ACS-hibakódok
Frissítve: 2015. június 19.
Érintett kiadások: Azure
Ez a témakör a Microsoft Azure Active Directory Access Control (más néven Access Control Szolgáltatás vagy ACS) használatakor előforduló leggyakoribb hibaüzeneteket, valamint a hiba javításához szükséges műveleteket tartalmazza, ha vannak ilyenek. Az egyéni hibakezelés hibakódok alapján történő biztosításával kapcsolatos információkért lásd: Útmutató: Hiba URL-cím használata egyéni hibakezeléshez.
Fontos
Az ACS-névterek áttelepíthetik Google-identitásszolgáltatói konfigurációikat az OpenID 2.0-ról az OpenID Csatlakozás. A migrálást 2015. június 1. előtt kell elvégezni. Részletes útmutatásért lásd: ACS-névterek migrálása a Google OpenID-Csatlakozás.
Fontos
Ne használjon ACS-hibakódokat vagy -leírásokat az alkalmazáslogikában. Hibakezelő kód írásakor használja a HTTP-állapot és a hibakódok értékeit. Az ACS hibakódjai és a hibaleírások bármikor, figyelmeztetés nélkül módosíthatók. További információ: Az ACS újrapróbálkozásokra vonatkozó irányelvei és az ACS-szolgáltatás korlátozásai.
Active Federation Protocol-hibák, beleértve a SOAP-t és a WS-Trust
| ACS-hiba | HTTP-állapotkód | Üzenet | Orvosolni |
|---|---|---|---|
ACS10000 |
400 |
Hiba történt a SOAP-üzenet feldolgozása közben |
A részletek az üzenetben találhatók. |
ACS10001 |
400 |
Hiba történt a SOAP-fejléc feldolgozása közben |
A részletek az üzenetben találhatók. |
ACS10002 |
400 |
Hiba történt a SOAP-törzs feldolgozása közben |
A részletek az üzenetben találhatók. |
ACS10003 |
400 |
Hiba történt a biztonsági fejléc feldolgozása közben |
A részletek az üzenetben találhatók. |
WS-Federation protokollhibák, beleértve az összevonási metaadatokat
Az ebben a szakaszban szereplő hibák WS-Federation protokollhoz és WS-Federation metaadatokhoz kapcsolódnak.
Érvényes WS-FederationMetadata.xml fájl létrehozásához használja a FedUtil vagy az Identity and Access eszközt a Visual Studio 2012-ben. Az ACS felügyeleti portál egy WS-Federation metaadat-dokumentumot is létrehoz minden Access Control névtérhez. A megtekintéséhez az ACS felügyeleti portálon kattintson az Alkalmazásintegráció elemre.
WS-Federation metaadatok testreszabásához használja a Microsoft.IdentityModel.Protocols.WSFederation.Metadata névtér osztályait.
Az OASIS szabvány WS-Federation metaadat XML-séma specifikációját a Web Services Összevonási nyelv (WS-Federation) 1.2-es verziójának 3. szakaszában találja.http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942
Az egyes hibákkal és azok megoldásával kapcsolatos további információkért tekintse meg a táblázat bejegyzéseit.
