Errore "Can't Access this Corporate Application" (Impossibile accedere all'applicazione aziendale) quando si usa un'applicazione Proxy di applicazione"Can't Access this Corporate Application" error when using an Application Proxy application

Questo articolo consente di risolvere alcuni problemi comuni riscontrati quando si visualizza un errore "Impossibile accedere a questa app aziendale" in un'applicazione Proxy di applicazione di Azure AD.This article help you to troubleshoot common issues faced when you see a "This corporate app can't be accessed" error on an Azure AD Application Proxy application.

PanoramicaOverview

Quando si visualizza questo errore, la pagina riporta anche un codice di stato.When you see this error, the page also share a status code. Questo codice è probabilmente uno dei seguenti:That code is likely one of the following:

  • Gateway Timeout (timeout del gateway): il servizio Proxy di applicazione non è in grado di raggiungere il connettore.Gateway Timeout: The Application Proxy service is unable to reach the connector. Questo in genere indica un problema con l'assegnazione del connettore, con il connettore stesso o con le regole di rete relative al connettore.This typically indicates a problem with the connector assignment, connector itself, or the networking rules around the connector.

  • Bad Gateway (gateway non valido): il connettore non è in grado di raggiungere l'applicazione back-end.Bad Gateway: The connector is unable to reach the backend application. Ciò potrebbe indicare un errore di configurazione dell'applicazione.This could indicate a misconfiguration of the application.

  • Forbidden (accesso non consentito): l'utente non è autorizzato ad accedere all'applicazione.Forbidden: The user is not authorized to access the application. Questa situazione può verificarsi quando l'utente non è assegnato all'applicazione in Azure Active Directory o se l'utente non dispone dell'autorizzazione per accedere all'applicazione sul back-end.This can happen either when the user is not assigned to the application in Azure Active Directory, or if on the backend the user does not have permission to access the application.

Per trovare il codice, cercare il campo "Status Code" (Codice di stato) nel testo sulla parte inferiore sinistra del messaggio di errore.To find the code, look at the text at the bottom left of the error message for the “Status Code” field. Cercare inoltre eventuali contenenti suggerimenti aggiuntivi al fondo della pagina.Also look for any notes at the very bottom of the page with additional tips.

Errore di timeout del gateway

Per dettagli su come risolvere la causa principale di questi errori e per ulteriori dettagli sulle risoluzioni consigliate, vedere la sezione corrispondente di seguito.For details on how to troubleshoot the root cause of these errors and more details on suggested fixes, see the corresponding section below.

Errori di timeout del gatewayGateway Timeout errors

Un timeout del gateway si verifica quando i servizio tenta di raggiungere il connettore e non ci riesce entro il periodo di timeout.A gateway timeout occurs when the service tries to reach the connector and is unable to within the timeout window. Ciò è in genere causato da un'applicazione assegnata a un gruppo di connettori senza connettori funzionanti o a porte richieste dal connettore non aperte.This is typically caused by an application assigned to a Connector Group with no working connectors, or some ports required by the Connector are not open.

Errori di gateway non validoBad Gateway errors

Un errore di gateway non valido indica che il connettore non è in grado di raggiungere l'applicazione back-end.A bad gateway error indicates that the connector is unable to reach the backend application. Assicurarsi di aver pubblicato l'applicazione corretta.make sure that you have published the correct application. Inesattezze comuni che causano questo errore:Common mistakes that cause this error:

  • Un errore di digitazione o un'imprecisione nell'URL internoA typo or mistake in the internal URL

  • Pubblicazione di un indirizzo diverso dalla radice dell'applicazione.Not publishing the root of the application. Ad esempio, la pubblicazione di http://expenses/reimbursement quando si tenta di accedere a http://expensesFor example, publishing http://expenses/reimbursement but trying to access http://expenses

  • Problemi di configurazione della delega vincolata Kerberos (KCD)Problems with the Kerberos Constrained Delegation (KCD) configuration

  • Problemi dell'applicazione back-endProblems with the backend application

Errori di accesso non consentitoForbidden errors

Se viene visualizzato un errore di accesso non consentito, l'utente non è stato assegnato all'applicazione.If you see a forbidden error, the user has not been assigned to the application. Questo può riferirsi a Azure Active Directory o all'applicazione back-end.This could be either in Azure Active Directory or on the backend application.

Per informazioni su come assegnare utenti all'applicazione in Azure, vedere la documentazione di configurazione.To learn how to assign users to the application in Azure, see the configuration documentation.

