Коды ошибок ACS
Обновлено: 19 июня 2015 г.
Область применения: Azure
В этом разделе содержатся наиболее распространенные сообщения об ошибках, которые могут возникнуть при использовании Microsoft Azure Active Directory контроль доступа (также известных как служба контроль доступа или ACS) и действия, необходимые для устранения ошибки, если применимо. Сведения о том, как предоставлять пользовательскую обработку ошибок на основе кодов ошибок, см. в разделе "Практическое руководство. Использование URL-адреса ошибки для пользовательской обработки ошибок".
Важно!
Пространства имен ACS могут перенести конфигурации поставщика удостоверений Google из OpenID 2.0 в OpenID Connect. Миграция должна быть завершена до 1 июня 2015 г. Подробные инструкции см. в статье о переносе пространств имен ACS в Google OpenID Подключение.
Важно!
Не используйте коды или описание ошибок ACS в логике приложений. При написании кода обработки ошибок используйте значения состояния HTTP и кода ошибки. Коды и описание ошибок ACS могут быть изменены в любой момент без предупреждения. Дополнительные сведения см. в руководстве по повторным попыткам ACS и ограничениях службы ACS.
Ошибки протокола Active Federation, включая SOAP и WS-Trust
| Ошибка ACS | Код состояния HTTP | Сообщение | Средство |
|---|---|---|---|
ACS10000 |
400 |
При обработке сообщения SOAP возникла ошибка |
Дополнительные сведения см. в сообщении. |
ACS10001 |
400 |
При обработке заголовка SOAP возникла ошибка |
Дополнительные сведения см. в сообщении. |
ACS10002 |
400 |
При обработке текста запроса SOAP возникла ошибка |
Дополнительные сведения см. в сообщении. |
ACS10003 |
400 |
При обработке заголовка безопасности возникла ошибка |
Дополнительные сведения см. в сообщении. |
Ошибки протокола WS-Federation, включая метаданные федерации
Ошибки в этом разделе связаны с протоколом и метаданными WS-Federation.
Чтобы создать допустимый файл WS-FederationMetadata.xml, используйте FedUtil или средство Identity and Access в Visual Studio 2012 г. Портал управления ACS также создает документ метаданных WS-Federation для каждого пространства имен контроль доступа. Чтобы просмотреть его, на портале управления ACS щелкните "Интеграция приложений".
Чтобы настроить WS-Federation метаданные, используйте классы в пространстве имен Microsoft.IdentityModel.Protocols.WSFederation.Metadata .
Стандарт OASIS WS-Federation спецификации схемы XML метаданных см. в разделе 3 стандарта WS-Federation (WS-Federation) версииhttp://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc2231749421.2.
Дополнительные сведения о конкретных ошибках и способах их устранения см. в этой таблице.
