ACS エラー コード
更新日: 2015 年 6 月 19 日
適用先:Azure
このトピックには、Microsoft Azure Active Directory Access Control (Access Control サービスまたは ACS とも呼ばれます) を使用するときに発生する可能性がある最も一般的なエラー メッセージと、該当する場合にエラーを修正するために必要なアクションが含まれています。 エラー コードに基づいてカスタム エラー処理を提供する方法については、「 方法: カスタム エラー処理にエラー URL を使用する」を参照してください。
重要
ACS 名前空間では Google ID プロバイダー構成を OpenID 2.0 から OpenID Connect に移行できます。 移行は 2015 年 6 月 1 日までに完了する必要があります。 詳細なガイダンスについては、「ACS 名前空間を Google OpenID Connectに移行する」を参照してください。
重要
アプリケーション ロジックでは ACS エラー コードや説明を使用しないでください。 エラー処理コードを記述する場合は、HTTP 状態コードおよびエラー コードの値を使用してください。 ACS エラー コードとエラーの説明は警告なしで随時変更される可能性があります。 詳細については、「 ACS 再試行ガイドライン 」および 「ACS サービスの制限事項」を参照してください。
SOAP および WS-Trust を含む、アクティブ フェデレーション プロトコル エラー
| ACS エラー | HTTP 状態コード | Message | 解決方法 |
|---|---|---|---|
ACS10000 |
400 |
SOAP メッセージの処理中にエラーが発生しました |
詳細はメッセージに表示されます。 |
ACS10001 |
400 |
SOAP ヘッダーの処理中にエラーが発生しました |
詳細はメッセージに表示されます。 |
ACS10002 |
400 |
SOAP 本文の処理中にエラーが発生しました |
詳細はメッセージに表示されます。 |
ACS10003 |
400 |
セキュリティ ヘッダーの処理中にエラーが発生しました |
詳細はメッセージに表示されます。 |
フェデレーション メタデータを含む、WS-Federation プロトコル エラー
このセクションのエラーは、WS-Federation プロトコルと WS-Federation メタデータに関連しています。
有効なWS-FederationMetadata.xml ファイルを生成するには、FedUtil または Visual Studio 2012 の ID およびアクセス ツールを使用します。 ACS 管理ポータルでは、Access Control名前空間ごとにWS-Federationメタデータ ドキュメントも生成されます。 これを表示するには、ACS 管理ポータルで [ アプリケーション統合] をクリックします。
WS-Federationメタデータをカスタマイズするには、 Microsoft.IdentityModel.Protocols.WSFederation.Metadata 名前空間のクラスを使用します。
OASIS 標準WS-Federationメタデータ XML スキーマ仕様については、 Web サービスフェデレーション言語 (WS-Federation) バージョン 1.2 標準 http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942のセクション 3 を参照してください。
特定のエラーとその解決方法の詳細については、以下のテーブルのエントリを参照してください。
| エラー | HTTP 状態コード | Message | 解決方法 |
|---|---|---|---|
ACS20000 |
400 |
WS-Federation サインイン要求の処理中にエラーが発生しました |
詳細はメッセージに表示されます。 |
ACS20001 |
400 |
WS-Federation サインイン応答の処理中にエラーが発生しました |
詳細はメッセージに表示されます。 |
ACS20002 |
400 |
フェデレーション メタデータを生成しようとして、エラーが発生しました |
詳細はメッセージに表示されている可能性があります。 Access Control名前空間にプライマリ トークン署名証明書があることを確認します。 |
ACS20003 |
400 |
フェデレーション メタデータをインポートしようとして、エラーが発生しました |
詳細はメッセージに表示されている可能性があります。 メタデータ URL またはメタデータ ファイルが有効であることを確認します。 |
ACS20004 |
メタデータからエンティティを取得できません |
メタデータ ファイルにエンティティ ID が含まれていることを確認します。 |
|
ACS20005 |
複数のメタデータ エンティティはサポートされていません |
