Kódy chyb ACS
Aktualizováno: 19. června 2015
Platí pro: Azure
Toto téma obsahuje nejběžnější chybové zprávy, ke kterým může dojít při použití Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS) a akce potřebné k opravě chyby, pokud je to možné. Informace o tom, jak poskytnout vlastní zpracování chyb na základě kódů chyb, najdete v tématu Postupy: Použití adresy URL chyby pro vlastní zpracování chyb.
Důležité
Obory názvů služby ACS můžou migrovat konfigurace zprostředkovatele identity Google z OpenID 2.0 na OpenID Připojení. Migrace musí být dokončena před 1. červnem 2015. Podrobné pokyny najdete v tématu Migrace oborů názvů služby ACS na Google OpenID Připojení.
Důležité
Nepoužívejte kódy chyb a popisy služby ACS v logice aplikace. Při psaní kódu pro zpracování chyb použijte hodnoty stavu HTTP a kódů chyb. Kódy chyb ACS a popisy chyb se můžou kdykoli změnit bez upozornění. Další informace najdete v tématu Pokyny pro opakování služby ACS a omezení služby ACS.
Chyby aktivního federačního protokolu, včetně protokolu SOAP a WS-Trust
| Chyba ACS | Stavový kód HTTP | Zpráva | Lék |
|---|---|---|---|
ACS10000 |
400 |
Při zpracování zprávy SOAP došlo k chybě. |
Podrobnosti jsou ve zprávě. |
ACS10001 |
400 |
Při zpracování hlavičky SOAP došlo k chybě. |
Podrobnosti jsou ve zprávě. |
ACS10002 |
400 |
Při zpracování textu PROTOKOLU SOAP došlo k chybě. |
Podrobnosti jsou ve zprávě. |
ACS10003 |
400 |
Při zpracování hlavičky zabezpečení došlo k chybě. |
Podrobnosti jsou ve zprávě. |
WS-Federation chyby protokolu, včetně metadat federace
Chyby v této části souvisejí s protokolem WS-Federation a metadaty WS-Federation.
Pokud chcete vygenerovat platný soubor WS-FederationMetadata.xml, použijte nástroj FedUtil nebo nástroj Identita a přístup v Visual Studio 2012. Portál pro správu služby ACS také vygeneruje dokument metadat WS-Federation pro každý Access Control obor názvů. Pokud ho chcete zobrazit, klikněte na portálu pro správu služby ACS na Integraci aplikací.
Pokud chcete přizpůsobit WS-Federation metadata, použijte třídy v oboru názvů Microsoft.IdentityModel.Protocols.WSFederation.Metadata .
Standardní WS-Federation specifikace schématu XML metadat OASIS naleznete v části 3 standardu WS-Federation Language (Web Services Federation Language) verze 1.2 na adrese http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.
Další informace o konkrétních chybách a jejich řešení najdete v položkách v této tabulce.
| Chyba | Stavový kód HTTP | Zpráva | Lék |
|---|---|---|---|
ACS20000 |
400 |
Při zpracování žádosti o přihlášení WS-Federation došlo k chybě. |
Podrobnosti jsou ve zprávě. |
ACS20001 |
400 |
Při zpracování odpovědi na přihlášení WS-Federation došlo k chybě. |
Podrobnosti jsou ve zprávě. |
ACS20002 |
400 |
Při pokusu o vygenerování federačních metadat došlo k chybě. |
Další podrobnosti se můžou nacházet ve zprávě. Ověřte, že v oboru názvů Access Control existuje podpisový certifikát primárního tokenu. |
ACS20003 |
400 |
Při pokusu o import federačních metadat došlo k chybě. |
Další podrobnosti se můžou nacházet ve zprávě. Ujistěte se, že je adresa URL metadat nebo soubor metadat platná. |
ACS20004 |
Entitu nelze načíst z metadat. |
Ujistěte se, že soubor metadat obsahuje ID entity. |
|
ACS20005 |
Více entit metadat se nepodporuje. |
Ujistěte se, že federační metadata obsahují přesně jednu entitu. |
|
ACS20006 |
Nebyly nalezeny žádné popisovače služby tokenů zabezpečení. |
Ujistěte se, že metadata federace obsahují přesně jeden popisovač služby tokenů zabezpečení. |
|
ACS20007 |
Více popisovačů služby tokenů zabezpečení se nepodporuje. |