| Ошибка | Код состояния HTTP | Сообщение | Средство |
|---|---|---|---|
ACS20000 |
400 |
При обработке запроса входа WS-Federation возникла ошибка |
Дополнительные сведения см. в сообщении. |
ACS20001 |
400 |
При обработке ответа на запрос входа WS-Federation возникла ошибка |
Дополнительные сведения см. в сообщении. |
ACS20002 |
400 |
При попытке создать метаданные федерации возникла ошибка |
Дополнительные сведения см. в сообщении. Убедитесь, что в пространстве имен контроль доступа есть основной сертификат подписи маркера. |
ACS20003 |
400 |
При попытке импортировать метаданные федерации возникла ошибка |
Дополнительные сведения см. в сообщении. Убедитесь, что URL-адрес или файл метаданных допустимы. |
ACS20004 |
Не удается получить объект из метаданных |
Убедитесь, что файл метаданных содержит идентификатор объекта. |
|
ACS20005 |
Множество объектов метаданных не поддерживается |
Убедитесь, что метаданные федерации содержат один объект. |
|
ACS20006 |
Дескрипторы службы токенов не найдены |
Убедитесь, что метаданные федерации содержат один дескриптор службы токенов безопасности. |
|
ACS20007 |
Множество дескрипторов службы токенов безопасности не поддерживаются |
Убедитесь, что метаданные федерации содержат один дескриптор службы токенов безопасности. |
|
ACS20008 |
400 |
Можно импортировать только поставщики удостоверений, поддерживающие WS-Federation. |
Убедитесь, что метаданные федерации содержат RoleDescriptor типа "fed:SecurityTokenServiceType". |
ACS20009 |
400 |
При чтении документа метаданных WS-Federation возникла ошибка |
AcS не удалось проанализировать предоставленный документ метаданных, поэтому он может быть недопустимым. Вы можете проверить документ с помощью Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata(). |
ACS20010 |
Дескрипторы службы приложения не найдены |
Убедитесь, что файл метаданных содержит дескриптор службы приложения. |
|
ACS20011 |
Множество дескрипторов службы приложения не поддерживаются |
Убедитесь, что файл метаданных содержит один дескриптор службы приложения. |
|
ACS20012 |
400 |
Входящий запрос не является допустимым запросом WS-Federation |
Убедитесь, что запрос является допустимым запросом входа или ответом на запрос входа WS-Federation и что он содержит все обязательные параметры. |
ACS20014 |
400 |
Документ метаданных WS-Federation не является XML-файлом в допустимом формате |
Эта ошибка происходит, если XML в документе метаданных WS-Federation содержит синтаксические ошибки, например лишние или недостающие скобки и теги. Это происходит чаще всего при попытке создать или изменить документ WS-FederationMetadata.xml вручную. Эта ошибка не связана с соответствием схеме XML метаданных. Чтобы устранить эту ошибку, используйте средство проверки XML, например средства в Visual Studio или XML-Блокнот 2007. |
Ошибки протокола OpenID
| Ошибка | Код состояния HTTP | Сообщение | Средство |
|---|---|---|---|
ACS30000 |
400 |
При обработке ответа на запрос входа OpenID возникла ошибка. |
Дополнительные сведения см. в сообщении. |
ACS30001 |
400 |
Не удается проверить подпись ответа OpenID. |
Подпись OpenID недействительна или была отклонена поставщиком удостоверений. Убедитесь, что сообщение не было подделано. |
Ошибки протокола Facebook Graph
| Ошибка | Код состояния HTTP | Сообщение | Средство |
|---|---|---|---|
ACS40000 |
400 |
При обработке ответа на запрос входа Facebook возникла ошибка Возможно, ошибка вызвана недопустимой конфигурацией приложения Facebook. |
Убедитесь, что идентификатор приложения и секрет, настроенные в ACS, совпадают со значениями на портале разработчика Facebook. |
ACS40001 |
400 |
При попытке получить токен доступа от Facebook возникла ошибка. |
Убедитесь, что в ACS настроены допустимые код и секрет приложения. |
Общие ошибки службы токенов безопасности, в том числе ошибки метаданных поставщика удостоверений
| Ошибка | Код состояния HTTP | Сообщение | Средство |
|---|---|---|---|
ACS50000 |
