Als Autorisierungsfehler behandeln

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceActAsAuthorizationErrorRule (Rule)

Knowledge Base article:

Zusammenfassung

Bei der Tokenausstellung ist ein Fehler aufgetreten, da der Aufrufer nicht autorisiert ist, das Token als weiterer Antragsteller für die vertrauende Seite anzufordern.

Ursachen

Der angegebene Aufrufer ist nicht autorisiert, als Antragsteller für die vertrauende Seite zu fungieren

Weitere Informationen zur Ursache dieses Ereignisses finden Sie in Ereignis 501 und Ereignis 503 mit identischer Instanz-ID für Aufrufer-ID und ActAs-ID (sofern vorhanden).

Normalerweise weist dieses Ereignis darauf hin, dass eine Anspruchsautorisierungsregel in der Anspruchsrichtlinie für die vertrauende Seite nicht wie beabsichtigt funktioniert.

Lösungen

Verwenden Sie das AD FS-Snap-In, um sicherzustellen, dass der Aufrufer autorisiert ist, als Antragsteller für die vertrauende Seite zu fungieren. Die Delegierungsrichtlinie für die Vertrauensstellung können Sie durch Ausführen der folgenden Schritte im Snap-In überprüfen.

1. Navigieren Sie in der Konsolenstruktur zum Knoten "Vertrauensstellungen der vertrauenden Seite" (unter "AD FS\Vertrauensstellungen").

2. Wählen Sie im Detailbereich die Vertrauensstellung der vertrauenden Seite aus, die im Nachrichtentext für dieses Ereignis angegeben ist.

3. Klicken Sie im Menü "Aktion" auf "Anspruchsregeln bearbeiten".

4. Klicken Sie auf die Registerkarte "Regeln für die Delegationsautorisierung".

Überprüfen Sie den Inhalt der Registerkarte, um das Autorisierungsproblem zu beheben. Fügen Sie die Delegierungsrichtlinie hinzu (oder aktualisieren Sie die vorhandene), um den im Ereignistext angegebenen Aufrufer zu autorisieren.

Überprüfen Sie, ob die Anspruchsautorisierungsregeln für die Vertrauensstellung dieser vertrauenden Seite wie beabsichtigt konfiguriert sind. Weitere Informationen finden Sie unter Verwenden einer Anspruchsautorisierungsregel (möglicherweise in englischer Sprache)

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance

Category

ConfigurationHealth

Enabled

False

Event_ID

302

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Als Autorisierungsfehler behandeln

Fehler bei der Tokenausstellung für Aufrufer '{0}' als Antragsteller '{1}' für die vertrauende Seite '{2}'

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceActAsAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">302</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceActAsAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

        <AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>