| Hiba | HTTP-állapotkód | Üzenet | Orvosolni |
|---|---|---|---|
ACS20000 |
400 |
Hiba történt egy WS-Federation bejelentkezési kérés feldolgozása során |
A részletek az üzenetben találhatók. |
ACS20001 |
400 |
Hiba történt egy WS-Federation bejelentkezési válasz feldolgozása során |
A részletek az üzenetben találhatók. |
ACS20002 |
400 |
Hiba történt az összevonási metaadatok létrehozása közben |
További részletek az üzenetben találhatók. Ellenőrizze, hogy van-e elsődleges jogkivonat-aláíró tanúsítvány a Access Control névtérben. |
ACS20003 |
400 |
Hiba történt az összevonási metaadatok importálása közben |
További részletek az üzenetben találhatók. Győződjön meg arról, hogy a metaadat URL-címe vagy a metaadatfájl érvényes. |
ACS20004 |
Az entitás nem kérhető le a metaadatokból |
Győződjön meg arról, hogy a metaadatfájl tartalmaz egy entitásazonosítót. |
|
ACS20005 |
Több metaadat-entitás nem támogatott |
Győződjön meg arról, hogy az összevonási metaadatok pontosan egy entitást tartalmaznak. |
|
ACS20006 |
Nem találhatók biztonságijogkivonat-szolgáltatásleírók |
Győződjön meg arról, hogy az összevonási metaadatok pontosan egy biztonságijogkivonat-szolgáltatásleírót tartalmaznak. |
|
ACS20007 |
Több biztonságijogkivonat-szolgáltatásleíró nem támogatott |
Győződjön meg arról, hogy az összevonási metaadatok pontosan egy biztonságijogkivonat-szolgáltatásleírót tartalmaznak. |
|
ACS20008 |
400 |
Csak a WS-Federation támogató identitásszolgáltatók importálhatók. |
Győződjön meg arról, hogy az összevonási metaadatok "fed:SecurityTokenServiceType" típusú RoleDescriptor leírót tartalmaznak. |
ACS20009 |
400 |
Hiba történt a WS-Federation metaadat-dokumentum olvasásakor |
Az ACS nem tudta elemezni a megadott metaadat-dokumentumot, ezért érvénytelen lehet. A dokumentumot a Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata() használatával ellenőrizheti. |
ACS20010 |
Nem találhatók alkalmazásszolgáltatás-leírók |
Győződjön meg arról, hogy a metaadatfájl tartalmaz egy alkalmazásszolgáltatás-leírót. |
|
ACS20011 |
Több alkalmazásszolgáltatás-leíró nem támogatott |
Győződjön meg arról, hogy a metaadatfájl csak egy alkalmazásszolgáltatás-leírót tartalmaz. |
|
ACS20012 |
400 |
A bejövő kérés nem érvényes WS-Federation kérés |
Győződjön meg arról, hogy a kérés érvényes WS-Federation bejelentkezési kérés vagy bejelentkezési válasz, és hogy tartalmazza az összes szükséges paramétert. |
ACS20014 |
400 |
A WS-Federation metaadat-dokumentum nem megfelelően formázott XML |
Ez a hiba akkor fordul elő, ha a WS-Federation metaadat-dokumentum XML-fájlja nem szintaktikailag helyes, például ha a dokumentumhoz extra vagy hiányzó szögletes zárójelek vagy címkék vannak. Ez leggyakrabban akkor fordul elő, ha manuálisan kísérel meg létrehozni vagy szerkeszteni egy WS-FederationMetadata.xml dokumentumot. Ez a hiba nem kapcsolódik a metaadat XML-sémájának való megfelelőséghez. A hiba elhárításához használjon XML-érvényesítő eszközt, például a 2007-Visual Studio vagy az XML Jegyzettömb eszközét. |
OpenID protokollhibák
| Hiba | HTTP-állapotkód | Üzenet | Orvosolni |
|---|---|---|---|
ACS30000 |
400 |
Hiba történt egy OpenID bejelentkezési válasz feldolgozása közben. |
A részletek az üzenetben találhatók. |
ACS30001 |
400 |
Nem sikerült ellenőrizni az OpenID válaszaláírást. |
