Códigos de error de ACS
Actualizado: 19 de junio de 2015
Se aplica a: Azure
En este tema se incluyen los mensajes de error más comunes que se pueden encontrar al usar Microsoft Azure Active Directory Access Control (también conocido como Access Control Service o ACS) y las acciones necesarias para corregir el error, cuando corresponda. Para obtener información sobre cómo proporcionar un control de errores personalizado basado en los códigos de error, vea How to: Use an Error URL for Custom Error Handling.
Importante
Los espacios de nombres ACS pueden migrar sus configuraciones de proveedor de identidades de Google de OpenID 2.0 a OpenID Connect. La migración debe completarse antes del 1 de junio de 2015. Para obtener instrucciones detalladas, consulte Migración de espacios de nombres de ACS a Google OpenID Conectar.
Importante
No use los códigos ni las descripciones de error de ACS en la lógica de la aplicación. Al escribir código de tratamiento de errores, use los valores de estado y código de error HTTP. Los códigos de error y las descripciones de error de ACS pueden cambiar con el tiempo sin previo aviso. Para obtener más información, consulte Directrices de reintento de ACS y Limitaciones del servicio ACS.
Errores del protocolo de federación activa, incluidos SOAP y WS-Trust
| Error de ACS | Código de estado HTTP | Message | Solución |
|---|---|---|---|
ACS10000 |
400 |
Error al procesar el mensaje SOAP |
Los detalles se encuentran en el mensaje. |
ACS10001 |
400 |
Error al procesar el encabezado SOAP |
Los detalles se encuentran en el mensaje. |
ACS10002 |
400 |
Error al procesar el cuerpo SOAP |
Los detalles se encuentran en el mensaje. |
ACS10003 |
400 |
Error al procesar el encabezado de seguridad |
Los detalles se encuentran en el mensaje. |
Errores del protocolo de WS-Federation, incluidos los metadatos de federación
Los errores en esta sección se relacionan con el protocolo de WS-Federation y los metadatos de WS-Federation.
Para generar un archivo de WS-FederationMetadata.xml válido, use FedUtil o la herramienta Identidad y acceso en Visual Studio 2012. El Portal de administración de ACS también genera un documento de metadatos WS-Federation para cada espacio de nombres Access Control. Para verlo, en el Portal de administración de ACS, haga clic en Integración de aplicaciones.
Para personalizar WS-Federation metadatos, use las clases del espacio de nombres Microsoft.IdentityModel.Protocols.WSFederation.Metadata .
Para obtener la especificación del esquema XML de metadatos estándar de OASIS WS-Federation, consulte la sección 3 del estándar WS-Federation language (WS-Federation) versión 1.2 de servicios web en http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.
Para obtener más información acerca de errores concretos y su solución, vea las entradas de esta tabla.
| Error | Código de estado HTTP | Message | Solución |
|---|---|---|---|
ACS20000 |
400 |
Error al procesar la solicitud de inicio de sesión de WS-Federation |
Los detalles se encuentran en el mensaje. |
ACS20001 |
400 |
Error al procesar la respuesta de inicio de sesión de WS-Federation |
Los detalles se encuentran en el mensaje. |
ACS20002 |
400 |
Error al intentar generar metadatos de federación |
Puede que en el mensaje se encuentren más detalles. Compruebe que hay un certificado de firma de tokens principal en el espacio de nombres Access Control. |
ACS20003 |
400 |
Error al intentar importar metadatos de federación |
Puede que en el mensaje se encuentren más detalles. Asegúrese de que la dirección URL de los metadatos o el archivo de metadatos sean válidos. |
ACS20004 |
No se puede recuperar la entidad a partir de los metadatos |
Asegúrese de que el archivo de metadatos contenga un identificador de entidad. |
|
ACS20005 |
No se admiten varias entidades de metadatos |
Asegúrese de que los metadatos de federación contengan exactamente una entidad. |
|
ACS20006 |
No se encontraron descriptores del servicio de tokens de seguridad |
Asegúrese de que los metadatos de federación contengan exactamente un descriptor del servicio de tokens de seguridad. |
|
ACS20007 |