Se l'utente risulta assegnato all'applicazione in Azure, controllare la configurazione dell'utente nell'applicazione back-end.If you confirm the user is assigned to the application in Azure, check the user configuration in the backend application. Se si utilizza la delega vincolata Kerberos o l'autenticazione integrata di Windows, consultare la pagina di risoluzione dei problemi KCD per alcune linee guida.If you are using Kerberos Constrained Delegation/Integrated Windows Authentication, you can see our KCD Troubleshoot page for some guidelines.

Controllare l'URL interno dell'applicazioneCheck the application's internal URL

Innanzitutto, controllare attentamente e correggere l'URL interno aprendo l'applicazione tramite Applicazioni aziendali e selezionando il menu Proxy dell'applicazione.As a first quick step, double check check and fix the internal URL by opening the application through Enterprise Applications, then selecting the Application Proxy menu. Verificare che si tratti dell'URL interno corretto, ossia quello utilizzato dalla rete locale per accedere all'applicazione.Verify this is the correct internal URL, the one used from your on-prem network to access the application.

Controllare che l'applicazione sia assegnata a un gruppo di connettori funzionanteCheck the application is assigned to a working Connector Group

Per verificare che l'applicazione sia assegnata a un gruppo di connettori funzionante:To verify the application is assigned to a working Connector Group:

  1. Aprire l'applicazione nel portale selezionando Azure Active Directory, facendo cli csu Applicazioni aziendali e quindi su Tutte le applicazioni.Open the application in the portal by going to Azure Active Directory, clicking on Enterprise Applications, then All Applications. Aprire l'applicazione, quindi selezionare Proxy dell'applicazione dal menu a sinistra.Open the application, then select Application Proxy from the left menu.

  2. Osservare il campo Gruppo di connettori.Look at the Connector Group field. Se nel gruppo non sono presenti connettori, viene visualizzato un avviso.If there are no active connectors in the group, you see a warning. Se non viene visualizzato alcun avviso, procedere con la sezione "Controllare che tutte le porte richieste siano inserite nell'elenco degli elementi consentiti".If you don’t see any warnings, move on to “verify all required ports are whitelisted”.

  3. Se questo non è il gruppo di connettori corretto, selezionare il gruppo corretto e verificare che non vengano più visualizzati avvisi.If this is the wrong Connector Group, use the drop down to select the correct group, and confirm you no longer see any warnings. Se questo è il gruppo di connettori desiderato, fare clic sul messaggio di avviso per aprire la pagina con la gestione connettori.If this is the intended Connector Group, click the warning message to open the page with Connector management.

  4. A questo punto, vi sono alcuni metodi per ulteriori approfondimenti:From here, there are a few ways to drill in further:

    • Spostare un connettore attivo nel gruppo: se si dispone di un connettore attivo che deve appartenere a questo gruppo e ha una linea di visuale sull'applicazione back-end, è possibile spostare il connettore nel gruppo assegnato.Move an active Connector into the group: If you have an active Connector that should belong to this group and has line of sight to the target backend application, you can move the Connector into the assigned group. A tale scopo, fare clic sul connettore.To do so, click the Connector. Nel campo "Gruppo di connettori", usare l'elenco a discesa per selezionare il gruppo di connettori e fare clic su Salva.In the “Connector Group” field, use the drop-down to select the correct group, and click save.

    • Scaricare un nuovo connettore per il gruppo: da questa pagina, è possibile accedere al collegamento per scaricare un nuovo connettore.Download a new Connector for that group: From this page, you can get the link to download a new Connector. Il connettore deve essere installato su un computer che abbia una linea di visuale diretta all'applicazione back-end e si trova in genere sullo stesso server dell'applicazione.The Connector needs to be installed on a machine with direct line of sight to the backend application, and is typically placed on the same server as the application. Usare il collegamento di download del connettore per scaricare un connettore nel computer di destinazione.Use the download Connector link to download a connector onto the target machine. Quindi, fare clic sul connettore e usare l'elenco a discesa "Gruppo di connettori" per assicurarsi che appartenga al gruppo corretto.Next, click the Connector, and use the “Connector Group” drop-down to make sure it belongs to the right group.

    • Verificare se è presente un connettore non attivo: se un connettore risulta inattivo, non è in grado di raggiungere il servizio.Investigate an inactive Connector: If a connector shows as inactive, it is unable to reach the service. Ciò è in genere dovuto al fatto che alcune porte richieste sono bloccate.This is typically due to some required ports being blocked. Per risolvere questo problema, procedere con la sezione "Controllare che tutte le porte richieste siano inserite nell'elenco degli elementi consentiti".To solve this issue, move on to “verify all required ports are whitelisted”.