Az OpenID-aláírás érvénytelen volt, vagy az identitásszolgáltató elutasította. Győződjön meg arról, hogy az üzenetet nem módosították. |
A Facebook Graph protokollhibái
| Hiba | HTTP-állapotkód | Üzenet | Orvosolni |
|---|---|---|---|
ACS40000 |
400 |
Hiba történt a Facebook bejelentkezési válaszának feldolgozása közben. Ezt a Facebook-alkalmazás érvénytelen konfigurációja okozhatja. |
Ellenőrizze, hogy az ACS-ben konfigurált alkalmazásazonosító és titkos kód megegyezik-e a Facebook fejlesztői portálon megadott értékekkel. |
ACS40001 |
400 |
Hiba történt, amikor hozzáférési jogkivonatot próbált lekérni a Facebookról. |
Győződjön meg arról, hogy az alkalmazásazonosító és az ACS-en keresztül konfigurált alkalmazáskulcs érvényes. |
Általános biztonsági jogkivonat-szolgáltatáshibák, beleértve az identitásszolgáltató metaadatait
| Hiba | HTP-állapotkód | Üzenet | Orvosolni |
|---|---|---|---|
ACS50000 |
Hiba történt egy jogkivonat kiállítása közben. |
A részletek az üzenetben találhatók. |
|
ACS50001 |
400 |
A kért függő< entitás "Tartomány URL-címe>" tartománya ismeretlen. |
A jogkivonat-kérelemben megadott AppliesTo és az ACS-ben konfigurált tartományok nem egyeznek. Ellenőrizze, hogy: 1. A függő entitás tartománya megfelelően van konfigurálva. Ezt a felügyeleti portálon vagy a Felügyeleti szolgáltatással teheti meg a RelyingParty.RelyingPartyAddresses bejegyzéseinek megtekintésével.2. A függő entitás társítva van az identitásszolgáltatóval. Ezt a Felügyeleti portálon vagy a Felügyeleti szolgáltatással is megteheti, ha megtekinti a RelyingPartyIdentityProviders bejegyzéseit. |
ACS50002 |
400 |
Érvénytelen szolgáltatáskonfiguráció. (A részletek az üzenetben találhatók.) |
A részletek az üzenetben találhatók. |
ACS50003 |
400 |
Nincs elsődleges szimmetrikus aláírókulcs konfigurálva. Az SWT-hez szimmetrikus aláírókulcsra van szükség. |
Ha a kiválasztott függő entitás SWT-t használ a jogkivonat típusaként, ellenőrizze, hogy a függő entitáshoz vagy a Access Control névtérhez van-e szimmetrikus kulcs konfigurálva, és hogy a kulcs elsődlegesre van-e állítva, és az érvényességi időszakon belül. |
ACS50004 |
400 |
Nincs konfigurálva elsődleges X.509 aláíró tanúsítvány. Az SAML-hez aláíró tanúsítványra van szükség. |
Ha a kiválasztott függő entitás SAML-t használ jogkivonattípusként, győződjön meg arról, hogy érvényes X.509-tanúsítvány van konfigurálva a függő entitáshoz vagy a Access Control névtérhez. A tanúsítványnak elsődlegesnek kell lennie, és az érvényességi időszakon belül kell lennie. |
ACS50005 |
400 |
Jogkivonat-titkosítás szükséges, de a függő entitáshoz nincs titkosító tanúsítvány konfigurálva. |
Tiltsa le a választott függő entitás jogkivonat-titkosítását, vagy töltsön fel egy X.509-tanúsítványt a jogkivonat-titkosításhoz. |
ACS50006 |
403 |
Az aláírás ellenőrzése nem sikerült. (Előfordulhat, hogy az üzenet további részleteket tartalmaz.) |
Győződjön meg arról, hogy az ACS-en keresztül konfigurált ellenőrző kulcsok érvényesek. |
ACS50007 |
400 |
Az aláírás nem található. |
Győződjön meg arról, hogy a bejövő jogkivonat aláírt és érvényes. |
ACS50008 |
401 |
Az SAML-jogkivonat érvénytelen. (Előfordulhat, hogy az üzenet további részleteket tartalmaz.) |
További információ: Az ACS50008 hiba kijavítása. |
ACS50009 |
401 |
Az SWT-jogkivonat érvénytelen. (Előfordulhat, hogy az üzenet további részleteket tartalmaz.) |
A részletek az üzenetben találhatók. |
