Erro de Autorização para Agir Como

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceActAsAuthorizationErrorRule (Rule)

Knowledge Base article:

Resumo

A emissão do token falhou porque o autor da chamada não está autorizado a solicitar o token como outra entidade para a terceira parte confiável.

Causas

O autor da chamada especificado não está autorizado a atuar como entidade para esta terceira parte confiável

Para obter mais informações sobre a causa desse evento, consulte os Eventos 501 e 503 com a mesma ID de instância para a identidade do autor da chamada e a identidade ActAs (se houver).

Geralmente, esse evento pode indicar que uma regra de autorização de declaração na política de declarações desse objeto de confiança de terceira parte confiável não esteja funcionando conforme o esperado.

Resoluções

Use o snap-in do AD FS para garantir que o autor da chamada esteja autorizado a agir como entidade da terceira parte confiável. Especificamente, você pode revisar a política de delegação para essa relação de confiança, seguindo estas etapas no snap-in.

1. Na árvore de console, navegue até o nó Relações de Confiança da Terceira Parte Confiável (em AD FS\Relações de Confiança).

2. No painel de detalhes, selecione o objeto de confiança da terceira parte confiável que é especificado no texto da mensagem deste evento.

3. No menu Ação, clique em Editar Regras de Declaração.

4. Clique na guia Regras de Autorização de Delegação.

Revise o conteúdo dessa guia para solucionar o problema de autorização. Adicione ou atualize a política de delegação conforme apropriado para autorizar o autor da chamada especificado no texto do evento.

Verifique se as regras de autorização de declaração para esse objeto de confiança de terceira parte confiável estão configuradas conforme o esperado. Para obter mais informações, consulte Quando usar uma regra de autorização de declaração

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance

Category

ConfigurationHealth

Enabled

False

Event_ID

302

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Erro de Autorização para Agir Como

Falha na emissão de token para o autor da chamada '{0}' como entidade '{1}' para o objeto de confiança da terceira parte confiável '{2}'

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceActAsAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">302</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceActAsAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

        <AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>