ACS-foutcodes
Bijgewerkt: 19 juni 2015
Van toepassing op: Azure
Dit onderwerp bevat de meest voorkomende foutberichten die kunnen worden aangetroffen bij het gebruik van Microsoft Azure Active Directory Access Control (ook wel bekend als Access Control Service of ACS) en de acties die nodig zijn om de fout op te lossen, indien van toepassing. Zie Instructies voor het gebruik van een fout-URL voor aangepaste foutafhandeling voor aangepaste foutafhandeling voor meer informatie over het afhandelen van aangepaste fouten op basis van de foutcodes.
Belangrijk
ACS-naamruimten kunnen hun Configuraties van google-id-provider migreren van OpenID 2.0 naar OpenID-Verbinding maken. De migratie moet vóór 1 juni 2015 zijn voltooid. Zie ACS-naamruimten migreren naar Google OpenID Verbinding maken voor gedetailleerde richtlijnen.
Belangrijk
Gebruik geen ACS-foutcodes of -beschrijvingen in toepassingslogica. Gebruik bij het schrijven van code voor foutafhandeling de waarden van de HTTP-status en foutcodes. ACS-foutcodes en foutbeschrijvingen kunnen op elk gewenst moment zonder waarschuwing worden gewijzigd. Zie acs-richtlijnen voor opnieuw proberen en beperkingen voor ACS-services voor meer informatie.
Active Federation Protocol Errors, including SOAP and WS-Trust
| ACS-fout | HTTP-statuscode | Bericht | Remedie |
|---|---|---|---|
ACS10000 |
400 |
Er is een fout opgetreden tijdens het verwerken van het SOAP-bericht |
Details staan in het bericht. |
ACS10001 |
400 |
Er is een fout opgetreden tijdens het verwerken van de SOAP-header |
Details staan in het bericht. |
ACS10002 |
400 |
Er is een fout opgetreden tijdens het verwerken van de SOAP-hoofdtekst |
Details staan in het bericht. |
ACS10003 |
400 |
Er is een fout opgetreden tijdens het verwerken van de beveiligingsheader |
Details staan in het bericht. |
WS-Federation protocolfouten, inclusief federatiemetagegevens
De fouten in deze sectie zijn gerelateerd aan WS-Federation protocol en WS-Federation metagegevens.
Als u een geldig WS-FederationMetadata.xml-bestand wilt genereren, gebruikt u FedUtil of het hulpprogramma Identiteit en toegang in Visual Studio 2012. De ACS-beheerportal genereert ook een WS-Federation metagegevensdocument voor elke Access Control naamruimte. Klik in de ACS-beheerportal op Toepassingsintegratie om deze weer te geven.
Als u WS-Federation metagegevens wilt aanpassen, gebruikt u de klassen in de naamruimte Microsoft.IdentityModel.Protocols.WSFederation.Metadata .
Zie sectie 3 van de standaard WS-Federation Language (WS-Federation) versie 1.2 van de standaard voor de OASIS-standaard WS-Federation xml-schemaspecificatie voor metagegevens.http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942
Zie de vermeldingen in deze tabel voor meer informatie over bepaalde fouten en hun oplossing.
| Fout | HTTP-statuscode | Bericht | Remedie |
|---|---|---|---|
ACS20000 |
400 |
Er is een fout opgetreden tijdens het verwerken van een WS-Federation aanmeldingsaanvraag |
Details staan in het bericht. |
ACS20001 |
400 |
Er is een fout opgetreden tijdens het verwerken van een WS-Federation aanmeldingsantwoord |
Details staan in het bericht. |
ACS20002 |
400 |
Er is een fout opgetreden bij het genereren van federatiemetagegevens |
Meer informatie vindt u in het bericht. Controleer of er een primair certificaat voor tokenondertekening is in uw Access Control naamruimte. |
ACS20003 |
400 |
Er is een fout opgetreden bij het importeren van federatiemetagegevens |
Meer informatie vindt u in het bericht. Zorg ervoor dat de METAGEGEVENS-URL of het metagegevensbestand geldig is. |
ACS20004 |
Kan de entiteit niet ophalen uit de metagegevens |
Zorg ervoor dat het metagegevensbestand een entiteits-id bevat. |
|
ACS20005 |
Meerdere metagegevensentiteiten worden niet ondersteund |
Zorg ervoor dat de federatiemetagegevens precies één entiteit bevatten. |
|
ACS20006 |
Er zijn geen beveiligingstokenservicedescriptors gevonden |
