Aracılığıyla paylaş

Belirteç alma veya Azure uygulamasında oturum açma hatası AADSTS50000

AADSTS50000 hatası, belirteç uç noktasını kullanan kimlik doğrulama işlemi veya belirteç alma akışı sırasında oluşabilir. Bu hataların birden çok nedeni olabilir. Bu makale, bu hata için yaygın senaryolar ve çözümler sağlar.

Belirtiler

Kullanıcı, Microsoft Entra Id ile tümleştirilmiş bir uygulamada oturum açmaya çalıştığında aşağıdaki hata iletisini alır:

AADSTS50000: Belirteç verilirken bir hata oluştu veya oturum açma hizmetimizle ilgili bir sorun oluştu.

Neden 1: Kullanıcı parolasının süresi doldu, geçersiz veya eşitlenmemiş

Bu sorun karma ortamlarda yaygındır. Kullanıcının federasyon hesabı parolası, şirket içi Active Directory ve Microsoft Entra Kimliği arasında eşitlenmemiş olabilir. Ayrıca, bir kullanıcı oturumu iptal edildiğinde de bu sorun oluşabilir.

Neden 1 için çözüm

Kullanıcı parolasını sıfırlayın ve ardından yeni parolanın Microsoft Entra Id'de başarıyla kimlik doğrulaması yapabileceklerini doğrulayın.

Neden 2: Belirteç alma isteğinde parametreler yanlış yapılandırılmış

Bu sorun genellikle adına (OBO) akışında oluşur. Belirteç alımı için gereken bazı parametreler eksik veya geçersiz olabilir.

Neden 2 için çözüm

İstemci kimliğinin geçerli olduğundan ve diğer gerekli parametrelerin doğru yapılandırıldığından emin olun. Daha fazla bilgi için bkz. Microsoft kimlik platformu ve OAuth 2.0 Adına Akış.

Bu sorun, belirteç uç noktasına OAuth2 Cihaz kodu verme akışında oluşabilir. Kullanıcı bir tarayıcı penceresinde oturum açıp onay iletişim kutusunu kabul ettikten sonra bu hata oluşur.

  1. Azure portalında, kiracının Kurumsal Uygulamalar sayfasında istemci uygulamasının (Hizmet Sorumlusu) bulunduğundan emin olun. Uygulamayı Uygulama Kimliği'ne göre arayabilirsiniz.
  2. Kullanıcının uygulamaya onay verebileceğini doğrulayın. Kurumsal Uygulamalar sayfasında kullanıcı ayarlarını denetleyin veya kullanıcı onayını etkileyen ilgili ilkeleri gözden geçirin.

Neden 4: Uygulama veya hizmet sorumlusu nesnesinde simetrik imzalama anahtarı kullanılır

Microsoft Kimlik Platformu (v2 uç noktası) belirteçleri bir sertifika (asimetrik anahtar) tarafından imzalanmalıdır. Simetrik imzalama anahtarı kullanılırsa hatalar oluşabilir.

Neden 4 için çözüm

1. Adım: Uygulama nesnesinde simetrik anahtarın kullanılıp kullanılmadığını denetleyin

  1. Azure portalında Uygulama Kayıtları'na gidin.

  2. Yönet bölümünde Bildirim'i seçin.

  3. ve usage=Signiçeren type=Symmetric bölümde bir girdi olup keyCredentials olmadığını denetleyin.

    Uygulama Bildirim Anahtarı Kimlik Bilgileri kodunu gösteren ekran görüntüsü.

Alternatif olarak, anahtar kimlik bilgilerini almak için Get-MgApplication Microsoft Graph PowerShell cmdlet'ini kullanın.

2. Adım: Hizmet sorumlusu nesnesinde simetrik anahtarın kullanılıp kullanılmadığını denetleyin

  1. Uygulama Azure portalındaki Uygulama Kayıtları sayfasında bulunmazsa Kurumsal Uygulamalar sayfasına göz atın.
  2. Uygulamayı bulun ve hizmet sorumlusunun Nesne Kimliğini alın.
  3. Anahtar kimlik bilgilerini almak için Get-MgServicePrincipal kullanın.

3. Adım: Simetrik imzalama anahtarını kaldırma

Simetrik anahtar varsa:

  • Uygulama kaydının simetrik anahtarını kaldırmak için Remove-MgApplicationKey komutunu kullanın.
  • Hizmet sorumlusu nesnesinin simetrik anahtarını kaldırmak için Remove-MgServicePrincipalKey kullanın.

İmzalama anahtarı gerekiyorsa, bunun yerine imzalama sertifikası kullanın. Daha fazla bilgi için bkz . SAML tabanlı çoklu oturum açma: İmzalama sertifikası yapılandırma.

Neden 5: Kaynak uygulamasında (web API' sinde) temsilci izni sunulmadı

Bu hata aşağıdaki senaryoda oluşabilir:

  • A Kiracısında kayıtlı çok kiracılı bir kaynak uygulamanız var. Bu uygulama yalnızca Uygulama İzin türünü kullanıma sunar.
  • B Kiracısında, kayıtlı bir istemci uygulamanız vardır. Bu uygulamanın API izin sayfasında, A Kiracısı'na kayıtlı kaynak uygulamasının iznini yapılandıracaksınız.
  • Web API kapsamının değeri olarak kullanan /.default kaynak uygulaması için erişim belirteci istemek için OAuth 2 temsilcili bir verme akışı (örneğin kimlik doğrulama kodu verme akışı) kullanırsınız.

Neden 5 için çözüm

Kaynak uygulamasını temsilci iznini kullanıma çıkaracak şekilde yapılandırın ve ardından istemci uygulamasında bu temsilci iznine onay verin.