Le service de fédération n'a pas pu autoriser l'émission du jeton pour l'appelant vers la partie de confiance.
L'appelant n'est pas autorisé àdemander un jeton pour la partie de confiance.
En général, cet événement peut indiquer qu'une règle d'autorisation de revendications dans la politique de revendications de l'approbation de cette partie de confiance ne fonctionne pas comme prévu.
Utilisez le snap-in AD FS pour vous assurer que l'appelant est autorisé àdemander un jeton pour la partie de confiance. Plus spécifiquement, vous pouvez examiner la stratégie d'émission pour cette approbation en suivant ces étapes dans le snap-in.
1. Dans l'arborescence de la console, accédez au nœud Approbations de la partie de confiance (sous AD FS\Relations de confiance).
2. Dans le volet des détails, sélectionnez l'approbation de partie de confiance spécifiée dans le texte du message de cet événement.
3. Dans le menu Action, cliquez sur Modifier les règles de revendication.
4. Cliquez sur l'onglet Règles d'autorisation d'émission.
Examinez le contenu de cet onglet pour dépanner le problème d'autorisation. Ajoutez ou mettez àjour la stratégie d'émission comme requis pour autoriser l'appelant qui est spécifié dans le texte de l'événement.
Vérifiez que les règles d'autorisation de revendications pour l'approbation de cette partie de confiance sont configurées comme voulu. Pour plus d'informations, consultez Quand utiliser une règle d'autorisation de revendications.
Target | Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance | ||
Category | ConfigurationHealth | ||
Enabled | False | ||
Event_ID | 325 | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$ |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">325</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>