Home
  •  

På grund av auktoriseringsfel

Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceOnBehalfOfAuthorizationErrorRule (Rule)

Knowledge Base article:

Sammanfattning

Federationstjänsten kunde inte auktorisera utfärdande av token till anroparen för den förlitande parten.

Orsaker

Den angivna anroparen är inte auktoriserad att agera i frågan för den förlitande partens räkning.

Mer information om de specifika orsakerna bakom denna händelse finns i händelse 501 och händelse 502 med samma instans-ID för anroparens identitet och OnBehalfOf-identiteten (om tillämpligt).

Generellt sett kan händelsen tyda på att auktoriseringsreglerna för anspråk av den förlitande partens förtroende inte fungerar enligt syftet.

Lösningar

Använd en AD FS-snapinmodul för att se till att anroparen är auktoriserad att agera i frågan för den förlitande partens räkning.

Verifiera först att auktoriseringsreglerna för anspråk för denna förlitande parts förtroenden är konfigurerade enligt syftet. Mer information finns på sidan Använda en auktoriseringsregel för anspråk.

Om du behöver uppdatera personifiering av auktoriseringsprincipen för den förlitande partens förtroenden kan du använda Windows PowerShell-cmdlets för AD FS. Du kan visa och konfigurera personifiering av principer för auktoriseringsregler som ingår i egenskaperna för ImpersonationAuthorizationRules. Du kan läsa egenskapen med hjälp av en Get-ADFSRelyingPartyTrust-cmdlet. Du kan ändra egenskapen med hjälp av en Get-ADFSRelyingPartyTrust-cmdlet.

Element properties:

TargetMicrosoft.ActiveDirectoryFederationServices.2016.TokenIssuance
CategoryConfigurationHealth
EnabledFalse
Event_ID323
Alert GenerateTrue
Alert SeverityWarning
Alert PriorityNormal
RemotableTrue
Alert Message
På grund av auktoriseringsfel
Federationstjänsten kunde inte auktorisera utfärdande av token till {0}-anroparen för ämne {1} för den förlitande parten {2}.
Event Log$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceOnBehalfOfAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">323</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertName/>

      <AlertDescription/>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceOnBehalfOfAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

        <AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>