Início de sessão falhas de aplicações quando alterar o URL de resposta em Azure AD

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3089309
Sintomas
Suponha que cria uma aplicação web de Tenants múltipla que utiliza Azure AD para autenticar utilizadores. Se alterar o URL de resposta da aplicação, esta poderá accionar falhas de início de sessão para utilizadores que já tenham consentido a aplicação. Os utilizadores que o consentimento após esta alteração de URL não são afectados.
Causa
Quando o Programador de aplicações alterado o URL de resposta através do Portal de gestão Azure, a aplicação web é implementada com um novo ponto final para corresponder ao URL de resposta novo. A aplicação web já não serviços quaisquer pedidos que são fornecidos para o ponto final URL de resposta antigo.

Este problema ocorre no seguinte cenário:
  • A aplicação de web utiliza qualquer um dos protocolos de autenticação suportado – AD Azure (ligar a OpenID, WS-Federation ou SAML 2.0).
  • O objecto de aplicação associada está configurado em AD Azure com um URL de resposta único.
  • Quando o fornecedor de serviços (aplicação da web) – é efectuado o pedido de autenticação iniciada para início de sessão, a aplicação web não especificar o parâmetro de cadeia de consulta "URL de resposta" opcional no pedido.
Nota Este parâmetro de cadeia de consulta é diferente para cada protocolo suportado, do seguinte modo:

ProtocoloParâmetro opcional
Ligar OpenIDredirect_uri
WS-Federationwreply
SAML 2.0AssertionConsumerServiceURL
Em vez disso, a aplicação depende Azure AD utilizando o URL de resposta configurado no objeto application (como o segundo item na lista com marcas anterior) quando o pedido de autenticação não especifica um URL de resposta.

Em seguida, o programador da aplicação efectua uma alteração à configuração da aplicação web (através do Portal de gestão de Azure) alterando o URL de resposta. O Programador de aplicações já não serviços quaisquer pedidos que são fornecidos para o ponto final URL de resposta antigo e também implementa a aplicação de web num ponto final de novo (para corresponder ao novo URL de resposta). Nesta situação, todos os clientes existentes que já tenham consentido a aplicação web poderá não é possível iniciar sessão na aplicação web.
Resolução
Para corrigir este problema, utilize um dos seguintes métodos:

  • Especificar explicitamente o URL de resposta no código de aplicação. Esta é a solução recomendada. O programador da aplicação deverá actualizar o código para o pedido de autenticação especificar explicitamente o URL de resposta (dependendo do protocolo utilizado, tal como descrito na secção "Causa").
  • Utilize o PowerShell para substituir o endereço de resposta. O administrador de empresa deve executar os cmdlets PowerShell de AD Azure seguintes para substituir o antigo endereço de resposta com o novo endereço de resposta:
    1. MsolService ligar
    2. $r = New-MsolServicePrincipalAddresses-endereço <app’s_new_reply_address>– Tipo de endereço "resposta"</app’s_new_reply_address>
    3. Conjunto-MsolServicePrincipal – AppPrincipalId <app’s_clientId>-$r de endereços</app’s_clientId>

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3089309 - Última Revisão: 08/29/2015 02:20:00 - Revisão: 1.0

Microsoft Azure Active Directory

  • kbexpertiseadvanced kbtshoot kbsurveynew kbmt KB3089309 KbMtpt
Comentários