Risolvere i problemi di accesso aziendale a un'applicazione
Questo articolo consente di risolvere i problemi comuni relativi all'errore This corporate app can't be accessed
in un'applicazione proxy applicazione Microsoft Entra.
Quando viene visualizzato questo errore, individuare il codice di stato nella pagina dell'errore. Il codice di stato è uno dei codici di stato seguenti:
- Timeout del gateway: il servizio proxy dell'applicazione non è in grado di raggiungere il connettore. L'errore indica in genere un problema con l'assegnazione del connettore, il connettore stesso o le regole di rete relative al connettore.
- Bad Gateway (gateway non valido): il connettore non è in grado di raggiungere l'applicazione back-end. L'errore potrebbe indicare una configurazione errata dell'applicazione.
- Accesso negato: l'utente non è autorizzato ad accedere all'applicazione. L'errore può verificarsi quando l'utente non è assegnato all'applicazione in Microsoft Entra ID. L'errore può verificarsi anche se l'utente non dispone dell'autorizzazione per accedere all'applicazione nel back-end.
Per trovare il codice, esaminare il testo in basso a sinistra del messaggio di errore per il Status Code
campo.
Un timeout del gateway si verifica quando il servizio tenta di raggiungere il connettore e non riesce all'interno dell'intervallo di timeout. L'errore viene visualizzato quando un'applicazione viene assegnata a un gruppo di connettori senza connettori funzionanti. L'errore viene visualizzato anche quando le porte richieste non sono aperte.
Un errore di gateway non valido indica che il connettore non è in grado di raggiungere l'applicazione back-end. Inesattezze comuni che causano questo errore sono:
- Un errore di digitazione o un'imprecisione nell'URL interno
- Pubblicazione di un indirizzo diverso dalla radice dell'applicazione. Ad esempio, pubblicare
http://expenses/reimbursement
ma tentare di accedere ahttp://expenses
- Problemi di configurazione della delega vincolata Kerberos (KCD)
- Problemi dell'applicazione back-end
Se viene visualizzato un errore non consentito, l'utente non viene assegnato all'applicazione. Questo errore può essere nell'ID Microsoft Entra o nell'applicazione back-end.
Per informazioni su come assegnare utenti all'applicazione in Azure, vedere la documentazione di configurazione.
Come primo passaggio rapido, verificare e correggere l'URL interno aprendo l'applicazione tramite applicazioni aziendali, quindi selezionando il menu proxy dell'applicazione. Verificare che l'URL interno dell'applicazione sia quello usato dalla rete locale.
È necessario verificare che un'applicazione sia assegnata a un gruppo di connettori funzionante. Per altre informazioni, vedere Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite il proxy dell'applicazione in Microsoft Entra ID.
Verificare che tutte le porte necessarie siano aperte. Per le porte necessarie, vedere la sezione relativa alle porte aperte di Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite il proxy di applicazione in Microsoft Entra ID. Se tutte le porte richieste sono aperte, passare alla sezione successiva.
Cercare problemi o errori con il connettore stesso. Per altre informazioni sugli errori comuni, vedere Risoluzione dei problemi del proxy dell'applicazione.
Esaminare direttamente i log del connettore per identificare eventuali errori. Molti dei messaggi di errore condividono consigli specifici per la risoluzione dei problemi. Per visualizzare i log, vedere i connettori di rete privata.
Se l'applicazione è configurata per l'uso di autenticazione di Windows integrato (IWA), testare l'applicazione senza Single Sign-On. Per provare l'applicazione senza Single Sign-On, aprirla tramite Applicazioni aziendali e selezionare il menu Single Sign-On. Modificare l'elenco a discesa da Integrated autenticazione di Windows a Microsoft Entra Single Sign-On disabilitato.
Ora aprire un browser e provare nuovamente ad accedere all'applicazione. Dovrebbe venire richiesta l'autenticazione per accedere all'applicazione. Se è possibile eseguire l'autenticazione, il problema riguarda la configurazione della delega vincolata Kerberos (KCD) che abilita l'accesso Single Sign-On.
Se si continua a visualizzare l'errore, passare al computer in cui è installato il connettore, aprire un browser e tentare di raggiungere l'URL interno usato per l'applicazione. Il connettore funge da un altro client dallo stesso computer. Se non è possibile raggiungere l'applicazione, esaminare il motivo per cui il computer non riesce a raggiungere l'applicazione o usare un connettore in un server in grado di accedere all'applicazione.