Error de autorización para actuar como

Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceActAsAuthorizationErrorRule (Rule)

Knowledge Base article:

Resumen

La emisión del token ha producido error porque el autor de la llamada no está autorizado para solicitar el token como otro sujeto del usuario de confianza.

Causas

El autor de la llamada especificado no está autorizado para actuar como el sujeto para este usuario de confianza

Para obtener más información sobre la causa de este evento, consulte los eventos 501 y 503 con el mismo id. de instancia para la identidad del autor de la llamada y la identidad de ActAs (si corresponde).

Normalmente, este evento puede indicar que una regla de autorización de notificaciones en la directiva de notificaciones para esta confianza de usuario de confianza no funciona según lo esperado.

Soluciones

Use el complemento AD FS para comprobar que el autor de la llamada esté autorizado para actuar como el sujeto del usuario de confianza. En concreto, siga estos pasos en el complemento para revisar la directiva de delegación para esta confianza.

1. En el árbol de consola, navegue hasta el nodo Confianzas de usuario de confianza (en AD FS\Relaciones de confianza).

2. En el panel de detalles, seleccione la confianza del usuario de confianza especificado en el texto del mensaje de este evento.

3. En el menú Acción, haga clic en Editar reglas de notificación.

4. Haga clic en la pestaña de reglas de autorización de delegación.

Revise el contenido de esta ficha para solucionar los problemas de autorización. Agregue o actualice la directiva de delegación según corresponda para autorizar el autor de la llamada especificado en el texto del evento.

Compruebe que las reglas de autorización de notificaciones para esta confianza de usuario de confianza estén configuradas correctamente. Para obtener más información, consulte Cuándo usar una regla de autorización de notificaciones.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance

Category

ConfigurationHealth

Enabled

False

Event_ID

302

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Error de autorización para actuar como

La emisión de tokens ha producido error para el autor de la llamada "{0}" como sujeto "{1}" para la confianza del usuario de confianza "{2}"

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceActAsAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">302</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceActAsAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

        <AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>