호출자 권한 부여 오류

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceCallerAuthorizationErrorRule (Rule)

Knowledge Base article:

요약

페더레이션 서비스에서 신뢰 당사자에 대한 호출자의 토큰 발급에 대해 권한을 부여할 수 없습니다.

원인

호출자가 신뢰 당사자에 대해 토큰을 요청하도록 권한을 받지 않았습니다.

일반적으로 이 이벤트는 이 신뢰 당사자 트러스트에 대한 클레임 정책의 클레임 권한 부여 규칙이 의도한 대로 작동되지 않음을 나타냅니다.

해결 방법

AD FS 스냅인을 사용하여 호출자가 신뢰 당사자에 대해 토큰을 요청하도록 권한을 받았는지 확인하십시오. 특히 스냅인의 다음 단계에 따라 이 트러스트에 대한 발급 정책을 검토할 수 있습니다.

1. 콘솔 트리에서 신뢰 당사자 트러스트 노드로 이동합니다(AD FS\Trust Relationships).

2. 세부 정보 창에서 이 이벤트에 대한 메시지 텍스트에 지정된 신뢰 당사자 트러스트를 선택합니다.

3. 동작 메뉴에서 클레임 규칙 편집을 클릭합니다.

4. 발급 권한 부여 규칙 탭을 클릭합니다.

이 탭의 내용을 검토하여 권한 부여 문제를 해결합니다. 적절하게 발급 정책을 추가하거나 업데이트하여 이벤트 텍스트에 지정된 호출자에게 권한을 부여하십시오.

이 신뢰 당사자 트러스트에 대한 클레임 권한 부여 규칙이 의도한 대로 구성되었는지 확인하십시오. 자세한 내용은 클레임 권한 부여 규칙을 사용하는 경우를 참조하십시오.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance

Category

ConfigurationHealth

Enabled

False

Event_ID

325

Alert Generate

True

Alert Severity

Error

Alert Priority

Normal

Remotable

True

Alert Message

호출자 권한 부여 오류

페더레이션 서비스에서 신뢰 당사자 '{1}'에 대한 호출자 '{0}'의 토큰 발급에 대해 권한을 부여할 수 없습니다.

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceCallerAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">325</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceCallerAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>