No se admiten varios descriptores del servicio de tokens de seguridad |
Asegúrese de que los metadatos de federación contengan exactamente un descriptor del servicio de tokens de seguridad. |
|
ACS20008 |
400 |
Solo se pueden importar proveedores de identidades que admitan WS-Federation. |
Asegúrese de que los metadatos de federación contengan un RoleDescriptor de tipo "fed:SecurityTokenServiceType". |
ACS20009 |
400 |
Error al leer el documento de metadatos de WS-Federation |
ACS no pudo analizar el documento de metadatos proporcionado, por lo que puede no ser válido. Para validar el documento, puede ejecutar Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata(). |
ACS20010 |
No se encontraron descriptores del servicio de aplicaciones |
Asegúrese de que el archivo de metadatos contenga un descriptor del servicio de aplicaciones. |
|
ACS20011 |
No se admiten varios descriptores del servicio de aplicaciones |
Asegúrese de que el archivo de metadatos contenga solo un descriptor del servicio de aplicaciones. |
|
ACS20012 |
400 |
La solicitud entrante no es una solicitud de WS-Federation válida |
Asegúrese de que la solicitud sea una solicitud de inicio de sesión o una respuesta de inicio de sesión de WS-Federation válidas y que contenga todos los parámetros requeridos. |
ACS20014 |
400 |
El documento de metadatos de WS-Federation no tiene un formato XML correcto |
Este error se produce cuando el XML del documento de metadatos de WS-Federation tienen errores sintácticos, como cuando sobran o faltan corchetes o etiquetas en el documento. Se produce con más frecuencia al intentar crear o editar manualmente un documento de WS-FederationMetadata.xml. Este error no está relacionado con el cumplimiento del esquema XML de metadatos. Para resolver este error, use una herramienta de validador XML, como las herramientas de Visual Studio o XML Bloc de notas 2007. |
Errores del protocolo OpenID
| Error | Código de estado HTTP | Message | Solución |
|---|---|---|---|
ACS30000 |
400 |
Error al procesar una respuesta de inicio de sesión de OpenID. |
Los detalles se encuentran en el mensaje. |
ACS30001 |
400 |
No se puede comprobar la firma de respuesta de OpenID. |
La firma OpenID no era válida o el proveedor de identidades la rechazó. Asegúrese de que no se haya manipulado el mensaje. |
Errores del protocolo Facebook Graph
| Error | Código de estado HTTP | Message | Solución |
|---|---|---|---|
ACS40000 |
400 |
Error al procesar la respuesta de inicio de sesión de Facebook. Esto se puede deber a la configuración no válida de la aplicación Facebook. |
Compruebe que el identificador de aplicación y el secreto configurados en ACS coincidan con los mismos valores en el portal para desarrolladores de Facebook. |
ACS40001 |
400 |
Error al intentar obtener un token de acceso de Facebook. |
Asegúrese de que el id. de aplicación y el secreto de aplicación que se configuraron a través de ACS eran válidos. |
Errores generales del servicio de token de seguridad, incluidos los metadatos del proveedor de identidades
| Error | Código de estado HTP | Message | Solución |
|---|---|---|---|
ACS50000 |
Se produjo un error en la emisión de un token. |
Los detalles se encuentran en el mensaje. |
|
ACS50001 |
400 |
Se desconoce el dominio del usuario de confianza solicitado "<DIRECCIÓN URL> del dominio de dominio". |
Hubo un error de coincidencia entre el valor de AppliesTo proporcionado en la solicitud de token y los dominios que ha configurado en ACS. Compruebe que: 1. El dominio kerberos del usuario de confianza esté configurado correctamente. Esto se puede hacer a través del Portal de administración o el servicio de administración; para ello, consulte las entradas RelyingParty.RelyingPartyAddresses. 2. El usuario de confianza se haya asociado con el proveedor de identidades. También puede hacer esto desde el Portal de administración o mediante el servicio de administración, si consulta las entradas RelyingPartyIdentityProviders. |
ACS50002 |
400 |
Configuración de servicio no válida. (Los detalles se encuentran en el mensaje). |
Los detalles se encuentran en el mensaje. |
ACS50003 |
400 |
