ACS-felkoder
Uppdaterad: 19 juni 2015
Gäller för: Azure
Det här avsnittet innehåller de vanligaste felmeddelandena som kan uppstå när du använder Microsoft Azure Active Directory Access Control (kallas även Access Control Service eller ACS) och de åtgärder som krävs för att åtgärda felet, i förekommande fall. Information om hur du tillhandahåller anpassad felhantering baserat på felkoderna finns i How to: Use an Error URL for Custom Error Handling (Så här använder du en fel-URL för anpassad felhantering).
Viktigt
ACS-namnrymder kan migrera sina konfigurationer för Google-identitetsprovidern från OpenID 2.0 till OpenID Anslut. Migreringen måste slutföras före den 1 juni 2015. Detaljerad vägledning finns i Migrera ACS-namnområden till Google OpenID Anslut.
Viktigt
Använd inte ACS-felkoder eller beskrivningar i programlogik. När du skriver felhanteringskod använder du värdena för HTTP-status och felkoder. ACS-felkoder och felbeskrivningar kan ändras när som helst utan varning. Mer information finns i Riktlinjer för återförsök i ACS och begränsningar för ACS-tjänsten.
Active Federation Protocol-fel, inklusive SOAP och WS-Trust
| ACS-fel | HTTP-statuskod | Meddelande | Lösning |
|---|---|---|---|
ACS10000 |
400 |
Ett fel uppstod när SOAP-meddelandet bearbetades |
Information finns i meddelandet. |
ACS10001 |
400 |
Ett fel uppstod när SOAP-huvudet bearbetades |
Information finns i meddelandet. |
ACS10002 |
400 |
Ett fel uppstod när SOAP-brödtexten bearbetades |
Information finns i meddelandet. |
ACS10003 |
400 |
Ett fel uppstod när säkerhetshuvudet bearbetades |
Information finns i meddelandet. |
WS-Federation protokollfel, inklusive federationsmetadata
Felen i det här avsnittet gäller WS-Federation protokoll och WS-Federation metadata.
Om du vill generera en giltig WS-FederationMetadata.xml fil använder du FedUtil eller verktyget Identity and Access i Visual Studio 2012. ACS-hanteringsportalen genererar också ett WS-Federation metadatadokument för varje Access Control namnområde. Om du vill visa den går du till ACS-hanteringsportalen och klickar på Programintegrering.
Om du vill anpassa WS-Federation metadata använder du klasserna i namnområdet Microsoft.IdentityModel.Protocols.WSFederation.Metadata .
För OASIS-standarden WS-Federation xml-metadataschemaspecifikationen, se avsnitt 3 i WS-Federation Language version 1.2 standard på http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.
Mer information om specifika fel och deras lösning finns i posterna i den här tabellen.
| Fel | HTTP-statuskod | Meddelande | Lösning |
|---|---|---|---|
ACS20000 |
400 |
Ett fel uppstod när en WS-Federation inloggningsbegäran bearbetades |
Information finns i meddelandet. |
ACS20001 |
400 |
Ett fel uppstod när ett WS-Federation inloggningssvar bearbetades |
Information finns i meddelandet. |
ACS20002 |
400 |
Ett fel uppstod vid försök att generera federationsmetadata |
Mer information finns i meddelandet. Kontrollera att det finns ett primärt tokensigneringscertifikat i ditt Access Control namnområde. |
ACS20003 |
400 |
Ett fel uppstod vid försök att importera federationsmetadata |
Mer information finns i meddelandet. Kontrollera att metadata-URL:en eller metadatafilen är giltig. |
ACS20004 |
Det går inte att hämta entiteten från metadata |
Kontrollera att metadatafilen innehåller ett entitets-ID. |
|
ACS20005 |
Flera metadataentiteter stöds inte |
Kontrollera att federationsmetadata innehåller exakt en entitet. |
|
ACS20006 |
Inga tjänstbeskrivningar för säkerhetstoken hittades |
Kontrollera att federationsmetadata innehåller exakt en tjänstbeskrivning för säkerhetstoken. |
|
ACS20007 |
