Machtigingsfout beller

Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule (Rule)

Knowledge Base article:

Samenvatting

De Federation Service kan de tokenuitgifte voor de beller niet machtigen bij de relying party.

Oorzaken

De beller is niet gemachtigd een token aan te vragen voor de relying party.

Over het algemeen kan deze gebeurtenis aangeven dat een claimmachtigingsregel in het claimsbeleid voor de vertrouwensrelatie van deze relying party niet werkt zoals bedoeld.

Oplossingen

Zorg met de AD FS-module dat de beller bevoegd is een token aan te vragen voor de relying party. In het bijzonder kunt u uitgiftebeleid voor deze vertrouwensrelatie bekijken door de volgende stappen in de module te volgen.

1. Navigeer in de consolestructuur naar het knooppunt Vertrouwensrelaties van de relying party (onder AD FS\Vertrouwensrelaties).

2. Selecteer in het detailvenster de vertrouwensrelatie van de relying party die is gespecificeerd in de berichttekst voor deze gebeurtenis.

3. Klik op het menu Actie op Claimregels bewerken.

4. Klik op het tabblad Uitgiftemachtigingsregels.

Bekijk de inhoud van dit tabblad om het probleem met de machtiging op te lossen. Voeg het uitgiftebeleid waar nodig toe of werk dit bij om de beller te machtigen die in de gebeurtenistekst is gespecificeerd.

Controleer of de claimmachtigingsregels voor de vertrouwensrelatie van deze relying party zijn geconfigureerd als bedoeld. Zie voor meer informatie Wanneer u een claimmachtigingsregel moet gebruiken.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance

Category

ConfigurationHealth

Enabled

False

Event_ID

325

Alert Generate

True

Alert Severity

Error

Alert Priority

Normal

Remotable

True

Alert Message

Machtigingsfout beller

De Federation Service kan de tokenuitgifte voor beller {0} niet machtigen bij relying party {1}.

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">325</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceCallerAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>