Códigos de erro ACS
Atualizado: 19 de junho de 2015
Aplica-se a: Azure
Este tópico inclui as mensagens de erro mais comuns que podem ser encontradas ao utilizar Microsoft Azure Ative Directory Controlo de Acesso (também conhecido como serviço de Controlo de Acesso ou ACS) e as ações necessárias para corrigir o erro, quando aplicável. Para obter informações sobre como fornecer o manuseamento de erros personalizados com base nos códigos de erro, consulte Como: Utilize um URL de erro para tratamento de erros personalizados.
Importante
Os espaços de nomes ACS podem migrar as suas configurações de fornecedor de identidade google de OpenID 2.0 para OpenID Ligação. A migração deve estar concluída antes de 1 de junho de 2015. Para obter orientações detalhadas, consulte os espaços de nomes ACS migratórios para o Google OpenID Ligação.
Importante
Não utilize códigos de erro ACS ou descrições na lógica da aplicação. Ao escrever código de tratamento de erros, utilize os valores dos códigos de estado e de erro HTTP. Os códigos de erro ACS e as descrições de erros podem ser alterados a qualquer momento sem aviso prévio. Para mais informações, consulte as Diretrizes de Retírição ACS e limitações de serviços ACS.
Erros do Protocolo da Federação Ativa, Incluindo SOAP e WS-Trust
| Erro acs | Código de Estado HTTP | Mensagem | Remédio |
|---|---|---|---|
ACS10000 |
400 |
Ocorreu um erro durante o processamento da mensagem SOAP |
Os detalhes estão na mensagem. |
ACS10001 |
400 |
Ocorreu um erro durante o processamento do cabeçalho SOAP |
Os detalhes estão na mensagem. |
ACS10002 |
400 |
Ocorreu um erro durante o processamento do corpo SOAP |
Os detalhes estão na mensagem. |
ACS10003 |
400 |
Ocorreu um erro durante o processamento do cabeçalho de segurança |
Os detalhes estão na mensagem. |
WS-Federation erros de protocolo, incluindo metadados da Federação
Os erros nesta secção estão relacionados com WS-Federation protocolo e metadados WS-Federation.
Para gerar um ficheiro WS-FederationMetadata.xml válido, utilize a FedUtil ou a ferramenta Identidade e Acesso em Visual Studio 2012. O Portal de Gestão ACS também gera um documento de metadados WS-Federation para cada Controlo de Acesso espaço de nome. Para vê-lo, no Portal de Gestão acs, clique na integração da Aplicação.
Para personalizar metadados WS-Federation, utilize as classes no microsoft.IdentityModel.Protocols.WSFederation.Metadata namespace.
Para a norma OASIS WS-Federation especificação de esquema XML de metadados, consulte a secção 3 da norma Federação de Serviços Web (WS-Federation) versão 1.2 em http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.
Para obter mais informações sobre erros específicos e sua resolução, consulte as entradas nesta tabela.
| Erro | Código de Estado HTTP | Mensagem | Remédio |
|---|---|---|---|
ACS20000 |
400 |
Ocorreu um erro durante o processamento de um pedido de WS-Federation de inscrição |
Os detalhes estão na mensagem. |
ACS20001 |
400 |
Ocorreu um erro durante o processamento de uma resposta de WS-Federation de inscrição |
Os detalhes estão na mensagem. |
ACS20002 |
400 |
Ocorreu um erro ao tentar gerar metadados da federação |
Mais detalhes podem ser encontrados na mensagem. Verifique se existe um certificado de assinatura de ficha primária no seu Controlo de Acesso espaço de nome. |
ACS20003 |
400 |
Ocorreu um erro ao tentar importar metadados da federação |
Mais detalhes podem ser encontrados na mensagem. Certifique-se de que o URL dos metadados ou o ficheiro metadados são válidos. |
ACS20004 |
Não é possível recuperar a entidade dos metadados |
Certifique-se de que o ficheiro de metadados contém uma identificação de entidade. |
|
ACS20005 |
Várias entidades de metadados não são suportadas |
Certifique-se de que os metadados da federação contêm exatamente uma entidade. |
|
ACS20006 |
Não foram encontrados descritores de serviço de sinal de segurança |
