Поделиться через


Коды ошибок ACS

Обновлено: 19 июня 2015 г.

Область применения: Azure

В этом разделе содержатся наиболее распространенные сообщения об ошибках, которые могут возникнуть при использовании Microsoft Azure Active Directory контроль доступа (также известных как служба контроль доступа или ACS) и действия, необходимые для устранения ошибки, если применимо. Сведения о том, как предоставлять пользовательскую обработку ошибок на основе кодов ошибок, см. в разделе "Практическое руководство. Использование URL-адреса ошибки для пользовательской обработки ошибок".

Важно!

Пространства имен ACS могут перенести конфигурации поставщика удостоверений Google из OpenID 2.0 в OpenID Connect. Миграция должна быть завершена до 1 июня 2015 г. Подробные инструкции см. в статье о переносе пространств имен ACS в Google OpenID Подключение.

Важно!

Не используйте коды или описание ошибок ACS в логике приложений. При написании кода обработки ошибок используйте значения состояния HTTP и кода ошибки. Коды и описание ошибок ACS могут быть изменены в любой момент без предупреждения. Дополнительные сведения см. в руководстве по повторным попыткам ACS и ограничениях службы ACS.

Ошибки протокола Active Federation, включая SOAP и WS-Trust

Ошибка ACS Код состояния HTTP Сообщение Средство

ACS10000

400

При обработке сообщения SOAP возникла ошибка

Дополнительные сведения см. в сообщении.

ACS10001

400

При обработке заголовка SOAP возникла ошибка

Дополнительные сведения см. в сообщении.

ACS10002

400

При обработке текста запроса SOAP возникла ошибка

Дополнительные сведения см. в сообщении.

ACS10003

400

При обработке заголовка безопасности возникла ошибка

Дополнительные сведения см. в сообщении.

Ошибки протокола WS-Federation, включая метаданные федерации

Ошибки в этом разделе связаны с протоколом и метаданными WS-Federation.

Чтобы создать допустимый файл WS-FederationMetadata.xml, используйте FedUtil или средство Identity and Access в Visual Studio 2012 г. Портал управления ACS также создает документ метаданных WS-Federation для каждого пространства имен контроль доступа. Чтобы просмотреть его, на портале управления ACS щелкните "Интеграция приложений".

Чтобы настроить WS-Federation метаданные, используйте классы в пространстве имен Microsoft.IdentityModel.Protocols.WSFederation.Metadata .

Стандарт OASIS WS-Federation спецификации схемы XML метаданных см. в разделе 3 стандарта WS-Federation (WS-Federation) версииhttp://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc2231749421.2.

Дополнительные сведения о конкретных ошибках и способах их устранения см. в этой таблице.

Ошибка Код состояния HTTP Сообщение Средство

ACS20000

400

При обработке запроса входа WS-Federation возникла ошибка

Дополнительные сведения см. в сообщении.

ACS20001

400

При обработке ответа на запрос входа WS-Federation возникла ошибка

Дополнительные сведения см. в сообщении.

ACS20002

400

При попытке создать метаданные федерации возникла ошибка

Дополнительные сведения см. в сообщении. Убедитесь, что в пространстве имен контроль доступа есть основной сертификат подписи маркера.

ACS20003

400

При попытке импортировать метаданные федерации возникла ошибка

Дополнительные сведения см. в сообщении. Убедитесь, что URL-адрес или файл метаданных допустимы.

ACS20004

Не удается получить объект из метаданных

Убедитесь, что файл метаданных содержит идентификатор объекта.

ACS20005

Множество объектов метаданных не поддерживается

Убедитесь, что метаданные федерации содержат один объект.

ACS20006

Дескрипторы службы токенов не найдены

Убедитесь, что метаданные федерации содержат один дескриптор службы токенов безопасности.

ACS20007

Множество дескрипторов службы токенов безопасности не поддерживаются

Убедитесь, что метаданные федерации содержат один дескриптор службы токенов безопасности.

ACS20008

400

Можно импортировать только поставщики удостоверений, поддерживающие WS-Federation.
или диспетчер конфигурации служб
Импортируются только проверяющие стороны, поддерживающие WS-Federation.

Убедитесь, что метаданные федерации содержат RoleDescriptor типа "fed:SecurityTokenServiceType".

ACS20009

400

При чтении документа метаданных WS-Federation возникла ошибка

AcS не удалось проанализировать предоставленный документ метаданных, поэтому он может быть недопустимым. Вы можете проверить документ с помощью Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata().

ACS20010

Дескрипторы службы приложения не найдены

Убедитесь, что файл метаданных содержит дескриптор службы приложения.

ACS20011

Множество дескрипторов службы приложения не поддерживаются

Убедитесь, что файл метаданных содержит один дескриптор службы приложения.