フェデレーション メタデータにエンティティが 1 つだけ含まれていることを確認します。 |
|
ACS20006 |
セキュリティ トークン サービスの記述子が見つかりませんでした |
フェデレーション メタデータにセキュリティ トークン サービスの記述子が 1 つだけ含まれていることを確認します。 |
|
ACS20007 |
複数のセキュリティ トークン サービスの記述子はサポートされていません |
フェデレーション メタデータにセキュリティ トークン サービスの記述子が 1 つだけ含まれていることを確認します。 |
|
ACS20008 |
400 |
インポートできるのは、WS-Federationをサポートする ID プロバイダーのみです。 |
フェデレーション メタデータに "fed:SecurityTokenServiceType" 型の RoleDescriptor が含まれていることを確認します。 |
ACS20009 |
400 |
WS-Federation メタデータ ドキュメントの読み取り時にエラーが発生しました |
ACS は指定されたメタデータ ドキュメントを解析できなかったため、無効である可能性があります。 Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata() を使用してドキュメントを実行することで、ドキュメントを検証できます。 |
ACS20010 |
アプリケーション サービスの記述子が見つかりませんでした |
メタデータ ファイルにアプリケーション サービスの記述子が含まれていることを確認します。 |
|
ACS20011 |
複数のアプリケーション サービスの記述子はサポートされていません |
メタデータ ファイルにアプリケーション サービスの記述子が 1 つだけ含まれていることを確認します。 |
|
ACS20012 |
400 |
着信要求が有効な WS-Federation 要求ではありません |
要求が有効な WS-Federation サインイン要求またはサインイン応答であることと、必要なパラメーターがすべて含まれていることを確認します。 |
ACS20014 |
400 |
WS-Federation メタデータ ドキュメントが適切な形式の XML ではありません |
このエラーは、WS-Federation メタデータ ドキュメントのかっこまたはタグが余分であるか、欠落している場合など、ドキュメントの構文が正しくない場合に発生します。 これは、WS-FederationMetadata.xmlドキュメントを手動で作成または編集しようとしたときに最も頻繁に発生します。 このエラーは、メタデータ XML スキーマへの準拠には関連しません。 このエラーを解決するには、Visual Studioまたは XML メモ帳 2007 のツールなどの XML 検証ツールを使用します。 |
OpenID プロトコル エラー
| エラー | HTTP 状態コード | Message | 解決方法 |
|---|---|---|---|
ACS30000 |
400 |
OpenID サインイン応答の処理中にエラーが発生しました。 |
詳細はメッセージに表示されます。 |
ACS30001 |
400 |
OpenID 応答署名を検証できません。 |
OpenID 署名が無効であるか、ID プロバイダーによって拒否されています。 メッセージが改ざんされていないことを確認します。 |
Facebook Graph Protocol エラー
| エラー | HTTP 状態コード | Message | 解決方法 |
|---|---|---|---|
ACS40000 |
400 |
Facebook サインイン応答の処理中にエラーが発生しました。 これは、Facebook アプリケーションの無効な構成が原因で発生している可能性があります。 |
ACS で構成されているアプリケーション ID とシークレットが、Facebook 開発者ポータルの同じ値と一致することを確認します。 |
ACS40001 |
400 |
Facebook からアクセス トークンを取得しようして、エラーが発生しました。 |
ACS を使用して構成されたアプリケーション ID とアプリケーション シークレットが有効であることを確認します。 |
ID プロバイダー メタデータを含む、一般的なセキュリティ トークン サービスのエラー
| エラー | HTTP 状態コード | Message | 解決方法 |
|---|---|---|---|
ACS50000 |
トークン発行時にエラーが発生しました。 |
詳細はメッセージに表示されます。 |
|
ACS50001 |
400 |
要求された証明書利用者領域 '<領域 URL>' が不明です。 |
