Códigos de erro do ACS
Atualizado: 19 de junho de 2015
Aplica-se ao Azure
Este tópico inclui as mensagens de erro mais comuns que podem ser encontradas ao usar Microsoft Azure Active Directory Controle de Acesso (também conhecido como serviço Controle de Acesso ou ACS) e as ações necessárias para corrigir o erro, quando aplicável. Para obter informações sobre como fornecer tratamento de erro personalizado com base nos códigos de erro, consulte Como usar uma URL de erro para tratamento de erros personalizados.
Importante
Namespace ACS podem migrar suas configurações do provedor de identidade do Google de OpenID 2.0 para OpenID Connect. A migração deve ser concluída antes de 1º de junho de 2015. Para obter diretrizes detalhadas, consulte Como migrar namespaces ACS para o Conexão do Google OpenID.
Importante
Não use os códigos de erro do ACS ou descrições em lógicas de aplicativo. Ao gravar o código de tratamento de erros, use os valores do status HTTP e os códigos de erro. Os códigos de erro do ACS e as descrições de erro podem ser alteradas em qualquer momento e sem aviso. Para obter mais informações, consulte diretrizes de repetição do ACS e limitações do serviço ACS.
Erros de protocolo de federação ativa, incluindo SOAP e WS-Trust
| Erro do ACS | Código de status HTTP | Mensagem | Medida |
|---|---|---|---|
ACS10000 |
400 |
Ocorreu um erro ao processar a mensagem SOAP |
Os detalhes estão na mensagem. |
ACS10001 |
400 |
Ocorreu um erro ao processar o cabeçalho SOAP |
Os detalhes estão na mensagem. |
ACS10002 |
400 |
Ocorreu um erro ao processar o corpo SOAP |
Os detalhes estão na mensagem. |
ACS10003 |
400 |
Ocorreu um erro ao processar o cabeçalho de segurança |
Os detalhes estão na mensagem. |
Erros de Protocolo do WS-Federation, incluindo os metadados de federação
Os erros nesta seção estão relacionados com o protocolo do WS-Federation e aos metadados do WS-Federation.
Para gerar um arquivo de WS-FederationMetadata.xml válido, use FedUtil ou a ferramenta Identidade e Acesso no Visual Studio 2012. O Portal de Gerenciamento do ACS também gera um documento de metadados WS-Federation para cada namespace Controle de Acesso. Para exibi-lo, no Portal de Gerenciamento do ACS, clique na integração de aplicativos.
Para personalizar WS-Federation metadados, use as classes no namespace Microsoft.IdentityModel.Protocols.WSFederation.Metadata .
Para obter a especificação de esquema XML de metadados padrão do OASIS WS-Federation, consulte a Seção 3 do padrão WS-Federation Language (WS-Federation) versão 1.2 em http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.
Para obter mais informações sobre erros particulares e sua resolução, consulte as entradas nesta tabela.
| Erro | Código de status HTTP | Mensagem | Medida |
|---|---|---|---|
ACS20000 |
400 |
Ocorreu um erro ao processar uma solicitação de logon do WS-Federation |
Os detalhes estão na mensagem. |
ACS20001 |
400 |
Ocorreu um erro ao processar uma resposta de logon de WS-Federation |
Os detalhes estão na mensagem. |
ACS20002 |
400 |
Ocorreu um erro ao tentar gerar metadados de federação |
Podem ser encontrados mais detalhes na mensagem. Verifique se há um certificado de assinatura de token primário em seu namespace Controle de Acesso. |
ACS20003 |
400 |
Ocorreu um erro ao tentar importar metadados de federação |
Podem ser encontrados mais detalhes na mensagem. Certificar-se que a URL de metadados ou o arquivo de metadados seja válido. |
ACS20004 |
Não é possível recuperar a entidade dos metadados |
Certifique-se de que o arquivo de metadados contenha um ID de identidade. |
|
ACS20005 |
Não há suporte para várias entidades de metadados |
Certifique-se de que os metadados de federação contenham exatamente uma entidade. |
|
ACS20006 |
Não foi possível localizar descritores de serviço de token de segurança |
Certifique-se de que os metadados de federação contenham exatamente um descritor de serviço de token de segurança. |
|
ACS20007 |