Ujistěte se, že metadata federace obsahují přesně jeden popisovač služby tokenů zabezpečení. |
|
ACS20008 |
400 |
Importovat je možné pouze zprostředkovatele identity, kteří podporují WS-Federation. |
Ujistěte se, že metadata federace obsahují popisovač RoleDescriptor typu fed:SecurityTokenServiceType. |
ACS20009 |
400 |
Při čtení dokumentu metadat WS-Federation došlo k chybě. |
Služba ACS nemohla analyzovat zadaný dokument metadat, takže může být neplatná. Dokument můžete ověřit spuštěním prostřednictvím microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata(). |
ACS20010 |
Nebyly nalezeny žádné popisovače aplikační služby. |
Ujistěte se, že soubor metadat obsahuje popisovač služby aplikace. |
|
ACS20011 |
Popisovače více aplikačních služeb se nepodporují. |
Ujistěte se, že soubor metadat obsahuje pouze jeden popisovač aplikační služby. |
|
ACS20012 |
400 |
Příchozí požadavek není platný požadavek na WS-Federation |
Ujistěte se, že je požadavek platný WS-Federation žádost o přihlášení nebo odpověď na přihlášení a že obsahuje všechny požadované parametry. |
ACS20014 |
400 |
Dokument metadat WS-Federation není ve správném formátu XML. |
K této chybě dochází v případě, že xml v dokumentu metadat WS-Federation není syntakticky správný, například pokud dokument obsahuje nadbytečné nebo chybějící závorky nebo značky. K tomu dochází nejčastěji, když se pokusíte vytvořit nebo upravit dokument WS-FederationMetadata.xml ručně. Tato chyba nesouvisí s dodržováním schématu XML metadat. K vyřešení této chyby použijte nástroj validátoru XML, například nástroje v Visual Studio nebo XML Poznámkový blok 2007. |
Chyby protokolu OpenID
| Chyba | Stavový kód HTTP | Zpráva | Lék |
|---|---|---|---|
ACS30000 |
400 |
Při zpracování přihlašovací odpovědi OpenID došlo k chybě. |
Podrobnosti jsou ve zprávě. |
ACS30001 |
400 |
Podpis odpovědi OpenID nelze ověřit. |
Podpis OpenID byl neplatný nebo odmítnutý zprostředkovatelem identity. Ujistěte se, že zpráva nebyla manipulována. |
Chyby protokolu facebookové Graph
| Chyba | Stavový kód HTTP | Zpráva | Lék |
|---|---|---|---|
ACS40000 |
400 |
Při zpracování odpovědi na přihlášení k Facebooku došlo k chybě. Příčinou může být neplatná konfigurace aplikace Facebook. |
Ověřte, že ID aplikace a tajný klíč nakonfigurované v ACS odpovídají stejným hodnotám na portálu pro vývojáře na Facebooku. |
ACS40001 |
400 |
Při pokusu o získání přístupového tokenu z Facebooku došlo k chybě. |
Ujistěte se, že ID aplikace a tajný klíč aplikace nakonfigurované prostřednictvím služby ACS jsou platné. |
Obecné chyby služby tokenů zabezpečení, včetně metadat zprostředkovatele identity
| Chyba | Stavový kód HTP | Zpráva | Lék |
|---|---|---|---|
ACS50000 |
Při vydávání tokenu došlo k chybě. |
Podrobnosti jsou ve zprávě. |
|
ACS50001 |
400 |
Požadovaná adresa URL> sféry< předávající strany je neznámá. |
Došlo k neshodě mezi objektem AppliesTo zadaným v požadavku na token a sférami, které jste nakonfigurovali v ACS. Zkontrolujte, že: 1. Vaše předávající strana má správně nakonfigurovanou sféru. Můžete to provést prostřednictvím portálu pro správu nebo pomocí služby pro správu, a to tak, že se podíváte na položky RelyingParty.RelyingPartyAddresses.2. Vaše předávající strana byla přidružená k zprostředkovateli identity. Můžete to udělat také z portálu pro správu nebo pomocí služby pro správu, a to tak, že se podíváte na položky RelyingPartyIdentityProviders. |
ACS50002 |
400 |
Neplatná konfigurace služby (Podrobnosti jsou ve zprávě.) |
Podrobnosti jsou ve zprávě. |
ACS50003 |
400 |
Není nakonfigurovaný žádný primární symetrický podpisový klíč. Pro SWT se vyžaduje symetrický podpisový klíč. |
