Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El error AADSTS50000 puede producirse durante el proceso de autenticación o el flujo de adquisición de tokens que usa el punto de conexión del token. Estos errores pueden tener varias causas. En este artículo se proporcionan escenarios comunes y soluciones para este error.
Síntomas
Cuando un usuario intenta iniciar sesión en una aplicación integrada en el identificador de Entra de Microsoft, el usuario recibe el siguiente mensaje de error:
AADSTS50000: se produjo un error al emitir un token o un problema con nuestro servicio de inicio de sesión.
Causa 1: la contraseña de usuario ha expirado, no es válida o no está sincronizada
Este problema es común en entornos híbridos. Es posible que la contraseña de la cuenta federada del usuario no esté sincronizada entre el Active Directory local y el identificador de Microsoft Entra. Además, este problema también puede producirse cuando se revoca una sesión de usuario.
Solución para la causa 1
Restablezca la contraseña de usuario y compruebe que la nueva contraseña se puede autenticar correctamente en microsoft Entra ID.
Causa 2: Los parámetros se configuran incorrectamente en la solicitud de adquisición de tokens
Este problema se produce normalmente en el flujo en nombre de (OBO). Es posible que falten determinados parámetros necesarios para la adquisición de tokens o que no sean válidos.
Solución para la causa 2
Asegúrese de que el identificador de cliente es válido y de que otros parámetros necesarios están configurados correctamente. Para obtener más información, consulte Plataforma de identidad de Microsoft y flujo en nombre de OAuth 2.0.
Causa 3: Problemas relacionados con el consentimiento
Este problema puede producirse en un flujo de concesión de código de dispositivo OAuth2 al punto de conexión del token. Después de que el usuario inicie sesión en una ventana del explorador y acepte el cuadro de diálogo de consentimiento, se produce este error.
Solución para la causa 3: Comprobar la configuración de consentimiento de la aplicación
- En Azure Portal, asegúrese de que la aplicación cliente (entidad de servicio) existe en la página Aplicaciones empresariales del inquilino. Puede buscar la aplicación por id. de aplicación.
- Compruebe que el usuario puede dar su consentimiento a la aplicación. Compruebe la configuración del usuario en la página Aplicaciones empresariales o revise las directivas pertinentes que afectan al consentimiento del usuario.
Causa 4: La clave de firma simétrica se usa en la aplicación o en el objeto de entidad de servicio
Los tokens de la Plataforma de identidad de Microsoft (punto de conexión v2) deben estar firmados por un certificado (clave asimétrica). Los errores pueden producirse si se usa una clave de firma simétrica.
Solución para la causa 4
Paso 1: Comprobar si la clave simétrica se usa en el objeto de aplicación
En Azure Portal, vaya a Registros de aplicaciones.
En la sección Administrar , seleccione Manifiesto.
Compruebe si existe una entrada en la
keyCredentials
sección que incluyetype=Symmetric
yusage=Sign
.
Como alternativa, use el cmdlet Get-MgApplication de Microsoft Graph para recuperar las credenciales clave.
Paso 2: Comprobar si la clave simétrica se usa en el objeto de entidad de servicio
- Si la aplicación no se encuentra en la página Registros de aplicaciones de Azure Portal, vaya a la página Aplicaciones empresariales.
- Busque la aplicación y, a continuación, obtenga el identificador de objeto de la entidad de servicio.
- Use Get-MgServicePrincipal para recuperar las credenciales de clave.
Paso 3: Eliminación de la clave de firma simétrica
Si la clave simétrica existe:
- Use Remove-MgApplicationKey para quitar la clave simétrica para el registro de la aplicación.
- Use Remove-MgServicePrincipalKey para quitar la clave simétrica del objeto de entidad de servicio.
Si se requiere una clave de firma, use en su lugar un certificado de firma. Para más información, consulte Inicio de sesión único basado en SAML: Configuración de un certificado de firma.
Causa 5: No hay ningún permiso delegado expuesto en la aplicación de recursos (API web)
Este error puede producirse en el escenario siguiente:
- Tiene una aplicación de recursos multiinquilino registrada en el inquilino A. Esta aplicación expone solo el tipo de permiso de aplicación.
- En el inquilino B, tiene una aplicación cliente registrada. En la página de permisos de API de esta aplicación, configure el permiso para la aplicación de recursos registrada en el inquilino A.
- Use un flujo de concesión delegada de OAuth 2 (por ejemplo, flujo de concesión de código de autenticación) para solicitar un token de acceso para la aplicación de recursos que usa
/.default
como valor del ámbito de la API web.
Solución para la causa 5
Configure la aplicación de recursos para exponer el permiso delegado y, a continuación, dé su consentimiento a ese permiso delegado en la aplicación cliente.