Flera tjänstbeskrivningar för säkerhetstoken stöds inte |
Kontrollera att federationsmetadata innehåller exakt en tjänstbeskrivning för säkerhetstoken. |
|
ACS20008 |
400 |
Endast identitetsprovidrar som stöder WS-Federation kan importeras. |
Kontrollera att federationsmetadata innehåller en RoleDescriptor av typen "fed:SecurityTokenServiceType". |
ACS20009 |
400 |
Ett fel uppstod vid läsning av WS-Federation metadatadokumentet |
ACS kunde inte parsa det angivna metadatadokumentet, så det kan vara ogiltigt. Du kan verifiera dokumentet genom att köra det via Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata(). |
ACS20010 |
Inga programtjänstbeskrivningar hittades |
Kontrollera att metadatafilen innehåller en programtjänstbeskrivning. |
|
ACS20011 |
Flera programtjänstbeskrivningar stöds inte |
Kontrollera att metadatafilen bara innehåller en programtjänstbeskrivning. |
|
ACS20012 |
400 |
Inkommande begäran är inte en giltig WS-Federation begäran |
Kontrollera att begäran är en giltig WS-Federation inloggningsbegäran eller inloggningssvar och att den innehåller alla nödvändiga parametrar. |
ACS20014 |
400 |
Det WS-Federation metadatadokumentet är inte välformulerad XML |
Det här felet uppstår när XML-koden i WS-Federation metadatadokumentet inte är syntaktiskt korrekt, till exempel när dokumentet har extra eller saknar hakparenteser eller taggar. Det inträffar oftast när du försöker skapa eller redigera ett WS-FederationMetadata.xml dokument manuellt. Det här felet är inte relaterat till kompatibilitet med XML-schemat för metadata. Lös det här felet genom att använda ett XML-valideringsverktyg, till exempel verktygen i Visual Studio eller XML-Anteckningar 2007. |
OpenID-protokollfel
| Fel | HTTP-statuskod | Meddelande | Lösning |
|---|---|---|---|
ACS30000 |
400 |
Ett fel uppstod när ett OpenID-inloggningssvar skulle bearbetas. |
Information finns i meddelandet. |
ACS30001 |
400 |
Det går inte att verifiera OpenID-svarssignaturen. |
OpenID-signaturen var ogiltig eller avvisades av identitetsprovidern. Kontrollera att meddelandet inte har manipulerats. |
Fel i Facebook Graph Protocol
| Fel | HTTP-statuskod | Meddelande | Lösning |
|---|---|---|---|
ACS40000 |
400 |
Ett fel uppstod när ett Facebook-inloggningssvar bearbetades. Detta kan orsakas av ogiltig konfiguration av Facebook-programmet. |
Kontrollera att program-ID och hemlighet som konfigurerats på ACS matchar samma värden i Facebook-utvecklarportalen. |
ACS40001 |
400 |
Ett fel uppstod när en åtkomsttoken skulle hämtas från Facebook. |
Kontrollera att program-ID:t och programhemligheten som har konfigurerats via ACS är giltiga. |
Allmänna tjänstfel för säkerhetstoken, inklusive metadata för identitetsprovider
| Fel | HTP-statuskod | Meddelande | Lösning |
|---|---|---|---|
ACS50000 |
Ett fel uppstod när en token skulle utfärdas. |
Information finns i meddelandet. |
|
ACS50001 |
400 |
Den begärda förlitande partsfären "<Sfär-URL>" är okänd. |
Det uppstod ett matchningsfel mellan Det gällerTill som angavs i tokenbegäran och de sfärer som du har konfigurerat i ACS. Kontrollera det: 1. Den förlitande parten har sin sfär korrekt konfigurerad. Du kan göra detta via hanteringsportalen eller med hjälp av hanteringstjänsten genom att titta på dina RelyingParty.RelyingPartyAddresses-poster.2. Den förlitande parten har associerats med identitetsprovidern. Du kan också göra detta från hanteringsportalen eller med hjälp av hanteringstjänsten genom att titta på dina RelyingPartyIdentityProviders-poster. |
ACS50002 |
400 |
Ogiltig tjänstkonfiguration. (Information finns i meddelandet.) |
Information finns i meddelandet. |
ACS50003 |
400 |