Não há suporte para vários descritores de serviço de token de segurança |
Certifique-se de que os metadados de federação contenham exatamente um descritor de serviço de token de segurança. |
|
ACS20008 |
400 |
Somente provedores de identidade compatíveis com WS-Federation podem ser importados. |
Certifique-se de que os metadados de federação contenham um RoleDescritptor do tipo "fed:SecurityTokenServiceType". |
ACS20009 |
400 |
Ocorreu um erro na leitura do documento de metadados do WS-Federation |
O ACS não pôde analisar o documento de metadados fornecido, portanto, pode ser inválido. Você pode validar seu documento executando-o através do Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata(). |
ACS20010 |
Não foi possível localizar descritores de serviço do aplicativo |
Certifique-se de que o arquivo de metadados contenha um descritor de serviço do aplicativo. |
|
ACS20011 |
Não há suporte para vários descritores de serviço do aplicativo |
Certifique-se de que o arquivo de metadados contenha apenas um descritor de serviço do aplicativo. |
|
ACS20012 |
400 |
A solicitação de entrada não é uma solicitação de WS-Federation válida |
Certifique-se de que a solicitação seja uma solicitação de logon ou uma resposta de logon do WS-Federation e que contenha todos os parâmetros necessários. |
ACS20014 |
400 |
O documento de metadados de WS-Federation não é um XML bem formado |
Este erro ocorre quando o XML no documento de metadados de WS-Federation não é sintaticamente correto, como quando o documento tem colchetes ou marcas extras ou ausentes. Ocorre com mais frequência quando você tenta criar ou editar um documento WS-FederationMetadata.xml manualmente. Esse erro não está relacionado à conformidade com o esquema XML de metadados. Para resolver esse erro, use uma ferramenta de validador XML, como as ferramentas em Visual Studio ou XML Bloco de notas 2007. |
Erros de protocolo OpenID
| Erro | Código de status HTTP | Mensagem | Medida |
|---|---|---|---|
ACS30000 |
400 |
Houve um erro processando uma resposta de logon do OpenID. |
Os detalhes estão na mensagem. |
ACS30001 |
400 |
Não foi possível verificar a assinatura de resposta do OpenId. |
A assinatura do OpenID foi inválida ou rejeitada pelo provedor de identidade. Certifique-se de que a mensagem não foi violada. |
Erros de protocolo do gráfico de Facebook
| Erro | Código de status HTTP | Mensagem | Medida |
|---|---|---|---|
ACS40000 |
400 |
Ocorreu um erro ao processar uma resposta de logon do Facebook. Isto pode ser provocado por uma configuração inválida do aplicativo do Facebook. |
Verifique se a ID do Aplicativo e o Segredo configurados no ACS correspondem aos mesmos valores no portal do desenvolvedor do Facebook. |
ACS40001 |
400 |
Ocorreu um erro ao tentar conseguir o token de acesso do Facebook. |
Certifique-se de que o ID e o segredo do aplicativo que foram configurados via o ACS sejam válidos. |
Os erros gerais de serviço de token de segurança, incluindo os metadados do provedor de identidade
| Erro | Código de status HTTP | Mensagem | Medida |
|---|---|---|---|
ACS50000 |
Houve um erro ao emitir um token. |
Os detalhes estão na mensagem. |
|
ACS50001 |
400 |
O realm de terceira parte confiável solicitado '<URL> realm' é desconhecido. |
Houve uma incompatibilidade entre o AppliesTo fornecido na solicitação de token e os realms que você configurou no ACS. Verifique isso: 1. Sua terceira parte confiável tenha seu realm configurado corretamente. Você pode fazer isto através do Portal de gerenciamento ou usando o Serviço de gerenciamento, analisando suas entradas RelyingParty.RelyingPartyAddresses.2. Sua terceira parte confiável foi associada com o provedor de identidade. Você também pode fazer isto do Portal de gerenciamento ou usando o Serviço de gerenciamento, analisando suas entradas RelyingPartyIdentityProviders. |
ACS50002 |
400 |
Configuração de serviço inválida. (Os detalhes estão na mensagem). |
Os detalhes estão na mensagem. |
ACS50003 |
400 |
