Inicio de sesión errores de aplicación cuando se cambia la dirección URL de respuesta en Azure AD

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3089309
Síntomas
Suponga que crear una aplicación web de multiempresa que utiliza AD Azure para autenticar a los usuarios. Si cambia la dirección URL de respuesta de la aplicación, esto puede provocar errores de inicio de sesión para los usuarios que ya hayan dado su consentimiento a la aplicación. No afecta a los usuarios que consiente después de este cambio de dirección URL.
Causa
Cuando el programador cambia la dirección URL de respuesta a través del Portal de administración de Azure, se implementa la aplicación web con un nuevo extremo para que coincida con la nueva dirección URL de respuesta. Servicios de la aplicación web ya no las peticiones que ha llegado al extremo de dirección URL de respuesta anterior.

Este problema se produce en la situación siguiente:
  • La aplicación web utiliza cualquiera de los protocolos de autenticación de AD: admite Azure (conectar OpenID, WS-Federation o SAML 2.0).
  • El objeto de aplicación asociada está configurado en Azure AD con una URL única respuesta.
  • Cuando el proveedor de servicios (aplicación web): se realiza la solicitud iniciada la autenticación de inicio de sesión, la aplicación web no especifica el parámetro de cadena de consulta "dirección URL de respuesta" opcional en la solicitud.
Nota: Este parámetro de cadena de consulta es diferente para cada protocolo compatible, como sigue:

ProtocoloParámetro opcional
Conecte el OpenIDredirect_uri
WS-Federationwreply
SAML 2.0AssertionConsumerServiceURL
En su lugar, la aplicación se basa en Azure AD mediante la dirección URL de respuesta configurado desde el objeto de la aplicación (como en el segundo elemento de la lista con viñetas anterior) cuando la solicitud de autenticación no especifica una dirección URL de respuesta.

A continuación, el desarrollador de la aplicación hace un cambio en la configuración de la aplicación web (a través del Portal de administración de Azure) cambiando la dirección URL de respuesta. El desarrollador de la aplicación también implementa la aplicación web a un nuevo extremo (para que coincida con la nueva dirección URL de respuesta) y servicios ya no las peticiones que ha llegado al extremo de dirección URL de respuesta anterior. En este caso, todos los clientes existentes que ya hayan dado su consentimiento a la aplicación web ahora podrá iniciar sesión en la aplicación web.
Solución
Para corregir este problema, utilice uno de los métodos siguientes:

  • Especificar explícitamente la dirección URL de respuesta en el código de la aplicación. Ésta es la solución recomendada. El desarrollador de la aplicación debe actualizar el código de la solicitud de autenticación especificar explícitamente la dirección URL de respuesta (según el protocolo utilizado, como se describe en la sección "Causa").
  • Use PowerShell para sobrescribir la dirección de respuesta. El Administrador de la empresa debe ejecutar los siguientes cmdlets de AD PowerShell de Azure para sobrescribir la dirección de respuesta antigua con la nueva dirección de respuesta:
    1. MsolService conectar
    2. $r = New MsolServicePrincipalAddresses-dirección <app’s_new_reply_address>: AddressType "respuesta"</app’s_new_reply_address>
    3. Conjunto de MsolServicePrincipal – AppPrincipalId <app’s_clientId>-$r de direcciones</app’s_clientId>

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3089309 - Última revisión: 08/27/2015 19:41:00 - Revisión: 1.0

Microsoft Azure Active Directory

  • kbexpertiseadvanced kbtshoot kbsurveynew kbmt KB3089309 KbMtes
Comentarios