El servicio de federación no pudo autorizar la emisión de token para el autor de la llamada en representación del sujeto al usuario de confianza.
El autor de la llamada especificado no está autorizado para actuar en representación del sujeto de este usuario de confianza
Para obtener más información sobre la causa específica de este evento, consulte los eventos 501 y 502 con el mismo id. de instancia para la identidad del autor de la llamada y la identidad de OnBehalfOf (si corresponde).
Normalmente, este evento puede indicar que una regla de autorización de notificaciones en la directiva de notificaciones para esta confianza de usuario de confianza no funciona según lo esperado.
Use el complemento AD FS para comprobar que el autor de la llamada esté autorizado para actuar en representación del sujeto del usuario de confianza.
En primer lugar, compruebe que las reglas de autorización de notificaciones para esta confianza de usuario de confianza estén configuradas correctamente. Para obtener más información, consulte Cuándo usar una regla de autorización de notificaciones.
Si necesita actualizar la directiva de autorización de suplantación para esta confianza de usuario de confianza, puede usar los cmdlets de Windows PowerShell para AD FS. En concreto, puede ver y definir la directiva de reglas de autorización de suplantación como parte de la propiedad ImpersonationAuthorizationRules. Para leer esta propiedad, use el cmdlet Get-ADFSRelyingPartyTrust. Para modificar esta propiedad, use el cmdlet Set-ADFSRelyingPartyTrust.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance | ||
Category | ConfigurationHealth | ||
Enabled | False | ||
Event_ID | 323 | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$ |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceOnBehalfOfAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">323</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertName/>
<AlertDescription/>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceOnBehalfOfAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>
<AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>