Ingen primär symmetrisk signeringsnyckel har konfigurerats. En symmetrisk signeringsnyckel krävs för SWT. |
Om den valda förlitande parten använder SWT som tokentyp kontrollerar du att en symmetrisk nyckel har konfigurerats för den förlitande parten eller Access Control namnområdet och att nyckeln är inställd på primär och inom dess giltighetsperiod. |
ACS50004 |
400 |
Inget primärt X.509-signeringscertifikat har konfigurerats. Ett signeringscertifikat krävs för SAML. |
Om den valda förlitande parten använder SAML som tokentyp kontrollerar du att ett giltigt X.509-certifikat har konfigurerats för den förlitande parten eller Access Control namnområdet. Certifikatet måste vara inställt på primärt och måste vara inom dess giltighetsperiod. |
ACS50005 |
400 |
Tokenkryptering krävs men inget krypteringscertifikat har konfigurerats för den förlitande parten. |
Inaktivera tokenkryptering för den valda förlitande parten eller ladda upp ett X.509-certifikat som ska användas för tokenkryptering. |
ACS50006 |
403 |
Signaturverifieringen misslyckades. (Det kan finnas mer information i meddelandet.) |
Kontrollera att verifieringsnycklarna som har konfigurerats via ACS är giltiga. |
ACS50007 |
400 |
Signaturen hittades inte. |
Kontrollera att den inkommande token är signerad och giltig. |
ACS50008 |
401 |
SAML-token är ogiltig. (Det kan finnas mer information i meddelandet.) |
Mer information finns i Åtgärda fel ACS50008. |
ACS50009 |
401 |
SWT-token är ogiltig. (Det kan finnas mer information i meddelandet.) |
Information finns i meddelandet. |
ACS50010 |
403 |
Verifieringen av målgrupps-URI misslyckades. (Det kan finnas mer information i meddelandet.) |
Kontrollera att målgruppen för den inkommande token är inställd på https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
ReplyTo-adressen saknas eller matchar inte sfären. |
För att kunna arbeta med WS-Federation måste en förlitande part ha minst en ReplyTo-adress konfigurerad. |
ACS50012 |
401 |
Autentiseringen misslyckades. (Det kan finnas mer information i meddelandet.) |
När ett program med flera klientorganisationer försöker hämta en token för att få åtkomst till Graph API för en Azure AD klientorganisation som nyligen har godkänt programmet kan tokenbegäran misslyckas tillfälligt med felet ACS50012. Lös problemet genom att vänta några minuter och försöka igen. Eller be innehavaradministratören som har gett medgivande logga in på programmet efter medgivande. |
ACS50013 |
400 |
Antalet segment i URI-värdet är mer än det maximala acceptabla antalet sökvägssegment. |
Kontrollera att antalet segment i URI-värdet är lika med eller mindre än 32. |
ACS50014 |
400 |
Självsäkra anspråk tillåts inte för tjänst- och hanteringsidentiteter. |
Kontrollera att din tjänstidentitetsautentiseringstoken antingen inte innehåller några anspråk eller bara namnidentifieraranspråket. |
ACS50015 |
400 |
Ett fel uppstod när identitetsproviderns metadata skulle hämtas. |
Mer information finns i meddelandet. Kontrollera att metadata-URL:en eller -filen är giltig. |
ACS50016 |
400 |
X509Certifikat med ämnesnamnet certifikatmottagare<> och tumavtrycket "<Certifikattumavtryck>" matchar inte något konfigurerat certifikat. |
Kontrollera att det begärda certifikatet har laddats upp till ACS. |
ACS50017 |
401 |
Certifikatet med certifikatets< ämnesnamn> och utfärdaren "<Issuer name>" kunde inte valideras. |
Kontrollera att certifikatet antingen är självsignerat eller att det är kedjat till en betrodd rotcertifikatutfärdare. Certifikatet får inte heller återkallas och måste vara inom dess giltighetsperiod. Mer information finns i Åtgärda fel ACS50017. |
ACS50018 |
400 |
Sfär saknas. Namnet på den förlitande parten angavs inte. |