При выдаче токена произошла ошибка. |
Дополнительные сведения см. в сообщении. |
|
ACS50001 |
400 |
Запрошенная область проверяющей стороны "<URL-адрес> области" неизвестна. |
Существовало несоответствие между AppliesTo, заданным в запросе маркера, и области, настроенные в ACS. Убедитесь, что: 1. Убедитесь, что область проверяющей стороны настроена правильно. Это можно сделать с помощью портала управления или службы управления, изучив записи RelyingParty.RelyingPartyAddresses. 2. Убедитесь, что проверяющая сторона связана с поставщиком удостоверений. Это также можно сделать с помощью портала управления или службы управления, изучив записи RelyingPartyIdentityProviders. |
ACS50002 |
400 |
Недопустимая конфигурация службы. (Дополнительные сведения см. в сообщении.) |
Дополнительные сведения см. в сообщении. |
ACS50003 |
400 |
Не настроен основной симметричный ключ подписывания. Он необходим для SWT. |
Если выбранная проверяющая сторона использует SWT в качестве его типа токена, убедитесь, что симметричный ключ настроен для проверяющей стороны или пространства имен контроль доступа, а для ключа задан первичный и в течение срока действия. |
ACS50004 |
400 |
Не настроен основной сертификат подписи X.509. Он необходим для SAML. |
Если выбранная проверяющая сторона использует SAML в качестве типа токена, убедитесь, что для проверяющей стороны или пространства имен контроль доступа настроен действительный сертификат X.509. который задан как первичный и срок действия которого не истек. |
ACS50005 |
400 |
Требуется использовать шифрование токенов, но не настроен сертификат шифрования для проверяющей стороны. |
Отключите шифрование токенов для выбранной проверяющей стороны или отправьте сертификат X.509 для шифрования токенов. |
ACS50006 |
403 |
Ошибка проверки подписи. (Подробности указаны в сообщении.) |
Убедитесь, что в ACS настроены допустимые ключи проверки. |
ACS50007 |
400 |
Подпись не найдена. |
Убедитесь, что входящий токен подписан и действителен. |
ACS50008 |
401 |
недопустимый токен SAML". (Подробности указаны в сообщении.) |
Дополнительные сведения см. в разделе "Устранение ошибок ACS50008". |
ACS50009 |
401 |
Недопустимый токен SWT. (Подробности указаны в сообщении.) |
Дополнительные сведения см. в сообщении. |
ACS50010 |
403 |
Ошибка проверки URI аудитории. (Подробности указаны в сообщении.) |
Убедитесь, что для аудитории входящего маркера задано значение https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
Адрес для ответа отсутствует или не соответствуют области. |
Для работы с WS-Federation для проверяющей стороны необходимо настроить по крайней мере один адрес для ответа. |
ACS50012 |
401 |
Проверка подлинности не пройдена. (Подробности указаны в сообщении.) |
Если мультитенантное приложение пытается получить токен для доступа к API Graph для клиента Azure AD, который недавно отправил согласие для приложения, запрос токена может завершиться с временной ошибкой ACS50012. Чтобы устранить эту проблему, подождите несколько минут и повторите попытку. Или попросите администратора клиента, предоставившего согласие, войти в приложение после согласия. |
ACS50013 |
400 |
Число сегментов в значении URI превышает максимально допустимое количество сегментов пути. |
Убедитесь, что число сегментов в значении URI не превышает 32. |
ACS50014 |
400 |
Для удостоверений службы и управления не могут использоваться самозаверяемые утверждения. |
Убедитесь, что маркер проверки подлинности удостоверения службы не содержит утверждений или только утверждение идентификатора имени. |
ACS50015 |
400 |
При попытке получить метаданные поставщика удостоверений возникла ошибка. |
Дополнительные сведения см. в сообщении. Убедитесь, что URL-адрес или файл допустимы. |
ACS50016 |
400 |
X509Certificate с субъектом "<Имя> субъекта сертификата" и отпечатком "<Отпечаток> сертификата" не соответствует ни одному настроенному сертификату. |
Убедитесь, что запрошенный сертификат отправлен в ACS. |
ACS50017 |
401 |
