Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece etapas e soluções de solução de problemas para o erro "AADSTS650056: aplicativo configurado incorretamente".
Sintomas
Ao tentar entrar em um aplicativo Web que usa a ID do Microsoft Entra, você recebe a seguinte mensagem de erro:
AADSTS650056: Aplicativo mal configurado. Isso pode ser devido a um dos seguintes: O cliente não listou nenhuma permissão para o 'AAD Graph' nas permissões solicitadas no registro do aplicativo do cliente. Ou o administrador não consentiu no locatário. Ou então, verifique o identificador do aplicativo na solicitação para garantir que ele corresponda ao identificador do aplicativo cliente configurado. Entre em contato com seu administrador para corrigir a configuração ou o consentimento em nome do locatário.
Motivo
Esse erro normalmente ocorre por um dos seguintes motivos:
- O Emissor fornecido no SAMLRequest não é válido.
- O aplicativo não tem as permissões necessárias para chamar APIs do Microsoft Graph.
- O administrador não consentiu as permissões para o aplicativo em nome do inquilino.
Solução 1: O Emissor fornecido no SAMLRequest não é válido (para fluxos de Autenticação SAML)
No exemplo de solicitação SAML a seguir, o valor do Emissor deve corresponder ao Identificador (ID da Entidade) configurado no aplicativo empresarial. Esse valor também é conhecido como o URI do Identificador ou o URI da ID do Aplicativo. Por exemplo, uma solicitação SAML pode ser semelhante à seguinte solicitação:
<samlp:AuthnRequest xmlns="urn:oasis:names:tc:SAML:2.0:metadata" ID="id6c1c178c166d486687be4aaf5e482730" Version="2.0" IssueInstant="2013-03-18T03:28:54.1839884Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer> </samlp:AuthnRequest>
Neste exemplo, o URI do Identificador é https://www.contoso.com.
Para corrigir uma incompatibilidade, execute uma das seguintes ações:
- Atualize o Identificador no aplicativo empresarial para que ele corresponda ao Emissor na solicitação SAML.
- Atualize a configuração do aplicativo SaaS do lado do fornecedor para que passe o Emissor correto.
Solução 2: verificar permissões e consentimento do aplicativo
Se sua organização possui o aplicativo, siga estas etapas:
Entre no portal do Azure, vá para a tela Registros de aplicativo, selecione o registro do aplicativo e, em seguida, selecione permissões de API.
Verifique se o aplicativo tem pelo menos a permissão delegada User.Read do Microsoft Graph.
Verifique o campo Status para determinar se as permissões são consentidas. Por exemplo:
- Se a permissão não for consentida, o valor será exibido como Pendente ou em branco.
- Se a permissão for consentida com êxito, o valor será exibido como "Concedido para [Nome do Locatário]".
Exemplo de uma permissão consentida:
Se sua organização não for o proprietário do aplicativo, siga estas etapas:
Entre no aplicativo usando uma conta de Administrador Global. Você deve ver uma tela de consentimento que solicita a concessão de permissões. Certifique-se de selecionar a opção Consentimento em nome da sua organização antes de prosseguir.
Exemplo da tela de consentimento:
Se você não vir a tela de consentimento, exclua o aplicativo da seção Aplicativos Empresariais na ID do Microsoft Entra e tente novamente entrar.
Se o erro persistir, vá para a próxima solução.
Solução 3: criar manualmente a URL de consentimento
Se o aplicativo for projetado para acessar um recurso específico, talvez você não consiga usar o botão Consentimento no portal do Azure. Em vez disso, talvez seja necessário gerar manualmente uma URL de consentimento e, em seguida, abrir a URL para conceder permissões ao aplicativo.
Para o endpoint V1 de autorização
A URL de consentimento é semelhante ao seguinte texto:
https://login.microsoftonline.com/{Tenant-Id}/oauth2/authorize?response\_type=code
&client\_id={App-Id}
&resource={App-Uri-Id}
&scope=openid
&prompt=consent
Por exemplo:
https://login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/authorize
?response\_type=code
&client\_id=044abcc4-914c-4444-9c3f-48cc3140b6b4
&resource=https://vault.azure.net/
&scope=openid
&prompt=consent
Para o endpoint V2 de autorização
A URL de consentimento é semelhante ao seguinte texto:
https://login.microsoftonline.com/{Tenant-Id}/oauth2/v2.0/authorize
?response_type=code
&client_id={App-Id}
&scope=openid+{App-Uri-Id}/{Scope-Name}
&prompt=consent
Por exemplo:
https://login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize
?response_type=code
&client_id=044abcc4-914c-4444-9c3f-48cc3140b6b4
&scope=openid+https://vault.azure.net/user_impersonation
&prompt=consent
- Se o aplicativo se acessar como recurso, {App-Id} e {App-Uri-Id} são iguais.
- Você pode obter os valores {App-Id} e {App-Uri-Id} do proprietário do aplicativo.
- {Tenant-Id} corresponde ao identificador de locatário. Esse valor pode ser seu domínio ou sua ID de diretório.
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.