对应用程序执行许可时发生的意外错误

本文介绍对应用程序进行许可期间可能发生的错误。 如果要对不包含任何错误消息的意外许可提示进行故障排除,请参阅 Azure AD 的身份验证方案

与 Azure Active Directory 集成的许多应用程序需要获取访问其他资源的权限才能正常工作。 当这些资源也与 Azure Active Directory 集成时,通常使用通用许可框架来请求访问它们的权限。 这会显示许可提示,此情形通常发生在首次使用应用程序时,但也可能发生在后续使用应用程序时。

对于用户而言,必须满足一些条件才能对应用程序所需的权限进行许可。 如果不满足这些条件,可能会发生以下错误。

请求未授予的权限错误

  • AADSTS90093:<clientAppDisplayName> 正在请求一个或多个无权授予的权限。 请与管理员联系,他/她可代表你对此应用程序进行许可。

当非公司管理员用户尝试使用的应用程序请求只有管理员才能授予的权限时,会发生此错误。 此错误可通过管理员代表其组织授予访问此应用程序的权限进行解决。

策略阻止权限授予错误

  • AADSTS90093:<tenantDisplayName> 管理员设置的策略阻止授予 <应用名称> 请求的权限。 请与 <tenantDisplayName> 管理员联系,他/她可代表你授予对此应用的权限。

当公司管理员关闭用户对应用程序进行许可的能力,非管理员用户尝试使用的应用程序需要许可时,会发生此错误。 此错误可通过管理员代表其组织授予访问此应用程序的权限进行解决。

不稳定问题错误

  • AADSTS90090: 登录过程似乎遇到了间歇性问题,它记录了尝试授予 <clientAppDisplayName> 的权限。 请稍后重试。

此错误表明服务端已发生不稳定问题。 可通过重新尝试对应用程序进行许可来解决此问题。

资源不可用错误

  • AADSTS65005:<clientAppDisplayName> 应用已请求访问不可用的 <resourceAppDisplayName> 资源的权限。

请与应用程序开发人员联系。

租户中资源不可用错误

  • AADSTS65005:<clientAppDisplayName> 正在请求访问组织 <tenantDisplayName> 中不可用的 <resourceAppDisplayName> 资源。

确保此资源可用,或与 <tenantDisplayName> 管理员联系。

权限不匹配错误

  • AADSTS65005: 应用已请求对访问 <resourceAppDisplayName> 资源进行许可。 由于此请求与应用注册期间预配置应用的方式不匹配,该请求失败。 与应用供应商联系。**

在以下情况下会发生所有这些错误:用户尝试许可的应用程序请求对资源应用程序的访问权限,该资源应用程序在组织目录(租户)中找不到。 出现这种情况的原因可能有很多个:

  • 客户端应用程序开发人员错误地配置了应用程序,从而导致应用程序请求访问无效的资源。 在这种情况下,为了解决此问题,应用程序开发人员必须更新客户端应用程序的配置。

  • 代表目标资源应用程序的服务主体在组织中不存在,或过去存在但已删除。 若要解决此问题,必须在组织中预配资源应用程序的服务主体,以便客户端应用程序可以请求其权限。 可通过多种方式配置服务主体,具体取决于应用程序的类型,包括:

    • 获取资源应用程序(Microsoft 已发布的应用程序)的订阅

    • 对资源应用程序进行许可

    • 通过 Azure 门户授予应用程序权限

    • 从 Azure AD 应用程序库添加应用程序

后续步骤

Azure Active Directory(v1 终结点)中的应用、权限和许可