Kontrollera att begäran innehåller en sfär. |
ACS50019 |
401 |
Inloggningen avbröts av användaren. |
|
ACS50020 |
401 |
Användaren är obehörig. |
|
ACS50022 |
400 |
Motringningsparametervärdet "<Funktionsnamn>" är inte ett giltigt JavaScript-funktionsnamn. |
Kontrollera att den angivna motringningsparametern är namnet på ett giltigt JavaScript-funktionsnamn. Giltiga JavaScript-funktionsnamn innehåller bara bokstäver, siffror och tecknen $och _, och kanske inte börjar med en siffra. Unicode-tecken i funktionsnamn stöds inte. |
ACS50026 |
Huvudnamn med namnet "name" är inte ett giltigt huvudnamn. |
Det här felet anger att ett försök att hitta en entitet med det angivna namnet misslyckades eftersom entiteten inte är känd för ACS. Den här entiteten kan vara en tjänstidentitet, ett förlitande partprogram eller en identitetsprovider, beroende på scenariot. Kontrollera att den här entiteten finns i Access Control namnområde. |
|
ACS50042 |
401 |
Det salt som krävs för att generera en parvis identifierare saknas. Om det här programmet nyligen har registrerats väntar du några minuter innan du försöker igen. |
Om du försöker logga in i ett program omedelbart efter att du har lagt till det i Azure AD kan inloggningsförsöket misslyckas tills parvisnycklarna har synkroniserats. Vänta några minuter och försök logga in igen. Mer information finns i RIKTLINJER för återförsök i ACS. |
Fel i regelmotor, data och hanteringstjänst
| Fel | HTTP-statuskod | Meddelande | Lösning |
|---|---|---|---|
ACS 60000 |
403 |
Principmotorfel |
Information finns i meddelandet. |
ACS60001 |
Inga utdataanspråk genererades under regelbearbetningen. |
De regelgrupper som är associerade med den valda förlitande parten har inga regler som gäller för anspråk som genereras av din identitetsprovider. Konfigurera vissa regler i en regelgrupp som är associerad med din förlitande part eller generera direktregler med hjälp av regelgruppsredigeraren. |
|
ACS60002 |
403 |
Kvoten för antalet tokenbegäranden har nåtts och inga fler kan begäras. |
|
ACS60003 |
403 |
Det går inte att ändra en skrivskyddad egenskap. |
Vissa inbyggda ACS-objekt kan inte ändras eller tas bort. |
ACS60004 |
409 |
Versionskonflikt |
Ett versionskonfliktfel kan tas emot när du försöker uppdatera namnet på en förlitande part, identitetsprovider, tjänstidentitet eller utfärdare till samma namn som en annan förlitande part, identitetsprovider, tjänstidentitet eller utfärdare. Lös problemet genom att välja ett annat unikt namn. |
ACS60005 |
400 |
Försökte lägga till ett underordnat objekt med en ogiltig eller saknad överordnad. |
För underordnade objekt, till exempel adresser, kontrollerar du att det överordnade objektet eller objekt-ID:t är giltigt och av rätt typ. |
ACS60006 |
400 |
Försökte infoga en ny kopia av ett objekt som redan finns i databasen. |
Det objekt som du försöker infoga strider mot en unikhetsbegränsning. Kontrollera att objektets egenskaper, till exempel namn och adress, är unika om det behövs. |
ACS60007 |
400 |
Ogiltigt X.509-certifikat |
Kontrollera att de angivna byteen är ett giltigt X.509-certifikat. |
ACS60008 |
Det går inte att hitta ett unikt namn för den här <objekttypen>. |
||
ACS60012 |
Antalet inkommande anspråk (#) överskrider gränsen (80). |
Din inkommande token måste ha 80 anspråk eller mindre för att ACS ska kunna bearbeta dem och sedan utfärda en utgående token. |
|
ACS60021 |
503 |
Tjänsten är inte tillgänglig |
Tokenbegäran avvisas eftersom ACS-dataservrar är upptagna med att svara på tokenbegäranden från alla namnområden. Vänta några sekunder och försök igen under de ökande tidsintervallen. Mer information finns i Riktlinjer för återförsök i ACS. |
