共用方式為


ACS 錯誤碼

更新日期:2015 年 6 月 19 日

適用對象:Azure

本主題包含最常見的錯誤訊息,這些錯誤訊息可能會在使用Microsoft Azure Active Directory 存取控制 (也稱為 存取控制 Service 或 ACS) ,以及適用時修正錯誤所需的動作。 如需如何根據錯誤碼提供自訂錯誤處理的資訊,請參閱 如何:針對自訂錯誤處理使用錯誤 URL

重要

ACS 命名空間可以將其 Google 身分識別提供者組態從 OpenID 2.0 移轉至 OpenID Connect。 移轉必須在 2015 年 6 月 1 日之前完成。 如需詳細指引,請參閱將 ACS 命名空間移轉至 Google OpenID 連線

重要

請勿在應用程式邏輯中使用 ACS 錯誤碼或描述。 撰寫錯誤處理程式碼時,請使用 HTTP 狀態值和錯誤碼。 ACS 錯誤碼和錯誤描述可以在沒有警告的情況下隨時變更。 如需詳細資訊,請參閱 ACS 重試指導方針ACS 服務限制

作用中同盟通訊協定錯誤,包括 SOAP 及 WS-Trust

ACS 錯誤 HTTP 狀態碼 訊息 補救方法

ACS10000

400

處理 SOAP 訊息時發生錯誤

詳細資料位於訊息中。

ACS10001

400

處理 SOAP 標頭時發生錯誤

詳細資料位於訊息中。

ACS10002

400

處理 SOAP 本文時發生錯誤

詳細資料位於訊息中。

ACS10003

400

處理安全性標頭時發生錯誤

詳細資料位於訊息中。

WS-同盟通訊協定錯誤,包括同盟中繼資料

此區段中的錯誤與 WS-同盟通訊協定和 WS-同盟中繼資料有關。

若要產生有效的WS-FederationMetadata.xml檔案,請在 Visual Studio 2012 中使用FedUtilIdentity and Access工具。 ACS 管理入口網站也會為每個存取控制命名空間產生WS-Federation元資料檔案。 若要檢視它,請在 ACS 管理入口網站中,按一下 [應用程式整合]。

若要自訂WS-Federation中繼資料,請使用 Microsoft.IdentityModel.Protocols.WSFederation.Metadata 命名空間中的類別。

如需 OASIS 標準WS-Federation中繼資料 XML 架構規格,請參閱 上的 Web 服務同盟語言 (WS-Federation) 1.2 版標準 http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942 的第 3 節。

如需特定錯誤與其解決方案的詳細資訊,請參閱此表格中的項目。

錯誤 HTTP 狀態碼 訊息 補救方法

ACS20000

400

處理 WS-同盟登入要求時發生錯誤

詳細資料位於訊息中。

ACS20001

400

處理 WS-同盟登入回應時發生錯誤

詳細資料位於訊息中。

ACS20002

400

嘗試產生同盟中繼資料時發生錯誤

在訊息中可以找到更多詳細資料。 確認您的存取控制命名空間中有主要權杖簽署憑證。

ACS20003

400

嘗試匯入同盟中繼資料時發生錯誤

在訊息中可以找到更多詳細資料。 確定中繼資料 URL 或中繼資料檔案有效。

ACS20004

無法從中繼資料擷取實體

確定中繼資料檔案包含實體 ID。

ACS20005

不支援多個中繼資料實體

請確定同盟中繼資料確實只包含一個實體。

ACS20006

找不到安全性權杖服務描述元

請確定同盟中繼資料確實只包含一個安全性權杖服務描述元。

ACS20007

不支援多個安全性權杖服務描述元

請確定同盟中繼資料確實只包含一個安全性權杖服務描述元。

ACS20008

400

只能匯入支援WS-Federation的識別提供者。

只有支援WS-Federation的信賴憑證者才能匯入。

請確定同盟中繼資料包含類型為 "fed:SecurityTokenServiceType" 的 RoleDescriptor。

ACS20009

400

讀取 WS-同盟中繼資料文件時發生錯誤

ACS 無法剖析提供的元資料檔案,因此可能無效。 您可以透過 Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata() 執行您的文件來驗證它。

