Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra i passaggi e le soluzioni per la risoluzione dei problemi relativi all'errore "AADSTS650056: applicazione non configurata correttamente".
Sintomi
Quando si tenta di accedere a un'applicazione Web che usa Microsoft Entra ID, viene visualizzato il messaggio di errore seguente:
AADSTS650056: applicazione non configurata correttamente. Ciò potrebbe essere dovuto a uno dei seguenti: il client non ha elencato alcuna autorizzazione per "AAD Graph" nelle autorizzazioni richieste nella registrazione dell'applicazione del client. Oppure l'amministratore non ha consentito il tenant. Controllare, in alternativa, l'identificatore dell'applicazione nella richiesta per assicurarsi che corrisponda all'identificatore dell'applicazione client configurato. Contattare l'amministratore per correggere la configurazione o il consenso per conto del tenant.
Causa
Questo errore si verifica in genere per uno dei motivi seguenti:
- L'autorità emittente fornita in SAMLRequest non è valida.
- L'applicazione non dispone delle autorizzazioni necessarie per chiamare le API Microsoft Graph.
- L'amministratore non ha acconsentito alle autorizzazioni per l'applicazione per conto del tenant.
Soluzione 1: l'autorità di certificazione fornita in SAMLRequest non è valida (per i flussi di autenticazione SAML)
Nell'esempio di richiesta SAML seguente, il valore Issuer deve corrispondere all'identificatore (ID entità) configurato nell'applicazione aziendale. Questo valore è noto anche come URI identificatore o URI ID app. Ad esempio, una richiesta SAML potrebbe essere simile alla richiesta seguente:
<samlp:AuthnRequest xmlns="urn:oasis:names:tc:SAML:2.0:metadata" ID="id6c1c178c166d486687be4aaf5e482730" Version="2.0" IssueInstant="2013-03-18T03:28:54.1839884Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer> </samlp:AuthnRequest>
In questo esempio l'URI dell'identificatore è https://www.contoso.com.
Per correggere una mancata corrispondenza, eseguire una delle azioni seguenti:
- Aggiornare l'identificatore nell'applicazione aziendale in modo che corrisponda all'autorità di certificazione nella richiesta SAML.
- Aggiornare la configurazione dell'applicazione SaaS sul lato fornitore in modo che passi l'autorità emittente corretta.
Soluzione 2: Verificare le autorizzazioni e il consenso dell'applicazione
Se l'organizzazione è proprietaria dell'applicazione, seguire questa procedura:
Accedere al portale di Azure, passare alla schermata Registrazioni app, selezionare la registrazione dell'app e quindi selezionare Autorizzazioni API.
Assicurarsi che l'applicazione disponga almeno dell'autorizzazione delegata User.Read da Microsoft Graph.
Controllare il campo Stato per determinare se le autorizzazioni sono concesse. Per esempio:
- Se l'autorizzazione non è autorizzata, il valore viene visualizzato come In sospeso o vuoto.
- Se l'autorizzazione è stata concessa correttamente, il valore viene visualizzato come "Concesso per [Nome tenant]."
Esempio di autorizzazione con consenso:
Se l'organizzazione non è il proprietario dell'applicazione, seguire questa procedura:
Accedere all'applicazione usando un account amministratore globale. Verrà visualizzata una schermata di consenso che richiede di concedere le autorizzazioni. Assicurarsi di selezionare l'opzione Consent per conto dell'organizzazione prima di procedere.
Esempio della schermata di consenso:
Se non viene visualizzata la schermata di consenso, eliminare l'applicazione dalla sezione Applicazioni aziendali in Microsoft Entra ID e quindi riprovare ad accedere.
Se l'errore persiste, passare alla soluzione successiva.
Soluzione 3: Compilare manualmente l'URL di consenso
Se l'applicazione è progettata per accedere a una risorsa specifica, potrebbe non essere possibile usare il pulsante Consenso nel portale di Azure. Potrebbe invece essere necessario generare manualmente un URL di consenso e quindi aprire l'URL per concedere le autorizzazioni all'applicazione.
Per l'endpoint V1 di autorizzazione
L'URL del consenso è simile al testo seguente:
https://login.microsoftonline.com/{Tenant-Id}/oauth2/authorize?response\_type=code
&client\_id={App-Id}
&resource={App-Uri-Id}
&scope=openid
&prompt=consent
Per esempio:
https://login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/authorize
?response\_type=code
&client\_id=044abcc4-914c-4444-9c3f-48cc3140b6b4
&resource=https://vault.azure.net/
&scope=openid
&prompt=consent
Per l'endpoint V2 di autorizzazione
L'URL del consenso è simile al testo seguente:
https://login.microsoftonline.com/{Tenant-Id}/oauth2/v2.0/authorize
?response_type=code
&client_id={App-Id}
&scope=openid+{App-Uri-Id}/{Scope-Name}
&prompt=consent
Per esempio:
https://login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize
?response_type=code
&client_id=044abcc4-914c-4444-9c3f-48cc3140b6b4
&scope=openid+https://vault.azure.net/user_impersonation
&prompt=consent
- Se l'applicazione accede a sé stessa come risorsa, {App-Id} e {App-Uri-Id} coincidono.
- È possibile ottenere i valori {App-Id} e {App-Uri-Id} dal proprietario dell'applicazione.
- {Tenant-Id} corrisponde all'identificatore del tenant. Questo valore può essere il dominio o l'ID della directory.
Contattaci per ricevere assistenza
In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.