Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des étapes de résolution des problèmes et des solutions pour l’erreur « AADSTS650056 : application mal configurée ».
Symptômes
Lorsque vous essayez de vous connecter à une application web qui utilise l’ID Microsoft Entra, vous recevez le message d’erreur suivant :
AADSTS650056 : application mal configurée. Cela peut être dû à l’une des opérations suivantes : le client n’a pas répertorié d’autorisations pour « AAD Graph » dans les autorisations demandées dans l’inscription de l’application du client. Ou l’administrateur n’a pas donné son consentement dans le locataire. Vous pouvez aussi vérifier l’identificateur d’application dans la requête pour vous assurer qu’il correspond à l’identificateur d’application cliente configuré. Contactez votre administrateur pour corriger la configuration ou donner le consentement au nom du locataire.
La cause
Cette erreur se produit généralement pour l’une des raisons suivantes :
- L’émetteur fourni dans SAMLRequest n’est pas valide.
- L’application n’a pas les autorisations requises pour appeler les API Microsoft Graph.
- L'administrateur n'a pas accepté les autorisations de l'application au nom du client.
Solution 1 : L’émetteur fourni dans SAMLRequest n’est pas valide (pour les flux d’authentification SAML)
Dans l’exemple de requête SAML suivant, la valeur de l’émetteur doit correspondre à l’identificateur (ID d’entité) configuré dans l’application d’entreprise. Cette valeur est également appelée URI d’identificateur ou URI d’ID d’application. Par exemple, une requête SAML peut ressembler à la requête suivante :
<samlp:AuthnRequest xmlns="urn:oasis:names:tc:SAML:2.0:metadata" ID="id6c1c178c166d486687be4aaf5e482730" Version="2.0" IssueInstant="2013-03-18T03:28:54.1839884Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer> </samlp:AuthnRequest>
Dans cet exemple, l’URI d’identificateur est https://www.contoso.com.
Pour corriger une incompatibilité, effectuez l’une des actions suivantes :
- Mettez à jour l’identificateur dans l’application d’entreprise afin qu’il corresponde à l’émetteur dans la requête SAML.
- Mettez à jour la configuration de l’application SaaS côté fournisseur afin qu’elle passe l’émetteur approprié.
Solution 2 : Vérifier les autorisations d’application et le consentement
Si votre organisation possède l’application, procédez comme suit :
Connectez-vous au portail Azure, accédez à l’écran Inscriptions d’applications , sélectionnez votre inscription d’application, puis sélectionnez Autorisations d’API.
Vérifiez que l’application dispose au moins de l’autorisation déléguée User.Read de Microsoft Graph.
Vérifiez le champ État pour déterminer si les autorisations sont accordées. Par exemple:
- Si l’autorisation n’est pas autorisée, la valeur apparaît en attente ou vide.
- Si l’autorisation est acceptée avec succès, la valeur s’affiche sous la forme « Accordée pour [Nom du locataire]. »
Exemple d’autorisation autorisée :
Si votre organisation n’est pas propriétaire de l’application, procédez comme suit :
Connectez-vous à l’application à l’aide d’un compte d’administrateur général. Vous devez voir un écran de consentement qui vous invite à accorder des autorisations. Veillez à sélectionner le consentement pour le compte de votre organisation avant de continuer.
Exemple de l’écran de consentement :
Si vous ne voyez pas l’écran de consentement, supprimez l’application de la section Applications d’entreprise dans Microsoft Entra ID, puis réessayez de vous connecter.
Si l’erreur persiste, accédez à la solution suivante.
Solution 3 : Générer manuellement l’URL de consentement
Si l’application est conçue pour accéder à une ressource spécifique, il se peut que vous ne puissiez pas utiliser le bouton Consentement dans le portail Azure. Au lieu de cela, vous devrez peut-être générer manuellement une URL de consentement, puis ouvrir l’URL pour accorder des autorisations à l’application.
Pour le point de terminaison d’autorisation V1
L’URL de consentement ressemble au texte suivant :
https://login.microsoftonline.com/{Tenant-Id}/oauth2/authorize?response\_type=code
&client\_id={App-Id}
&resource={App-Uri-Id}
&scope=openid
&prompt=consent
Par exemple:
https://login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/authorize
?response\_type=code
&client\_id=044abcc4-914c-4444-9c3f-48cc3140b6b4
&resource=https://vault.azure.net/
&scope=openid
&prompt=consent
Pour le point de terminaison d’autorisation V2
L’URL de consentement ressemble au texte suivant :
https://login.microsoftonline.com/{Tenant-Id}/oauth2/v2.0/authorize
?response_type=code
&client_id={App-Id}
&scope=openid+{App-Uri-Id}/{Scope-Name}
&prompt=consent
Par exemple:
https://login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize
?response_type=code
&client_id=044abcc4-914c-4444-9c3f-48cc3140b6b4
&scope=openid+https://vault.azure.net/user_impersonation
&prompt=consent
- Si l’application accède à elle-même en tant que ressource, {App-Id} et {App-Uri-Id} sont identiques.
- Vous pouvez obtenir les valeurs {App-Id} et {App-Uri-Id} du propriétaire de l’application.
- {Tenant-Id} correspond à votre identificateur de locataire. Cette valeur peut être votre domaine ou votre ID d’annuaire.
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.