Cette documentation est archivée et n’est pas conservée.

Codes d'erreur ACS

Publication: avril 2011

Mis à jour: juin 2015

S'applique à: Azure

Cette rubrique inclut les messages d'erreur les plus courants susceptibles de s'afficher lorsque vous utilisez Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS) et les actions requises pour résoudre l'erreur, le cas échéant. Pour plus d'informations sur la façon de proposer une gestion personnalisée des erreurs en fonction des codes d'erreur, consultez Utilisation d'une URL d'erreur pour la gestion personnalisée des erreurs.

ImportantImportant
Les espaces de noms ACS peuvent migrer leurs configurations de fournisseur d'identité Google d'OpenID 2.0 vers OpenID Connect. La migration doit être effectuée avant le 1er juin 2015. Pour obtenir des instructions détaillées, consultez la rubrique Migration d'espaces de noms ACS vers Google OpenID Connect.

ImportantImportant
N'utilisez pas les codes d'erreur ACS ou leurs descriptions dans une logique d'application. Lors de l'écriture d'un code de gestion des erreurs, utilisez les valeurs des codes d'erreur et d'état HTTP. Les codes d'erreur ACS et leurs descriptions peuvent varier à tout moment sans avertissement préalable. Pour plus d'informations, consultez Instructions relatives aux nouvelles tentatives pour ACS et Limitations du service ACS.

 

Erreur ACS Code d'état HTTP Message Solution

ACS10000

400

Une erreur s'est produite lors du traitement du message SOAP.

Les détails se trouvent dans le message.

ACS10001

400

Une erreur s'est produite lors du traitement de l'en-tête SOAP.

Les détails se trouvent dans le message.

ACS10002

400

Une erreur s'est produite lors du traitement du corps SOAP.

Les détails se trouvent dans le message.

ACS10003

400

Une erreur s'est produite lors du traitement de l'en-tête de sécurité.

Les détails se trouvent dans le message.

Les erreurs de cette section concernent le protocole WS-Federation et les métadonnées WS-Federation.

Pour générer un fichier WS-FederationMetadata.xml valide, utilisez FedUtil ou l'outil Identité et accès dans Visual Studio 2012. Le portail de gestion ACS génère également un document de métadonnées WS-Federation pour chaque espace de noms Access Control. Pour le consulter, cliquez sur Intégration d'application dans le portail de gestion ACS.

Pour personnaliser les métadonnées WS-Federation, utilisez les classes dans l'espace de noms Microsoft.IdentityModel.Protocols.WSFederation.Metadata.

Pour les spécifications du schéma XML des métadonnées WS-Federation aux normes OASIS, consultez la section 3 de la norme Web Services Federation Language (WS-Federation) Version 1.2 sur le site http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.

Pour obtenir plus d'informations sur des erreurs précises et leurs solutions, consultez les entrées du tableau ci-dessous.

 

Erreur Code d'état HTTP Message Solution

ACS20000

400

Une erreur s'est produite lors du traitement d'une demande de connexion WS-Federation.

Les détails se trouvent dans le message.

ACS20001

400

Une erreur s'est produite lors du traitement d'une réponse de connexion WS-Federation.

Les détails se trouvent dans le message.

ACS20002

400

Une erreur s'est produite lors de la tentative de création des métadonnées de fédération.

Le message peut contenir davantage de détails. Vérifiez qu'un jeton principal signe bien votre contrat dans votre espace de noms Access Control.

ACS20003

400

Une erreur s'est produite lors de la tentative d'importation des métadonnées de fédération.

Le message peut contenir davantage de détails. Assurez-vous que l'URL ou le fichier des métadonnées sont valides.

ACS20004

Impossible de récupérer l'entité à partir des métadonnées.

Assurez-vous que le fichier de métadonnées contient un ID d'entité.

ACS20005

Plusieurs entités de métadonnées ne sont pas prises en charge.

Assurez-vous que les métadonnées de fédération contiennent exactement une entité.

ACS20006

Aucun descripteur de service de jeton de sécurité n'a été trouvé.

Assurez-vous que les métadonnées de fédération contiennent exactement un descripteur de service de jeton de sécurité.

ACS20007

Plusieurs descripteurs de service de jeton de sécurité ne sont pas pris en charge.

Assurez-vous que les métadonnées de fédération contiennent exactement un descripteur de service de jeton de sécurité.

ACS20008

400

Seuls les fournisseurs d'identité prenant en charge WS-Federation peuvent être importés.
Ou
Seules les parties de confiance prenant en charge WS-Federation peuvent être importées.

Assurez-vous que les métadonnées de fédération contiennent un paramètre RoleDescriptor de type « fed:SecurityTokenServiceType ».

ACS20009

400

Une erreur s'est produite lors de la lecture du document de métadonnées WS-Federation.