ACS20012

400

Входящий запрос не является допустимым запросом WS-Federation

Убедитесь, что запрос является допустимым запросом входа или ответом на запрос входа WS-Federation и что он содержит все обязательные параметры.

ACS20014

400

Документ метаданных WS-Federation не является XML-файлом в допустимом формате

Эта ошибка происходит, если XML в документе метаданных WS-Federation содержит синтаксические ошибки, например лишние или недостающие скобки и теги. Это происходит чаще всего при попытке создать или изменить документ WS-FederationMetadata.xml вручную. Эта ошибка не связана с соответствием схеме XML метаданных.

Чтобы устранить эту ошибку, используйте средство проверки XML, например средства в Visual Studio или XML-Блокнот 2007.

Ошибки протокола OpenID

Ошибка Код состояния HTTP Сообщение Средство

ACS30000

400

При обработке ответа на запрос входа OpenID возникла ошибка.

Дополнительные сведения см. в сообщении.

ACS30001

400

Не удается проверить подпись ответа OpenID.

Подпись OpenID недействительна или была отклонена поставщиком удостоверений. Убедитесь, что сообщение не было подделано.

Ошибки протокола Facebook Graph

Ошибка Код состояния HTTP Сообщение Средство

ACS40000

400

При обработке ответа на запрос входа Facebook возникла ошибка Возможно, ошибка вызвана недопустимой конфигурацией приложения Facebook.

Убедитесь, что идентификатор приложения и секрет, настроенные в ACS, совпадают со значениями на портале разработчика Facebook.

ACS40001

400

При попытке получить токен доступа от Facebook возникла ошибка.

Убедитесь, что в ACS настроены допустимые код и секрет приложения.

Общие ошибки службы токенов безопасности, в том числе ошибки метаданных поставщика удостоверений

Ошибка Код состояния HTTP Сообщение Средство

ACS50000

При выдаче токена произошла ошибка.

Дополнительные сведения см. в сообщении.

ACS50001

400

Запрошенная область проверяющей стороны "<URL-адрес> области" неизвестна.

Существовало несоответствие между AppliesTo, заданным в запросе маркера, и области, настроенные в ACS. Убедитесь, что: 1. Убедитесь, что область проверяющей стороны настроена правильно. Это можно сделать с помощью портала управления или службы управления, изучив записи RelyingParty.RelyingPartyAddresses. 2. Убедитесь, что проверяющая сторона связана с поставщиком удостоверений. Это также можно сделать с помощью портала управления или службы управления, изучив записи RelyingPartyIdentityProviders.

ACS50002

400

Недопустимая конфигурация службы. (Дополнительные сведения см. в сообщении.)

Дополнительные сведения см. в сообщении.

ACS50003

400

Не настроен основной симметричный ключ подписывания. Он необходим для SWT.

Если выбранная проверяющая сторона использует SWT в качестве его типа токена, убедитесь, что симметричный ключ настроен для проверяющей стороны или пространства имен контроль доступа, а для ключа задан первичный и в течение срока действия.

ACS50004

400

Не настроен основной сертификат подписи X.509. Он необходим для SAML.

Если выбранная проверяющая сторона использует SAML в качестве типа токена, убедитесь, что для проверяющей стороны или пространства имен контроль доступа настроен действительный сертификат X.509. который задан как первичный и срок действия которого не истек.

ACS50005

400

Требуется использовать шифрование токенов, но не настроен сертификат шифрования для проверяющей стороны.

Отключите шифрование токенов для выбранной проверяющей стороны или отправьте сертификат X.509 для шифрования токенов.

ACS50006

403

Ошибка проверки подписи. (Подробности указаны в сообщении.)

Убедитесь, что в ACS настроены допустимые ключи проверки.

ACS50007

400

Подпись не найдена.

Убедитесь, что входящий токен подписан и действителен.

ACS50008

401

недопустимый токен SAML". (Подробности указаны в сообщении.)

Дополнительные сведения см. в разделе "Устранение ошибок ACS50008".

ACS50009

401

Недопустимый токен SWT. (Подробности указаны в сообщении.)

Дополнительные сведения см. в сообщении.

ACS50010

403

Ошибка проверки URI аудитории. (Подробности указаны в сообщении.)

Убедитесь, что для аудитории входящего маркера задано значение https://yournamespace.accesscontrol.windows.net

ACS50011

400

Адрес для ответа отсутствует или не соответствуют области.