Zorg ervoor dat de federatiemetagegevens precies één beveiligingstokenservicedescriptor bevatten. |
|
ACS20007 |
Meerdere beschrijvingen van beveiligingstokenservice worden niet ondersteund |
Zorg ervoor dat de federatiemetagegevens precies één beveiligingstokenservicedescriptor bevatten. |
|
ACS20008 |
400 |
Alleen id-providers die ondersteuning bieden voor WS-Federation kunnen worden geïmporteerd. |
Zorg ervoor dat de federatiemetagegevens een RoleDescriptor van het type Fed:SecurityTokenServiceType bevatten. |
ACS20009 |
400 |
Er is een fout opgetreden bij het lezen van het WS-Federation metagegevensdocument |
ACS kan het opgegeven metagegevensdocument niet parseren, dus het kan ongeldig zijn. U kunt uw document valideren door het uit te voeren via Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata(). |
ACS20010 |
Er zijn geen toepassingsservicedescriptors gevonden |
Zorg ervoor dat het metagegevensbestand een beschrijving van de toepassingsservice bevat. |
|
ACS20011 |
Meerdere toepassingsservicedescriptors worden niet ondersteund |
Zorg ervoor dat het metagegevensbestand slechts één toepassingsservicedescriptor bevat. |
|
ACS20012 |
400 |
Binnenkomende aanvraag is geen geldige WS-Federation aanvraag |
Zorg ervoor dat de aanvraag een geldige WS-Federation aanmeldingsaanvraag of aanmeldingsantwoord is en dat deze alle vereiste parameters bevat. |
ACS20014 |
400 |
Het WS-Federation metagegevensdocument is geen goed opgemaakte XML |
Deze fout treedt op wanneer de XML in het WS-Federation metagegevensdocument niet syntactisch juist is, bijvoorbeeld wanneer het document extra haken of tags bevat. Dit gebeurt het vaakst wanneer u een WS-FederationMetadata.xml document handmatig probeert te maken of bewerken. Deze fout heeft geen betrekking op naleving van het XML-metagegevensschema. Als u deze fout wilt oplossen, gebruikt u een XML-validatieprogramma, zoals de hulpprogramma's in Visual Studio of XML-Kladblok 2007. |
OpenID-protocolfouten
| Fout | HTTP-statuscode | Bericht | Remedie |
|---|---|---|---|
ACS30000 |
400 |
Er is een fout opgetreden bij het verwerken van een OpenID-aanmeldingsantwoord. |
Details staan in het bericht. |
ACS30001 |
400 |
Kan de OpenID-antwoordhandtekening niet controleren. |
De OpenID-handtekening is ongeldig of geweigerd door de id-provider. Zorg ervoor dat het bericht niet is gemanipuleerd. |
Fouten met het Facebook-Graph-protocol
| Fout | HTTP-statuscode | Bericht | Remedie |
|---|---|---|---|
ACS40000 |
400 |
Er is een fout opgetreden tijdens het verwerken van een aanmeldingsantwoord van Facebook. Dit kan worden veroorzaakt door een ongeldige configuratie van de Facebook-toepassing. |
Controleer of de toepassings-id en het geheim die op ACS zijn geconfigureerd, overeenkomen met dezelfde waarden in de Facebook-ontwikkelaarsportal. |
ACS40001 |
400 |
Er is een fout opgetreden bij het ophalen van een toegangstoken van Facebook. |
Zorg ervoor dat de toepassings-id en het toepassingsgeheim dat via ACS zijn geconfigureerd, geldig zijn. |
Algemene fouten in de beveiligingstokenservice, inclusief metagegevens van id-provider
| Fout | HTP-statuscode | Bericht | Remedie |
|---|---|---|---|
ACS50000 |
Er is een fout opgetreden bij het uitgeven van een token. |
Details staan in het bericht. |
|
ACS50001 |
400 |
Aangevraagde relying party realm '<Realm URL>' is onbekend. |
Er is een onjuiste overeenkomst tussen de AppliesTo-waarde in de tokenaanvraag en de realms die u in ACS hebt geconfigureerd. Controleer of: 1. Uw relying party heeft zijn realm correct geconfigureerd. U kunt dit doen via de beheerportal of via de beheerservice door te kijken naar de vermeldingen RelyingParty.RelyingPartyAddresses.2. Uw relying party is gekoppeld aan de id-provider. U kunt dit ook doen vanuit de beheerportal of met behulp van de beheerservice door uw vermeldingen RelyingPartyIdentityProviders te bekijken. |
ACS50002 |
400 |