Сертификат с субъектом "<Имя> субъекта сертификата" и издателем "<Имя> издателя" не пройдена проверка. |
Убедитесь, что сертификат является самозаверяющим или связан с доверенным корневым центром сертификации. Сертификат не должен быть отозван и должен быть действующим. Дополнительные сведения см. в статье "Устранение ошибок ACS50017". |
ACS50018 |
400 |
Отсутствует область. Имя проверяющей стороны не указано. |
Убедитесь, что запрос содержит область. |
ACS50019 |
401 |
Вход в систему отменен пользователем. |
|
ACS50020 |
401 |
Пользователь не авторизован. |
|
ACS50022 |
400 |
Значение параметра обратного вызова "<Имя> функции" не является допустимым именем функции JavaScript. |
Убедитесь, что указанный параметр обратного вызова — это имя допустимой функции JavaScript. Допустимые имена функций JavaScript содержит только буквы, цифры и символы "$" и "_", при этом они не могут начинаться с цифры. Символы Юникода в именах функций не поддерживаются. |
ACS50026 |
Недопустимый субъект с именем "имя". |
Эта ошибка указывает, что попытка найти сущность по указанному имени завершилась ошибкой, так как сущность не известна ACS. Это может быть удостоверение службы, приложение проверяющей стороны или поставщик удостоверений в зависимости от сценария. Убедитесь, что эта сущность существует в пространстве имен контроль доступа. |
|
ACS50042 |
401 |
Случайные данные, необходимые для создания парного идентификатора, отсутствуют. Если приложение было зарегистрировано недавно, подождите несколько минут и повторите попытку. |
Если попытаться войти в приложение сразу после его добавления в Azure AD, операция может завершиться ошибкой, если парные ключи не синхронизированы. Подождите несколько минут и попробуйте войти еще раз. Дополнительные сведения см. в руководстве по повторным попыткам ACS. |
Ошибки модуля правил, данных и службы управления
| Ошибка | Код состояния HTTP | Сообщение | Средство |
|---|---|---|---|
ACS 60 000 |
403 |
Ошибка модуля политик |
Дополнительные сведения см. в сообщении. |
ACS60001 |
Выходные утверждения не были созданы во время обработки правил. |
Группы правил, связанные с выбранной проверяющей стороной, не содержат правил, применимых к утверждениям, которые созданы поставщиком удостоверений. Настройте правила в группе, связанной с проверяющей стороной, или создайте сквозные правила, используя редактор групп правил. |
|
ACS60002 |
403 |
Достигнута квота для числа запросов, дополнительные запросы недопустимы. |
|
ACS60003 |
403 |
Не удается изменить свойство только для чтения. |
Некоторые встроенные объекты ACS нельзя изменить или удалить. |
ACS60004 |
409 |
Конфликт версий |
Конфликт версий может возникнуть при попытке изменить имя проверяющей стороны, поставщика удостоверений, удостоверения службы или издателя на имя, совпадающей с именем другой проверяющей стороны, поставщика удостоверений, удостоверения службы или издателя. Чтобы устранить ошибку, выберите другое уникальное имя. |
ACS60005 |
400 |
Попытка добавить дочерний объект с недопустимым или отсутствующие родительским объектом. |
Для дочерних объектов, таких как адреса, необходимо убедиться, что родительский объект или идентификатор объекта допустим и относится в нужному типу. |
ACS60006 |
400 |
Попытка вставить новую копию объекта, который уже существует в базе данных. |
Объект, который вы пытаетесь вставить, нарушает ограничение уникальности. При необходимости убедитесь, что свойства объекта, такие как имя и адрес, уникальны. |
ACS60007 |
400 |
Недопустимый сертификат X.509 |
Убедитесь, что указанные данные представляют допустимый сертификат X.509. |
ACS60008 |
Не удается найти уникальное имя для этого <типа> объекта. |
||
ACS60012 |
Количество входящих утверждений (#) превышает ограничение (80). |
Входящий токен должен содержать не больше 80 утверждений, чтобы служба ACS могла их обработать и успешно выдать исходящий токен. |
|
ACS60021 |
503 |
Служба недоступна |