Pokud vybraná předávající strana používá jako typ tokenu SWT, ověřte, že je symetrický klíč nakonfigurovaný pro předávající stranu nebo obor názvů Access Control a že je klíč nastavený na primární a v rámci doby platnosti. |
ACS50004 |
400 |
Není nakonfigurovaný žádný primární podpisový certifikát X.509. Podpisový certifikát se vyžaduje pro SAML. |
Pokud vybraná předávající strana používá jako typ tokenu SAML, ujistěte se, že je platný certifikát X.509 nakonfigurovaný pro předávající stranu nebo obor názvů Access Control. Certifikát musí být nastavený na primární a musí být v době platnosti. |
ACS50005 |
400 |
Šifrování tokenů se vyžaduje, ale pro předávající stranu není nakonfigurovaný žádný šifrovaný certifikát. |
Zakažte šifrování tokenů pro zvolenou předávající stranu nebo nahrajte certifikát X.509, který se má použít pro šifrování tokenů. |
ACS50006 |
403 |
Ověření podpisu se nezdařilo. (Ve zprávě můžou být další podrobnosti.) |
Ujistěte se, že ověřovací klíče nakonfigurované prostřednictvím služby ACS jsou platné. |
ACS50007 |
400 |
Podpis nebyl nalezen. |
Ujistěte se, že je příchozí token podepsaný a platný. |
ACS50008 |
401 |
Token SAML je neplatný. (Ve zprávě můžou být další podrobnosti.) |
Další informace najdete v tématu Oprava chyby ACS50008. |
ACS50009 |
401 |
Token SWT je neplatný. (Ve zprávě můžou být další podrobnosti.) |
Podrobnosti jsou ve zprávě. |
ACS50010 |
403 |
Ověření identifikátoru URI cílové skupiny se nezdařilo. (Ve zprávě můžou být další podrobnosti.) |
Ujistěte se, že je cílová skupina příchozího tokenu nastavená na https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
Adresa ReplyTo chybí nebo neodpovídá sférě. |
Aby bylo možné pracovat s WS-Federation, musí mít předávající strana nakonfigurovanou alespoň jednu adresu ReplyTo. |
ACS50012 |
401 |
Ověření se nezdařilo. (Ve zprávě můžou být další podrobnosti.) |
Když se aplikace s více tenanty pokusí získat token pro přístup k Graph API pro Azure AD tenanta, který nedávno souhlasil s aplikací, může žádost o token dočasně selhat s chybou ACS50012. Pokud chcete tento problém vyřešit, počkejte několik minut a zkuste to znovu. Nebo požádejte správce tenanta, který po souhlasu udělil souhlas k aplikaci. |
ACS50013 |
400 |
Počet segmentů v hodnotě identifikátoru URI je větší než maximální přijatelný počet segmentů cesty. |
Ujistěte se, že počet segmentů v hodnotě identifikátoru URI je roven nebo menší než 32. |
ACS50014 |
400 |
Samoobslužné deklarace identity nejsou povolené pro identity služeb a správy. |
Ujistěte se, že ověřovací token identity služby neobsahuje žádné deklarace identity nebo pouze deklaraci identity názvu. |
ACS50015 |
400 |
Při pokusu o získání metadat zprostředkovatele identity došlo k chybě. |
Další podrobnosti můžou být ve zprávě nalezeny. Ujistěte se, že je adresa URL metadat nebo soubor platná. |
ACS50016 |
400 |
X509Certificate s předmětem "<Název> subjektu certifikátu" a kryptografický otisk "<Kryptografický otisk> certifikátu" neodpovídá žádnému nakonfigurovaném certifikátu. |
Ujistěte se, že se požadovaný certifikát nahrál do služby ACS. |
ACS50017 |
401 |
Certifikát s předmětem "<Název> subjektu certifikátu" a vystavitel "<Název> vystavitele" selhal ověření. |
Ujistěte se, že certifikát je podepsaný svým držitelem nebo že je zřetězovaný s důvěryhodnou kořenovou certifikační autoritou. Certifikát nesmí být také odvolán a musí být v době platnosti. Další informace najdete v tématu Oprava chyby ACS50017. |
ACS50018 |
400 |
Chybí sféra. Název předávající strany nebyl zadán. |
Ujistěte se, že požadavek obsahuje sféru. |
ACS50019 |
401 |