Certifique-se de que os metadados da federação contêm exatamente um descritor de serviço de sinal de segurança. |
|
ACS20007 |
Vários descritores de serviço de símbolos de segurança não são suportados |
Certifique-se de que os metadados da federação contêm exatamente um descritor de serviço de sinal de segurança. |
|
ACS20008 |
400 |
Só podem ser importados fornecedores de identidade que apoiem WS-Federation. |
Certifique-se de que os metadados da federação contêm um RoleDescriptor do tipo "fed:SecurityTokenServiceType". |
ACS20009 |
400 |
Ocorreu um erro ao ler o documento de metadados WS-Federation |
A ACS não foi capaz de analisar o documento de metadados fornecido, pelo que pode ser inválido. Pode validar o seu documento executando-o através do Microsoft.IdentityModel.Protocols.WSFederation.MetadataSerializer.ReadMetadata(). |
ACS20010 |
Não foram encontrados descritores de serviço de aplicação |
Certifique-se de que o ficheiro de metadados contém um descritor do serviço de aplicação. |
|
ACS20011 |
Vários descritores de serviço de aplicações não são suportados |
Certifique-se de que o ficheiro de metadados contém apenas um descritor do serviço de aplicações. |
|
ACS20012 |
400 |
O pedido de entrada não é um pedido de WS-Federation válido |
Certifique-se de que o pedido é um pedido de WS-Federation válido ou de entrada e que contém todos os parâmetros necessários. |
ACS20014 |
400 |
O documento de metadados WS-Federation não está bem formado |
Este erro ocorre quando o XML no documento de metadados WS-Federation não está sintaticamente correto, como quando o documento tem suportes ou etiquetas extra ou em falta. Ocorre mais frequentemente quando se tenta criar ou editar um documento WS-FederationMetadata.xml manualmente. Este erro não está relacionado com o cumprimento do esquema XML dos metadados. Para resolver este erro, utilize uma ferramenta validador XML, como as ferramentas em Visual Studio ou XML Bloco de notas 2007. |
Erros de Protocolo OpenID
| Erro | Código de Estado HTTP | Mensagem | Remédio |
|---|---|---|---|
ACS30000 |
400 |
Houve um erro no processamento de uma resposta de s-in openid. |
Os detalhes estão na mensagem. |
ACS30001 |
400 |
Não é possível verificar a assinatura de resposta OpenID. |
A assinatura OpenID foi inválida ou rejeitada pelo fornecedor de identidade. Certifique-se de que a mensagem não foi adulterada. |
Erros de Protocolo de Graph do Facebook
| Erro | Código de Estado HTTP | Mensagem | Remédio |
|---|---|---|---|
ACS40000 |
400 |
Ocorreu um erro durante o processamento de uma resposta de sinse no Facebook. Isto pode ser causado pela configuração inválida da aplicação do Facebook. |
Verifique se o ID da aplicação e o segredo configurados no ACS correspondem aos mesmos valores no portal de desenvolvedores do Facebook. |
ACS40001 |
400 |
Ocorreu um erro ao tentar obter um sinal de acesso do Facebook. |
Certifique-se de que o ID da aplicação e o segredo da aplicação que foram configurados via ACS são válidos. |
Erros gerais de serviço de ficha de segurança, incluindo metadados do fornecedor de identidade
| Erro | Código de Estado HTP | Mensagem | Remédio |
|---|---|---|---|
ACS50000 |
Houve um erro emitindo um símbolo. |
Os detalhes estão na mensagem. |
|
ACS50001 |
400 |
O reino<> do partido solicitado é desconhecido. |
Houve um desfasamento entre o AplicadosTo dado no pedido simbólico e os reinos que configuraste em ACS. Verifique isto: 1. A sua festa de confiação tem o seu reino configurado corretamente. Pode fazê-lo através do Portal de Gestão ou através do Serviço de Gestão, olhando para as suas entradas RelyingParty.RelyingPartyAddresses.2. A sua parte de confiança foi associada ao fornecedor de identidade. Pode também fazê-lo a partir do Portal de Gestão ou utilizando o Serviço de Gestão, olhando para as suas entradas DeProviders Desempreitores Da Dependência. |
ACS50002 |
400 |
Configuração de serviço inválida. (Os detalhes estão na mensagem.) |
Os detalhes estão na mensagem. |
