Home
  •  

Ошибка авторизации от имени

Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceOnBehalfOfAuthorizationErrorRule (Rule)

Knowledge Base article:

Сводка

Службе федерации не удалось авторизовать выпуск маркера для вызывающей стороны от имени получателя в отношении проверяющей стороны.

Причины

Указанная вызывающая сторона не авторизована действовать от имени получателя проверяющей стороны

Для получения дополнительных сведений о причине этого события см. события 501 и 502 с таким же идентификатором экземпляра для удостоверения вызывающей стороны и удостоверения OnBehalfOf (при наличии).

Как правило, это событие может указывать на то, что правило авторизации утверждений в политике утверждений для данного отношения доверия с проверяющей стороной работает неправильно.

Решения

Используйте оснастку служб федерации Active Directory, чтобы убедиться, что вызывающей стороне разрешено действовать от имени получателя проверяющей стороны.

Сначала убедитесь, что правила авторизации утверждений для данного отношения доверия с проверяющей стороной настроены правильно. Для получения дополнительной информации см. Случаи использования правила авторизации утверждений.

Если необходимо обновить политику авторизации олицетворения для этого отношения доверия с проверяющей стороной, можно использовать командлеты Windows PowerShell для служб федерации Active Directory. В частности, можно просмотреть и установить политику правил авторизации олицетворения как часть свойства ImpersonationAuthorizationRules. Для чтения этого свойства используйте командлет Get-ADFSRelyingPartyTrust. Для изменения этого свойства используйте командлет Set-ADFSRelyingPartyTrust.

Element properties:

TargetMicrosoft.ActiveDirectoryFederationServices.2016.TokenIssuance
CategoryConfigurationHealth
EnabledFalse
Event_ID323
Alert GenerateTrue
Alert SeverityWarning
Alert PriorityNormal
RemotableTrue
Alert Message
Ошибка авторизации от имени
Службе федерации не удалось авторизовать выпуск маркера для вызывающей стороны "{0}" от имени субъекта "{1}" в отношении проверяющей стороны "{2}".
Event Log$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceOnBehalfOfAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">323</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertName/>

      <AlertDescription/>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceOnBehalfOfAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

        <AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>