ACS20010

找不到應用程式服務描述元

確定中繼資料檔案包含應用程式服務描述元。

ACS20011

不支援多個應用程式服務描述元

確定中繼資料檔案只包含一個應用程式服務描述元。

ACS20012

400

連入要求是無效的 WS-同盟要求

請確定要求是有效的 WS-同盟登入要求或登入回應,而且它包含所有必要的參數。

ACS20014

400

WS-同盟中繼資料文件不是格式良好的 XML

當 WS-同盟中繼資料文件中的 XML 語法不正確時 (例如當文件的括號或標記有多出或缺少時),就會發生此錯誤。 當您嘗試手動建立或編輯WS-FederationMetadata.xml檔時,最常會發生此情況。 此錯誤與中繼資料 XML 架構的合規性無關。

若要解決此錯誤,請使用 XML 驗證程式工具,例如 Visual Studio 或XML 記事本 2007中的工具。

OpenID Protocol 錯誤

錯誤 HTTP 狀態碼 訊息 補救方法

ACS30000

400

處理 OpenID 登入回應時發生錯誤。

詳細資料位於訊息中。

ACS30001

400

無法驗證 OpenID 回應簽章。

OpenID 簽章無效,或被身分識別提供者拒絕。 請確定訊息未遭受竄改。

Facebook 圖形通訊協定錯誤

錯誤 HTTP 狀態碼 訊息 補救方法

ACS40000

400

處理 Facebook 登入回應時發生錯誤。 原因可能是無效的 Facebook 應用程式設定所致。

確認 ACS 上設定的應用程式識別碼和秘密符合 Facebook 開發人員入口網站中的相同值。

ACS40001

400

嘗試從 Facebook 取得存取權杖時發生錯誤。

確定透過 ACS 設定的應用程式 ID 和應用程式密碼有效。

一般安全性權杖服務錯誤,包括身分識別提供者中繼資料

錯誤 HTP 狀態碼 訊息 補救方法

ACS50000

簽發權杖時發生錯誤。

詳細資料位於訊息中。

ACS50001

400

要求的信賴憑證者領域 ' < Realm URL > ' 未知。

權杖要求中提供的 AppliesTo 與您在 ACS 中設定的領域不符。 請檢查:1。 您的信賴憑證者已正確設定其領域。 您可以透過管理入口網站或使用管理服務檢查您的 RelyingParty.RelyingPartyAddresses 項目來完成這項工作。2. 您的信賴憑證者已經與身分識別提供者產生關聯。 您可以從管理入口網站或使用管理服務檢查您的 RelyingPartyIdentityProviders 項目來完成這項工作。

ACS50002

400

無效的服務設定 (詳細資料位於訊息中)。

詳細資料位於訊息中。

ACS50003

400

未設定主要對稱簽署金鑰。 SWT 需要對稱簽署金鑰。

如果選擇的信賴憑證者使用 SWT 做為其權杖類型,請確認已針對信賴憑證者或存取控制命名空間設定對稱金鑰,且金鑰設定為主要和在其有效期間內。

ACS50004

400

未設定主要 X.509 簽署憑證。 SAML 需要對稱簽署憑證。

如果選擇的信賴憑證者使用 SAML 做為其權杖類型,請確定已針對信賴憑證者或存取控制命名空間設定有效的 X.509 憑證。 必須將憑證設為主要,而且仍在其有效期間內。

ACS50005

400

需要權杖加密,但不需要為信賴憑證者設定加密憑證。

請停用所選信賴憑證者的權杖加密,或上傳權杖加密要使用的 X.509 憑證。

ACS50006

403

簽章驗證失敗 (在訊息中可能有更多詳細資料)。

確定透過 ACS 設定的驗證金鑰有效。

ACS50007

400

找不到簽章。

確定連入權杖已簽署並且有效。

ACS50008

401

SAML 權杖無效。 (在訊息中可能有更多詳細資料)。

如需詳細資訊,請參閱 如何修正錯誤 ACS50008

ACS50009

401

SWT 權杖無效 (在訊息中可能有更多詳細資料)。

詳細資料位於訊息中。

ACS50010

403

對象 URI 驗證失敗 (在訊息中可能有更多詳細資料)。

確定傳入權杖的物件已設定為 https://yournamespace.accesscontrol.windows.net

ACS50011

400

ReplyTo 地址遺漏或與領域不符。

為了與 WF 同盟一起運作,信賴憑證者至少必須設定一個 ReplyTo 地址。
這可在 ACS 管理入口網站中使用 [傳回 URL] 欄位進行設定。
如果傳入訊息指定 ReplyTo 位址,請確定它符合已設定的 ReplyTo,或是一個 (的尾碼,例如,針對設定的 ReplyTo http://example.com/path1/http://example.com/path1/index.aspx ,會是有效的要求 ReplyTo,但 http://example.com/path2/index.aspx 不會) 。

