Home
  •  

Błąd autoryzacji działania jako inny podmiot

Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceActAsAuthorizationErrorRule (Rule)

Knowledge Base article:

Podsumowanie

Wystawienie tokenu nie powiodło się, ponieważ wywołujący nie ma autoryzacji do żądania tokenu jako inny podmiot względem jednostki uzależnionej.

Przyczyny

Określony wywołujący nie ma autoryzacji do działania jako podmiot dla tej jednostki uzależnionej

Aby uzyskać więcej informacji o przyczynie tego zdarzenia, zobacz zdarzenia 501 i 503 o tym samym identyfikatorze wystąpienia dla tożsamości wywołującego i tożsamości ActAs (jeśli jest określona).

Często to zdarzenie może wskazywać, że reguła autoryzacji oświadczeń w zasadach oświadczeń dla tej relacji zaufania jednostki uzależnionej działa inaczej niż zamierzono.

Rozwiązania

Użyj przystawki AD FS, aby upewnić się, że wywołujący ma autoryzację do działania jako podmiot dla jednostki uzależnionej. W szczególności możesz przejrzeć zasady delegowania dla tej relacji zaufania przez wykonanie następujących czynności w przystawce.

1. W drzewie konsoli przejdź do węzła Relying Party Trusts (Relacje zaufania jednostki uzależnionej) w obszarze AD FS\Trust Relationships (Relacje zaufania).

2. W okienku szczegółów wybierz relację zaufania jednostki uzależnionej, która jest wskazana w tekście komunikatu tego zdarzenia.

3. W menu Action (Akcja) kliknij polecenie Edit Claim Rules (Edytuj reguły oświadczeń).

4. Kliknij kartę Delegation Authorization Rules (Reguły autoryzacji delegowania).

Przejrzyj treść tej karty, aby rozwiązać problem z autoryzacją. Dodaj lub zaktualizuj zasady delegowania w odpowiedni sposób, aby upoważnić wywołującego wskazanego w tekście zdarzenia.

Sprawdź, czy reguły autoryzacji oświadczeń dla tej relacji zaufania jednostki uzależnionej są skonfigurowane zgodnie z zamierzeniami. For more information, see When to Use a Claims Authorization Rule (Kiedy używać reguły autoryzacji oświadczeń)

Element properties:

TargetMicrosoft.ActiveDirectoryFederationServices.2016.TokenIssuance
CategoryConfigurationHealth
EnabledFalse
Event_ID302
Alert GenerateTrue
Alert SeverityWarning
Alert PriorityNormal
RemotableTrue
Alert Message
Błąd autoryzacji działania jako inny podmiot
Wystawienie tokenu dla wywołującego „{0}” działającego jako podmiot „{1}” na potrzeby relacji zaufania jednostki uzależnionej „{2}” nie powiodło się
Event Log$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceActAsAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">302</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceActAsAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

        <AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>