Error de autorización en Actuar como

Microsoft.ActiveDirectoryFederationServices20.TokenIssuanceActAsAuthorizationErrorRule (Rule)

Knowledge Base article:

Resumen

Se ha producido un error en la emisión de token porque el autor de la llamada no está autorizado para solicitar el token como otro sujeto al usuario de confianza.

Causas

El autor de la llamada especificado no está autorizado para actuar como sujeto para este usuario de confianza

Para obtener más información sobre la causa de este evento, vea Evento 501 y Evento 503 con el mismo identificador de instancia para la identidad del autor de la llamada y la identidad de ActAs (si existe).

Generalmente, este evento puede indicar que una regla de autorización de notificaciones en la directiva de notificaciones para la veracidad de este usuario de confianza no está funcionando de acuerdo con lo previsto.

Resoluciones

Utilice el complemento AD FS 2.0 para asegurarse de que el autor de la llamada está autorizado a actuar como sujeto para el usuario de confianza. En concreto, puede revisar la directiva de delegación para esta relación de confianza siguiendo estos pasos en el complemento.

1. En el árbol de consola, navegue al nodo Veracidades de usuarios de confianza (en AD FS 2.0\Relaciones de confianza).

2. En el panel de detalles, seleccione la veracidad del usuario de confianza especificada en el texto del mensaje para este evento.

3. En el menú Acción, haga clic en Editar reglas de notificación.

4. Haga clic en la pestaña Reglas de autorización de delegación.

Revise el contenido de esta pestaña para solucionar el problema de autorización. Agregue o actualice la directiva de delegación según corresponda para autorizar al autor de la llamada especificado en el texto del evento.

Compruebe que las reglas de autorización de notificaciones para la veracidad de este usuario de confianza están configuradas de acuerdo con lo previsto. Para obtener más información, vea When to Use a Claims Authorization Rule

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices20.TokenIssuance

Category

ConfigurationHealth

Enabled

False

Event_ID

302

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Error de autorización en Actuar como

Se ha producido un error en la emisión de token para el autor de la llamada '{0}' como sujeto '{1}' para la veracidad del usuario de confianza '{2}'

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices20.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices20.TokenIssuanceActAsAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices20.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices20.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">302</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)|(^AD FS 2.0$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices20.TokenIssuanceActAsAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

        <AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>