トークン要求で指定された AppliesTo と ACS で構成した領域の間で不一致が発生しました。 1 であることを確認します。 証明書利用者に正しく領域が構成されている。 これは、管理ポータルまたは管理サービスを使用して、RelyingParty.RelyingPartyAddresses エントリを調べることで実行できます。2. 証明書利用者が ID プロバイダーに関連付けられている。 これも、管理ポータルまたは管理サービスを使用して、RelyingPartyIdentityProviders エントリを調べることで実行できます。 |
ACS50002 |
400 |
無効なサービス構成。 (詳細はメッセージに表示されます。) |
詳細はメッセージに表示されます。 |
ACS50003 |
400 |
プライマリ対称署名キーが構成されていません。 SWT には対称署名キーが必要です。 |
選択した証明書利用者がトークンの種類として SWT を使用する場合は、証明書利用者またはAccess Control名前空間用に対称キーが構成されていること、およびキーがプライマリに設定され、有効期間内に設定されていることを確認します。 |
ACS50004 |
400 |
プライマリ X.509 署名証明書が構成されていません。 SAML には署名証明書が必要です。 |
選択した証明書利用者がトークンの種類として SAML を使用する場合は、証明書利用者またはAccess Control名前空間に対して有効な X.509 証明書が構成されていることを確認します。 その証明書はプライマリに設定されており、有効期間内である必要があります。 |
ACS50005 |
400 |
トークンの暗号化が必要ですが、証明書利用者に対して暗号化証明書が構成されていません。 |
選択された証明書利用者に対してトークンの暗号化を無効にするか、トークンの暗号化に使用する X.509 証明書をアップロードします。 |
ACS50006 |
403 |
署名の確認に失敗しました。 (メッセージに詳細が示されている場合があります) |
ACS を使用して構成された確認キーが有効であることを確認します。 |
ACS50007 |
400 |
署名が見つかりません。 |
着信トークンが署名されており、有効であることを確認します。 |
ACS50008 |
401 |
SAML token is invalid. (SAML トークンが無効です。) (メッセージに詳細が示されている場合があります) |
詳細については、「 エラー ACS50008 を修正する方法」を参照してください。 |
ACS50009 |
401 |
SWT トークンが無効です。 (メッセージに詳細が示されている場合があります) |
詳細はメッセージに表示されます。 |
ACS50010 |
403 |
対象ユーザー URI の検証に失敗しました。 (メッセージに詳細が示されている場合があります) |
受信トークンの対象ユーザーが 〘に設定されていることを確認します。 https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
ReplyTo アドレスが欠落しているか、領域と一致しません。 |
WS-Federation を使用して作業を行うには、証明書利用者に 1 つ以上の ReplyTo アドレスが構成されている必要があります。 |
ACS50012 |
401 |
認証に失敗しました。 (メッセージに詳細が示されている場合があります) |
マルチテナント アプリケーションが、最近そのアプリケーションに同意した Azure AD テナント用の Graph API にアクセスするためのトークンを取得しようとすると、トークン要求が ACS50012 エラーで一時的に失敗する場合があります。 この問題を解決するには、数分待ってからやり直してください。 または、同意した後、同意を提供したテナント管理者がアプリケーションにログオンしてください。 |
ACS50013 |
400 |
URI 値のセグメント数がパス セグメントの最大許容数を超えています。 |
URI 値のセグメント数が 32 以下であることを確認します。 |
ACS50014 |
400 |
自己アサートされた要求はサービスおよび管理 ID では許可されていません。 |
サービス ID 認証トークンに要求が含まれていること、または名前識別子要求のみが含まれていることを確認します。 |
ACS50015 |
400 |
ID プロバイダー メタデータを取得しようとして、エラーが発生しました。 |
詳細はメッセージに表示されている可能性があります。 メタデータ URL またはファイルが有効であることを確認します。 |
ACS50016 |
400 |
サブジェクト '証明書サブジェクト名>' と拇印 '<<証明書拇印>' を持つ X509Certificate は、構成されている証明書と一致しません。 |
要求された証明書が ACS にアップロードされたことを確認します。 |
ACS50017 |
401 |
サブジェクト '<Certificate subject name' と issuer 'Issuer name>>' の<証明書が検証に失敗しました。 |
