Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan pasos y soluciones de solución de problemas para el error "AADSTS650056: aplicación mal configurada".
Síntomas
Al intentar iniciar sesión en una aplicación web que usa el identificador de Microsoft Entra, recibirá el siguiente mensaje de error:
AADSTS650056: aplicación mal configurada. Esto puede deberse a uno de los siguientes motivos: el cliente no ha enumerado ningún permiso para "AAD Graph" en los permisos solicitados en el registro de la aplicación del cliente. O bien el administrador no ha dado su consentimiento en el inquilino. Compruebe también el identificador de la aplicación en la solicitud para asegurarse de que coincide con el identificador de la aplicación cliente configurada. Póngase en contacto con su administrador para corregir la configuración o dar su consentimiento en nombre del inquilino.
Causa
Este error suele producirse por uno de los siguientes motivos:
- El emisor que se proporciona en SAMLRequest no es válido.
- La aplicación no tiene los permisos necesarios para llamar a las API de Microsoft Graph.
- El administrador no ha consentido los permisos de la aplicación en nombre del inquilino.
Solución 1: El emisor proporcionado en SAMLRequest no es válido (para los flujos de autenticación de SAML)
En el siguiente ejemplo de solicitud SAML, el valor del emisor debe coincidir con el identificador (id. de entidad) configurado en la aplicación empresarial. Este valor también se conoce como URI de identificador o URI de identificador de aplicación. Por ejemplo, una solicitud SAML podría ser similar a la siguiente:
<samlp:AuthnRequest xmlns="urn:oasis:names:tc:SAML:2.0:metadata" ID="id6c1c178c166d486687be4aaf5e482730" Version="2.0" IssueInstant="2013-03-18T03:28:54.1839884Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer> </samlp:AuthnRequest>
En este ejemplo, el identificador URI es https://www.contoso.com.
Para corregir un error de coincidencia, realice una de las siguientes acciones:
- Actualice el identificador de la aplicación empresarial para que coincida con el emisor en la solicitud SAML.
- Actualice la configuración de la aplicación SaaS del lado del proveedor para que transmita el emisor correcto.
Solución 2: Comprobación de los permisos y consentimiento de la aplicación
Si su organización es propietaria de la aplicación, siga estos pasos:
Inicie sesión en Azure Portal, vaya a la pantalla Registros de aplicaciones, seleccione el registro de la aplicación y, a continuación, seleccione Permisos de API.
Asegúrese de que la aplicación tiene al menos el permiso delegado User.Read de Microsoft Graph.
Compruebe el campo Estado para determinar si los permisos tienen consentimiento. Por ejemplo:
- Si no se otorga el consentimiento, el valor aparece como Pendiente o en blanco.
- Si el permiso se consiente correctamente, el valor aparece como "Concedido para [Nombre del arrendatario]."
Ejemplo de un permiso con consentimiento:
Si su organización no es el propietario de la aplicación, siga estos pasos:
Inicie sesión en la aplicación mediante una cuenta de administrador global. Debería ver una pantalla de consentimiento que le pida que conceda permisos. Asegúrese de seleccionar la opción Consentimiento en nombre de su organización antes de continuar.
Ejemplo de la pantalla de consentimiento:
Si no ve la pantalla de consentimiento, elimine la aplicación de la sección Aplicaciones empresariales de Microsoft Entra ID e inténtelo de nuevo para iniciar sesión.
Si el error persiste, vaya a la siguiente solución.
Solución 3: Compilar manualmente la dirección URL de consentimiento
Si la aplicación está diseñada para acceder a un recurso específico, es posible que no pueda usar el botón Consentimiento en Azure Portal. En su lugar, es posible que tenga que generar manualmente una dirección URL de consentimiento y, a continuación, abrir la dirección URL para conceder permisos a la aplicación.
Para el endpoint de autorización V1
La dirección URL de consentimiento es similar al texto siguiente:
https://login.microsoftonline.com/{Tenant-Id}/oauth2/authorize?response\_type=code
&client\_id={App-Id}
&resource={App-Uri-Id}
&scope=openid
&prompt=consent
Por ejemplo:
https://login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/authorize
?response\_type=code
&client\_id=044abcc4-914c-4444-9c3f-48cc3140b6b4
&resource=https://vault.azure.net/
&scope=openid
&prompt=consent
Para el punto de conexión V2 de autorización
La dirección URL de consentimiento es similar al texto siguiente:
https://login.microsoftonline.com/{Tenant-Id}/oauth2/v2.0/authorize
?response_type=code
&client_id={App-Id}
&scope=openid+{App-Uri-Id}/{Scope-Name}
&prompt=consent
Por ejemplo:
https://login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize
?response_type=code
&client_id=044abcc4-914c-4444-9c3f-48cc3140b6b4
&scope=openid+https://vault.azure.net/user_impersonation
&prompt=consent
- Si la aplicación accede a sí misma como recurso, {App-Id} y {App-Uri-Id} son iguales.
- Puede obtener los valores {App-Id} y {App-Uri-Id} del propietario de la aplicación.
- {Tenant-Id} corresponde al identificador de inquilino. Este valor puede ser el dominio o el identificador de directorio.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.