Codes d'erreur ACS
Mise à jour : 19 juin 2015
S’applique à : Azure
Cette rubrique inclut les messages d’erreur les plus courants qui peuvent être rencontrés lors de l’utilisation de Microsoft Azure Active Directory Access Control (également appelé service Access Control ou ACS) et les actions requises pour corriger l’erreur, le cas échéant. Pour plus d’informations sur la façon de fournir une gestion des erreurs personnalisée en fonction des codes d’erreur, consultez Guide pratique pour utiliser une URL d’erreur pour la gestion des erreurs personnalisée.
Important
Les espaces de noms ACS peuvent migrer leurs configurations de fournisseur d'identité Google d'OpenID 2.0 vers OpenID Connect. La migration doit être terminée avant le 1er juin 2015. Pour obtenir des instructions détaillées, consultez Migration d’espaces de noms ACS vers Google OpenID Connecter.
Important
N'utilisez pas les codes d'erreur ACS ou leurs descriptions dans une logique d'application. Lors de l'écriture d'un code de gestion des erreurs, utilisez les valeurs des codes d'erreur et d'état HTTP. Les codes d'erreur ACS et leurs descriptions peuvent varier à tout moment sans avertissement préalable. Pour plus d’informations, consultez les instructions relatives aux nouvelles tentatives ACS et aux limitations du service ACS.
Erreurs de protocole de fédération actif, y compris SOAP et WS-Trust
| Erreur ACS | Code d’état HTTP | Message | Solution |
|---|---|---|---|
ACS10000 |
400 |
Une erreur s'est produite lors du traitement du message SOAP. |
Les détails se trouvent dans le message. |
ACS10001 |
400 |
Une erreur s'est produite lors du traitement de l'en-tête SOAP. |
Les détails se trouvent dans le message. |
ACS10002 |
400 |
Une erreur s'est produite lors du traitement du corps SOAP. |
Les détails se trouvent dans le message. |
ACS10003 |
400 |
Une erreur s'est produite lors du traitement de l'en-tête de sécurité. |
Les détails se trouvent dans le message. |
Erreurs de protocole WS-Federation, y compris les métadonnées de fédération
Les erreurs de cette section concernent le protocole WS-Federation et les métadonnées WS-Federation.
Pour générer un fichier WS-FederationMetadata.xml valide, utilisez FedUtil ou l’outil Identity and Access dans Visual Studio 2012. Le portail de gestion ACS génère également un document de métadonnées WS-Federation pour chaque espace de noms Access Control. Pour l’afficher, dans le portail de gestion ACS, cliquez sur Intégration de l’application.
Pour personnaliser WS-Federation métadonnées, utilisez les classes de l’espace de noms Microsoft.IdentityModel.Protocols.WSFederation.Metadata .
Pour connaître la spécification de schéma XML de métadonnées OASIS standard WS-Federation, consultez la section 3 de la norme WS-Federation (WS-Federation) version 1.2 à l’adresse http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.
Pour obtenir plus d'informations sur des erreurs précises et leurs solutions, consultez les entrées du tableau ci-dessous.