Для работы с WS-Federation для проверяющей стороны необходимо настроить по крайней мере один адрес для ответа.
Это можно настроить на портале управления ACS с помощью поля "Возвращаемый URL-адрес".
Если входящее сообщение указывает адрес ReplyTo, убедитесь, что он соответствует настроенной инструкции ReplyTo или является суффиксом одного (например, для настроенного replyTo, http://example.com/path1/index.aspx будет допустимым запросом ReplyTohttp://example.com/path1/, но http://example.com/path2/index.aspx не будет).

ACS50012

401

Проверка подлинности не пройдена. (Подробности указаны в сообщении.)

Если мультитенантное приложение пытается получить токен для доступа к API Graph для клиента Azure AD, который недавно отправил согласие для приложения, запрос токена может завершиться с временной ошибкой ACS50012. Чтобы устранить эту проблему, подождите несколько минут и повторите попытку. Или попросите администратора клиента, предоставившего согласие, войти в приложение после согласия.

ACS50013

400

Число сегментов в значении URI превышает максимально допустимое количество сегментов пути.

Убедитесь, что число сегментов в значении URI не превышает 32.

ACS50014

400

Для удостоверений службы и управления не могут использоваться самозаверяемые утверждения.

Убедитесь, что маркер проверки подлинности удостоверения службы не содержит утверждений или только утверждение идентификатора имени.

ACS50015

400

При попытке получить метаданные поставщика удостоверений возникла ошибка.

Дополнительные сведения см. в сообщении. Убедитесь, что URL-адрес или файл допустимы.

ACS50016

400

X509Certificate с субъектом "<Имя> субъекта сертификата" и отпечатком "<Отпечаток> сертификата" не соответствует ни одному настроенному сертификату.

Убедитесь, что запрошенный сертификат отправлен в ACS.

ACS50017

401

Сертификат с субъектом "<Имя> субъекта сертификата" и издателем "<Имя> издателя" не пройдена проверка.

Убедитесь, что сертификат является самозаверяющим или связан с доверенным корневым центром сертификации. Сертификат не должен быть отозван и должен быть действующим. Дополнительные сведения см. в статье "Устранение ошибок ACS50017".

ACS50018

400

Отсутствует область. Имя проверяющей стороны не указано.

Убедитесь, что запрос содержит область.

ACS50019

401

Вход в систему отменен пользователем.

ACS50020

401

Пользователь не авторизован.

ACS50022

400

Значение параметра обратного вызова "<Имя> функции" не является допустимым именем функции JavaScript.

Убедитесь, что указанный параметр обратного вызова — это имя допустимой функции JavaScript. Допустимые имена функций JavaScript содержит только буквы, цифры и символы "$" и "_", при этом они не могут начинаться с цифры. Символы Юникода в именах функций не поддерживаются.

ACS50026

Недопустимый субъект с именем "имя".

Эта ошибка указывает, что попытка найти сущность по указанному имени завершилась ошибкой, так как сущность не известна ACS. Это может быть удостоверение службы, приложение проверяющей стороны или поставщик удостоверений в зависимости от сценария.

Убедитесь, что эта сущность существует в пространстве имен контроль доступа.

ACS50042

401

Случайные данные, необходимые для создания парного идентификатора, отсутствуют. Если приложение было зарегистрировано недавно, подождите несколько минут и повторите попытку.

Если попытаться войти в приложение сразу после его добавления в Azure AD, операция может завершиться ошибкой, если парные ключи не синхронизированы. Подождите несколько минут и попробуйте войти еще раз. Дополнительные сведения см. в руководстве по повторным попыткам ACS.

Ошибки модуля правил, данных и службы управления

Ошибка Код состояния HTTP Сообщение Средство

ACS

60 000

403

Ошибка модуля политик

Дополнительные сведения см. в сообщении.

ACS60001

Выходные утверждения не были созданы во время обработки правил.

Группы правил, связанные с выбранной проверяющей стороной, не содержат правил, применимых к утверждениям, которые созданы поставщиком удостоверений. Настройте правила в группе, связанной с проверяющей стороной, или создайте сквозные правила, используя редактор групп правил.

ACS60002

403

Достигнута квота для числа запросов, дополнительные запросы недопустимы.

ACS60003

403

Не удается изменить свойство только для чтения.

Некоторые встроенные объекты ACS нельзя изменить или удалить.

ACS60004

409

Конфликт версий

Конфликт версий может возникнуть при попытке изменить имя проверяющей стороны, поставщика удостоверений, удостоверения службы или издателя на имя, совпадающей с именем другой проверяющей стороны, поставщика удостоверений, удостоверения службы или издателя. Чтобы устранить ошибку, выберите другое уникальное имя.

ACS60005

400

Попытка добавить дочерний объект с недопустимым или отсутствующие родительским объектом.

Для дочерних объектов, таких как адреса, необходимо убедиться, что родительский объект или идентификатор объекта допустим и относится в нужному типу.