Nenhuma chave de autenticação simétrica principal configurada. Uma chave de autenticação simétrica é obrigatória para o SWT. |
Se a terceira terceira parte confiável escolhida usar SWT como seu tipo de token, verifique se uma chave simétrica está configurada para a terceira terceira parte confiável ou o namespace Controle de Acesso e se a chave está definida como primária e dentro de seu período de validade. |
ACS50004 |
400 |
Nenhum certificado de autenticação X.509 principal está configurado. Um certificado de autenticação é obrigatório para o SAML. |
Se a terceira parte confiável escolhida usar SAML como seu tipo de token, verifique se um certificado X.509 válido está configurado para a terceira terceira parte confiável ou o namespace Controle de Acesso. O certificado deve ser configurado como primário e deve estar dentro do período de validade. |
ACS50005 |
400 |
A criptografia do token é obrigatória, mas nenhum certificado de criptografia está configurado para a parte confiável. |
Desabilite a criptografia do token para a parte confiável escolhida ou carregue um certificado X.509 para ser usado com a criptografia do token. |
ACS50006 |
403 |
Erro ao verificar a assinatura. (Pode haver mais detalhes na mensagem.) |
Certifique-se de que as chaves de verificação que foram configuradas pelo ACS sejam válidas. |
ACS50007 |
400 |
Assinatura não localizada. |
Certifique-se de que o token de entrada seja assinado e válido. |
ACS50008 |
401 |
o token SAML é inválido. (Pode haver mais detalhes na mensagem.) |
Para obter mais informações, consulte Como corrigir o erro ACS50008. |
ACS50009 |
401 |
O token SWT é inválido. (Pode haver mais detalhes na mensagem.) |
Os detalhes estão na mensagem. |
ACS50010 |
403 |
A validação URI de audiência falhou. (Pode haver mais detalhes na mensagem.) |
Verifique se o público-alvo do token de entrada está definido como https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
O endereço ReplyTo está ausente ou não corresponde com o realm. |
Para trabalhar com o Web Services Federation, uma terceira parte confiável deve ter pelo menos um endereço ReplyTo configurado. |
ACS50012 |
401 |
Falha na autenticação. (Pode haver mais detalhes na mensagem.) |
Quando um aplicativo multilocatário tenta adquirir um token para acessar a Graph API de um locatário do AD do Azure que consentiu recentemente no aplicativo, a solicitação de token pode falhar temporariamente com o erro ACS50012. Para resolver o problema, aguarde alguns minutos e tente novamente. Ou obtenha o administrador de locatário que forneceu o logon de consentimento ao aplicativo após o consentimento. |
ACS50013 |
400 |
O número de segmentos no valor URI é maior que o número máximo aceitável de segmentos do caminho. |
Verifique que o número de segmentos no valor URI seja igual ou menor que 32. |
ACS50014 |
400 |
Não são permitidas as declarações auto-declaradas para identidades de serviço e gerenciamento. |
Verifique se o token de autenticação de identidade de serviço não contém nenhuma declaração ou apenas a declaração do identificador de nome. |
ACS50015 |
400 |
Ocorreu um erro ao tentar conseguir os metadados do provedor de identidade. |
Podem ser encontrados mais detalhes na mensagem. Certificar-se que a URL de metadados ou o arquivo sejam válidos. |
ACS50016 |
400 |
X509Certificate com a entidade '<Nome> da entidade de certificado' e impressão digital '<Impressão digital> do certificado' não corresponde a nenhum certificado configurado. |
Certifique-se de que o certificado solicitado foi carregado no ACS. |
ACS50017 |
401 |
O certificado com a entidade '<Nome> da entidade de certificado' e o emissor '<Nome> do emissor' falharam na validação. |
Certificar-se de que o certificado esteja autoassinado ou que ele ligue a uma autoridade de certificação raiz confiável. O certificado também não deve ser revocado e deve estar dentro do período de validade. Para obter mais informações, consulte Como corrigir o erro ACS50017. |
ACS50018 |
400 |
