Signo de errores de aplicación cuando se cambia la dirección URL de respuesta en Azure AD

Síntomas

Suponga que crear una aplicación web de multiempresa que utiliza AD Azure para autenticar usuarios. Si cambia la dirección URL de respuesta de la aplicación, esto puede provocar errores de inicio de sesión para los usuarios que ya hayan dado su consentimiento a la aplicación. No afecta a los usuarios que consiente después de este cambio de dirección URL.

Causa

Cuando el desarrollador de la aplicación cambia la dirección URL de respuesta a través del Portal de administración de Azure, la aplicación web se implementa con un nuevo extremo para que coincida con la nueva dirección URL de respuesta. Servicios de la aplicación web ya no cualquier las solicitudes que llegan al extremo de dirección URL de respuesta anterior.

Este problema se produce en la situación siguiente:
  • La aplicación web utiliza cualquiera de los protocolos de autenticación de AD: admite Azure (conectar OpenID, WS-Federation o SAML 2.0).
  • El objeto de la aplicación asociada se configura en Azure AD con una URL única respuesta.
  • Cuando el proveedor de servicios (aplicación web): se realiza la solicitud iniciada la autenticación de inicio de sesión, la aplicación web no especifica el parámetro de cadena de consulta "dirección URL de respuesta" opcional en la solicitud.
Nota: Este parámetro de cadena de consulta es diferente para cada protocolo compatible, como sigue:

ProtocoloParámetro opcional
Conectar OpenIDredirect_uri
WS-Federationwreply
SAML 2.0AssertionConsumerServiceURL
En su lugar, la aplicación se basa en Azure AD mediante la dirección URL de respuesta configurado desde el objeto de la aplicación (como en el segundo elemento de la lista con viñetas anterior) cuando la solicitud de autenticación no especifica una dirección URL de respuesta.

A continuación, el desarrollador de la aplicación hace un cambio en la configuración de la aplicación web (a través del Portal de administración de Azure) cambiando la dirección URL de respuesta. El desarrollador de la aplicación también implementa la aplicación web a un nuevo extremo (para que coincida con la nueva dirección URL de respuesta) y servicios ya no cualquier las solicitudes que llegan al extremo de dirección URL de respuesta anterior. En esta situación, todos los clientes existentes que ya hayan dado su consentimiento a la aplicación web ahora podrán iniciar sesión en la aplicación web.

Solución

Para corregir este problema, utilice uno de los métodos siguientes:

  • Especificar explícitamente la dirección URL de respuesta en el código de la aplicación. Ésta es la solución recomendada. El desarrollador de la aplicación debe actualizar el código de la solicitud de autenticación especificar explícitamente la dirección URL de respuesta (según el protocolo utilizado, como se describe en la sección "Causa").
  • Usar PowerShell para sobrescribir la dirección de respuesta. El Administrador de la empresa debe ejecutar los siguientes cmdlets de AD PowerShell de Azure para sobrescribir la dirección de respuesta antigua con la nueva dirección de respuesta:
    1. MsolService conectar
    2. $r = New MsolServicePrincipalAddresses-dirección < app's_new_reply_address > – AddressType "reply"
    3. Conjunto de MsolServicePrincipal: AppPrincipalId < app's_clientId >-direcciones $r
Propiedades

Id. de artículo: 3089309 - Última revisión: 22 ene. 2017 - Revisión: 1

Comentarios