排查企业对应用程序的访问问题
本文可帮助排查 Microsoft Entra 应用程序代理应用程序中的“This corporate app can't be accessed”错误的常见问题。
概述
当你看到此错误时,请在错误页上找到状态代码。 状态代码可能是以下代码之一:
- 网关超时:应用程序代理服务无法访问连接器。 此错误通常表明连接器分配、连接器本身或者与连接器相关的网络规则存在问题。
- 错误的网关:连接器无法访问后端应用程序。 此错误可能表示应用程序配置错误。
- 禁止访问:用户无权访问此应用程序。 如果未将用户分配到 Microsoft Entra ID 中的应用程序,可能会发生此错误。 如果用户无权访问后端上的应用程序,也可能发生此错误。
若要查找代码,请查看错误消息左下方“Status Code”字段中的文本。
网关超时错误
当服务尝试访问连接器,但未能在超时时段内访问时,会发生网关超时。 将应用程序分配到没有正常工作的连接器的连接器组时,会出现此错误。 当所需的端口未打开时,也会看到此错误。
“错误的网关”错误
“错误的网关”错误指示连接器无法访问后端应用程序。 导致此错误的常见错误有:
- 内部 URL 中存在拼写错误或错误
- 未发布应用程序的根 URL。 例如,发布
http://expenses/reimbursement但尝试访问http://expenses - Kerberos 约束委派 (KCD) 配置问题
- 后端应用程序问题
禁止访问错误
如果出现禁止访问错误,则表明用户未分配到该应用程序。 此错误可能会出现在 Microsoft Entra ID 中或后端应用程序上。
要了解如何将用户分配到 Azure 中的应用程序,请参阅配置文档。
检查应用程序的内部 URL
第一个快捷步骤是,通过“企业应用程序”打开此应用程序,并选择“应用程序代理”菜单,进行仔细检查并修复内部 URL。 验证应用程序的内部 URL 是否是从本地网络使用的 URL。
检查应用程序是否分配到正常工作的连接器组
必须确认应用程序已分配到正常工作的连接器组。 有关详细信息,请参阅教程:添加本地应用程序以通过 Microsoft Entra ID 应用程序代理进行远程访问。
检查所有必需端口是否都已打开
验证所有必需端口是否都已打开。 有关必需端口,请参阅教程:添加本地应用程序以通过 Microsoft Entra ID 应用程序代理进行远程访问一文中的“打开端口”部分。 如果所有必需的端口都已打开,则继续下一部分。
检查其他连接器错误
查找连接器本身的问题或错误。 有关常见错误的详细信息,请参阅应用程序代理故障排除。
直接查看连接器日志以识别任何错误。 很多错误消息都提供了具体的修复建议。 若要查看日志,请参阅专用网络连接器。
常见解决方法
如果应用程序配置为使用集成 Windows 身份验证 (IWA),则在不使用单一登录的情况下测试应用程序。 要在不使用单一登录的情况下检查应用程序,可通过“企业应用程序”打开应用程序,并转到“单一登录”菜单。 将下拉列表从“集成 Windows 身份验证”更改为“已禁用 Microsoft Entra 单一登录”。
此时打开浏览器,并尝试重新访问该应用程序。 系统应该会提示进行身份验证,并进入应用程序。 如果你能够进行身份验证,则表示已启用单一登录的 Kerberos 约束委派 (KCD) 配置存在问题。
如果继续看到此错误,请转到装有连接器的计算机,打开浏览器并尝试访问用于应用程序的内部 URL。 连接器的作用类似于同一台计算机中的另一个客户端。 如果无法访问应用程序,则需要调查该计算机无法访问应用程序的原因,或使用服务器上能够访问应用程序的连接器。