ACS50003 |
400 |
Nenhuma chave de assinatura simétrica primária está configurada. É necessária uma chave de sinalização simétrica para a SWT. |
Se a parte de gestão escolhida utilizar o SWT como o seu tipo de símbolo, verifique se uma chave simétrica está configurada para a parte de gestão ou para o espaço de nome Controlo de Acesso, e que a chave está definida para o principal e dentro do seu período de validade. |
ACS50004 |
400 |
Não está configurado nenhum certificado de assinatura X.509 primário. É necessário um certificado de assinatura para a SAML. |
Se a parte de gestão escolhida utilizar o SAML como seu tipo simbólico, certifique-se de que um certificado X.509 válido está configurado para a parte de gestão ou para o espaço de nome Controlo de Acesso. O certificado deve ser definido como primário e deve estar dentro do seu período de validade. |
ACS50005 |
400 |
A encriptação token é necessária, mas nenhum certificado de encriptação está configurado para a parte que conta. |
Desative a encriptação simbólica para a parte de recurso escolhida ou carrequiva um certificado X.509 para ser usado para encriptação simbólica. |
ACS50006 |
403 |
A verificação da assinatura falhou. (Pode haver mais detalhes na mensagem.) |
Certifique-se de que as chaves de verificação configuradas via ACS são válidas. |
ACS50007 |
400 |
Assinatura não encontrada. |
Certifique-se de que o token de entrada é assinado e válido. |
ACS50008 |
401 |
O símbolo da SAML é inválido. (Pode haver mais detalhes na mensagem.) |
Para mais informações, consulte Como Corrigir O Erro ACS50008. |
ACS50009 |
401 |
O símbolo da SWT é inválido. (Pode haver mais detalhes na mensagem.) |
Os detalhes estão na mensagem. |
ACS50010 |
403 |
A validação do URI do público falhou. (Pode haver mais detalhes na mensagem.) |
Certifique-se de que o público do token de entrada está definido para https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
O endereço AnswerTo está em falta ou não corresponde ao reino. |
Para trabalhar com a WS-Federação, uma parte dependente deve ter pelo menos um endereço AnswerTo configurado. |
ACS50012 |
401 |
Falha na autenticação. (Pode haver mais detalhes na mensagem.) |
Quando um pedido de multi-inquilino tenta adquirir um símbolo para aceder ao Graph API para um inquilino Azure AD que recentemente consentiu no pedido, o pedido simbólico pode falhar temporariamente com o erro ACS50012. Para resolver o problema, espere alguns minutos e tente de novo. Ou, tenha o administrador do inquilino que forneceu o consentimento aceda ao pedido após o consentimento. |
ACS50013 |
400 |
O número de segmentos no valor URI é superior ao número máximo aceitável de segmentos de caminhos. |
Certifique-se de que o número de segmentos no valor URI é igual ou inferior a 32. |
ACS50014 |
400 |
As alegações autoafirmadas não são permitidas para identidades de serviço e gestão. |
Certifique-se de que o seu token de autenticação de identidade de serviço não contém reclamações ou apenas a reclamação do identificador de nome. |
ACS50015 |
400 |
Ocorreu um erro ao tentar obter metadados do fornecedor de identidade. |
Mais detalhes podem ser encontrados na mensagem. Certifique-se de que o URL ou ficheiro de metadados é válido. |
ACS50016 |
400 |
X509Certificado com o tema '<Nome> do sujeito do certificado' e impressão digital em polegar '<Impressão digital> do certificado' não corresponde a nenhum certificado configurado. |
Certifique-se de que o certificado solicitado foi enviado para a ACS. |
ACS50017 |
401 |
O certificado com o sujeito "<nome> do sujeito do certificado" e o emitente '<Nome> do emitente' falhou na validação. |
Certifique-se de que o certificado é auto-assinado ou que acorrenta a uma autoridade de certificação de raiz fidedigna. O certificado também não deve ser revogado e deve estar dentro do seu prazo de validade. Para mais informações, consulte Como Corrigir Erro ACS50017. |
ACS50018 |
400 |