| Error | Code d’état HTTP | Message | Solution |
|---|---|---|---|
ACS20000 |
400 |
Une erreur s'est produite lors du traitement d'une demande de connexion WS-Federation. |
Les détails se trouvent dans le message. |
ACS20001 |
400 |
Une erreur s'est produite lors du traitement d'une réponse de connexion WS-Federation. |
Les détails se trouvent dans le message. |
ACS20002 |
400 |
Une erreur s'est produite lors de la tentative de création des métadonnées de fédération. |
Le message peut contenir davantage de détails. Vérifiez qu’il existe un certificat de signature de jeton principal dans votre espace de noms Access Control. |
ACS20003 |
400 |
Une erreur s'est produite lors de la tentative d'importation des métadonnées de fédération. |
Le message peut contenir davantage de détails. Assurez-vous que l'URL ou le fichier des métadonnées sont valides. |
ACS20004 |
Impossible de récupérer l'entité à partir des métadonnées. |
Assurez-vous que le fichier de métadonnées contient un ID d'entité. |
|
ACS20005 |
Plusieurs entités de métadonnées ne sont pas prises en charge. |
Assurez-vous que les métadonnées de fédération contiennent exactement une entité. |
|
ACS20006 |
Aucun descripteur de service de jeton de sécurité n'a été trouvé. |
Assurez-vous que les métadonnées de fédération contiennent exactement un descripteur de service de jeton de sécurité. |
|
ACS20007 |
Plusieurs descripteurs de service de jeton de sécurité ne sont pas pris en charge. |
Assurez-vous que les métadonnées de fédération contiennent exactement un descripteur de service de jeton de sécurité. |
|
ACS20008 |
400 |
Seuls les fournisseurs d’identité qui prennent en charge WS-Federation peuvent être importés. |
Assurez-vous que les métadonnées de fédération contiennent un paramètre RoleDescriptor de type « fed:SecurityTokenServiceType ». |
ACS20009 |
400 |
Une erreur s'est produite lors de la lecture du document de métadonnées WS-Federation. |
ACS n’a pas pu analyser le document de métadonnées fourni. Il peut donc ne pas être valide. Vous pouvez valider votre document en l'exécutant via Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata(). |
ACS20010 |
Aucun descripteur de service d'application n'a été trouvé. |
Assurez-vous que le fichier de métadonnées contient un descripteur de service d'application. |
|
ACS20011 |
Plusieurs descripteurs de service d'application ne sont pas pris en charge. |
Assurez-vous que le fichier de métadonnées contient exactement un descripteur de service d'application. |
|
ACS20012 |
400 |
La demande entrante n'est pas une demande WS-Federation valide. |
Assurez-vous que la demande est une demande ou une réponse de connexion WS-Federation valide et qu'elle contient tous les paramètres requis. |
ACS20014 |
400 |
Le code XML du document de métadonnées WS-Federation est malformé. |
Cette erreur se produit lorsque le code XML du document de métadonnées WS-Federation comporte des fautes de syntaxe. Par exemple, dans le cas de crochets ou de balises en trop ou manquants. Cela se produit le plus souvent lorsque vous tentez de créer ou de modifier manuellement un document WS-FederationMetadata.xml. Cette erreur n’est pas liée à la conformité au schéma XML de métadonnées. Pour résoudre cette erreur, utilisez un outil de validateur XML, tel que les outils dans Visual Studio ou XML Bloc-notes 2007. |
Erreurs de protocole OpenID
| Error | Code d’état HTTP | Message | Solution |
|---|---|---|---|
ACS30000 |
400 |
Une erreur s'est produite lors du traitement d'une réponse de connexion OpenID. |
Les détails se trouvent dans le message. |
ACS30001 |
400 |
Impossible de vérifier la signature de la réponse OpenID. |
La signature OpenID n'était pas valide ou a été rejetée par le fournisseur d'identité. Assurez-vous que le message n'a pas été falsifié. |
Erreurs de protocole Graph Facebook
| Error | Code d’état HTTP | Message | Solution |
|---|---|---|---|
ACS40000 |
400 |
Une erreur s'est produite lors du traitement d'une réponse de connexion Facebook. Ce problème peut être dû à une configuration incorrecte de l'application Facebook. |
Vérifiez que l’ID d’application et le secret configurés sur ACS correspondent aux mêmes valeurs dans le portail des développeurs Facebook. |
ACS40001 |
400 |
Une erreur s'est produite lors de la tentative d'obtention d'un jeton d'accès auprès de Facebook. |
Vérifiez que le secret et l'ID de l'application configurés sur ACS sont valides. |