ACS50010 |
403 |
A célközönség URI-ellenőrzése nem sikerült. (Előfordulhat, hogy az üzenet további részleteket tartalmaz.) |
Győződjön meg arról, hogy a bejövő jogkivonat célközönsége a következőre van állítva: https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
A Válaszcím hiányzik, vagy nem egyezik a tartományéval. |
A WS-Federation használatához a függő entitásoknak legalább egy válaszcímet konfigurálniuk kell. |
ACS50012 |
401 |
A hitelesítés sikertelen. (Előfordulhat, hogy az üzenet további részleteket tartalmaz.) |
Amikor egy több-bérlős alkalmazás egy olyan Azure AD-bérlő Graph API eléréséhez próbál jogkivonatot beszerezni, amely nemrég hozzájárult az alkalmazáshoz, a jogkivonat-kérés átmenetileg meghiúsulhat az ACS50012 hiba miatt. A probléma megoldásához várjon néhány percet, és próbálkozzon újra. Vagy kérje meg a bérlői rendszergazdát, hogy a hozzájárulás megadása után jelentkezzen be az alkalmazásba. |
ACS50013 |
400 |
Az URI-érték szegmenseinek száma meghaladja az elérésiút-szegmensek maximális elfogadható számát. |
Győződjön meg arról, hogy az URI-érték szegmenseinek száma egyenlő vagy kisebb, mint 32. |
ACS50014 |
400 |
Az önkiszolgáló jogcímek nem engedélyezettek a szolgáltatás- és felügyeleti identitásokhoz. |
Győződjön meg arról, hogy a szolgáltatásidentitás-hitelesítési jogkivonat nem tartalmaz jogcímeket, vagy csak a névazonosító jogcímet. |
ACS50015 |
400 |
Hiba történt az identitásszolgáltató metaadatainak lekérése közben. |
További részletek az üzenetben találhatók. Győződjön meg arról, hogy a metaadat URL-címe vagy a fájl érvényes. |
ACS50016 |
400 |
A "<Tanúsítvány tulajdonosának neve>" tárgyú X509Certificate és a "<Tanúsítvány ujjlenyomata>" ujjlenyomat nem egyezik a konfigurált tanúsítvánnyal. |
Győződjön meg arról, hogy a kért tanúsítvány fel lett töltve az ACS-be. |
ACS50017 |
401 |
A "<Tanúsítvány tulajdonosának neve>" és a kiállító "<Kiállító neve>" tárgyú tanúsítvány érvényesítése sikertelen volt. |
Győződjön meg arról, hogy a tanúsítvány önaláírt vagy megbízható legfelső szintű hitelesítésszolgáltatóhoz kapcsolódik. A tanúsítványt szintén nem lehet visszavonni, és az érvényességi időn belül kell lennie. További információt az ACS50017 hiba kijavítása című témakörben talál. |
ACS50018 |
400 |
Hiányzik a tartomány. A függő entitás neve nincs megadva. |
Győződjön meg arról, hogy a kérelem tartalmaz egy tartományt. |
ACS50019 |
401 |
A felhasználó megszakította a bejelentkezést. |
|
ACS50020 |
401 |
A felhasználó nem jogosult. |
|
ACS50022 |
400 |
A "<Függvénynév>" visszahívási paraméter értéke nem érvényes JavaScript-függvénynév. |
Győződjön meg arról, hogy a megadott visszahívási paraméter egy érvényes JavaScript-függvénynév neve. Az érvényes JavaScript-függvénynevek csak betűket, számjegyeket és "$" és "_" karaktereket tartalmaznak, és nem kezdődhetnek számjegyekkel. A függvénynevek Unicode-karakterei nem támogatottak. |
ACS50026 |
A "name" nevű egyszerű nem érvényes rendszerbiztonsági tag. |
Ez a hiba azt jelzi, hogy a megadott név alapján történő entitáskeresési kísérlet meghiúsult, mert az entitás nem ismert az ACS számára. Ez az entitás lehet szolgáltatásidentitás, függő entitásalkalmazás vagy identitásszolgáltató a forgatókönyvtől függően. Ellenőrizze, hogy az entitás létezik-e a Access Control névtérben. |
|
ACS50042 |
401 |
