Ошибка: URL-адрес ответа, указанный в запросе, не соответствует URL-адресам ответа, настроенным для приложения

Question

Я пытаюсь выяснить причину определенной ошибки, которую я получаю в середине потока OAuth (с login.microsoftonline.com в качестве IDP), чтобы получить доступ к странице.

Ошибка:

AADSTS50011 (URL-адрес ответа, указанный в запросе, не соответствует URL-адресам ответа, настроенным для приложения: '89bee1f7-5e6e-4d8a-9f3d-ecd601259da7'.

Глядя на поступающие запросы, я вижу соответствующий запрос:

https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=89bee1f7-5e6e-4d8a-9f3d-ecd601259da7&redirect_uri=https%3A%2F%2Flogin.microsoftonline.com%2Fcommon%2Foauth2%2Fauthorize&state=XXX&client-request-id=YYY&x-client-SKU=Js&x-client-Ver=1.0.15&nonce=ZZZ&iframe-request-id=XXX

Я видел несколько сообщений об AADSTS50011, некоторые из которых говорят, что это можетбыть проблемой Microsoft и другими, говорящими, что требуемый идентификатор клиента должен быть зарегистрирован. Но мой код нигде не использует этот таинственный идентификатор клиента, и я хотел бы знать, откуда он.

I 'Я не уверен, но, похоже, этот запрос может исходить из Javascript или иметь отношение к https://webshell.suite.office.com/iframe/TokenFactoryIframe.

Кстати, при обмене запросами я вижу, как выглядит также используемый правильный идентификатор клиента (00000002-0000-0ff1-ce00-000000000000), и проверка подлинности выполняется успешно.Я даже вижу, что рассматриваемая страница начинает загружаться, но через несколько секунд появляется ошибка.

ОБНОВЛЕНИЕ: С этим вопросом связано то, что фактически делает первый вышеуказанный URL.Это ссылка на / authorize, чей URI перенаправления находится в том же месте.Это кажется странным, это следует ожидать в нормальном потоке OAuth?Если так, то почему?

Answer 1

Похоже, что ваше приложение использует библиотеку ADAL.js.Библиотека ADAL.js предназначена для использования в клиентских веб-приложениях JS, которые работают в веб-браузере, например в приложениях на одну страницу.Запрос к https://login.microsoftonline.com выполняется ADAL.js с использованием протокола неявного потока OAuth 2.0 .

Чтобы ответить на вопрос об ошибке, вам необходимо установитьURI перенаправления в регистрации приложения Azure AD, чтобы соответствовать URI перенаправления в конфигурации ADAL.js.По умолчанию ADAL.js использует стартовую страницу приложения в качестве URI перенаправления.Вам также необходимо установить идентификатор клиента вашего приложения в конфигурации ADAL.js.См. wiki для получения подробной информации о настройке ADAL.js.Кроме того, вы можете выполнить шаги регистрации и этот образец , используя Adal.js .

Answer 2

Сообщение об ошибке довольно ясно.Ваше приложение должно быть зарегистрировано под вашим клиентом AAD, и все, что вы вводите для URL-адреса ответа / URI перенаправления в своем коде, должно совпадать с тем, которое вы установили в клиенте.

Вот руководство по регистрации собственных приложений,как процесс немного отличается.https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/application-proxy-configure-native-client-application

Для приложения, опубликованного под клиентом Azure AD, идентификатор клиента совпадает с идентификатором приложения.Для нативного приложения идентификатор приложения и идентификатор клиента являются синонимами.