証明書が自己署名されているか、信頼されているルート証明機関にチェーンされていることを確認します。 また、証明書が失効しておらず、有効期間内である必要があります。 詳細については、「 エラー ACS50017 を修正する方法」を参照してください。 |
ACS50018 |
400 |
領域が欠落しています。 証明書利用者の名前が指定されていません。 |
要求に領域が含まれていることを確認します。 |
ACS50019 |
401 |
サインインがユーザーによって取り消されました。 |
|
ACS50020 |
401 |
ユーザーが承認されていません。 |
|
ACS50022 |
400 |
コールバック パラメーター値 '<Function name>' は有効な JavaScript 関数名ではありません。 |
指定されたコールバック パラメーターが有効な JavaScript 関数名の名前であることを確認します。 有効な JavaScript 関数名には文字、数字、「$」、「_」文字のみが含まれており、数字を先頭にすることはできません。 関数名での Unicode 文字の使用はサポートされていません。 |
ACS50026 |
名前「名前」のプリンシパルは有効なプリンシパルではありません。 |
このエラーは、エンティティが ACS に認識されていないため、指定した名前でエンティティを検索しようとして失敗したことを示します。 シナリオに応じて、このエンティティはサービス ID、証明書利用者アプリケーション、または ID プロバイダーである場合があります。 このエンティティがAccess Control名前空間に存在することを確認します。 |
|
ACS50042 |
401 |
ペアワイズ ID の生成に必要なソルトが欠落しています。 このアプリケーションを最近登録した場合は、数分待ってから再試行してください。 |
Azure AD にアプリケーションを追加してすぐにそのアプリケーションにログインしようとしても、ペアワイズ キーが同期されるまではログインの試行に失敗する可能性があります。 数分待って再度ログインを試してください。 詳細については、「 ACS 再試行ガイドライン」を参照してください。 |
ルール エンジン、データ、および管理サービスのエラー
| エラー | HTTP 状態コード | Message | 解決方法 |
|---|---|---|---|
ACS 60000 |
403 |
ポリシー エンジン エラー |
詳細はメッセージに表示されます。 |
ACS60001 |
ルールの処理中に出力方向の要求が生成されませんでした。 |
選択した証明書利用者に関連付けられているルール グループに、ID プロバイダーによって生成された要求に適用できるルールがありません。 証明書利用者に関連付けられているルール グループにルールをいくつか構成するか、ルール グループ エディターを使用してパススルー ルールを生成します。 |
|
ACS60002 |
403 |
トークン要求数のクォータに達したか、これ以上要求できません。 |
|
ACS60003 |
403 |
読み取り専用プロパティを変更することはできません。 |
特定の組み込み ACS オブジェクトは変更または削除できません。 |
ACS60004 |
409 |
バージョンの競合 |
バージョンの競合エラーは、証明書利用者、ID プロバイダー、サービス ID、または発行者の名前を、別の証明書利用者、ID プロバイダー、サービス ID、または発行者と同じ名前にするために更新しようとしたときに受け取る場合があります。 この問題を解決するには、別の一意の名前を選択します。 |
ACS60005 |
400 |
親が無効か欠落している子オブジェクトを追加しようとしました。 |
アドレスなどの子オブジェクトの場合は、親オブジェクトまたはオブジェクト ID が有効であり、種類が正しいことを確認します。 |
ACS60006 |
400 |
データベースに既に存在するオブジェクトの新しいコピーを挿入しようとしました。 |
挿入しようとしているオブジェクトが一意制約に違反しています。 必要に応じて、名前やアドレスなどのオブジェクトのプロパティが一意であることを確認します。 |
ACS60007 |
400 |
無効な X.509 証明書 |
指定したバイトが有効な X.509 証明書であることを確認します。 |
ACS60008 |
このオブジェクト型>の一意の名前が<見つかりません。 |
||
ACS60012 |
入力方向の要求の数 (#) が制限 (80) を超えています。 |
ACS で要求を処理してから、正常に送信トークンを発行するには、着信トークンに含まれる要求の数が 80 以下でなければなりません。 |
|
ACS60021 |
503 |
Service unavailable (サービス利用不可) |
すべての名前空間からのトークン要求への応答で ACS データ サーバーがビジー状態であるため、トークン要求が拒否されました。 数秒待ってから、延長した期間内に要求を再試行します。 詳細については、「 ACS 再試行ガイドライン」を参照してください。 |
