Kesalahan tak terduga ketika melakukan persetujuan ke aplikasi

  • Artikel

Artikel ini membahas kesalahan yang dapat terjadi selama proses menyetujui aplikasi. Jika Anda memecahkan masalah permintaan persetujuan tak terduga yang tidak berisi pesan kesalahan apa pun, lihat Skenario Autentikasi untuk ID Microsoft Entra.

Banyak aplikasi yang terintegrasi dengan MICROSOFT Entra ID memerlukan izin untuk mengakses sumber daya lain agar berfungsi. Ketika sumber daya ini juga terintegrasi dengan ID Microsoft Entra, izin untuk mengaksesnya sering diminta menggunakan kerangka kerja persetujuan umum. Permintaan persetujuan ditampilkan, yang umumnya terjadi saat pertama kali aplikasi digunakan, tetapi juga dapat terjadi pada penggunaan aplikasi berikutnya.

Kondisi tertentu pasti berlaku bagi pengguna yang akan menyetujui izin yang diperlukan aplikasi. Jika kondisi ini tidak terpenuhi, kesalahan berikut dapat terjadi.

Kesalahan ketika meminta izin yang tidak sah

  • AADSTS90093:<clientAppDisplayName> meminta satu atau beberapa izin yang tidak diizinkan untuk Anda berikan. Hubungi administrator, yang dapat menyetujui aplikasi ini atas nama Anda.
  • AADSTS90094:<clientAppDisplayName> membutuhkan izin untuk mengakses sumber daya di organisasi Anda yang hanya dapat diberikan oleh admin. Minta admin untuk memberikan izin ke aplikasi ini sebelum Anda dapat menggunakannya.

Kesalahan ini terjadi ketika pengguna yang bukan Administrator Global mencoba menggunakan aplikasi yang meminta izin yang hanya dapat diberikan administrator. Kesalahan ini dapat diselesaikan oleh administrator yang memberikan akses ke aplikasi atas nama organisasinya.

Kesalahan ini juga dapat terjadi ketika pengguna dicegah untuk menyetujui aplikasi karena Microsoft mendeteksi bahwa permintaan izin berisiko. Dalam kasus ini, peristiwa audit juga akan dicatat di log dengan Kategori "PengelolaanAplikasi", Jenis Aktivitas "Persetujuan ke aplikasi", dan Alasan Status "Aplikasi yang berisiko terdeteksi".

Skenario lain tempat kesalahan ini mungkin terjadi adalah ketika penetapan pengguna diperlukan untuk aplikasi, tetapi tidak mendapatkan persetujuan administrator. Dalam hal ini, administrator harus terlebih dahulu memberikan persetujuan admin seluruh penyewa untuk aplikasi tersebut.

Azure Policy mencegah kesalahan pemberian izin

  • AADSTS90093: Administrator <tenantDisplayName> telah menetapkan kebijakan yang mencegah Anda memberikan <nama aplikasi> izin yang dimintanya. Hubungi administrator <tenantDisplayName>, yang dapat memberikan izin untuk aplikasi ini atas nama Anda.

Kesalahan ini dapat terjadi ketika Administrator Global menonaktifkan kemampuan pengguna untuk menyetujui aplikasi, lalu pengguna non-administrator mencoba menggunakan aplikasi yang memerlukan persetujuan. Kesalahan ini dapat diselesaikan oleh administrator yang memberikan akses ke aplikasi atas nama organisasinya.

Kesalahan masalah berselang

  • AADSTS90090: Sepertinya proses masuk mengalami masalah berselang saat merekam izin yang Anda coba berikan ke <clientAppDisplayName>. coba lagi nanti.

Kesalahan ini menunjukkan bahwa telah terjadi masalah di sisi layanan secara berselang. Kesalahan ini dapat diselesaikan dengan mencoba menyetujui aplikasi lagi.