Erreurs générales de service de jeton de sécurité, y compris les métadonnées de fournisseur d'identité
| Error | Code d'état HTTP | Message | Solution |
|---|---|---|---|
ACS50000 |
Une erreur s'est produite lors de l'émission du jeton. |
Les détails se trouvent dans le message. |
|
ACS50001 |
400 |
Le domaine de partie de confiance demandé «< URL> du domaine » est inconnu. |
Il y a eu une incompatibilité entre l’objet AppliesTo donné dans la demande de jeton et les domaines que vous avez configurés dans ACS. Vérifiez que : 1. Le domaine de votre partie de confiance est correctement configuré. Pour cela, vous pouvez utiliser le portail de gestion ou le service de gestion, en vérifiant les entrées RelyingParty.RelyingPartyAddresses. 2. Votre fournisseur de partie de confiance a été associé au fournisseur d'identité. Pour cela, vous pouvez aussi utiliser le portail de gestion ou le service de gestion afin de vérifier les entrées RelyingPartyIdentityProviders. |
ACS50002 |
400 |
Configuration de service non valide. (Les détails se trouvent dans le message.) |
Les détails se trouvent dans le message. |
ACS50003 |
400 |
Aucune clé de signature symétrique primaire n'est configurée. Une clé de signature symétrique est nécessaire pour SWT. |
Si la partie de confiance choisie utilise SWT comme type de jeton, vérifiez qu’une clé symétrique est configurée pour la partie de confiance ou l’espace de noms Access Control, et que la clé est définie sur primaire et dans sa période de validité. |
ACS50004 |
400 |
Aucun certificat de signature X.509 primaire n'est configuré. Un certificat de signature est nécessaire pour SAML. |
Si la partie de confiance choisie utilise SAML comme type de jeton, vérifiez qu’un certificat X.509 valide est configuré pour la partie de confiance ou l’espace de noms Access Control. Le certificat doit être défini en tant que certificat principal et être encore valide. |
ACS50005 |
400 |
Le chiffrement des jetons est requis, mais aucun certificat de chiffrement n'est configuré pour la partie de confiance. |
Désactivez le chiffrement des jetons pour la partie de confiance choisie ou téléchargez un certificat X.509 à utiliser pour le chiffrement des jetons. |
ACS50006 |
403 |
Échec de la vérification de signature. (Le message peut contenir davantage de détails.) |
Assurez-vous que les clés de vérification configurées sur ACS sont valides. |
ACS50007 |
400 |
Signature introuvable. |
Assurez-vous que le jeton entrant est signé et valide. |
ACS50008 |
401 |
Le jeton SAML n’est pas valide. (Le message peut contenir davantage de détails.) |
Pour plus d’informations, consultez Guide pratique pour corriger l’erreur ACS50008. |
ACS50009 |
401 |
Le jeton SWT n'est pas valide. (Le message peut contenir davantage de détails.) |
Les détails se trouvent dans le message. |
ACS50010 |
403 |
La validation de l'URI d'audience a échoué. (Le message peut contenir davantage de détails.) |
Assurez-vous que l’audience du jeton entrant est définie sur https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
L'adresse ReplyTo est manquante ou ne correspond pas au domaine. |
Pour fonctionner avec WS-Federation, une partie de confiance doit disposer d'au moins une adresse ReplyTo configurée. |
ACS50012 |
401 |
Échec de l'authentification. (Le message peut contenir davantage de détails.) |
Lorsqu'une application mutualisée tente d'acquérir un jeton pour accéder à l'API Graph pour un locataire Azure AD qui a récemment consenti à l'application, la demande de jeton peut momentanément échouer avec l'erreur ACS50012. Pour résoudre le problème, patienter quelques minutes et réessayez. Sinon, demandez à l'administrateur du locataire qui a donné le consentement de se connecter à l'application après le consentement. |
ACS50013 |
400 |
Le nombre de segments dans la valeur de l'URI dépasse le nombre maximum acceptable de segments de chemin. |
Assurez-vous que le nombre de segments dans la valeur d'URI est inférieur ou égal à 32. |
ACS50014 |
400 |
Les revendications auto-défendues ne sont pas autorisées pour les identités de service et de gestion. |
Vérifiez que votre jeton d’authentification d’identité de service ne contient aucune revendication ou uniquement la revendication d’identificateur de nom. |
ACS50015 |
400 |
Une erreur s'est produite lors de la tentative d'obtention des métadonnées du fournisseur d'identité. |
Le message peut contenir davantage de détails. Assurez-vous que l'URL ou le fichier des métadonnées sont valides. |
