Solucionar problemas de acesso corporativo a um aplicativo
Este artigo ajuda você a solucionar problemas comuns para o This corporate app can't be accessed erro em um aplicativo proxy de aplicativo Microsoft Entra.
Descrição geral
Quando vir este erro, localize o código de estado na página de erro. O código de status é um dos seguintes códigos de status:
- Tempo limite do gateway: O serviço de proxy de aplicativo não consegue alcançar o conector. O erro normalmente indica um problema com a atribuição do conector, o próprio conector ou as regras de rede ao redor do conector.
- Gateway incorreto: O conector não consegue acessar o aplicativo de back-end. O erro pode indicar uma configuração incorreta do aplicativo.
- Proibido: O usuário não está autorizado a acessar o aplicativo. O erro pode acontecer quando o usuário não está atribuído ao aplicativo no Microsoft Entra ID. O erro também pode acontecer se o usuário não tiver permissão para acessar o aplicativo no back-end.
Para encontrar o código, observe o texto no canto inferior esquerdo da mensagem de erro do Status Code campo.
Erros de Tempo Limite de Gateway
Um tempo limite de gateway ocorre quando o serviço tenta alcançar o conector e falha dentro da janela de tempo limite. O erro é visto quando um aplicativo é atribuído a um grupo de conectores sem conectores de trabalho. O erro também é visto quando as portas necessárias não estão abertas.
Erros de Gateway Incorreto
Um erro de gateway incorreto indica que o conector não consegue alcançar o aplicativo de back-end. Erros comuns que causam esse erro são:
- Um erro de digitação ou erro na URL interna
- Não publicar a raiz do aplicativo. Por exemplo, publicando
http://expenses/reimbursement, mas tentando acessarhttp://expenses - Problemas com a configuração do KCD (Kerberos Constrained Delegation)
- Problemas com o aplicativo de back-end
Erros Proibidos
Se você vir um erro proibido, o usuário não será atribuído ao aplicativo. Este erro pode estar no Microsoft Entra ID ou no aplicativo back-end.
Para saber como atribuir usuários ao aplicativo no Azure, consulte a documentação de configuração.
Verifique o URL interno do aplicativo
Como primeiro passo rápido, verifique e corrija o URL interno abrindo o aplicativo através de Aplicativos Empresariais e, em seguida, selecionando o menu proxy do aplicativo. Verifique se a URL interna do aplicativo é a usada da sua rede local.
Verifique se o aplicativo está atribuído a um grupo de conectores de trabalho
Você deve confirmar se um aplicativo está atribuído a um grupo de conectores de trabalho. Para obter mais informações, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID.
Verifique se todas as portas necessárias estão abertas
Verifique se todas as portas necessárias estão abertas. Para as portas necessárias, consulte a seção portas abertas do Tutorial: Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID. Se todas as portas necessárias estiverem abertas, vá para a próxima seção.
Verifique se há outros erros de conector
Procure problemas ou erros com o próprio conector. Para obter mais informações sobre erros comuns, consulte Solução de problemas de proxy de aplicativo.
Observe diretamente os logs do conector para identificar quaisquer erros. Muitas das mensagens de erro compartilham recomendações específicas para correções. Para visualizar os logs, consulte os conectores de rede privada.
Soluções comuns
Se seu aplicativo estiver configurado para usar autenticação integrada do Windows (IWA), teste o aplicativo sem logon único. Para verificar o aplicativo sem logon único, abra seu aplicativo por meio de Aplicativos Empresariais e vá para o menu Logon Único . Altere a lista suspensa de Autenticação integrada do Windows para Logon único do Microsoft Entra desabilitado.
Agora abra um navegador e tente acessar o aplicativo novamente. Você deve ser solicitado para autenticação e entrar no aplicativo. Se você conseguir autenticar, o problema é com a configuração KCD (Kerberos Constrained Delegation) que habilita o logon único.
Se você continuar a ver o erro, vá para a máquina onde o conector está instalado, abra um navegador e tente alcançar a URL interna usada para o aplicativo. O conector age como outro cliente da mesma máquina. Se você não conseguir acessar o aplicativo, investigue por que essa máquina não consegue acessar o aplicativo ou use um conector em um servidor que possa acessar o aplicativo.