Kesalahan sumber daya tidak tersedia di penyewa

  • AADSTS65005:<clientAppDisplayName> meminta akses ke sumber daya sumber dayaAppDisplayName <> yang tidak tersedia di tenantDisplayName> organisasi <Anda.

Pastikan bahwa sumber daya yang memberikan izin yang diminta ini tersedia di penyewa Anda atau hubungi administrator <tenantDisplayName>. Jika tidak, ada kesalahan konfigurasi dalam cara aplikasi meminta sumber daya, dan Anda harus menghubungi pengembang aplikasi.

Kesalahan ketidakcocokan izin

  • AADSTS65005: Aplikasi meminta persetujuan untuk mengakses sumber daya <resourceAppDisplayName>. Permintaan ini gagal karena tidak cocok dengan cara aplikasi dikonfigurasi sebelumnya selama pendaftaran aplikasi. Hubungi vendor aplikasi.**

Kesalahan ini semua terjadi ketika aplikasi yang coba disetujui pengguna meminta izin untuk mengakses aplikasi sumber daya yang tidak dapat ditemukan di direktori organisasi (penyewa). Situasi ini dapat terjadi karena beberapa alasan:

  • Pengembang aplikasi klien telah salah mengonfigurasi aplikasinya, sehingga aplikasi klien meminta akses ke sumber daya yang tidak valid. Dalam kasus ini, pengembang aplikasi harus memperbarui konfigurasi aplikasi klien untuk menyelesaikan masalah ini.

  • Perwakilan Layanan yang mewakili aplikasi sumber daya target tidak ada di organisasi, atau ada di masa lalu tetapi telah dihapus. Untuk mengatasi masalah ini, Perwakilan Layanan untuk aplikasi sumber daya harus ada di organisasi sehingga aplikasi klien dapat meminta izin terkait. Perwakilan Layanan dapat disediakan dalam banyak cara, tergantung pada jenis aplikasi, termasuk:

  • Memperoleh langganan untuk aplikasi sumber daya (aplikasi yang diterbitkan Microsoft)

  • Menyetujui aplikasi sumber daya

  • Memberikan izin aplikasi melalui pusat admin Microsoft Entra

  • Menambahkan aplikasi dari Galeri Aplikasi Microsoft Entra

Kesalahan dan peringatan aplikasi yang berisiko

  • AADSTS900941: Diperlukan persetujuan administrator. Aplikasi dianggap berisiko. (AdminConsentRequiredDueToRiskyApp)
  • Aplikasi ini mungkin berisiko. Jika Anda mempercayai aplikasi ini, minta admin untuk memberi Anda akses.
  • AADSTS900981: Permintaan persetujuan admin telah diterima untuk aplikasi yang berisiko. (AdminConsentRequestRiskyAppWarning)
  • Aplikasi ini mungkin berisiko. Hanya lanjutkan jika Anda mempercayai aplikasi ini.

Kedua pesan tersebut akan ditampilkan jika Microsoft telah menentukan bahwa permintaan persetujuan mungkin berisiko. Di antara banyak faktor lain, ini dapat terjadi jika penerbit terverifikasi belum ditambahkan ke pendaftaran aplikasi. Kode dan pesan kesalahan pertama akan ditampilkan kepada pengguna akhir saat Alur kerja persetujuan admin dinonaktifkan. Kode dan pesan kedua akan ditampilkan kepada pengguna akhir saat alur kerja persetujuan admin diaktifkan dan ke admin.

Pengguna akhir tidak akan dapat memberikan persetujuan kepada aplikasi yang telah terdeteksi berisiko. Admin dapat, tetapi harus mengevaluasi aplikasi dengan hati-hati dan melanjutkan dengan hati-hati. Jika tampak mencurigakan setelah ditinjau lebih lanjut, aplikasi tersebut dapat dilaporkan ke Microsoft dari layar persetujuan.

Langkah berikutnya

Cakupan, izin, dan persetujuan dalam platform identitas Microsoft (titik akhir v2.0)

Prompt persetujuan yang tidak terduga saat masuk ke aplikasi