ACS50012

401

驗證失敗。 (在訊息中可能有更多詳細資料)。

當多租用戶應用程式嘗試取得權杖,以便存取最近剛同意應用程式之 Azure AD 租用戶的 Graph API 時,權杖要求會暫時失敗,並帶有錯誤 ACS50012。 若要解決此問題,請等候幾分鐘後再試。 或者,由提供同意記錄的租用戶管理員,在同意之後向應用程式呈報。

ACS50013

400

在 URI 值中的區段數目比可接受的路徑區段數目上限多。

確定 URI 值中的區段數目等於或小於 32。

ACS50014

400

對服務與管理身分識別不允許使用自我判斷提示的宣告。

請確定您的服務身分識別驗證權杖不包含宣告,或只包含名稱識別碼宣告。

ACS50015

400

嘗試取得身分識別提供者中繼資料時發生錯誤。

在訊息中可以找到更多詳細資料。 確定中繼資料 URL 或檔案有效。

ACS50016

400

具有主體 「 < 憑證主體名稱 > 」且指紋 ' < Certificate Thumbprint > ' 的 X509Certificate 不符合任何已設定的憑證。

確定要求的憑證已上傳至 ACS。

ACS50017

401

主體為「 < 憑證主體名稱 > 」和簽發者「 < 簽發者名稱 > 」的憑證驗證失敗。

請確定憑證是自我簽署或鏈結到信任的根憑證授權。 憑證也不能已撤銷,且必須仍在其有效期間內。 如需詳細資訊,請參閱 如何修正錯誤 ACS50017

ACS50018

400

遺失領域。 未指定信賴憑證者的名稱。

確定要求包含領域。

ACS50019

401

使用者取消了登入。

ACS50020

401

使用者未經授權。

ACS50022

400

回呼參數值 ' < Function name > ' 不是有效的 JavaScript 函式名稱。

請確定指定的回撥參數是有效 JavaScript 函數名稱的名稱。 有效的 JavaScript 函數名稱只能包含字母、數字及 "$" 和 "_" 字元,而且開頭不能是數字。 不支援在函數名稱中使用 Unicode 字元。

ACS50026

名稱為 'name' 的主體不是有效的主體。

此錯誤表示嘗試依指定名稱尋找實體失敗,因為 ACS 不知道實體。 視情況而定,此實體可能是服務識別、信賴憑證者應用程式或身分識別提供者。

確認此實體存在於您的存取控制命名空間中。

ACS50042

401

遺漏產生成對識別碼所需的 Salt。 如果此應用程式是新近註冊的,請等候幾分鐘,然後再試一次。

如果您嘗試在將應用程式加入 Azure AD 後立即登入應用程式,則在成對金鑰同步之前,登入嘗試可能會失敗。 請等候幾分鐘,再試著登入一次。 如需詳細資訊,請參閱 ACS 重試指導方針

規則引擎、資料及管理服務錯誤

錯誤 HTTP 狀態碼 訊息 補救方法

ACS

60000

403

原則引擎錯誤

詳細資料位於訊息中。

ACS60001

在處理規則期間沒有產生輸出宣告。

與所選信賴憑證者有關的規則群組沒有規則適用於由您的身分識別提供者產生的宣告。 在與您的信賴憑證者相關的規則群組中設定一些規則,或使用規則群組編輯器產生傳遞規則。

ACS60002

403

已達到權杖要求的數量配額,無法再要求更多數量。

ACS60003

403

無法修改唯讀屬性。

某些內建 ACS 物件無法修改或刪除。

ACS60004

409

版本衝突

嘗試將信賴憑證者、身分識別提供者、服務識別或簽發者的名稱更新為與其他信賴憑證者、身分識別提供者、服務識別或簽發者相同的名稱時,可能會收到版本衝突錯誤。 若要解決此問題,請選擇其他的唯一名稱。