ACS50016 |
400 |
X509Certificate avec le sujet «< Nom> de l’objet du certificat » et empreinte numérique «<> Empreinte numérique de certificat » ne correspond à aucun certificat configuré. |
Vérifiez que le certificat demandé a été téléchargé vers ACS. |
ACS50017 |
401 |
Le certificat avec le sujet «< Nom> de l’objet du certificat » et l’émetteur «< Nom> de l’émetteur » ont échoué. |
Assurez-vous que le certificat est auto-signé ou qu'il provient d'une autorité de certification racine fiable. Le certificat doit également ne pas avoir été révoqué et être encore valide. Pour plus d’informations, consultez Comment corriger l’erreur ACS50017. |
ACS50018 |
400 |
Domaine manquant. Le nom de la partie de confiance manquante n'était pas spécifié. |
Assurez-vous que la demande contient un domaine. |
ACS50019 |
401 |
La connexion a été annulée par l'utilisateur. |
|
ACS50020 |
401 |
L'utilisateur n'est pas autorisé. |
|
ACS50022 |
400 |
La valeur du paramètre de rappel «< Nom> de la fonction » n’est pas un nom de fonction JavaScript valide. |
Assurez-vous que le paramètre de rappel spécifié est un nom de fonction JavaScript valide. Les noms de fonction JavaScript valides contiennent uniquement des lettres, des chiffres, ainsi que des caractères « $ » et « _ », et ne doivent pas commencer par un chiffre. Les caractères Unicode contenus dans les noms de fonction ne sont pas pris en charge. |
ACS50026 |
Un principal nommé « nom » n'est pas valide. |
Cette erreur indique qu’une tentative de recherche d’une entité par le nom spécifié a échoué, car l’entité n’est pas connue pour ACS. Selon le scénario, cette entité peut être une identité de service, une application par partie de confiance ou un fournisseur d'identité. Vérifiez que cette entité existe dans votre espace de noms Access Control. |
|
ACS50042 |
401 |
La valeur salt nécessaire pour générer l'identificateur individuel est manquante. Si cette application a été enregistrée récemment, patientez quelques minutes avant de retenter l'opération. |
Si vous essayez de vous connecter à l'application immédiatement après l'avoir ajoutée à Azure AD, la tentative de connexion risque d'échouer jusqu'à ce que les clés individuelles soient synchronisées. Attendez quelques minutes, puis tentez de vous connecter à nouveau. Pour plus d’informations, consultez Recommandations de nouvelle tentative ACS. |
Erreurs liées au service de gestion, aux données et au moteur de règles
| Error | Code d’état HTTP | Message | Solution |
|---|---|---|---|
ACS 60000 |
403 |
Erreur de moteur de stratégies. |
Les détails se trouvent dans le message. |
ACS60001 |
Aucune revendication de sortie n'a été générée pendant le traitement des règles. |
Les groupes de règles associés à la partie de confiance choisie ne contiennent aucune règle applicable aux revendications générées par votre fournisseur d'identité. Configurez des règles dans un groupe de règles associé à votre partie de confiance ou générez des règles de transfert direct à l'aide de l'éditeur du groupe de règles. |
|
ACS60002 |
403 |
Le quota du nombre de demandes de jeton a été atteint et aucune autre demande ne peut être effectuée. |
|
ACS60003 |
403 |
Impossible de modifier une propriété en lecture seule. |
Certains objets ACS intégrés ne peuvent pas être modifiés ou supprimés. |
ACS60004 |
409 |
Conflit de versions. |
Une erreur de conflit de version peut être reçue lors de la mise à jour du nom d'une partie de confiance, d'un fournisseur d'identité, d'une identité de service ou d'un émetteur vers un nom déjà existant. Choisissez un nom différent pour résoudre ce problème. |
ACS60005 |
400 |
Tentative d'ajout d'un objet enfant avec un parent non valide ou manquant. |
Pour les objets enfants, tels que les adresses, assurez-vous que l'objet parent ou l'ID d'objet est valide et de type adéquat. |
ACS60006 |
400 |
Tentative d'insertion d'une nouvelle copie d'un objet qui existe déjà dans la base de données. |
L'objet que vous tentez d'insérer ne respecte pas une contrainte d'unicité. Assurez-vous que les propriétés de l'objet, telles que le nom et l'adresse, sont uniques si cela est requis. |
ACS60007 |
400 |
Certificat X.509 non valide. |
Assurez-vous que les octets fournis constituent un certificat X.509 valide. |
ACS60008 |
Impossible de trouver un nom unique pour ce <type> d’objet. |
||
ACS60012 |
Le nombre de revendications d'entrée (#) dépasse la limite (80). |