No hay configurada una clave de firma simétrica principal. Se requiere una clave de firma simétrica para SWT. |
Si el usuario de confianza elegido usa SWT como tipo de token, compruebe que una clave simétrica está configurada para el usuario de confianza o el espacio de nombres Access Control, y que la clave está establecida en principal y dentro de su período de validez. |
ACS50004 |
400 |
No hay configurado un certificado de firma X.509 principal. Se requiere un certificado de firma para SAML. |
Si el usuario de confianza elegido usa SAML como tipo de token, asegúrese de que un certificado X.509 válido esté configurado para el usuario de confianza o el espacio de nombres Access Control. El certificado se debe establecer en principal y debe estar dentro del período de validez. |
ACS50005 |
400 |
Se requiere el cifrado de token pero no se ha configurado ningún certificado de cifrado para el usuario de confianza. |
Deshabilite el cifrado de token para el usuario de confianza elegido o cargue un certificado X.509 que se usará para el cifrado de token. |
ACS50006 |
403 |
Error en la comprobación de la firma. (Puede haber más detalles en el mensaje). |
Asegúrese de que las claves de comprobación que se configuraron mediante ACS sean válidas. |
ACS50007 |
400 |
No se encontró la firma. |
Asegúrese de que el token entrante esté firmado y sea válido. |
ACS50008 |
401 |
El token SAML no es válido. (Puede haber más detalles en el mensaje). |
Para obtener más información, vea Cómo corregir el error ACS50008. |
ACS50009 |
401 |
El token SWT no es válido. (Puede haber más detalles en el mensaje). |
Los detalles se encuentran en el mensaje. |
ACS50010 |
403 |
Error en la validación del URI de la audiencia. (Puede haber más detalles en el mensaje). |
Asegúrese de que la audiencia del token entrante está establecida en . https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
Falta la dirección ReplyTo o no coincide con el dominio kerberos. |
Para que funcione con WS-Federation, un usuario de confianza debe tener al menos una dirección ReplyTo configurada. |
ACS50012 |
401 |
Error de autenticación. (Puede haber más detalles en el mensaje). |
Cuando una aplicación de varios inquilinos intenta adquirir un token para acceder a la API Graph para un inquilino de Azure AD que ha dado su consentimiento para la aplicación recientemente, la solicitud de token podría producir el error ACS50012 de manera temporal. Para resolver el problema, espere unos minutos e inténtelo de nuevo. O bien, pida al administrador del inquilino que dio su consentimiento que inicie sesión en la aplicación después de dar su consentimiento. |
ACS50013 |
400 |
El número de segmentos en el valor de URI es mayor que el número máximo aceptable de segmentos de ruta. |
Asegúrese de que el número de segmentos en el valor de URI sea menor o igual que 32. |
ACS50014 |
400 |
No se permiten notificaciones autoafirmadas para identidades de servicio y administración. |
Asegúrese de que el token de autenticación de identidad de servicio no contiene notificaciones o solo la notificación de identificador de nombre. |
ACS50015 |
400 |
Error al intentar obtener los metadatos del proveedor de identidades. |
Puede que en el mensaje se encuentren más detalles. Asegúrese de que la dirección URL o el archivo de metadatos sean válidos. |
ACS50016 |
400 |
X509Certificate con el asunto "<Nombre> del firmante del certificado" y la huella digital "<Huella digital> del certificado" no coinciden con ningún certificado configurado. |
Asegúrese de que el certificado configurado se haya cargado en ACS. |
ACS50017 |
401 |
Error de validación del certificado con el asunto "<Nombre> del firmante del certificado" y el emisor "<Nombre del emisor>". |
Asegúrese de que el certificado esté autofirmado o que esté vinculado a una autoridad de certificación raíz. El certificado no debe estar revocado y debe encontrarse dentro del período de validez. Para obtener más información, vea Cómo corregir el error ACS50017. |
ACS50018 |
400 |
Falta el dominio kerberos. No se especificó el nombre del usuario de confianza. |
Asegúrese de que la solicitud contenga un dominio kerberos. |