Reino desaparecido. O nome da parte que conta não foi especificado. |
Certifique-se de que o pedido contém um reino. |
ACS50019 |
401 |
O s-in foi cancelado pelo utilizador. |
|
ACS50020 |
401 |
O utilizador não é autorizado. |
|
ACS50022 |
400 |
O valor do parâmetro de chamada '<Function name>' não é um nome de função JavaScript válido. |
Certifique-se de que o parâmetro de retorno especificado é o nome de um nome de função JavaScript válido. Os nomes de funções válidos javaScript contêm apenas letras, dígitos e caracteres '$' e '_' e podem não começar com um dígito. Os caracteres unicódigo em nomes de funções não são suportados. |
ACS50026 |
O principal com o nome 'nome' não é um principal válido. |
Este erro indica que uma tentativa de encontrar uma entidade pelo nome especificado falhou porque a entidade não é do conhecimento da ACS. Esta entidade pode ser uma identidade de serviço, uma aplicação de parte dependente, ou um fornecedor de identidade, dependendo do cenário. Verifique se esta entidade existe no seu Controlo de Acesso espaço de nome. |
|
ACS50042 |
401 |
Falta o sal necessário para gerar um identificador de pares. Se este pedido tiver sido registado recentemente, aguarde alguns minutos antes de voltar a tentar. |
Se tentar iniciar sessão numa aplicação imediatamente após a adição ao Azure AD, a tentativa de login pode falhar até que as teclas de emparelhamento sejam sincronizadas. Espere alguns minutos e tente entrar de novo. Para mais informações, consulte as Diretrizes de Requisição da ACS. |
Regras Erros de Motor, Dados e Serviço de Gestão
| Erro | Código de Estado HTTP | Mensagem | Remédio |
|---|---|---|---|
ACS 60000 |
403 |
Erro do motor de política |
Os detalhes estão na mensagem. |
ACS60001 |
Não foram gerados pedidos de produção durante o processamento de regras. |
O(s) grupo de regras associado à parte de confiança escolhida não tem regras aplicáveis às reclamações geradas pelo seu fornecedor de identidade. Configure algumas regras num grupo de regras associado ao seu partido de confiança ou gere regras de passagem usando o editor do grupo de regras. |
|
ACS60002 |
403 |
O contingente relativo ao número de pedidos simbólicos foi atingido e não pode ser solicitado mais. |
|
ACS60003 |
403 |
Não é possível modificar uma propriedade só de leitura. |
Certos objetos ACS incorporados não podem ser modificados ou eliminados. |
ACS60004 |
409 |
Conflito de versão |
Um erro de conflito de versão pode ser recebido quando se tenta atualizar o nome de uma parte dependente, fornecedor de identidade, identidade de serviço ou emitente para ser o mesmo nome que outra parte dependente, fornecedor de identidade, identidade de serviço ou emitente. Para resolver o problema, escolha um nome único diferente. |
ACS60005 |
400 |
Tentou adicionar um objeto de criança a um progenitor inválido ou desaparecido. |
Para objetos infantis, tais como endereços, certifique-se de que o objeto principal ou iD do objeto é válido e do tipo correto. |
ACS60006 |
400 |
Tentou inserir uma nova cópia de um objeto que já existe na base de dados. |
O objeto que está a tentar inserir viola uma restrição de singularidade. Certifique-se de que as propriedades do objeto, como o nome e o endereço, são únicas, se necessário. |
ACS60007 |
400 |
Certificado Inválido X.509 |
Certifique-se de que os bytes fornecidos são um certificado X.509 válido. |
ACS60008 |
Incapaz de encontrar um nome único para este <tipo de> objeto. |
||
ACS60012 |
O número de pedidos de entrada (#) excede o limite (80). |
O seu token de entrada deve ter 80 reclamações ou menos para que a ACS as processe e, em seguida, emita com sucesso um token de saída. |
|
ACS60021 |
503 |
Serviço indisponível |
O pedido de token é rejeitado porque os servidores de dados ACS estão ocupados a responder a pedidos simbólicos de todos os espaços de nome. Aguarde alguns segundos e relemisça os pedidos ao longo de intervalos de tempo crescentes. Para mais informações, consulte as Diretrizes de Requisição da ACS. |
