Bei der Tokenausstellung ist ein Fehler aufgetreten, da der Aufrufer nicht autorisiert ist, das Token als weiterer Antragsteller für die vertrauende Seite anzufordern.
Der angegebene Aufrufer ist nicht autorisiert, als Antragsteller für die vertrauende Seite zu fungieren
Weitere Informationen zur Ursache dieses Ereignisses finden Sie in Ereignis 501 und Ereignis 503 mit identischer Instanz-ID für Aufrufer-ID und ActAs-ID (sofern vorhanden).
Normalerweise weist dieses Ereignis darauf hin, dass eine Anspruchsautorisierungsregel in der Anspruchsrichtlinie für die vertrauende Seite nicht wie beabsichtigt funktioniert.
Verwenden Sie das AD FS-Snap-In, um sicherzustellen, dass der Aufrufer autorisiert ist, als Antragsteller für die vertrauende Seite zu fungieren. Die Delegierungsrichtlinie für die Vertrauensstellung können Sie durch Ausführen der folgenden Schritte im Snap-In überprüfen.
1. Navigieren Sie in der Konsolenstruktur zum Knoten "Vertrauensstellungen der vertrauenden Seite" (unter "AD FS\Vertrauensstellungen").
2. Wählen Sie im Detailbereich die Vertrauensstellung der vertrauenden Seite aus, die im Nachrichtentext für dieses Ereignis angegeben ist.
3. Klicken Sie im Menü "Aktion" auf "Anspruchsregeln bearbeiten".
4. Klicken Sie auf die Registerkarte "Regeln für die Delegationsautorisierung".
Überprüfen Sie den Inhalt der Registerkarte, um das Autorisierungsproblem zu beheben. Fügen Sie die Delegierungsrichtlinie hinzu (oder aktualisieren Sie die vorhandene), um den im Ereignistext angegebenen Aufrufer zu autorisieren.
Überprüfen Sie, ob die Anspruchsautorisierungsregeln für die Vertrauensstellung dieser vertrauenden Seite wie beabsichtigt konfiguriert sind. Weitere Informationen finden Sie unter Verwenden einer Anspruchsautorisierungsregel (möglicherweise in englischer Sprache)
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance | ||
Category | ConfigurationHealth | ||
Enabled | False | ||
Event_ID | 302 | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$ |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceActAsAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">302</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceActAsAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>
<AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>