Solución de problemas de acceso corporativo a una aplicación
Este artículo le ayuda a solucionar problemas comunes para el error This corporate app can't be accessed en una aplicación proxy de aplicación de Microsoft Entra.
Información general
Cuando aparezca este error, busque el código de estado en la página de error. El código de estado es uno de los siguientes códigos de estado:
- Tiempo de espera de puerta de enlace: El servicio proxy de aplicación no puede acceder al conector. El error suele indicar un problema con la asignación del conector, el propio conector o las reglas de red alrededor del conector.
- Bad Gateway (Puerta de enlace incorrecta): el conector no puede alcanzar la aplicación back-end. El error podría indicar una configuración incorrecta de la aplicación.
- Prohibido: El usuario no tiene autorización para acceder a la aplicación. El error puede producirse cuando el usuario no está asignado a la aplicación en Microsoft Entra ID. El error también puede producirse si el usuario no tiene permiso para acceder a la aplicación en el back-end.
Para buscar el código, examine el texto situado en la parte inferior izquierda del mensaje de error del campo Status Code.
Errores Gateway Timeout (Tiempo de espera agotado para la puerta de enlace)
Se produce un tiempo de espera de puerta de enlace cuando el servicio intenta llegar al conector y se produce un error en la ventana de tiempo de espera. El error se ve cuando una aplicación se asigna a un grupo de conectores sin conectores en funcionamiento. El error también se ve cuando los puertos necesarios no están abiertos.
Errores Bad Gateway (Puerta de enlace incorrecta)
Estos errores indican que el conector no puede alcanzar la aplicación back-end. Errores comunes que provocan este error:
- Un error de escritura o un error en la dirección URL interna
- Que la raíz de la aplicación no se haya publicado. Por ejemplo, publicando
http://expenses/reimbursement, pero tratando de acceder ahttp://expenses. - Problemas con la configuración de la delegación restringida de Kerberos (KCD)
- Problemas con la aplicación de back-end
Errores Forbidden (Prohibido)
Si ve un error prohibido, el usuario no está asignado a la aplicación. Este error puede producirse en Microsoft Entra ID o en la aplicación backend.
Para información sobre cómo asignar usuarios a la aplicación en Azure, consulte la documentación de configuración.
Comprobación de la dirección URL interna de la aplicación
Como primer paso rápido, compruebe y corrija la dirección URL interna abriendo la aplicación a través de Enterprise Applicationsy, a continuación, seleccionando el menú de proxy de aplicación. Compruebe que la dirección URL interna de la aplicación es la que se usa desde la red local.
Comprobación de que la aplicación está asignada a un grupo de conectores de trabajo
Debe confirmar que una aplicación está asignada a un grupo de conectores de trabajo. Para más información, vea Tutorial: Agregar una aplicación local para el acceso remoto mediante Application Proxy en Microsoft Entra ID.
Comprobar que todos los puertos necesarios están abiertos
Compruebe que todos los puertos necesarios estén abiertos. Para conocer los puertos necesarios, vea la sección open ports (Puertos abiertos) de Tutorial: Adición de una aplicación local para el acceso remoto a través del proxy de aplicación en Microsoft Entra ID. Si todos los puertos necesarios están abiertos, vaya a la sección siguiente.
Comprobación de otros errores del conector
Busque problemas o errores con el propio conector. Para obtener más información sobre los errores comunes, vea solución de problemas de proxy de aplicación.
Examine directamente los registros del conector para identificar los errores. Muchos de los mensajes de error incluyen recomendaciones específicas para la corrección. Para ver los registros, consulte los conectores de red privada.
Soluciones comunes
Si la aplicación está configurada para usar la autenticación integrada de Windows (IWA), pruebe la aplicación sin el inicio de sesión único. Para comprobar la aplicación sin inicio de sesión único, abra la aplicación a través de Aplicaciones empresariales y vaya al menú Inicio de sesión único. Cambie la lista desplegable de autenticación integrada de Windows a inicio de sesión único de Microsoft Entra deshabilitado.
Ahora abra un explorador e intente volver a acceder a la aplicación. Se le debería solicitar autenticación para acceder a la aplicación. Si puede autenticarse, el problema es con la configuración de delegación restringida de Kerberos (KCD) que habilita el inicio de sesión único.
Si sigue viendo el error, vaya a la máquina donde está instalado el conector, abra un explorador e intente llegar a la dirección URL interna usada para la aplicación. El conector actúa como otro cliente de la misma máquina. Si no se puede acceder a la aplicación, investigue por qué la máquina no puede acceder a la aplicación o use un conector de un servidor que pueda acceder a ella.