ACS50019 |
401 |
El usuario canceló el inicio de sesión. |
|
ACS50020 |
401 |
El usuario no está autorizado. |
|
ACS50022 |
400 |
El valor del parámetro de devolución de llamada '<Nombre> de función' no es un nombre de función de JavaScript válido. |
Asegúrese de que el parámetro de devolución de llamada especificado sea el nombre de una función JavaScript válido. Los nombres de función JavaScript válidos contienen solo letras, números y los caracteres ‘$’ y ‘_’, y no puede comenzar por un número. No se admiten los caracteres Unicode en los nombres de función. |
ACS50026 |
El principal con el nombre 'name' no es un principal válido. |
Este error indica que se ha producido un error en un intento de encontrar una entidad por el nombre especificado porque la entidad no se conoce como ACS. Esta entidad podría ser una identidad de servicio, una aplicación del usuario de confianza o un proveedor de identidades, según el escenario. Compruebe que esta entidad existe en el espacio de nombres Access Control. |
|
ACS50042 |
401 |
Falta la sal necesaria para generar un identificador en pares. Se la aplicación se ha registrado recientemente, espere algunos minutos antes de volver a intentarlo. |
Si intenta iniciar sesión en una aplicación inmediatamente después de agregarla a Azure AD, puede que se produzca un error en el inicio de sesión hasta que se sincronicen las claves en pares. Espere unos minutos y vuelva a intentar iniciar sesión. Para obtener más información, consulte Directrices de reintento de ACS. |
Errores del motor de reglas, datos y servicio de administración
| Error | Código de estado HTTP | Message | Solución |
|---|---|---|---|
ACS 60000 |
403 |
Error del motor de directivas |
Los detalles se encuentran en el mensaje. |
ACS60001 |
No se generaron notificaciones de salida durante el procesamiento de las reglas. |
Los grupos de reglas asociados al usuario de confianza elegido no tienen reglas que se apliquen a las notificaciones generadas por su proveedor de identidades. Configure algunas reglas en un grupo de reglas asociado a su usuario de confianza o genere reglas de paso a través con el editor del grupo de reglas. |
|
ACS60002 |
403 |
Se alcanzó la cuota del número de solicitudes de token y no es posible solicitar más. |
|
ACS60003 |
403 |
No se puede modificar una propiedad de solo lectura. |
Algunos objetos de ACS integrados no se pueden modificar ni eliminar. |
ACS60004 |
409 |
Conflicto de versiones |
Se puede recibir un error de conflicto de versiones al intentar actualizar el nombre de un usuario de confianza, un proveedor de identidades, una identidad de servicio o un emisor para que coincida con el nombre de otro usuario de confianza, proveedor de identidades, identidad de servicio o emisor. Para resolver el problema, elija otro nombre exclusivo. |
ACS60005 |
400 |
Se intentó agregar un objeto secundario con un objeto principal no válido o inexistente. |
Para los objetos secundarios, como direcciones, asegúrese de que el objeto principal o el id. de objeto sean válidos y del tipo correcto. |
ACS60006 |
400 |
Se intentó insertar una nueva copia de un objeto que ya existe en la base de datos. |
El objeto que está intentando insertar infringe una restricción de unicidad. Asegúrese de que las propiedades del objeto, como el nombre y la dirección, sean exclusivas, si es necesario. |
ACS60007 |
400 |
Certificado X.509 no válido |
Asegúrese de que los bytes proporcionados sean un certificado X.509 válido. |
ACS60008 |
No se puede encontrar un nombre único para este <tipo> de objeto. |
||
ACS60012 |
El número de notificaciones de entrada (#) supera el límite (80). |
El token entrante debe tener 80 notificaciones o menos para que ACS las procese y luego emita un token saliente correctamente. |
|
ACS60021 |
503 |
Servicio no disponible |
La solicitud de token se rechaza porque los servidores de datos de ACS están ocupados respondiendo a solicitudes de token desde todos los espacios de nombres. Espere unos segundos e intente de nuevo las solicitudes con intervalos cada vez mayores. Para obtener más información, consulte Directrices de reintento de ACS. |