Ongeldige serviceconfiguratie. (Details staan in het bericht.) |
Details staan in het bericht. |
ACS50003 |
400 |
Er is geen primaire symmetrische ondertekeningssleutel geconfigureerd. Er is een symmetrische ondertekeningssleutel vereist voor SWT. |
Als de gekozen relying party SWT als tokentype gebruikt, controleert u of een symmetrische sleutel is geconfigureerd voor de relying party of de Access Control naamruimte en of de sleutel is ingesteld op primaire en binnen de geldigheidsperiode. |
ACS50004 |
400 |
Er is geen primair X.509-handtekeningcertificaat geconfigureerd. Er is een handtekeningcertificaat vereist voor SAML. |
Als de gekozen relying party SAML als tokentype gebruikt, moet u ervoor zorgen dat een geldig X.509-certificaat is geconfigureerd voor de relying party of de Access Control naamruimte. Het certificaat moet worden ingesteld op primair en moet binnen de geldigheidsperiode vallen. |
ACS50005 |
400 |
Tokenversleuteling is vereist, maar er is geen versleutelingscertificaat geconfigureerd voor de relying party. |
Schakel tokenversleuteling uit voor de gekozen relying party of upload een X.509-certificaat dat moet worden gebruikt voor tokenversleuteling. |
ACS50006 |
403 |
Verificatie van handtekening is mislukt. (Er zijn mogelijk meer details in het bericht.) |
Zorg ervoor dat de verificatiesleutels die zijn geconfigureerd via ACS geldig zijn. |
ACS50007 |
400 |
Handtekening is niet gevonden. |
Zorg ervoor dat het binnenkomende token is ondertekend en geldig is. |
ACS50008 |
401 |
SAML-token is ongeldig. (Er zijn mogelijk meer details in het bericht.) |
Zie Fout ACS50008 oplossen voor meer informatie. |
ACS50009 |
401 |
SWT-token is ongeldig. (Er zijn mogelijk meer details in het bericht.) |
Details staan in het bericht. |
ACS50010 |
403 |
Validatie van doelgroep-URI is mislukt. (Er zijn mogelijk meer details in het bericht.) |
Zorg ervoor dat de doelgroep van het binnenkomende token is ingesteld op https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
Het ReplyTo-adres ontbreekt of komt niet overeen met het realm. |
Als u met WS-Federation wilt werken, moet een relying party ten minste één ReplyTo-adres hebben geconfigureerd. |
ACS50012 |
401 |
De verificatie is mislukt. (Er zijn mogelijk meer details in het bericht.) |
Wanneer een toepassing met meerdere tenants probeert een token te verkrijgen voor toegang tot de Graph API voor een Azure AD-tenant die onlangs toestemming heeft gegeven voor de toepassing, kan de tokenaanvraag tijdelijk mislukken met fout ACS50012. Wacht enkele minuten en probeer het opnieuw om het probleem op te lossen. Of laat de tenantbeheerder die toestemming heeft gegeven zich aanmelden bij de toepassing na toestemming. |
ACS50013 |
400 |
Het aantal segmenten in de URI-waarde is meer dan het maximaal acceptabele aantal padsegmenten. |
Zorg ervoor dat het aantal segmenten in de URI-waarde gelijk is aan of kleiner is dan 32. |
ACS50014 |
400 |
Self-asserted claims zijn niet toegestaan voor service- en beheeridentiteiten. |
Zorg ervoor dat uw verificatietoken voor de service-id geen claims of alleen de claim voor de naam-id bevat. |
ACS50015 |
400 |
Er is een fout opgetreden bij het ophalen van metagegevens van de id-provider. |
Meer informatie vindt u in het bericht. Zorg ervoor dat de METAGEGEVENS-URL of het bestand geldig is. |
ACS50016 |
400 |
X509Certificate met onderwerp '<Certificaatonderwerpnaam>' en vingerafdruk '<Certificaatvingerafdruk>' komt niet overeen met een geconfigureerd certificaat. |
Zorg ervoor dat het aangevraagde certificaat is geüpload naar ACS. |
ACS50017 |
401 |
De validatie van het certificaat met de onderwerp '<Certificaatonderwerpnaam>' en de uitgever '<Naam> van uitgever' is mislukt. |
Zorg ervoor dat het certificaat zelfondertekend is of dat het is gekoppeld aan een vertrouwde basiscertificeringsinstantie. Het certificaat mag ook niet worden ingetrokken en moet binnen de geldigheidsperiode vallen. Zie Fout ACS50017 oplossen voor meer informatie. |