OAuth 2.0-protokollfel
| Fel | HTTP-statuskod | Meddelande | Åtgärd som krävs för att åtgärda felet |
|---|---|---|---|
ACS70000 |
401 |
Det angivna åtkomstbidraget är ogiltigt, har upphört att gälla eller återkallats. |
Information finns i meddelandet. |
ACS70001 |
401 |
Klienten är obehörig. |
|
ACS70002 |
401 |
Ogiltig klient. |
|
ACS70003 |
401 |
Åtkomstbidraget som ingår stöds inte av auktoriseringsservern. |
Fel i ACS-hanteringsportalen
| Fel | HTTP-felkod | Meddelande | Åtgärd som krävs för att åtgärda felet |
|---|---|---|---|
ACS80001 |
404 |
Den här regeln är konfigurerad för att använda en typ av anspråksutfärdare som inte stöds av hanteringsportalen. Använd hanteringstjänsten för att visa och redigera den här regeln. |
Det här felet uppstår om en regel har konfigurerats för att använda en utfärdare som inte är en identitetsprovider eller utfärdare av Access Control-tjänsten "LOKAL MYNDIGHET". Mer information om hur du använder ACS-hanteringstjänsten finns i ACS-hanteringstjänsten. |
Övriga fel
| Fel | HTTP-felkod | Meddelande | Lösning |
|---|---|---|---|
ACS90002 |
404 |
Namnet på tjänstens namnområde i URL:en är ogiltigt. |
Kontrollera att den begärda Access Control namnrymden finns. |
ACS90004 |
400 |
Begäran är inte korrekt formaterad. |
|
ACS90005 |
502 |
Fel på extern server. (Mer information finns i meddelandet.)) |
Ett fel uppstod vid kommunikation med en extern server, till exempel en identitetsprovider. |
ACS90006 |
504 |
Tidsgräns för extern server. |
Tidsgränsen för kommunikationen med en extern server, till exempel en identitetsprovider, överst. |
ACS90007 |
405 |
Begärandemetoden tillåts inte. |
Kontrollera att HTTP-metoden (till exempel GET och POST) som används stöds av den slutpunkten. |
ACS90008 |
403 |
Klientorganisationen är inaktiverad. |
Kontrollera att ditt Access Control namnområde är aktivt. |
ACS90009 |
404 |
Inget <objekt> hittades för det angivna ID:t. |
Information finns i meddelandet. |
ACS90010 |
400 |
Stöds inte. (Mer information finns i meddelandet.) |
Information finns i meddelandet. |
ACS90011 |
400 |
Ogiltig begäran. (Mer information finns i meddelandet.) |
Information finns i meddelandet. |
ACS90012 |
408 |
Tidsgränsen för begäran till servern överst. |
Information finns i meddelandet. |
ACS90013 |
400 |
Ogiltiga användarindata. (Mer information finns i meddelandet.) |
Information finns i meddelandet. |
ACS90014 |
400 |
Det obligatoriska fältet "<Fält>" saknas. |
Kontrollera att din begäran till ACS innehåller alla parametrar som krävs av det protokoll som du använder. |
ACS90015 |
403 |
Inte auktoriserad: Tjänstnycklar är begränsade för den här klientorganisationen. |
ACS visar inte nycklar som tillhör ServiceBus- och Cache-namnrymderna. Om du vill visa dessa nycklar använder du ServiceBus- eller Cache-portalen. |
ACS90016 |
400 |
"<Nyckelstorlek>" bitar är en ogiltig nyckelstorlek. Nyckelstorleken måste vara större än 0 och en multipel av 8. |
|
ACS90046 |
503 |
Tjänsten är inte tillgänglig |
Tokenbegäran avvisas eftersom ACS är upptaget med att svara på tokenbegäranden från alla namnområden. Vänta några sekunder och försök igen under de ökande tidsintervallen. Mer information finns i Riktlinjer för återförsök i ACS. |
ACS90055 |
429 |
För många begäranden |
Tokenbegäran avvisas eftersom det här namnområdet överskred den maximala tokenbegärandehastigheten på 30 token per sekund under en längre period. Vänta några sekunder och försök igen under de ökande tidsintervallen. Om felet uppstår igen bör du överväga att omdistribuera arbetsbelastningen över flera namnområden. Mer information finns i BEGRÄNSNINGAR för ACS-tjänsten. |