O realm está ausente. O nome da terceira parte confiável não foi especificado. |
Certificar-se que a solicitação contenha um realm. |
ACS50019 |
401 |
O logon foi cancelado pelo usuário. |
|
ACS50020 |
401 |
O usuário não está autorizado. |
|
ACS50022 |
400 |
O valor do parâmetro de retorno de chamada '<Nome> da função' não é um nome de função JavaScript válido. |
Certifique-se de que o parâmetro de retorno de chamada seja um nome válido de uma função JavaScript. Os nomes das funções JavaScript contém apenas letras, dígitos, e os caracteres '$' e "_" e não pode começar com um dígito. Não ha suporte para caracteres Unicode nos nomes das funções. |
ACS50026 |
A entidade com o nome 'nome' não é uma entidade válida. |
Esse erro indica que uma tentativa de localizar uma entidade pelo nome especificado falhou porque a entidade não é conhecida pelo ACS. Esta entidade poderia ser uma identidade de serviço, um aplicativo da terceira parte confiável, ou um provedor de identidade, dependendo do cenário. Verifique se essa entidade existe no namespace Controle de Acesso. |
|
ACS50042 |
401 |
O salt requerido para gerar um identificador de paridade está ausente. Se este aplicativo foi registrado recentemente, espere alguns minutos antes de tentar novamente. |
Se você tenta fazer logon em um aplicativo imediatamente após adicioná-lo no AD do Azure, a tentativa de logon pode falhar até que as chaves de paridade sejam sincronizadas. Espere alguns minutos e tente fazer logon novamente. Para obter mais informações, consulte As Diretrizes de Repetição do ACS. |
Erros de mecanismo de regras, dados, e serviço de gerenciamento
| Erro | Código de status HTTP | Mensagem | Medida |
|---|---|---|---|
ACS 60000 |
403 |
Erro de mecanismo de políticas |
Os detalhes estão na mensagem. |
ACS60001 |
Nenhuma declaração de saída gerada durante o processamento de regras. |
O(s) grupo(s) de regras associados com a terceira parte confiável escolhida não tem regras que sejam aplicáveis às declarações geradas por seu provedor de identidade. Configure algumas regras em um grupo de regras associado com sua terceira parte confiável ou gere as regras de passagem usando o editor de grupo de regras. |
|
ACS60002 |
403 |
A cota para o número de solicitações de token foi atingido e não podem haver mais solicitações. |
|
ACS60003 |
403 |
Não se pode modificar uma propriedade de apenas leitura. |
Determinados objetos ACS internos não podem ser modificados ou excluídos. |
ACS60004 |
409 |
Conflito de versão |
Um erro de conflito de versão pode ser recebido ao tentar atualizar o nome de uma terceira parte confiável, provedor de identidade, serviço de identidade, ou emissor com o mesmo nome que outra terceira parte confiável, provedor de identidade, identidade de serviço, ou emissor. Para resolver este problema, escolha um nome único diferente. |
ACS60005 |
400 |
Tentou-se adicionar um objeto filho com um pai inválido ou ausente. |
Para objetos filho, como endereços, certifique-se de que o objeto pai ou ID do objeto seja válido e do tipo correto. |
ACS60006 |
400 |
Tentou-se insertar uma nova cópia de um objeto que já existe no banco de dados. |
O objeto que você está tentando insertar viola uma restrição de exclusividade. Verifique que as propriedades do objeto, como o nome e o endereço, sejam únicos se for necessário. |
ACS60007 |
400 |
Certificado X.509 inválido |
Certifique-se de que os bytes fornecidos sejam um certificado X.509 válido. |
ACS60008 |
Não é possível encontrar um nome exclusivo para esse <tipo> de objeto. |
||
ACS60012 |
O número de declarações de entrada (#) excede o limite (80). |
Seu token de entrada deve ter 80 declarações ou menos para que o ACS os processe e então emita com êxito um token de saída. |
|
ACS60021 |
503 |
Serviço indisponível |
O token solicitado é rejeitado porque os servidores de dados do ACS estão ocupados respondendo as solicitações de token de todos os namespaces. Espere alguns segundos e tente novamente as solicitações aumentando os intervalos de tempo. Para obter mais informações, consulte As Diretrizes de Repetição do ACS. |