Errores del protocolo OAuth 2.0
| Error | Código de estado HTTP | Message | Acción requerida para solucionar el error |
|---|---|---|---|
ACS70000 |
401 |
La concesión de acceso proporcionada no es válida, expiró o se revocó. |
Los detalles se encuentran en el mensaje. |
ACS70001 |
401 |
El cliente no está autorizado. |
|
ACS70002 |
401 |
El cliente no es válido. |
|
ACS70003 |
401 |
El servidor de autorización no admite la concesión de acceso incluida. |
Errores del Portal de administración de ACS
| Error | Código de error HTTP | Message | Acción requerida para solucionar el error |
|---|---|---|---|
ACS80001 |
404 |
Esta regla se configura para usar un tipo de emisor de notificaciones que el portal de administración no admite. Use el servicio de administración para ver y modificar esta regla. |
Este error se produce si una regla se configuró para usar un emisor que no es un proveedor de identidades o el emisor de "AUTORIDAD LOCAL" para Access Control Service. Para obtener más información sobre cómo usar el servicio de administración de ACS, consulte SERVICIO de administración de ACS. |
Otros errores
| Error | Código de error HTTP | Message | Solución |
|---|---|---|---|
ACS90002 |
404 |
El nombre del espacio de nombres del servicio en la dirección URL no es válido. |
Compruebe que el espacio de nombres Access Control solicitado existe. |
ACS90004 |
400 |
La solicitud no tiene un formato adecuado. |
|
ACS90005 |
502 |
Error del servidor externo. (Puede que en el mensaje se encuentren más detalles). |
Se produjo un error durante la comunicación con un servidor externo, como un proveedor de identidades. |
ACS90006 |
504 |
Tiempo de espera del servidor externo. |
Se agotó el tiempo de espera de comunicación durante la comunicación con un servidor externo, como un proveedor de identidades. |
ACS90007 |
405 |
Método de solicitud no permitido. |
Asegúrese de que el método HTTP (como GET y POST) usado sea compatible con ese extremo. |
ACS90008 |
403 |
El inquilino está deshabilitado. |
Asegúrese de que el espacio de nombres de Access Control está activo. |
ACS90009 |
404 |
No se encontró ningún <objeto> para el identificador especificado. |
Los detalles se encuentran en el mensaje. |
ACS90010 |
400 |
No compatible. (Puede que en el mensaje se encuentren más detalles). |
Los detalles se encuentran en el mensaje. |
ACS90011 |
400 |
Solicitud no válida. (Puede que en el mensaje se encuentren más detalles). |
Los detalles se encuentran en el mensaje. |
ACS90012 |
408 |
Se agotó el tiempo de espera de la solicitud al servidor. |
Los detalles se encuentran en el mensaje. |
ACS90013 |
400 |
Entrada de usuario no válida. (Puede que en el mensaje se encuentren más detalles). |
Los detalles se encuentran en el mensaje. |
ACS90014 |
400 |
Falta el campo obligatorio '<Field>'. |
Asegúrese de que la solicitud a ACS contiene todos los parámetros requeridos por el protocolo que está usando. |
ACS90015 |
403 |
No autorizado: las claves de servicio están restringidas para este inquilino. |
ACS no mostrará las claves que pertenecen a los espacios de nombres ServiceBus y Cache. Para ver esas claves, use el portal de ServiceBus o Cache. |
ACS90016 |
400 |
Los bits "<Tamaño de> clave" son un tamaño de clave no válido. El tamaño de la clave debe ser mayor que 0 y múltiplo de 8. |
|
ACS90046 |
503 |
Servicio no disponible |
La solicitud de token se rechaza porque ACS está ocupado respondiendo a solicitudes de token desde todos los espacios de nombres. Espere unos segundos e intente de nuevo las solicitudes con intervalos cada vez mayores. Para obtener más información, consulte Directrices de reintento de ACS. |
ACS90055 |
429 |
Demasiadas solicitudes |
La solicitud de token se rechaza porque este espacio de nombres superó la tasa de solicitud de tokens máxima de 30 tokens por segundo durante un período prolongado. Espere unos segundos e intente de nuevo las solicitudes con intervalos cada vez mayores. Si se repite el error, piense en redistribuir la carga de trabajo entre varios espacios de nombres. Para obtener más información, consulte Limitaciones del servicio ACS. |