Il servizio federativo non ha potuto autorizzare il rilascio di token per il chiamante alla relying party.
Il chiamante non è autorizzato a richiedere un token per la relying party
In genere questo evento può indicare che una regola di autorizzazione attestazioni nei criteri sulle attestazioni per l'attendibilitàdella relying party non funziona nel modo previsto.
Utilizzare lo snap-in ADFS per assicurarsi che il chiamante sia autorizzato a richiedere un token per la relying party. In particolare, è possibile esaminare il criterio di rilascio per questa attendibilitàeseguendo le operazioni seguenti nello snap-in.
1. Nell'albero della console, accedere al nodo Attendibilitàrelying party (in AD FS\Relazioni di trust).
2. Nel riquadro dei dettagli selezionare l'attendibilitàdella relying party specificata nel testo del messaggio per questo evento.
3. Scegliere Modifica regole attestazioni dal menu Azione.
4. Fare clic sulla scheda Regole autorizzazione rilascio.
Esaminare il contenuto della scheda per risolvere il problema di autorizzazione. Aggiungere o aggiornare il criterio di rilascio nel modo appropriato per autorizzare il chiamante specificato nel testo dell'evento.
Verificare che le regole di autorizzazione attestazioni per l'attendibilitàdella relying party siano configurate nel modo previsto. Per altre informazioni, vedere l'articolo relativo a quando usare una regola di autorizzazione attestazioni.
Target | Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance | ||
Category | ConfigurationHealth | ||
Enabled | False | ||
Event_ID | 325 | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$ |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">325</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>