Erros de protocolo OAuth 2.0
| Erro | Código de status HTTP | Mensagem | É requerida uma ação para concertar este erro |
|---|---|---|---|
ACS70000 |
401 |
O acesso concedido fornecido é inválido, expirado ou revocado. |
Os detalhes estão na mensagem. |
ACS70001 |
401 |
O cliente não está autorizado. |
|
ACS70002 |
401 |
Cliente inválido. |
|
ACS70003 |
401 |
O acesso concedido incluído não tem suporte pelo servidor de autorização. |
Erros de portal de gerenciamento do ACS
| Erro | Código de erro HTTP | Mensagem | É requerida uma ação para concertar este erro |
|---|---|---|---|
ACS80001 |
404 |
Esta regra foi configurada para usar um tipo de emissor de declaração que não tem suporte no portal de gerenciamento. Use o serviço de gerenciamento para exibir e editar esta regra. |
Este erro ocorre se uma regra é configurada para usar um Emissor que não é um provedor de identidade ou o emissor da "AUTORIDADE LOCAL" do Serviço de Controle de Acesso. Para obter detalhes sobre como usar o Serviço de Gerenciamento do ACS, consulte o Serviço de Gerenciamento do ACS. |
Outros erros
| Erro | Código de erro HTTP | Mensagem | Medida |
|---|---|---|---|
ACS90002 |
404 |
O nome do namespace do serviço na URL é inválido. |
Verifique se o namespace Controle de Acesso solicitado existe. |
ACS90004 |
400 |
A solicitação não está formatada adequadamente. |
|
ACS90005 |
502 |
Erro do servidor externo. (Podem ser encontrados mais detalhes na mensagem). |
Ocorreu um erro durante a comunicação com o servidor externo, como um provedor de identidade. |
ACS90006 |
504 |
Tempo limite do servidor externo. |
A comunicação atingiu o tempo limite ao comunicar-se com o servidor externo, como um provedor de identidade. |
ACS90007 |
405 |
Método de solicitação não permitido. |
Certificar-se que o método HTTP usado (como o GET e POST) tenha suporte do ponto de extremidade. |
ACS90008 |
403 |
O locatário está desabilitado. |
Verifique se o namespace Controle de Acesso está ativo. |
ACS90009 |
404 |
Nenhum <objeto> foi encontrado para a ID fornecida. |
Os detalhes estão na mensagem. |
ACS90010 |
400 |
Sem suporte. (Podem ser encontrados mais detalhes na mensagem). |
Os detalhes estão na mensagem. |
ACS90011 |
400 |
Solicitação inválida. (Podem ser encontrados mais detalhes na mensagem). |
Os detalhes estão na mensagem. |
ACS90012 |
408 |
A solicitação ao servidor atingiu seu tempo limite. |
Os detalhes estão na mensagem. |
ACS90013 |
400 |
Entrada de usuário inválida. (Podem ser encontrados mais detalhes na mensagem). |
Os detalhes estão na mensagem. |
ACS90014 |
400 |
O campo "<Campo>" necessário está ausente. |
Verifique se sua solicitação ao ACS contém todos os parâmetros exigidos pelo protocolo que você está usando. |
ACS90015 |
403 |
Não autorizado: as chaves de serviço são restritas para este Locatário. |
O ACS não exibirá chaves pertencentes aos namespaces ServiceBus e Cache. Para ver estas chaves, use o portal do ServiceBus ou do Cache. |
ACS90016 |
400 |
Os bits '<Tamanho> da chave' são um tamanho de chave inválido. O tamanho da chave dever ser maior que 0 e um múltiplo de 8. |
|
ACS90046 |
503 |
Serviço indisponível |
O token solicitado é rejeitado porque o ACS está ocupado respondendo as solicitações de token de todos os namespaces. Espere alguns segundos e tente novamente as solicitações aumentando os intervalos de tempo. Para obter mais informações, consulte As Diretrizes de Repetição do ACS. |
ACS90055 |
429 |
Número excessivo de solicitações |
A solicitação do token é rejeitada, porque este namespace excedeu a taxa máxima de solicitações de token de 30 tokens por segundo por um tempo prolongado. Espere alguns segundos e tente novamente as solicitações aumentando os intervalos de tempo. Se o erro persiste, considere distribuir novamente a carga de trabalho em vários namespaces. Para obter mais informações, consulte Limitações do serviço ACS. |