Home
  •  

Erro de Autorização em Nome de

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceOnBehalfOfAuthorizationErrorRule (Rule)

Knowledge Base article:

Resumo

O Serviço de Federação não conseguiu autorizar a emissão do token para o autor da chamada em nome do requerente para a entidade confiadora.

Causas

O autor da chamada especificado não se encontra autorizado a agir em nome do requerente desta entidade confiadora

Para mais informações sobre a causa específica deste evento, consulte o Evento 501 e o Evento 502 com o mesmo ID de instância para a identidade do autor da chamada e a identidade OnBehalfOf (se existir).

Geralmente, este evento poderá indicar que uma regra de autorização de afirmações da política de afirmações desta fidedignidade de entidade confiadora não está a funcionar como esperado.

Resoluções

Utilize o snap-in AD FS para garantir que o autor da chamada se encontra autorizado a agir em nome do requerente junto da entidade confiadora.

Em primeiro lugar, verifique se as regras de autorização de afirmações desta fidedignidade de entidade confiadora se encontram configuradas conforme pretendido. Para mais informações, consulte Quando Utilizar uma Regra de Autorização de Afirmações.

Se for necessário atualizar a política de autorização de representação para esta fidedignidade de entidade confiadora, poderá utilizar os cmdlets do Windows PowerShell para o AD FS. Especificamente, poderá visualizar e definir a política de regras de autorização de representação como parte da propriedade ImpersonationAuthorizationRules. Para ler esta propriedade, utilize o cmdlet Get-ADFSRelyingPartyTrust. Para modificar esta propriedade, utilize o cmdlet Set-ADFSRelyingPartyTrust.

Element properties:

TargetMicrosoft.ActiveDirectoryFederationServices2012R2.TokenIssuance
CategoryConfigurationHealth
EnabledFalse
Event_ID323
Alert GenerateTrue
Alert SeverityWarning
Alert PriorityNormal
RemotableTrue
Alert Message
Erro de Autorização em Nome de
O Serviço de Federação não conseguiu autorizar a emissão do token para o autor da chamada '{0}' em nome do requerente '{1}' para a entidade confiadora '{2}'.
Event Log$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceOnBehalfOfAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">323</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertName/>

      <AlertDescription/>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceOnBehalfOfAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

        <AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>