Erros de Protocolo OAuth 2.0
| Erro | Código de Estado HTTP | Mensagem | Medidas necessárias para corrigir o erro |
|---|---|---|---|
ACS70000 |
401 |
A subvenção de acesso fornecida é inválida, caducada ou revogada. |
Os detalhes estão na mensagem. |
ACS70001 |
401 |
O cliente não está autorizado. |
|
ACS70002 |
401 |
Cliente inválido. |
|
ACS70003 |
401 |
A subvenção de acesso incluída não é suportada pelo servidor de autorização. |
Erros do Portal de Gestão ACS
| Erro | Código de Erro HTTP | Mensagem | Medidas necessárias para corrigir o erro |
|---|---|---|---|
ACS80001 |
404 |
Esta regra está configurada para utilizar um tipo de Emitente de Reclamação que não seja suportado pelo portal de gestão. Por favor, utilize o serviço de gestão para visualizar e editar esta regra. |
Este erro ocorre se uma regra estiver configurada para utilizar um Emitente que não seja um fornecedor de identidade ou o emitente do Serviço de Controlo de Acesso "LOCAL AUTHORITY". Para mais informações sobre como utilizar o Serviço de Gestão ACS, consulte o Serviço de Gestão ACS. |
Outros Erros
| Erro | Código de Erro HTTP | Mensagem | Remédio |
|---|---|---|---|
ACS90002 |
404 |
O nome do espaço de serviço no URL é inválido. |
Verifique se existe o espaço de Controlo de Acesso de nome solicitado. |
ACS90004 |
400 |
O pedido não está devidamente formatado. |
|
ACS90005 |
502 |
Erro externo do servidor. (Mais detalhes podem ser encontrados na mensagem.)) |
Ocorreu um erro durante a comunicação com um servidor externo, como um fornecedor de identidade. |
ACS90006 |
504 |
Tempo de tempo do servidor externo. |
A comunicação foi cronometrada enquanto comunicava com um servidor externo, como um fornecedor de identidade. |
ACS90007 |
405 |
Método de pedido não é permitido. |
Certifique-se de que o método HTTP (como GET e POST) utilizado é suportado por esse ponto final. |
ACS90008 |
403 |
O inquilino está incapacitado. |
Certifique-se de que o seu Controlo de Acesso espaço de nome está ativo. |
ACS90009 |
404 |
Nenhum <objeto> foi encontrado para a identificação dada. |
Os detalhes estão na mensagem. |
ACS90010 |
400 |
Não suportado. (Mais detalhes podem ser encontrados na mensagem.) |
Os detalhes estão na mensagem. |
ACS90011 |
400 |
Pedido inválido. (Mais detalhes podem ser encontrados na mensagem.) |
Os detalhes estão na mensagem. |
ACS90012 |
408 |
O pedido para o servidor está esgotado. |
Os detalhes estão na mensagem. |
ACS90013 |
400 |
Entrada inválida do utilizador. (Mais detalhes podem ser encontrados na mensagem.) |
Os detalhes estão na mensagem. |
ACS90014 |
400 |
Falta o< campo "Campo>" necessário. |
Certifique-se de que o seu pedido para ACS contém todos os parâmetros que são exigidos pelo protocolo que está a utilizar. |
ACS90015 |
403 |
Não autorizado: As chaves de serviço são restritas para este Inquilino. |
O ACS não apresentará as teclas pertencentes aos espaços de nomes ServiceBus e Cache. Para ver estas teclas, utilize o portal ServiceBus ou Cache. |
ACS90016 |
400 |
Os bits '<tamanho> chave' são um tamanho inválido da chave. O tamanho da chave deve ser maior que 0 e um múltiplo de 8. |
|
ACS90046 |
503 |
Serviço indisponível |
O pedido simbólico é rejeitado porque a ACS está ocupada a responder a pedidos simbólicos de todos os espaços de nome. Aguarde alguns segundos e relemisça os pedidos ao longo de intervalos de tempo crescentes. Para mais informações, consulte as Diretrizes de Requisição da ACS. |
ACS90055 |
429 |
Muitos pedidos |
O pedido simbólico é rejeitado, uma vez que este espaço de nome excedeu a taxa máxima de pedido de token de 30 fichas por segundo durante um período prolongado. Aguarde alguns segundos e relemisça os pedidos ao longo de intervalos de tempo crescentes. Se o erro se repetir, considere redistribuir a carga de trabalho em vários espaços de nome. Para mais informações, consulte as Limitações de Serviço ACS. |