Petición de consentimiento inesperada al iniciar sesión en una aplicación
Muchas aplicaciones que se integran con Microsoft Entra ID requieren permisos para varios recursos a fin de ejecutarse. Cuando estos recursos también se integran con Microsoft Entra ID, el permiso para acceder a ellos se solicita mediante el marco de consentimiento común de Microsoft Entra. Estas solicitudes dan como resultado que la primera vez que se usa una aplicación aparece una solicitud de consentimiento, que suele ser una operación única.
En determinados escenarios, pueden aparecer solicitudes de consentimiento adicionales cuando un usuario intenta iniciar sesión. En este artículo, diagnosticaremos el motivo por el que pueden aparecer solicitudes de consentimiento inesperadas y cómo solucionar el problema.
Escenarios en los que los usuarios ven solicitudes de consentimiento
Se pueden esperar más solicitudes en distintos escenarios:
La aplicación se ha configurado para requerir la asignación. Actualmente no se admite el consentimiento de usuario individual para las aplicaciones que requieren asignación; por consiguiente, un administrador debe conceder los permisos para todo el directorio. Si configura una aplicación para requerir la asignación, asegúrese de conceder también el consentimiento del administrador a todos los inquilinos para que los usuarios asignados puedan iniciar sesión.
El conjunto de permisos requeridos por la aplicación ha cambiado por el desarrollador y se debe conceder de nuevo.
El usuario que originalmente otorgó su consentimiento a la aplicación no era administrador, y ahora otro usuario (no administrador) está usando la aplicación por primera vez.
El usuario que originalmente otorgó su consentimiento a la aplicación era administrador, pero no otorgó el consentimiento en nombre de toda la organización.
La aplicación usa consentimiento incremental y dinámico para solicitar permisos adicionales después de haberse otorgado inicialmente el consentimiento. El consentimiento incremental y dinámico se suele usar cuando las características opcionales de una aplicación requieren permisos más allá de los que se requieren para la funcionalidad de línea base.
Se ha revocado el consentimiento después de que inicialmente se otorgó.
El desarrollador ha configurado la aplicación para que haya que realizar una solicitud de consentimiento cada vez que se utilice (nota: este comportamiento no es recomendable).
Nota
Siguiendo las recomendaciones y los procedimientos recomendados de Microsoft, muchas organizaciones han deshabilitado o limitado el permiso de los usuarios para conceder consentimiento a las aplicaciones. Si una aplicación obliga a los usuarios a dar su consentimiento cada vez que inicien sesión, la mayoría de los usuarios no podrán usar estas aplicaciones incluso si un administrador concede consentimiento de administrador a todos los inquilinos. Si encuentra una aplicación que requiere el consentimiento del usuario incluso después de que se haya concedido el consentimiento del administrador, consulte al publicador de la aplicación para ver si existe una configuración o una opción para dejar de forzar el consentimiento del usuario en cada inicio de sesión.
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Pasos para solucionar problemas
Comparación de permisos solicitados y concedidos para las aplicaciones
Para asegurarse de que los permisos concedidos para la aplicación están actualizados, puede comparar los solicitados por la aplicación con los concedidos en el inquilino.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
- Escriba el nombre de la aplicación existente en el cuadro de búsqueda y seleccione la aplicación existente en los resultados de la búsqueda.
- En Seguridad, en el panel de navegación izquierdo, elija Permisos.
- Visualización de la lista de permisos concedidos desde la tabla en la página Permisos
- Para ver los permisos solicitados, seleccione el botón Conceder consentimiento del administrador. Se abre un mensaje de consentimiento que enumera todos los permisos solicitados. No seleccione Aceptar en el mensaje de consentimiento, a menos que esté seguro de que desea conceder el consentimiento del administrador para todo el inquilino.
- En el símbolo del consentimiento, expanda los permisos enumerados y compárelos con la tabla de la página de permisos. Si hay alguno presente en la solicitud de consentimiento, pero no en la página de permisos, ese permiso aún no se ha consentido. Los permisos sin consentimiento pueden ser la causa de que aparezcan solicitudes de consentimiento inesperadas para la aplicación.
Visualización de la configuración de asignación de usuarios
Si la aplicación requiere asignación, los usuarios individuales no pueden dar su consentimiento por sí mismos. Para comprobar si la asignación es necesaria para la aplicación, haga lo siguiente:
- En la página de la aplicación, en Administrar seleccione Propiedades.
- Compruebe si ¿Asignación necesaria? está establecida en Sí.
- Si se establece en Sí, un administrador debe dar su consentimiento a los permisos en nombre de toda la organización.
Revisión de la configuración de consentimiento del usuario para todo el inquilino
Determinar si un usuario individual puede dar su consentimiento a una aplicación se puede configurar según cada organización y puede diferir de un directorio a otro. Aunque todos los permisos no requieran el consentimiento del administrador de manera predeterminada, es posible que la organización deshabilitara por completo el consentimiento del usuario, lo que impediría que un usuario individual pudiera otorgárselo a sí mismo en relación a una aplicación. Para ver la configuración de consentimiento del usuario de la organización, haga lo siguiente:
- Vaya a la página Aplicaciones empresariales del centro de administración de Microsoft Entra.
- En Seguridad, elija Consentimiento y permisos.
- Consulte la configuración del consentimiento del usuario. Si se establece en No permitir el consentimiento del usuario, los usuarios nunca podrán darse consentimiento a sí mismos en relación a una aplicación.