Přihlášení zrušil uživatel. |
|
ACS50020 |
401 |
Uživatel není neoprávněný. |
|
ACS50022 |
400 |
Hodnota parametru zpětného volání "<Název> funkce" není platný název funkce JavaScriptu. |
Ujistěte se, že zadaný parametr zpětného volání je název platného názvu funkce JavaScriptu. Platné názvy funkcí JavaScriptu obsahují pouze písmena, číslice a znaky $a_a nesmí začínat číslicí. Znaky Unicode v názvech funkcí nejsou podporovány. |
ACS50026 |
Hlavní objekt s názvem "name" není platný objekt zabezpečení. |
Tato chyba značí, že pokus o vyhledání entity podle zadaného názvu selhal, protože entita není známá službou ACS. Tato entita může být identita služby, aplikace předávající strany nebo zprostředkovatele identity v závislosti na scénáři. Ověřte, že tato entita existuje ve vašem oboru názvů Access Control. |
|
ACS50042 |
401 |
Chybí sůl potřebná k vygenerování párového identifikátoru. Pokud byla tato aplikace nedávno zaregistrovaná, počkejte několik minut před opakováním. |
Pokud se pokusíte přihlásit k aplikaci hned po jejím přidání do Azure AD, může pokus o přihlášení selhat, dokud se párové klíče nesynchronují. Počkejte několik minut a zkuste se přihlásit znovu. Další informace najdete v tématu Pokyny pro opakování služby ACS. |
Chyby modulu pravidel, dat a služby správy
| Chyba | Stavový kód HTTP | Zpráva | Lék |
|---|---|---|---|
ACS 60000 |
403 |
Chyba modulu zásad |
Podrobnosti jsou ve zprávě. |
ACS60001 |
Během zpracování pravidel nebyly generovány žádné výstupní deklarace identity. |
Skupiny pravidel přidružené ke zvolené předávající straně nemají žádná pravidla, která se vztahují k deklaracím identity vygenerovaným vaším poskytovatelem identity. Nakonfigurujte některá pravidla ve skupině pravidel přidružená k předávající straně nebo vygenerujte předávací pravidla pomocí editoru skupin pravidel. |
|
ACS60002 |
403 |
Došlo k dosažení kvóty počtu žádostí o token a není možné požádat o žádné další žádosti. |
|
ACS60003 |
403 |
Nelze změnit vlastnost jen pro čtení. |
Některé předdefinované objekty služby ACS nelze upravovat ani odstraňovat. |
ACS60004 |
409 |
Konflikt verzí |
Při pokusu o aktualizaci názvu předávající strany, zprostředkovatele identity, identity služby nebo vystavitele může být při pokusu o aktualizaci názvu předávající strany, poskytovatele služby nebo vystavitele stejná chyba jako jiná předávající strana, zprostředkovatel identity, identita služby nebo vystavitel. Pokud chcete tento problém vyřešit, zvolte jiný jedinečný název. |
ACS60005 |
400 |
Pokusil(a) se přidat podřízený objekt s neplatným nebo chybějícím nadřazeným objektem. |
U podřízených objektů, jako jsou adresy, se ujistěte, že nadřazený objekt nebo ID objektu je platný a správný typ. |
ACS60006 |
400 |
Pokusil(a) vložit novou kopii objektu, který již v databázi existuje. |
Objekt, který se pokoušíte vložit, porušuje omezení jedinečnosti. Ujistěte se, že vlastnosti objektu, jako je název a adresa, jsou v případě potřeby jedinečné. |
ACS60007 |
400 |
Neplatný certifikát X.509 |
Ujistěte se, že poskytnuté bajty jsou platným certifikátem X.509. |
ACS60008 |
Nelze najít jedinečný název pro tento <typ objektu>. |
||
ACS60012 |
Počet vstupních deklarací identity (#) překračuje limit (80). |
Příchozí token musí mít 80 deklarací identity nebo méně, aby je ACS mohl zpracovat a pak úspěšně vydat odchozí token. |
|
ACS60021 |
503 |
Nedostupná služba |
Požadavek na token je odmítnut, protože datové servery služby ACS jsou zaneprázdněné reagování na požadavky na tokeny ze všech oborů názvů. Počkejte několik sekund a zkuste žádosti opakovat v delších časových intervalech. Další informace najdete v tématu Pokyny pro opakování služby ACS. |