ACS60005

400

嘗試新增一個含有無效或遺失父系的子物件。

對於子物件 (如地址),請確定父元件或物件 ID 有效且具有正確的類型。

ACS60006

400

嘗試插入資料庫中已存在的新物件複本。

您嘗試插入的物件違反唯一性限制。 必要時,請確定物件的屬性 (如名稱及地址) 是不是唯一的。

ACS60007

400

無效的 X.509 憑證

請確定提供的位元組是有效的 X.509 憑證。

ACS60008

找不到這個 < 物件類型 > 的唯一名稱。

ACS60012

輸入宣告的數量 (#) 超過限制 (80)。

您的連入權杖必須擁有 80 個宣告或更少,ACS 才能處理並順利發出連出權杖。

ACS60021

503

服務無法使用

因為 ACS 資料伺服器忙著回應來自所有命名空間的權杖要求,所以拒絕了此權杖要求。 請等候幾秒鐘,然後在經過更久的時間間隔後重試要求。 如需詳細資訊,請參閱 ACS 重試指導方針

OAuth 2.0 通訊協定錯誤

錯誤 HTTP 狀態碼 訊息 修正錯誤所需的動作

ACS70000

401

所提供的存取權限無效、已到期或已撤銷。

詳細資料位於訊息中。

ACS70001

401

用戶端未經授權。

ACS70002

401

無效的用戶端。

ACS70003

401

授權伺服器不支援包含的存取權限。

ACS 管理入口網站錯誤

錯誤 HTTP 錯誤代碼 訊息 修正錯誤所需的動作

ACS80001

404

此規則已設定為使用管理入口網站不支援的宣告簽發者。 請使用管理服務來檢視並編輯此規則。

若規則已設定為使用非識別提供者的簽發者或存取控制服務 “LOCAL AUTHORITY” 簽發者,會發生此錯誤。 如需如何使用 ACS 管理服務的詳細資訊,請參閱 ACS 管理服務

其他錯誤

錯誤 HTTP 錯誤代碼 訊息 補救方法

ACS90002

404

在 URL 中的服務命名空間名稱無效。

確認所要求的存取控制命名空間存在。

ACS90004

400

要求的格式不正確。

ACS90005

502

外部伺服器錯誤 (在訊息中可以找到更多詳細資料)。

與外部伺服器 (例如身分識別提供者) 溝通期間發生錯誤。

ACS90006

504

內部伺服器逾時。

與外部伺服器 (如身分識別提供者) 溝通期間發生通訊逾時。

ACS90007

405

不允許要求方法。

請確定那個端點支援所用的 HTTP 方法 (如 GET 及 POST)。

ACS90008

403

該租賃者已經停用。

請確定您的存取控制命名空間為作用中。

ACS90009

404

找不到 < 指定識別碼的物件 > 。

詳細資料位於訊息中。

ACS90010

400

不支援。 (在訊息中可以找到更多詳細資料)。

詳細資料位於訊息中。

ACS90011

400

無效的要求 (在訊息中可以找到更多詳細資料)。

詳細資料位於訊息中。

ACS90012

408

對伺服器的要求逾時。

詳細資料位於訊息中。

ACS90013

400

無效的使用者輸入 (在訊息中可以找到更多詳細資料)。

詳細資料位於訊息中。

ACS90014

400

遺漏必要的欄位 ' < Field > '。

請確定您對 ACS 的要求包含您使用之通訊協定所需的所有參數。

ACS90015

403

未授權:此租使用者會限制服務金鑰。

ACS 不會顯示屬於 ServiceBus 和 Cache 命名空間的金鑰。 若要檢視這些金鑰,請使用 ServiceBus 或快取入口網站。

ACS90016

400

「 < 金鑰大小 > 」位是不正確金鑰大小。 金鑰大小必須大於 0,而且是 8 的倍數。

ACS90046

503

服務無法使用

因為 ACS 忙著回應來自所有命名空間的權杖要求,所以拒絕了此權杖要求。 請等候幾秒鐘,然後在經過更久的時間間隔後重試要求。 如需詳細資訊,請參閱 ACS 重試指導方針

ACS90055

429

要求太多

因為此命名空間超過了延長的期間每秒 30 個權杖的最大權杖要求率,所以此權杖要求遭到拒絕。 請等候幾秒鐘,然後在經過更久的時間間隔後重試要求。 如果再發生錯誤,請考慮將工作負載重新分配給多個命名空間。 如需詳細資訊,請參閱 ACS 服務限制