Home
  •  

Erreur d'autorisation de l'appelant

Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule (Rule)

Knowledge Base article:

Résumé

Le service de fédération n'a pas pu autoriser l'émission du jeton pour l'appelant vers la partie de confiance.

Causes

L'appelant n'est pas autorisé à demander un jeton pour la partie de confiance.

En général, cet événement peut indiquer qu'une règle d'autorisation de revendications dans la politique de revendications de l'approbation de cette partie de confiance ne fonctionne pas comme prévu.

Résolutions

Utilisez le snap-in AD FS pour vous assurer que l'appelant est autorisé à demander un jeton pour la partie de confiance. Plus spécifiquement, vous pouvez examiner la stratégie d'émission pour cette approbation en suivant ces étapes dans le snap-in.

1. Dans l'arborescence de la console, accédez au nœud Approbations de la partie de confiance (sous AD FS\Relations de confiance).

2. Dans le volet des détails, sélectionnez l'approbation de partie de confiance spécifiée dans le texte du message de cet événement.

3. Dans le menu Action, cliquez sur Modifier les règles de revendication.

4. Cliquez sur l'onglet Règles d'autorisation d'émission.

Examinez le contenu de cet onglet pour dépanner le problème d'autorisation. Ajoutez ou mettez à jour la stratégie d'émission comme requis pour autoriser l'appelant qui est spécifié dans le texte de l'événement.

Vérifiez que les règles d'autorisation de revendications pour l'approbation de cette partie de confiance sont configurées comme voulu. Pour plus d'informations, consultez Quand utiliser une règle d'autorisation de revendications.

Element properties:

TargetMicrosoft.ActiveDirectoryFederationServices.2016.TokenIssuance
CategoryConfigurationHealth
EnabledFalse
Event_ID325
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Erreur d'autorisation de l'appelant
Le service de fédération n'a pas pu autoriser l'émission du jeton pour l'appelant « {0} » vers la partie de confiance « {1} ».
Event Log$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">325</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>