A emissão do token falhou porque o autor da chamada não está autorizado a solicitar o token como outra entidade para a terceira parte confiável.
O autor da chamada especificado não está autorizado a atuar como entidade para esta terceira parte confiável
Para obter mais informações sobre a causa desse evento, consulte os Eventos 501 e 503 com a mesma ID de instância para a identidade do autor da chamada e a identidade ActAs (se houver).
Geralmente, esse evento pode indicar que uma regra de autorização de declaração na política de declarações desse objeto de confiança de terceira parte confiável não esteja funcionando conforme o esperado.
Use o snap-in do AD FS para garantir que o autor da chamada esteja autorizado a agir como entidade da terceira parte confiável. Especificamente, você pode revisar a política de delegação para essa relação de confiança, seguindo estas etapas no snap-in.
1. Na árvore de console, navegue até o nó Relações de Confiança da Terceira Parte Confiável (em AD FS\Relações de Confiança).
2. No painel de detalhes, selecione o objeto de confiança da terceira parte confiável que é especificado no texto da mensagem deste evento.
3. No menu Ação, clique em Editar Regras de Declaração.
4. Clique na guia Regras de Autorização de Delegação.
Revise o conteúdo dessa guia para solucionar o problema de autorização. Adicione ou atualize a política de delegação conforme apropriado para autorizar o autor da chamada especificado no texto do evento.
Verifique se as regras de autorização de declaração para esse objeto de confiança de terceira parte confiável estão configuradas conforme o esperado. Para obter mais informações, consulte Quando usar uma regra de autorização de declaração
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance | ||
Category | ConfigurationHealth | ||
Enabled | False | ||
Event_ID | 302 | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$ |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceActAsAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">302</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceActAsAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>
<AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>