De Federation Service kan de tokenuitgifte voor de beller niet machtigen bij de relying party.
De beller is niet gemachtigd een token aan te vragen voor de relying party.
Over het algemeen kan deze gebeurtenis aangeven dat een claimmachtigingsregel in het claimsbeleid voor de vertrouwensrelatie van deze relying party niet werkt zoals bedoeld.
Zorg met de AD FS-module dat de beller bevoegd is een token aan te vragen voor de relying party. In het bijzonder kunt u uitgiftebeleid voor deze vertrouwensrelatie bekijken door de volgende stappen in de module te volgen.
1. Navigeer in de consolestructuur naar het knooppunt Vertrouwensrelaties van de relying party (onder AD FS\Vertrouwensrelaties).
2. Selecteer in het detailvenster de vertrouwensrelatie van de relying party die is gespecificeerd in de berichttekst voor deze gebeurtenis.
3. Klik op het menu Actie op Claimregels bewerken.
4. Klik op het tabblad Uitgiftemachtigingsregels.
Bekijk de inhoud van dit tabblad om het probleem met de machtiging op te lossen. Voeg het uitgiftebeleid waar nodig toe of werk dit bij om de beller te machtigen die in de gebeurtenistekst is gespecificeerd.
Controleer of de claimmachtigingsregels voor de vertrouwensrelatie van deze relying party zijn geconfigureerd als bedoeld. Zie voor meer informatie Wanneer u een claimmachtigingsregel moet gebruiken.
Target | Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance | ||
Category | ConfigurationHealth | ||
Enabled | False | ||
Event_ID | 325 | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$ |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">325</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>