다음을 통해 공유

토큰을 가져오거나 Azure 앱에 로그인하는 AADSTS50000 오류

AADSTS50000 오류는 인증 프로세스 또는 토큰 엔드포인트를 사용하는 토큰 획득 흐름 중에 발생할 수 있습니다. 이러한 오류에는 여러 원인이 있을 수 있습니다. 이 문서에서는 이 오류에 대한 일반적인 시나리오 및 해결을 제공합니다.

증상

사용자가 Microsoft Entra ID에 통합된 애플리케이션에 로그인하려고 하면 다음과 같은 오류 메시지가 표시됩니다.

AADSTS50000: 토큰을 발급하는 동안 오류가 발생했거나 로그인 서비스에 문제가 발생했습니다.

원인 1: 사용자 암호가 만료되었거나, 유효하지 않거나, 동기화되지 않았습니다.

이 문제는 하이브리드 환경에서 일반적입니다. 사용자의 페더레이션 계정 암호가 온-프레미스 Active Directory Microsoft Entra ID 간에 동기화되지 않을 수 있습니다. 또한 이 문제는 사용자 세션이 해지될 때도 발생할 수 있습니다.

원인 1의 해결 방법

사용자 암호를 재설정한 다음 새 암호가 Microsoft Entra ID에 성공적으로 인증할 수 있는지 확인합니다.

원인 2: 토큰 획득 요청에서 매개 변수가 잘못 구성됨

이 문제는 일반적으로 OBO(On-Behalf-of) 흐름에서 발생합니다. 토큰 획득에 필요한 특정 매개 변수가 누락되었거나 잘못되었을 수 있습니다.

원인 2의 해결 방법

클라이언트 ID가 유효하고 다른 필수 매개 변수가 올바르게 구성되었는지 확인합니다. 자세한 내용은 Microsoft ID 플랫폼 및 OAuth 2.0 On-Behalf-Of 흐름을 참조하세요.

이 문제는 토큰 엔드포인트에 대한 OAuth2 디바이스 코드 부여 흐름에서 발생할 수 있습니다. 사용자가 브라우저 창에 로그인하고 동의 대화 상자를 수락하면 이 오류가 발생합니다.

  1. Azure Portal에서 클라이언트 애플리케이션(서비스 주체)이 테넌트의 엔터프라이즈 애플리케이션 페이지에 있는지 확인합니다. 앱 ID로 애플리케이션을 검색할 수 있습니다.
  2. 사용자가 애플리케이션에 동의할 수 있는지 확인합니다. 엔터프라이즈 애플리케이션 페이지에서 사용자 설정을 확인하거나 사용자 동의에 영향을 주는 관련 정책을 검토합니다.

원인 4: 대칭 서명 키가 애플리케이션 또는 서비스 주체 개체에 사용됩니다.

Microsoft ID 플랫폼(v2 엔드포인트) 토큰은 인증서(비대칭 키)로 서명해야 합니다. 대칭 서명 키를 사용하는 경우 오류가 발생할 수 있습니다.

원인 4에 대한 해결 방법

1단계: 애플리케이션 개체에서 대칭 키가 사용되는지 확인

  1. Azure Portal에서 앱 등록으로 이동합니다.

  2. 관리 섹션에서 매니페스트를 선택합니다.

  3. 섹션에 keyCredentials 포함 type=Symmetricusage=Sign포함 항목이 있는지 확인합니다.

    애플리케이션 매니페스트 키 자격 증명 코드를 보여 주는 스크린샷

또는 Microsoft Graph PowerShell cmdlet Get-MgApplication 을 사용하여 키 자격 증명을 검색합니다.

2단계: 서비스 주체 개체에서 대칭 키가 사용되는지 확인

  1. Azure Portal의 앱 등록 페이지에서 애플리케이션을 찾을 수 없는 경우 엔터프라이즈 애플리케이션 페이지로 이동합니다.
  2. 애플리케이션을 찾은 다음 서비스 주체의 개체 ID를 가져옵니다.
  3. Get-MgServicePrincipal을 사용하여 키 자격 증명을 검색합니다.

3단계: 대칭 서명 키 제거

대칭 키가 있는 경우:

  • Remove-MgApplicationKey를 사용하여 앱 등록에 대한 대칭 키를 제거합니다.
  • Remove-MgServicePrincipalKey를 사용하여 서비스 주체 개체에 대한 대칭 키를 제거합니다.

서명 키가 필요한 경우 서명 인증서를 대신 사용합니다. 자세한 내용은 SAML 기반 Single Sign-On: 서명 인증서 구성을 참조하세요.

원인 5: 리소스 애플리케이션에 노출되는 위임된 권한 없음(웹 API)

이 오류는 다음 시나리오에서 발생할 수 있습니다.

  • 테넌트 A에 등록된 다중 테넌트 리소스 애플리케이션이 있습니다. 이 애플리케이션은 애플리케이션 사용 권한 유형만 노출합니다.
  • 테넌트 B에는 클라이언트 애플리케이션이 등록되어 있습니다. 이 애플리케이션에 대한 API 권한 페이지에서 테넌트 A에 등록된 리소스 애플리케이션에 대한 권한을 구성합니다.
  • OAuth 2 위임된 권한 부여 흐름(예: 인증 코드 부여 흐름)을 사용하여 웹 API 범위의 값으로 사용하는 /.default 리소스 앱에 대한 액세스 토큰을 요청합니다.

원인 5에 대한 해결 방법

위임된 권한을 노출하도록 리소스 애플리케이션을 구성한 다음 클라이언트 애플리케이션에서 위임된 권한에 동의합니다.