ACS60006

400

Попытка вставить новую копию объекта, который уже существует в базе данных.

Объект, который вы пытаетесь вставить, нарушает ограничение уникальности. При необходимости убедитесь, что свойства объекта, такие как имя и адрес, уникальны.

ACS60007

400

Недопустимый сертификат X.509

Убедитесь, что указанные данные представляют допустимый сертификат X.509.

ACS60008

Не удается найти уникальное имя для этого <типа> объекта.

ACS60012

Количество входящих утверждений (#) превышает ограничение (80).

Входящий токен должен содержать не больше 80 утверждений, чтобы служба ACS могла их обработать и успешно выдать исходящий токен.

ACS60021

503

Служба недоступна

Запрос токена отклонен, так как серверы данных ACS отвечают на запросы токена из всех пространств имен. Подождите несколько секунд и повторите запросы через увеличивающиеся временные интервалы. Дополнительные сведения см. в руководстве по повторным попыткам ACS.

Ошибки протокола OAuth 2.0

Ошибка Код состояния HTTP Сообщение Действие, необходимое для устранения ошибки

ACS70000

401

Предоставленные права доступа недействительны, истекли или отозваны.

Дополнительные сведения см. в сообщении.

ACS70001

401

Клиент не авторизован.

ACS70002

401

Недопустимый клиент.

ACS70003

401

Права доступа указаны, но не поддерживаются сервером авторизации.

Ошибки портала управления ACS

Ошибка Код ошибки HTTP Сообщение Действие, необходимое для устранения ошибки

ACS80001

404

Это правило настроено для использования типа издателя утверждения, который не поддерживается порталом управления. Изучите и измените это правило в службе управления.

Эта ошибка возникает, если правило настроено для использования издателя, который не является поставщиком удостоверений или издателем "LOCAL AUTHORITY" службы Access Control Service. Дополнительные сведения об использовании службы управления ACS см. в разделе "Служба управления ACS".

Другие ошибки

Ошибка Код ошибки HTTP Сообщение Средство

ACS90002

404

Недопустимое имя пространства имен службы в URL-адресе.

Убедитесь, что запрошенное пространство имен контроль доступа существует.

ACS90004

400

Неверный формат запроса.

ACS90005

502

Внешняя ошибка сервера. (Дополнительные сведения см. в сообщении.)

При взаимодействии с внешним сервером, например поставщиком удостоверений, возникла ошибка.

ACS90006

504

Превышено время ожидания внешнего сервера.

Превышено время ожидания подключения к внешнему серверу, например поставщику удостоверений.

ACS90007

405

Недопустимый метод запроса.

Убедитесь, что метод HTTP (например, GET или POST) поддерживается конечной точкой.

ACS90008

403

Клиент отключен.

Убедитесь, что пространство имен контроль доступа активно.

ACS90009

404

Объект> для заданного идентификатора не <найден.

Дополнительные сведения см. в сообщении.

ACS90010

400

Не поддерживается. (Дополнительные сведения см. в сообщении.)

Дополнительные сведения см. в сообщении.

ACS90011

400

Недопустимый запрос. (Дополнительные сведения см. в сообщении.)

Дополнительные сведения см. в сообщении.

ACS90012

408

Превышено время ожидания запроса к серверу.

Дополнительные сведения см. в сообщении.

ACS90013

400

Пользователь ввел недопустимые данные. (Дополнительные сведения см. в сообщении.)

Дополнительные сведения см. в сообщении.

ACS90014

400

Отсутствует обязательное поле Field<>.

Убедитесь, что запрос к ACS содержит все параметры, необходимые для используемого протокола.

ACS90015

403

Не авторизовано: ключи службы ограничены для этого клиента.

ACS не будет отображать ключи, принадлежащие пространствам имен Служебной шины и кэша. Для их просмотра используйте портал ServiceBus или Cache.

ACS90016

400

Биты "<Размер> ключа" являются недопустимым размером ключа. Размер ключа должен быть больше 0 и кратен 8.

ACS90046

503

Служба недоступна

Запрос токена отклонен, так как служба ACS отвечает на запросы токена из всех пространств имен. Подождите несколько секунд и повторите запросы через увеличивающиеся временные интервалы. Дополнительные сведения см. в руководстве по повторным попыткам ACS.

ACS90055

429

Слишком много запросов

Запрос токена отклонен, так как для этого пространства имен превышена максимальная скорость запроса токенов (30 токенов в секунду). Подождите несколько секунд и повторите запросы через увеличивающиеся временные интервалы. Если ошибка повторяется, распределите нагрузку по нескольким пространствам имен. Дополнительные сведения см. в разделе "Ограничения службы ACS".