OAuth 2.0 プロトコル エラー
| エラー | HTTP 状態コード | Message | エラーの修正に必要なアクション |
|---|---|---|---|
ACS70000 |
401 |
指定されたアクセス付与が無効か、期限切れか失効しています。 |
詳細はメッセージに表示されます。 |
ACS70001 |
401 |
クライアントが承認されていません。 |
|
ACS70002 |
401 |
無効なクライアント。 |
|
ACS70003 |
401 |
含まれているアクセス付与は承認サーバーによってサポートされていません。 |
ACS 管理ポータル エラー
| エラー | HTTP エラー コード | Message | エラーの修正に必要なアクション |
|---|---|---|---|
ACS80001 |
404 |
このルールは、管理ポータルでサポートされていない要求発行者の種類を使用するように構成されています。 管理サービスを使用して、このルールを表示および編集してください。 |
このエラーは、ID プロバイダーや Access Control Service の “LOCAL AUTHORITY” 発行者ではない発行者を使用するようにルールが構成されている場合に発生します。 ACS 管理サービスの使用方法の詳細については、「 ACS 管理サービス」を参照してください。 |
その他のエラー
| エラー | HTTP エラー コード | Message | 解決方法 |
|---|---|---|---|
ACS90002 |
404 |
URL のサービス名前空間名が無効です。 |
要求されたAccess Control名前空間が存在することを確認します。 |
ACS90004 |
400 |
要求の形式が間違っています。 |
|
ACS90005 |
502 |
外部サーバー エラー。 (詳細はメッセージに表示されている可能性があります。) |
ID プロバイダーなどの外部サーバーとの通信時にエラーが発生しました。 |
ACS90006 |
504 |
外部サーバーのタイムアウト。 |
ID プロバイダーなどの外部サーバーとの通信時に通信がタイムアウトになりました。 |
ACS90007 |
405 |
要求メソッドは許可されていません。 |
使用されている HTTP メソッド (GET や POST など) がそのエンドポイントでサポートされていることを確認します。 |
ACS90008 |
403 |
テナントが無効になっています。 |
Access Control名前空間がアクティブであることを確認します。 |
ACS90009 |
404 |
<指定された ID のオブジェクト>が見つかりませんでした。 |
詳細はメッセージに表示されます。 |
ACS90010 |
400 |
サポートされていません。 (詳細はメッセージに表示されている可能性があります。) |
詳細はメッセージに表示されます。 |
ACS90011 |
400 |
無効な要求です。 (詳細はメッセージに表示されている可能性があります。) |
詳細はメッセージに表示されます。 |
ACS90012 |
408 |
サーバーへの要求がタイムアウトになりました。 |
詳細はメッセージに表示されます。 |
ACS90013 |
400 |
無効なユーザー入力です。 (詳細はメッセージに表示されている可能性があります。) |
詳細はメッセージに表示されます。 |
ACS90014 |
400 |
必須フィールド '<Field>' がありません。 |
ACS への要求に、使用しているプロトコルで必要なすべてのパラメーターが含まれていることを確認します。 |
ACS90015 |
403 |
承認されていません: このテナントのサービス キーは制限されます。 |
ACS では、ServiceBus 名前空間とキャッシュ名前空間に属するキーは表示されません。 これらのキーを表示するには、ServiceBus または Cache ポータルを使用します。 |
ACS90016 |
400 |
"<キー サイズ>" ビットが無効なキー サイズです。 キー サイズは 0 より大きい 8 の倍数でなければなりません。 |
|
ACS90046 |
503 |
Service unavailable (サービス利用不可) |
すべての名前空間からのトークン要求への応答で ACS がビジー状態であるため、トークン要求が拒否されました。 数秒待ってから、延長した期間内に要求を再試行します。 詳細については、「 ACS 再試行ガイドライン」を参照してください。 |
ACS90055 |
429 |
要求が多すぎます |
この名前空間が長期にわたり、1 秒あたりの最大トークン要求レートである 30 トークンを超えたため、トークン要求は拒否されました。 数秒待ってから、延長した期間内に要求を再試行します。 このエラーが発生する場合は、複数の名前空間にワークロードを再分散することを検討してください。 詳細については、「 ACS サービスの制限事項」を参照してください。 |