Anropningsauktorisering misslyckades

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceCallerAuthorizationErrorRule (Rule)

Knowledge Base article:

Sammanfattning

Federationstjänsten kunde inte auktorisera utfärdande av token till anroparen av den förlitande parten.

Orsaker

Anroparen är inte auktoriserad att begära en token till den förlitande parten.

Generellt sett kan händelsen tyda på att auktoriseringsreglerna för anspråk av den förlitande partens förtroende inte fungerar enligt syftet.

Lösningar

Använd en AD FS-snapinmodul för att se till att anroparen är auktoriserad att begära en token till den förlitande parten. Du kan granska utgivningsprinciper för förtroendet genom att följa dessa steg i snapin-modulen:

1. Navigera till förtroendenoden för den förlitande parten i konsolträdet (under AD FS\förtroenderelationer).

2. Gå till informationsfönstret. Välj det förtroendeobjekt för den förlitande parten som finns angivet i händelsens meddelande.

3. Klicka på Ändra anspråksregler i Åtgärdsmenyn.

4. Klicka på fliken Auktoriseringsregler för utfärdande.

Granska innehållet i den här fliken för att felsöka auktoriseringsproblemet. Lägg till eller uppdatera utgivningsprincipen så att den kan tillämpas för att auktorisera anroparen som anges i händelsemeddelandet.

Verifiera att auktoriseringsreglerna för anspråk för den förlitande partens förtroende är konfigurerade enligt syftet. Mer information finns på sidan Använda en auktoriseringsregel för anspråk.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance

Category

ConfigurationHealth

Enabled

False

Event_ID

325

Alert Generate

True

Alert Severity

Error

Alert Priority

Normal

Remotable

True

Alert Message

Anropningsauktorisering misslyckades

Federationstjänsten kunde inte auktorisera tokenutfärdande för anroparen {0} av den förlitande parten {1}.

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceCallerAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">325</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceCallerAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>