ACS50018 |
400 |
Ontbrekende realm. De naam van de relying party is niet opgegeven. |
Zorg ervoor dat de aanvraag een realm bevat. |
ACS50019 |
401 |
Aanmelden is geannuleerd door de gebruiker. |
|
ACS50020 |
401 |
Gebruiker is niet gemachtigd. |
|
ACS50022 |
400 |
De parameterwaarde '<Functienaam>' is geen geldige JavaScript-functienaam. |
Zorg ervoor dat de opgegeven callback-parameter de naam is van een geldige JavaScript-functienaam. Geldige JavaScript-functienamen bevatten alleen letters, cijfers en de tekens '$' en '_', en beginnen mogelijk niet met een cijfer. Unicode-tekens in functienamen worden niet ondersteund. |
ACS50026 |
Principal met de naam 'name' is geen geldige principal. |
Deze fout geeft aan dat een poging om een entiteit met de opgegeven naam te vinden is mislukt omdat de entiteit niet bekend is bij ACS. Deze entiteit kan een service-id, een relying party-toepassing of een id-provider zijn, afhankelijk van het scenario. Controleer of deze entiteit bestaat in uw Access Control naamruimte. |
|
ACS50042 |
401 |
Het zout dat is vereist voor het genereren van een pairwise id ontbreekt. Als deze toepassing onlangs is geregistreerd, wacht u enkele minuten voordat u het opnieuw probeert. |
Als u zich direct na het toevoegen aan Azure AD probeert aan te melden bij een toepassing, mislukt de aanmeldingspoging mogelijk totdat de pairwise-sleutels zijn gesynchroniseerd. Wacht enkele minuten en probeer u opnieuw aan te melden. Zie acs-richtlijnen voor opnieuw proberen voor meer informatie. |
Fouten met de regelengine, gegevens en beheerservice
| Fout | HTTP-statuscode | Bericht | Remedie |
|---|---|---|---|
ACS 60000 |
403 |
Fout met beleidsengine |
Details staan in het bericht. |
ACS60001 |
Er zijn geen uitvoerclaims gegenereerd tijdens de verwerking van regels. |
De regelgroep(en) die zijn gekoppeld aan de gekozen relying party, heeft geen regels die van toepassing zijn op de claims die zijn gegenereerd door uw id-provider. Configureer bepaalde regels in een regelgroep die is gekoppeld aan uw relying party of genereer passthrough-regels met behulp van de editor voor regelgroepen. |
|
ACS60002 |
403 |
Het quotum voor het aantal tokenaanvragen is bereikt en kan niet meer worden aangevraagd. |
|
ACS60003 |
403 |
Kan een eigenschap met het kenmerk Alleen-lezen niet wijzigen. |
Bepaalde ingebouwde ACS-objecten kunnen niet worden gewijzigd of verwijderd. |
ACS60004 |
409 |
Versieconflict |
Er kan een fout optreden bij het bijwerken van de naam van een relying party, id-provider, service-id of verlener als dezelfde naam als een andere relying party, id-provider, service-id of verlener. Kies een andere unieke naam om het probleem op te lossen. |
ACS60005 |
400 |
Er is geprobeerd een onderliggend object toe te voegen met een ongeldig of ontbrekend bovenliggend item. |
Voor onderliggende objecten, zoals adressen, moet u ervoor zorgen dat het bovenliggende object of de object-id geldig is en van het juiste type. |
ACS60006 |
400 |
Er is geprobeerd een nieuwe kopie in te voegen van een object dat al bestaat in de database. |
Het object dat u probeert in te voegen, schendt een beperking voor uniekheid. Zorg ervoor dat de eigenschappen van het object, zoals naam en adres, uniek zijn, indien nodig. |
ACS60007 |
400 |
Ongeldig X.509-certificaat |
Zorg ervoor dat de opgegeven bytes een geldig X.509-certificaat zijn. |
ACS60008 |
Kan geen unieke naam vinden voor dit <objecttype>. |
||
ACS60012 |
Het aantal invoerclaims (#) overschrijdt de limiet (80). |
Uw binnenkomende token moet 80 claims of minder hebben om acs-tokens te kunnen verwerken en vervolgens een uitgaand token te kunnen uitgeven. |
|
ACS60021 |
503 |
Service niet beschikbaar |
De tokenaanvraag wordt geweigerd omdat ACS-gegevensservers bezig zijn met het reageren op tokenaanvragen van alle naamruimten. Wacht een paar seconden en probeer de aanvragen opnieuw met een toenemend tijdsinterval. Zie ACS-richtlijnen voor opnieuw proberen voor meer informatie. |
