sie dann API-Berechtigungen aus.
Stellen Sie sicher, dass die Anwendung mindestens über die delegierte Berechtigung "User.Read " von Microsoft Graph verfügt.
Überprüfen Sie das Feld Status, um zu bestimmen, ob den Berechtigungen zugestimmt wurde. Beispiel:
- Wenn die Berechtigung nicht erteilt wird, wird der Wert als ausstehend oder leer angezeigt.
- Wenn die Berechtigung erfolgreich zugestimmt wurde, wird der Wert als "Erteilt für [Mandantenname]" angezeigt.
Beispiel für eine zustimmende Berechtigung:
Wenn Ihre Organisation nicht der Anwendungsbesitzer ist, führen Sie die folgenden Schritte aus:
Melden Sie sich mit einem globalen Administratorkonto bei der Anwendung an. Es sollte ein Zustimmungsbildschirm angezeigt werden, der Sie auffordert, Berechtigungen zu erteilen. Stellen Sie sicher, dass Sie die Zustimmung im Namen Ihrer Organisation auswählen, bevor Sie fortfahren.
Beispiel für den Zustimmungsbildschirm:
Wenn der Zustimmungsbildschirm nicht angezeigt wird, löschen Sie die Anwendung aus dem Abschnitt "Enterprise-Anwendungen " in der Microsoft Entra-ID, und versuchen Sie es dann erneut, sich anzumelden.
Wenn der Fehler weiterhin besteht, wechseln Sie zur nächsten Lösung.
Lösung 3: Manuelles Erstellen der Zustimmungs-URL
Wenn die Anwendung für den Zugriff auf eine bestimmte Ressource konzipiert ist, können Sie die Schaltfläche " Zustimmung " im Azure-Portal möglicherweise nicht verwenden. Stattdessen müssen Sie möglicherweise manuell eine Zustimmungs-URL generieren und dann die URL öffnen, um der Anwendung Berechtigungen zu erteilen.
Für den Autorisierungs-V1-Endpunkt
Die Zustimmungs-URL ähnelt dem folgenden Text:
https://login.microsoftonline.com/{Tenant-Id}/oauth2/authorize?response\_type=code
&client\_id={App-Id}
&resource={App-Uri-Id}
&scope=openid
&prompt=consent
Beispiel:
https://login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/authorize
?response\_type=code
&client\_id=044abcc4-914c-4444-9c3f-48cc3140b6b4
&resource=https://vault.azure.net/
&scope=openid
&prompt=consent
Für den Autorisierungs-V2-Endpunkt
Die Zustimmungs-URL ähnelt dem folgenden Text:
https://login.microsoftonline.com/{Tenant-Id}/oauth2/v2.0/authorize
?response_type=code
&client_id={App-Id}
&scope=openid+{App-Uri-Id}/{Scope-Name}
&prompt=consent
Beispiel:
https://login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize
?response_type=code
&client_id=044abcc4-914c-4444-9c3f-48cc3140b6b4
&scope=openid+https://vault.azure.net/user_impersonation
&prompt=consent
- Wenn die Anwendung als Ressource auf sich selbst zugreift, sind {App-Id} und {App-Uri-Id} identisch.
- Sie können die Werte {App-Id} und {App-Uri-Id} vom Anwendungsbesitzer abrufen.
- {Tenant-Id} entspricht Ihrem Mandantenbezeichner. Dieser Wert kann entweder Ihre Domäne oder Ihre Verzeichnis-ID sein.
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.