Ошибка авторизации от имени другого пользователя

Microsoft.ActiveDirectoryFederationServices20.TokenIssuanceActAsAuthorizationErrorRule (Rule)

Knowledge Base article:

Сводка

Произошел сбой выпуска маркера, поскольку вызывающая сторона не авторизована для запроса маркера в качестве другого субъекта для проверяющей стороны.

Причины

Указанная вызывающая сторона не авторизована в качестве субъекта для данной проверяющей стороны.

Дополнительные сведения о причинах этого события см. в событиях 501 и 503 с таким же идентификатором экземпляра для удостоверения вызывающей стороны и удостоверения ActAs (если есть).

Обычно это событие указывает на то, что правило авторизации утверждений в политике утверждений для данного доверия проверяющей стороны не работает надлежащим образом.

Решения

С помощью оснастки AD FS 2.0 убедитесь, что вызывающая сторона авторизована в качестве субъекта для проверяющей стороны. В частности, проверьте политику делегирования для данного доверия, выполнив в оснастке указанные ниже действия.

1. В дереве консоли перейдите к узлу "Доверия проверяющей стороны" (в разделе "AD FS 2.0\Отношения доверия").

2. В области сведений выберите доверие проверяющей стороны, указанное в тексте сообщения данного события.

3. В меню "Действие" выберите команду "Изменить правила утверждений".

4. Откройте вкладку "Правила авторизации делегирования".

Изучите приведенные на вкладке сведения, чтобы устранить проблемы с авторизацией. Чтобы авторизовать вызывающую сторону, указанную в тексте события, добавьте или обновите политику делегирования.

Убедитесь, что правила авторизации утверждений для доверия проверяющей стороны настроены правильно. Дополнительные сведения см. в статье Использование правил авторизации утверждений (на английском языке).

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices20.TokenIssuance

Category

ConfigurationHealth

Enabled

False

Event_ID

302

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Ошибка авторизации от имени другого пользователя

Сбой выпуска маркера для вызывающей стороны "{0}" в качестве субъекта "{1}" для доверия проверяющей стороны "{2}"

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices20.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices20.TokenIssuanceActAsAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices20.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices20.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">302</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)|(^AD FS 2.0$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices20.TokenIssuanceActAsAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

        <AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>