Hiányzik a párirányú azonosító létrehozásához szükséges só. Ha az alkalmazás nemrég lett regisztrálva, várjon néhány percet az újrapróbálkozás előtt. |
Ha közvetlenül azután próbál bejelentkezni egy alkalmazásba, hogy hozzáadta Azure AD, a bejelentkezési kísérlet meghiúsulhat, amíg a kétirányú kulcsok szinkronizálódnak. Várjon néhány percet, és próbáljon meg újra bejelentkezni. További információ: ACS Újrapróbálkozás irányelvei. |
A szabálymotor, az adatok és a felügyeleti szolgáltatás hibái
| Hiba | HTTP-állapotkód | Üzenet | Orvosolni |
|---|---|---|---|
ACS 60000 |
403 |
Szabályzatmotor hibája |
A részletek az üzenetben találhatók. |
ACS60001 |
A szabályok feldolgozása során nem jöttek létre kimeneti jogcímek. |
A kiválasztott függő entitáshoz társított szabálycsoport(ok)nak nincsenek olyan szabályai, amelyek az identitásszolgáltató által létrehozott jogcímekre vonatkoznak. Konfiguráljon néhány szabályt a függő entitáshoz társított szabálycsoportban, vagy hozzon létre átmenő szabályokat a szabálycsoport-szerkesztővel. |
|
ACS60002 |
403 |
Elérte a jogkivonat-kérelmek számának kvótáját, és nem kérhető több. |
|
ACS60003 |
403 |
Írásvédett tulajdonság nem módosítható. |
Bizonyos beépített ACS-objektumok nem módosíthatók és nem törölhetők. |
ACS60004 |
409 |
Verzióütközés |
Verzióütközési hiba akkor jelenik meg, ha egy függő entitás, identitásszolgáltató, szolgáltatásidentitás vagy kiállító nevét egy másik függő entitás, identitásszolgáltató, szolgáltatásidentitás vagy kiállító nevével egyező névre próbálja frissíteni. A probléma megoldásához válasszon egy másik egyedi nevet. |
ACS60005 |
400 |
Érvénytelen vagy hiányzó szülővel rendelkező gyermekobjektumot próbált hozzáadni. |
Gyermekobjektumok, például címek esetén győződjön meg arról, hogy a szülőobjektum vagy objektumazonosító érvényes és a megfelelő típusú. |
ACS60006 |
400 |
Egy olyan objektum új másolatát kísérelte meg beszúrni, amely már létezik az adatbázisban. |
A beszúrni kívánt objektum megsérti az egyediség korlátozását. Győződjön meg arról, hogy az objektum tulajdonságai, például a név és a cím, szükség esetén egyediek. |
ACS60007 |
400 |
Érvénytelen X.509-tanúsítvány |
Ellenőrizze, hogy a megadott bájtok érvényes X.509-tanúsítvány-e. |
ACS60008 |
Nem található egyedi név ehhez az <objektumtípushoz>. |
||
ACS60012 |
A bemeneti jogcímek száma (#) meghaladja a korlátot (80). |
A bejövő jogkivonatnak legalább 80 jogcímet kell tartalmaznia ahhoz, hogy az ACS feldolgozhassa őket, majd sikeresen kibocsáthasson egy kimenő jogkivonatot. |
|
ACS60021 |
503 |
A szolgáltatás nem érhető el |
A rendszer elutasítja a jogkivonat-kérelmet, mert az ACS-adatkiszolgálók az összes névtér jogkivonat-kérelmeire válaszolnak. Várjon néhány másodpercet, és próbálkozzon újra a kérésekkel növekvő időközönként. További információkért lásd az ACS újrapróbálkozáshoz kapcsolódó irányelveit. |
OAuth 2.0 protokollhibák
| Hiba | HTTP-állapotkód | Üzenet | A hiba javításához szükséges művelet |
|---|---|---|---|
ACS70000 |
401 |
A megadott hozzáférési engedély érvénytelen, lejárt vagy visszavont. |
A részletek az üzenetben találhatók. |
ACS70001 |
401 |
Az ügyfél nem jogosult. |
|
ACS70002 |
401 |
Érvénytelen ügyfél. |
|
ACS70003 |
401 |
Az engedélyezési kiszolgáló nem támogatja a belefoglalt hozzáférési engedélyt. |
Az ACS felügyeleti portállal kapcsolatos hibák