OAuth 2.0-protocolfouten
| Fout | HTTP-statuscode | Bericht | Actie vereist om de fout op te lossen |
|---|---|---|---|
ACS70000 |
401 |
De opgegeven toegangstoezeling is ongeldig, verlopen of ingetrokken. |
Details staan in het bericht. |
ACS70001 |
401 |
De client is niet gemachtigd. |
|
ACS70002 |
401 |
Ongeldige client. |
|
ACS70003 |
401 |
De inbegrepen toegangstoestemming wordt niet ondersteund door de autorisatieserver. |
Fouten in acs-beheerportal
| Fout | HTTP-foutcode | Bericht | Actie vereist om de fout op te lossen |
|---|---|---|---|
ACS80001 |
404 |
Deze regel is geconfigureerd voor het gebruik van een claimverlenertype dat niet wordt ondersteund door de beheerportal. Gebruik de beheerservice om deze regel te bekijken en te bewerken. |
Deze fout treedt op als een regel is geconfigureerd voor het gebruik van een verlener die geen id-provider of de verlener van de Access Control Service LOCAL AUTHORITY is. Zie ACS Management Service voor meer informatie over het gebruik van de ACS Management-service. |
Overige fouten
| Fout | HTTP-foutcode | Bericht | Remedie |
|---|---|---|---|
ACS90002 |
404 |
De naam van de servicenaamruimte in de URL is ongeldig. |
Controleer of de aangevraagde Access Control naamruimte bestaat. |
ACS90004 |
400 |
De aanvraag is niet goed opgemaakt. |
|
ACS90005 |
502 |
Fout met externe server. (Meer informatie vindt u in het bericht.)) |
Er is een fout opgetreden tijdens de communicatie met een externe server, zoals een id-provider. |
ACS90006 |
504 |
Time-out van externe server. |
Er is een time-out opgetreden bij communicatie met een externe server, zoals een id-provider. |
ACS90007 |
405 |
Aanvraagmethode is niet toegestaan. |
Zorg ervoor dat de HTTP-methode (zoals GET en POST) wordt ondersteund door dat eindpunt. |
ACS90008 |
403 |
De tenant is uitgeschakeld. |
Zorg ervoor dat uw Access Control naamruimte actief is. |
ACS90009 |
404 |
Er is geen <object> gevonden voor de opgegeven id. |
Details staan in het bericht. |
ACS90010 |
400 |
Wordt niet ondersteund. (Meer informatie vindt u in het bericht.) |
Details staan in het bericht. |
ACS90011 |
400 |
Ongeldige aanvraag. (Meer informatie vindt u in het bericht.) |
Details staan in het bericht. |
ACS90012 |
408 |
Er is een time-out opgetreden voor de aanvraag bij de server. |
Details staan in het bericht. |
ACS90013 |
400 |
Ongeldige gebruikersinvoer. (Meer informatie vindt u in het bericht.) |
Details staan in het bericht. |
ACS90014 |
400 |
Het vereiste veld Veld<> ontbreekt. |
Zorg ervoor dat uw aanvraag bij ACS alle parameters bevat die zijn vereist voor het protocol dat u gebruikt. |
ACS90015 |
403 |
Niet geautoriseerd: servicesleutels zijn beperkt voor deze tenant. |
ACS geeft geen sleutels weer die behoren tot de ServiceBus- en Cache-naamruimten. Gebruik de ServiceBus- of Cache-portal om deze sleutels weer te geven. |
ACS90016 |
400 |
'<Sleutelgrootte>' bits is een ongeldige sleutelgrootte. Sleutelgrootte moet groter zijn dan 0 en een veelvoud van 8. |
|
ACS90046 |
503 |
Service niet beschikbaar |
De tokenaanvraag wordt geweigerd omdat ACS bezig is met het reageren op tokenaanvragen van alle naamruimten. Wacht een paar seconden en probeer de aanvragen opnieuw uit te voeren gedurende toenemende tijdsintervallen. Zie acs-richtlijnen voor opnieuw proberen voor meer informatie. |
ACS90055 |
429 |
Te veel aanvragen |
De tokenaanvraag wordt geweigerd, omdat deze naamruimte gedurende een langere periode de maximale tokenaanvraagsnelheid van 30 tokens per seconde heeft overschreden. Wacht een paar seconden en probeer de aanvragen opnieuw uit te voeren gedurende toenemende tijdsintervallen. Als de fout zich opnieuw voordoet, kunt u overwegen de workload opnieuw te distribueren via meerdere naamruimten. Zie ACS-servicebeperkingen voor meer informatie. |