Запрос токена отклонен, так как серверы данных ACS отвечают на запросы токена из всех пространств имен. Подождите несколько секунд и повторите запросы через увеличивающиеся временные интервалы. Дополнительные сведения см. в руководстве по повторным попыткам ACS. |
Ошибки протокола OAuth 2.0
| Ошибка | Код состояния HTTP | Сообщение | Действие, необходимое для устранения ошибки |
|---|---|---|---|
ACS70000 |
401 |
Предоставленные права доступа недействительны, истекли или отозваны. |
Дополнительные сведения см. в сообщении. |
ACS70001 |
401 |
Клиент не авторизован. |
|
ACS70002 |
401 |
Недопустимый клиент. |
|
ACS70003 |
401 |
Права доступа указаны, но не поддерживаются сервером авторизации. |
Ошибки портала управления ACS
| Ошибка | Код ошибки HTTP | Сообщение | Действие, необходимое для устранения ошибки |
|---|---|---|---|
ACS80001 |
404 |
Это правило настроено для использования типа издателя утверждения, который не поддерживается порталом управления. Изучите и измените это правило в службе управления. |
Эта ошибка возникает, если правило настроено для использования издателя, который не является поставщиком удостоверений или издателем "LOCAL AUTHORITY" службы Access Control Service. Дополнительные сведения об использовании службы управления ACS см. в разделе "Служба управления ACS". |
Другие ошибки
| Ошибка | Код ошибки HTTP | Сообщение | Средство |
|---|---|---|---|
ACS90002 |
404 |
Недопустимое имя пространства имен службы в URL-адресе. |
Убедитесь, что запрошенное пространство имен контроль доступа существует. |
ACS90004 |
400 |
Неверный формат запроса. |
|
ACS90005 |
502 |
Внешняя ошибка сервера. (Дополнительные сведения см. в сообщении.) |
При взаимодействии с внешним сервером, например поставщиком удостоверений, возникла ошибка. |
ACS90006 |
504 |
Превышено время ожидания внешнего сервера. |
Превышено время ожидания подключения к внешнему серверу, например поставщику удостоверений. |
ACS90007 |
405 |
Недопустимый метод запроса. |
Убедитесь, что метод HTTP (например, GET или POST) поддерживается конечной точкой. |
ACS90008 |
403 |
Клиент отключен. |
Убедитесь, что пространство имен контроль доступа активно. |
ACS90009 |
404 |
Объект> для заданного идентификатора не <найден. |
Дополнительные сведения см. в сообщении. |
ACS90010 |
400 |
Не поддерживается. (Дополнительные сведения см. в сообщении.) |
Дополнительные сведения см. в сообщении. |
ACS90011 |
400 |
Недопустимый запрос. (Дополнительные сведения см. в сообщении.) |
Дополнительные сведения см. в сообщении. |
ACS90012 |
408 |
Превышено время ожидания запроса к серверу. |
Дополнительные сведения см. в сообщении. |
ACS90013 |
400 |
Пользователь ввел недопустимые данные. (Дополнительные сведения см. в сообщении.) |
Дополнительные сведения см. в сообщении. |
ACS90014 |
400 |
Отсутствует обязательное поле Field<>. |
Убедитесь, что запрос к ACS содержит все параметры, необходимые для используемого протокола. |
ACS90015 |
403 |
Не авторизовано: ключи службы ограничены для этого клиента. |
ACS не будет отображать ключи, принадлежащие пространствам имен Служебной шины и кэша. Для их просмотра используйте портал ServiceBus или Cache. |
ACS90016 |
400 |
Биты "<Размер> ключа" являются недопустимым размером ключа. Размер ключа должен быть больше 0 и кратен 8. |
|
ACS90046 |
503 |
Служба недоступна |
Запрос токена отклонен, так как служба ACS отвечает на запросы токена из всех пространств имен. Подождите несколько секунд и повторите запросы через увеличивающиеся временные интервалы. Дополнительные сведения см. в руководстве по повторным попыткам ACS. |
ACS90055 |
429 |
Слишком много запросов |
Запрос токена отклонен, так как для этого пространства имен превышена максимальная скорость запроса токенов (30 токенов в секунду). Подождите несколько секунд и повторите запросы через увеличивающиеся временные интервалы. Если ошибка повторяется, распределите нагрузку по нескольким пространствам имен. Дополнительные сведения см. в разделе "Ограничения службы ACS". |