Dopo aver eseguito tutte queste operazioni per assicurarsi che l'applicazione sia assegnata a un gruppo con connettori funzionanti, provare di nuovo l'applicazione.After using these steps to ensure the application is assigned to a group with working Connectors, test the application again. Se ancora non funziona, passare alla sezione successiva.If it is still not working, continue to the next section.

Controllare che tutte le porte richieste siano inserite nell'elenco degli elementi consentitiCheck all required ports are whitelisted

Per verificare che tutte le porte richieste siano aperte, vedere la documentazione sull'apertura delle porte.To verify that all required ports are open, see our documentation on opening ports. Se tutte le porte richieste sono aperte, passare alla sezione successiva.If all the required ports are open, move to the next section.

Verificare la presenza di altri errori del connettoreCheck for other Connector Errors

Se nessuna delle operazioni precedenti ha risolto il problema, il passaggio successivo è cercare errori relativi al connettore stesso.If none of the above resolve the issue, the next step is to look for issues or errors with the Connector itself. Alcuni errori comuni sono riportati nel documento di risoluzione dei problemi.You can see some common errors in the Troubleshoot document.

È anche possibile consultare direttamente i registri del connettore per verificare se sono riportati errori.You can also look directly at the Connector logs to identify any errors. Molti dei messaggi di errore riportano consigli più specifici per la risoluzione dei problemi.Many of our error messages be able to share more specific recommendations for fixes. Per informazioni su come visualizzare i registri, vedere la documentazione sui connettori.To learn how to view the logs, see our connectors documentation.

Risorse aggiuntiveAdditional Resolutions

Se quanto sopra riportato non ha consentito di risolvere il problema, vi sono alcune altre cause possibili.If the above didn’t fix the problem, there are a few different possible causes. Per identificare il problema:To identify the issue:

Se l'applicazione è configurata per usare l'autenticazione integrata di Windows (IWA), provare l'applicazione senza Single Sign-On.If your application is configured to use Integrated Windows Authentication (IWA), test the application without single sign-on. In caso contrario, passare al paragrafo successivo.If not, move to the next paragraph. Per provare l'applicazione senza Single Sign-On, aprirla tramite Applicazioni aziendali e selezionare il menu Single Sign-On.To check the application without single sign-on, open your application through Enterprise Applications, and go to the Single Sign-On menu. Nell'elenco a discesa passare da "Autenticazione integrata di Windows" a "Single Sign-On di Azure AD disabilitato".Change the drop down from “Integrated Windows Authentication” to “Azure AD single sign-on disabled”.

Ora aprire un browser e provare nuovamente ad accedere all'applicazione.Now open a browser and try to access the application again. Dovrebbe venire richiesta l'autenticazione per accedere all'applicazione.You should be prompted for authentication and get into the application. Se questo funziona, il problema è relativo alla configurazione della delega vincolata Kerberos (KCD) che abilita Single Sign-On.If this works, the problem is with the Kerberos Constrained Delegation (KCD) configuration that enables the single sign-on. Vedere la pagina di risoluzione dei problemi di KCD.see the KCD Troubleshoot page.

Se si continua a visualizzare l'errore, accedere al computer su cui è installato il connettore, aprire un browser e tentare di raggiungere l'URL interno usato per l'applicazione.If you continue to see the error, go to the machine where the Connector is installed, open a browser and attempt to reach the internal URL used for the application. Il connettore funziona come un altro client dallo stesso computer.The Connector acts like another client from the same machine. Se non è possibile raggiungere l'applicazione, ricercarne il motivo o usare un connettore su un server in grado di accedere all'applicazione.If you can’t reach the application, investigate why that machine is unable to reach the application, or use a connector on a server that is able to access the application.

Se è possibile raggiungere l'applicazione da tale computer, cercare problemi o errori relativi al connettore stesso.If you can reach the application from that machine, to look for issues or errors with the Connector itself. Alcuni errori comuni sono riportati nel documento di risoluzione dei problemi.You can see some common errors in the Troubleshoot document. È anche possibile consultare direttamente i registri del connettore per verificare se sono riportati errori.You can also look directly at the Connector logs to identify any errors. Molti dei messaggi di errore riportano consigli più specifici per la risoluzione dei problemi.Many of our error messages be able to share more specific recommendations for fixes. Per informazioni su come visualizzare i registri, vedere la documentazione sui connettori.To learn how to view the logs, see our connectors documentation.

Passaggi successiviNext steps

Comprendere i connettori del proxy applicazione Azure ADUnderstand Azure AD Application Proxy connectors