azure - 如何排查使用 Azure AD 设置 VPN 客户端连接时出现的 AADSTS650057 错误？

Question

尽管正确配置了权限，但仍需要有关 VPN 客户端错误的帮助 (AADSTS650057)

我一直在尝试使用 Azure Active Directory (Azure AD) 进行身份验证来设置与我的 Azure 虚拟网络 (VNet) 的 VPN 客户端连接。但是，我不断遇到错误 (AADSTS650057)，指出客户端请求访问的资源未在客户端应用程序注册中请求的权限中列出。以下是我所做工作的详细说明:

Configured API permissions: I have selected the appropriate API permissions, including "user_impersonation" for Azure Service Management, and granted admin consent. I have followed the documentation and made sure the permissions are properly set up.

Azure AD app registration: I have registered a client application in Azure AD and configured it with the necessary permissions and redirect URIs. I have ensured that the app registration matches the permissions requested in the VPN client configuration.

Checked Azure AD configuration: I have verified that the Azure AD configuration, including the tenant ID and AAD Issuer, is accurately configured in the VPN client and matches the settings in my Azure AD tenant.

尽管执行了这些步骤，我仍然遇到 AADSTS650057 错误，这表明请求的资源未在授予客户端应用注册的权限中列出。

其他人是否也遇到过使用 Azure AD 身份验证的 VPN 客户端连接的类似问题？我可以采取哪些额外的故障排除步骤来解决此错误并建立成功的 VPN 连接？

任何见解、建议或指导将不胜感激。预先感谢您的帮助!

Answer 1

我在我的环境中尝试了相同的操作，为 Azure 服务管理选择了 API 权限 user_impersonation，并授予了管理员同意，如下所示:

要使用 Azure Active Directory (Azure AD) 进行身份验证，设置与我的 Azure 虚拟网络 (VNet) 的 VPN 客户端连接，创建的虚拟网络网关如下所示:

租户:https://login.microsoftonline.com/{AzureAD TenantID}

观众:41b23e61-6c1e-4545-b367-cd054e0ed4b4

颁发者:https://sts.windows.net/{AzureADTenantID}/

然后，保存并下载 VPN 客户端文件。

致Authorize应用程序，在浏览器中使用此 URL 使用全局访问帐户登录，并授予您的组织管理员同意。它允许 Azure VPN 应用程序登录并读取用户配置文件。

https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

安装Azure VPN client解压下载的 zip 文件，导入 azurevpnconfig.xml 文件，VPN 客户端连接成功，如下所示:

如果仍然出现错误，请检查您是否提供了有效的受众和网址。