| Hiba | HTTP-hibakód | Üzenet | A hiba javításához szükséges művelet |
|---|---|---|---|
ACS80001 |
404 |
Ez a szabály olyan jogcímkibocsátó-típus használatára van konfigurálva, amelyet a felügyeleti portál nem támogat. A szabály megtekintéséhez és szerkesztéséhez használja a felügyeleti szolgáltatást. |
Ez a hiba akkor fordul elő, ha egy szabály olyan kiállító használatára van konfigurálva, amely nem identitásszolgáltató vagy a Access Control szolgáltatás "HELYI HATÓSÁG" kibocsátója. Az ACS felügyeleti szolgáltatás használatával kapcsolatos részletekért lásd az ACS felügyeleti szolgáltatást. |
Egyéb hibák
| Hiba | HTTP-hibakód | Üzenet | Orvosolni |
|---|---|---|---|
ACS90002 |
404 |
Az URL-címben szereplő szolgáltatásnévtér neve érvénytelen. |
Ellenőrizze, hogy létezik-e a kért Access Control névtér. |
ACS90004 |
400 |
A kérés nincs megfelelően formázva. |
|
ACS90005 |
502 |
Külső kiszolgálóhiba. (További részletek az üzenetben találhatók.)) |
Hiba történt egy külső kiszolgálóval, például egy identitásszolgáltatóval folytatott kommunikáció során. |
ACS90006 |
504 |
Külső kiszolgáló időtúllépése. |
A kommunikáció túllépte az időkorlátot egy külső kiszolgálóval, például egy identitásszolgáltatóval folytatott kommunikáció során. |
ACS90007 |
405 |
A kérelemmetódus nem engedélyezett. |
Győződjön meg arról, hogy a végpont támogatja a használt HTTP-metódust (például GET és POST). |
ACS90008 |
403 |
A bérlő le van tiltva. |
Győződjön meg arról, hogy a Access Control névtér aktív. |
ACS90009 |
404 |
Nem <található objektum> a megadott azonosítóhoz. |
A részletek az üzenetben találhatók. |
ACS90010 |
400 |
Nem támogatott. (További részletek az üzenetben találhatók.) |
A részletek az üzenetben találhatók. |
ACS90011 |
400 |
Érvénytelen kérelem. (További részletek az üzenetben találhatók.) |
A részletek az üzenetben találhatók. |
ACS90012 |
408 |
A kiszolgálónak küldött kérés túllépte az időkorlátot. |
A részletek az üzenetben találhatók. |
ACS90013 |
400 |
Érvénytelen felhasználói bevitel. (További részletek az üzenetben találhatók.) |
A részletek az üzenetben találhatók. |
ACS90014 |
400 |
Hiányzik a kötelező "<Mező>" mező. |
Győződjön meg arról, hogy az ACS-nek küldött kérés tartalmazza a használt protokoll által megkövetelt összes paramétert. |
ACS90015 |
403 |
Nincs engedélyezve: A szolgáltatáskulcsok erre a bérlőre korlátozva vannak. |
Az ACS nem jeleníti meg a ServiceBus- és gyorsítótár-névterekhez tartozó kulcsokat. A kulcsok megtekintéséhez használja a ServiceBus vagy a Cache portált. |
ACS90016 |
400 |
A "<Kulcsméret>" bitek érvénytelen kulcsméretek. A kulcsméretnek 0-nál nagyobbnak és 8-nál többnek kell lennie. |
|
ACS90046 |
503 |
A szolgáltatás nem érhető el |
A jogkivonat-kérést a rendszer elutasítja, mert az ACS foglalt az összes névtérből érkező jogkivonat-kérelmek megválaszolásával. Várjon néhány másodpercet, és próbálkozzon újra a kérésekkel növekvő időközönként. További információ: ACS Újrapróbálkozás irányelvei. |
ACS90055 |
429 |
Túl sok kérelem |
A rendszer elutasítja a jogkivonat-kérést, mert ez a névtér hosszabb ideig meghaladta a másodpercenkénti 30 tokenes maximális tokenkérelmet. Várjon néhány másodpercet, és próbálkozzon újra a kérésekkel növekvő időközönként. Ha a hiba ismétlődik, fontolja meg a számítási feladat több névtérre való újraelosztását. További információ: ACS-szolgáltatás korlátozásai. |