Votre jeton entrant doit comporter 80 revendications au maximum pour qu'ACS puisse les traiter et émettre un jeton sortant. |
|
ACS60021 |
503 |
Service indisponible |
La demande de jeton est rejetée : les serveurs de données ACS sont occupés à répondre aux demandes de jeton émanant des espaces de noms. Patientez quelques secondes et retentez la demande en augmentant les intervalles. Pour plus d’informations, consultez Recommandations de nouvelle tentative ACS. |
Erreurs de protocole OAuth 2.0
| Error | Code d’état HTTP | Message | Action requise pour résoudre l'erreur |
|---|---|---|---|
ACS70000 |
401 |
L'octroi d'accès fourni n'est pas valide, a expiré ou a été révoqué. |
Les détails se trouvent dans le message. |
ACS70001 |
401 |
Le client n'est pas autorisé. |
|
ACS70002 |
401 |
Client non valide. |
|
ACS70003 |
401 |
L'octroi d'accès inclus n'est pas pris en charge par le serveur d'autorisation. |
Erreurs du portail de gestion ACS
| Error | Code d'erreur HTTP | Message | Action requise pour résoudre l'erreur |
|---|---|---|---|
ACS80001 |
404 |
Cette règle est configurée pour utiliser un type d'émetteur de revendication non pris en charge par le portail de gestion. Utilisez le service de gestion pour afficher et modifier cette règle. |
Cette erreur se produit si une règle est configurée pour utiliser un émetteur qui ne soit pas un fournisseur d'identité ou l'émetteur « LOCAL AUTHORITY » du service de contrôle d'accès. Pour plus d’informations sur l’utilisation du service de gestion ACS, consultez le service de gestion ACS. |
Autres erreurs
| Error | Code d'erreur HTTP | Message | Solution |
|---|---|---|---|
ACS90002 |
404 |
Le nom de l'espace de noms de service dans l'URL n'est pas valide. |
Vérifiez que l’espace de noms Access Control demandé existe. |
ACS90004 |
400 |
La demande n'est pas formatée correctement. |
|
ACS90005 |
502 |
Erreur de serveur externe. (Le message peut contenir davantage de détails.) |
Une erreur s'est produite pendant la communication avec un serveur externe, tel qu'un fournisseur d'identité. |
ACS90006 |
504 |
Expiration du serveur externe. |
La communication a expiré pendant l'échange avec un serveur externe, tel qu'un fournisseur d'identité. |
ACS90007 |
405 |
Méthode de demande non autorisée. |
Assurez-vous que la méthode HTTP (par exemple, GET et POST) utilisée est prise en charge par ce point de terminaison. |
ACS90008 |
403 |
Le locataire est désactivé. |
Assurez-vous que votre espace de noms Access Control est actif. |
ACS90009 |
404 |
Aucun objet> n’a <été trouvé pour l’ID donné. |
Les détails se trouvent dans le message. |
ACS90010 |
400 |
Non pris en charge. (Le message peut contenir davantage de détails.) |
Les détails se trouvent dans le message. |
ACS90011 |
400 |
Demande non valide. (Le message peut contenir davantage de détails.) |
Les détails se trouvent dans le message. |
ACS90012 |
408 |
La demande envoyée au serveur a expiré. |
Les détails se trouvent dans le message. |
ACS90013 |
400 |
Entrée utilisateur non valide. (Le message peut contenir davantage de détails.) |
Les détails se trouvent dans le message. |
ACS90014 |
400 |
Le champ obligatoire «< Champ> » est manquant. |
Assurez-vous que votre demande auprès d’ACS contient tous les paramètres requis par le protocole que vous utilisez. |
ACS90015 |
403 |
Non autorisé : les clés de service sont restreintes pour ce locataire. |
ACS n’affiche pas les clés appartenant aux espaces de noms ServiceBus et Cache. Pour les afficher, utilisez le portail ServiceBus ou Cache. |
ACS90016 |
400 |
Les bits «< Taille> de clé » sont une taille de clé non valide. La taille de la clé doit être supérieure à 0 et un multiple de 8. |
|
ACS90046 |
503 |
Service indisponible |
La demande de jeton est rejetée : ACS est occupé à répondre aux demandes de jeton émanant des espaces de noms. Patientez quelques secondes et retentez la demande en augmentant les intervalles. Pour plus d’informations, consultez Recommandations de nouvelle tentative ACS. |
ACS90055 |
429 |
Trop de demandes |
La demande de jeton est rejetée : cet espace de noms a dépassé le taux maximal de demande de jeton qui est de 30 jetons par seconde pour une période prolongée. Patientez quelques secondes et retentez la demande en augmentant les intervalles. Si l'erreur se produit à nouveau, envisagez une redistribution de la charge de travail sur plusieurs espaces de noms. Pour plus d’informations, consultez Limitations du service ACS. |