Home
  •  

Erreur d'autorisation Au nom de

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceOnBehalfOfAuthorizationErrorRule (Rule)

Knowledge Base article:

Résumé

Le service de fédération n'a pas pu autoriser l'émission du jeton pour l'appelant au nom du sujet vers la partie de confiance.

Causes

L'appelant spécifique n'est pas autorisé à agir au nom du sujet de cette partie de confiance

Pour plus d'informations sur la cause spécifique de cet événement, consultez les événements 501 et 502 avec le même ID d'instance pour l'identité de l'appelant et l'identité OnBehalfOf (le cas échéant).

En général, cet événement peut indiquer qu'une règle d'autorisation de revendications dans la politique de revendications de l'approbation de cette partie de confiance ne fonctionne pas comme prévu.

Résolutions

Utilisez le snap-in AD FS pour vous assurer que l'appelant est autorisé à agir au nom du sujet de la partie de confiance.

D'abord, vérifiez que les règles d'autorisation de revendications pour l'approbation de cette partie de confiance sont configurées comme voulu. Pour plus d'informations, consultez Quand utiliser une règle d'autorisation de revendications.

Si vous devez mettre à jour la stratégie d'autorisation d'usurpation d'identité pour l'approbation de cette partie de confiance, vous pouvez utiliser les commandlets Windows PowerShell pour AD FS. Plus spécifiquement, vous pouvez afficher et configurer les règles d'autorisation d'usurpation d'identité en tant que composante de la propriété ImpersonationAuthorizationRules. Pour lire cette propriété, utilisez la commandlet Get-ADFSRelyingPartyTrust. Pour modifier cette propriété, utilisez la commandlet Set-ADFSRelyingPartyTrust.

Element properties:

TargetMicrosoft.ActiveDirectoryFederationServices2012R2.TokenIssuance
CategoryConfigurationHealth
EnabledFalse
Event_ID323
Alert GenerateTrue
Alert SeverityWarning
Alert PriorityNormal
RemotableTrue
Alert Message
Erreur d'autorisation Au nom de
Le service de fédération n'a pas pu autoriser l'émission du jeton pour l'appelant « {0} » au nom du sujet « {1} » vers la partie de confiance « {2} ».
Event Log$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceOnBehalfOfAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">323</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertName/>

      <AlertDescription/>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceOnBehalfOfAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

        <AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>