Chyby protokolu OAuth 2.0
| Chyba | Stavový kód HTTP | Zpráva | Akce potřebná k opravě chyby |
|---|---|---|---|
ACS70000 |
401 |
Poskytnuté udělení přístupu je neplatné, vypršela platnost nebo byla odvolána. |
Podrobnosti jsou ve zprávě. |
ACS70001 |
401 |
Klient není neoprávněný. |
|
ACS70002 |
401 |
Neplatný klient. |
|
ACS70003 |
401 |
Autorizační server nepodporuje zahrnuté udělení přístupu. |
Chyby portálu pro správu služby ACS
| Chyba | Kód chyby HTTP | Zpráva | Akce potřebná k opravě chyby |
|---|---|---|---|
ACS80001 |
404 |
Toto pravidlo je nakonfigurované tak, aby používalo typ vystavitele deklarace identity, který portál pro správu nepodporuje. K zobrazení a úpravám tohoto pravidla použijte službu pro správu. |
K této chybě dochází v případě, že je pravidlo nakonfigurované tak, aby používalo vystavitele, který není zprostředkovatelem identity nebo vystavitelem Access Control Místní autorita služby. Podrobnosti o tom, jak používat službu správy služby ACS, najdete v tématu Služba pro správu služby ACS. |
Jiné chyby
| Chyba | Kód chyby HTTP | Zpráva | Lék |
|---|---|---|---|
ACS90002 |
404 |
Název oboru názvů služby v adrese URL je neplatný. |
Ověřte, že požadovaný obor názvů Access Control existuje. |
ACS90004 |
400 |
Požadavek není správně naformátovaný. |
|
ACS90005 |
502 |
Chyba externího serveru (Další podrobnosti najdete ve zprávě.)) |
Při komunikaci s externím serverem, jako je zprostředkovatel identity, došlo k chybě. |
ACS90006 |
504 |
Vypršení časového limitu externího serveru |
Časový limit komunikace vypršel při komunikaci s externím serverem, například zprostředkovatelem identity. |
ACS90007 |
405 |
Metoda požadavku není povolena. |
Ujistěte se, že daný koncový bod podporuje metodu HTTP (například GET a POST). |
ACS90008 |
403 |
Tenant je zakázaný. |
Ujistěte se, že je váš obor názvů Access Control aktivní. |
ACS90009 |
404 |
Pro dané ID nebyl nalezen žádný <objekt> . |
Podrobnosti jsou ve zprávě. |
ACS90010 |
400 |
Nepodporováno (Další podrobnosti najdete ve zprávě.) |
Podrobnosti jsou ve zprávě. |
ACS90011 |
400 |
Neplatný požadavek. (Další podrobnosti najdete ve zprávě.) |
Podrobnosti jsou ve zprávě. |
ACS90012 |
408 |
Vypršel časový limit požadavku na server. |
Podrobnosti jsou ve zprávě. |
ACS90013 |
400 |
Neplatný vstup uživatele (Další podrobnosti najdete ve zprávě.) |
Podrobnosti jsou ve zprávě. |
ACS90014 |
400 |
Chybí povinné pole< Pole>. |
Ujistěte se, že váš požadavek na službu ACS obsahuje všechny parametry vyžadované protokolem, který používáte. |
ACS90015 |
403 |
Neautorizováno: Klíče služeb jsou pro tohoto tenanta omezené. |
Služba ACS nezobrazí klíče patřící do oborů názvů ServiceBus a Cache. K zobrazení těchto klíčů použijte portál ServiceBus nebo Cache. |
ACS90016 |
400 |
Bity< "Velikost> klíče" jsou neplatné velikosti klíče. Velikost klíče musí být větší než 0 a násobek 8. |
|
ACS90046 |
503 |
Nedostupná služba |
Požadavek na token se odmítne, protože služba ACS je zaneprázdněná reagací na požadavky na tokeny ze všech oborů názvů. Počkejte několik sekund a zkuste žádosti opakovat v delších časových intervalech. Další informace najdete v tématu Pokyny pro opakování služby ACS. |
ACS90055 |
429 |
Příliš mnoho požadavků |
Požadavek na token je odmítnut, protože tento obor názvů překročil maximální míru požadavků na token 30 tokenů za sekundu po delší dobu. Počkejte několik sekund a zkuste žádosti opakovat v delších časových intervalech. Pokud se chyba opakuje, zvažte redistribuci úlohy přes více oborů názvů. Další informace najdete v tématu Omezení služby ACS. |