ACS n'a pas pu analyser le document de métadonnées fourni, car il est peut-être non valide. Vous pouvez valider votre document en l'exécutant via Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata().

ACS20010

Aucun descripteur de service d'application n'a été trouvé.

Assurez-vous que le fichier de métadonnées contient un descripteur de service d'application.

ACS20011

Plusieurs descripteurs de service d'application ne sont pas pris en charge.

Assurez-vous que le fichier de métadonnées contient exactement un descripteur de service d'application.

ACS20012

400

La demande entrante n'est pas une demande WS-Federation valide.

Assurez-vous que la demande est une demande ou une réponse de connexion WS-Federation valide et qu'elle contient tous les paramètres requis.

ACS20014

400

Le code XML du document de métadonnées WS-Federation est malformé.

Cette erreur se produit lorsque le code XML du document de métadonnées WS-Federation comporte des fautes de syntaxe. Par exemple, dans le cas de crochets ou de balises en trop ou manquants. Cela se produit lors de la tentative de création ou de modification manuelle d'un document WS-FederationMetadata.xml. Cette erreur n'est pas liée à la conformité avec le schéma XML des métadonnées.

Pour résoudre cette erreur, utilisez un outil de validation XML tel que Visual Studio ou XML Notepad 2007.

 

Erreur Code d'état HTTP Message Solution

ACS30000

400

Une erreur s'est produite lors du traitement d'une réponse de connexion OpenID.

Les détails se trouvent dans le message.

ACS30001

400

Impossible de vérifier la signature de la réponse OpenID.

La signature OpenID n'était pas valide ou a été rejetée par le fournisseur d'identité. Assurez-vous que le message n'a pas été falsifié.

 

Erreur Code d'état HTTP Message Solution

ACS40000

400

Une erreur s'est produite lors du traitement d'une réponse de connexion Facebook. Ce problème peut être dû à une configuration incorrecte de l'application Facebook.

Vérifiez que le secret et l'ID de l'application configurés sur ACS correspondent aux mêmes valeurs sur le portail des développeurs Facebook.

ACS40001

400

Une erreur s'est produite lors de la tentative d'obtention d'un jeton d'accès auprès de Facebook.

Vérifiez que le secret et l'ID de l'application configurés sur ACS sont valides.

 

Erreur Code d'état HTTP Message Solution

ACS50000

Une erreur s'est produite lors de l'émission du jeton.

Les détails se trouvent dans le message.

ACS50001

400

Le domaine de partie de confiance « <URL de domaine> » est inconnu.

Une incohérence a été détectée entre les paramètres AppliesTo indiqués dans la demande de jeton et les domaines que vous avez configurés dans ACS. Vérifiez les points suivants : 1. Le domaine de votre partie de confiance est correctement configuré. Pour cela, vous pouvez utiliser le portail de gestion ou le service de gestion, en vérifiant les entrées RelyingParty.RelyingPartyAddresses. 2. Votre fournisseur de partie de confiance a été associé au fournisseur d'identité. Pour cela, vous pouvez aussi utiliser le portail de gestion ou le service de gestion afin de vérifier les entrées RelyingPartyIdentityProviders.

ACS50002

400

Configuration de service non valide. (Les détails se trouvent dans le message.)

Les détails se trouvent dans le message.

ACS50003

400

Aucune clé de signature symétrique primaire n'est configurée. Une clé de signature symétrique est nécessaire pour SWT.

Si la partie de confiance utilise le type de jeton SWT, assurez-vous que la clé symétrique est configurée pour la partie de confiance ou l'espace de noms Access Control, qu'elle est définie comme principale et qu'elle est toujours valide.

ACS50004

400

Aucun certificat de signature X.509 primaire n'est configuré. Un certificat de signature est nécessaire pour SAML.

Si la partie de confiance choisie utilise le type de jeton SAML, assurez-vous qu'un certificat X.509 valide est configuré pour la partie de confiance ou l'espace de noms Access Control. Le certificat doit être défini en tant que certificat principal et être encore valide.

ACS50005

400

Le chiffrement des jetons est requis, mais aucun certificat de chiffrement n'est configuré pour la partie de confiance.

Désactivez le chiffrement des jetons pour la partie de confiance choisie ou téléchargez un certificat X.509 à utiliser pour le chiffrement des jetons.

ACS50006

403

Échec de la vérification de signature. (Le message peut contenir davantage de détails.)

Assurez-vous que les clés de vérification configurées sur ACS sont valides.

ACS50007

400

Signature introuvable.

Assurez-vous que le jeton entrant est signé et valide.

ACS50008

401

Le jeton SAML n'est pas valide. (Le message peut contenir davantage de détails.)

Pour plus d'informations, consultez Correction de l'erreur ACS50008.

ACS50009

401

Le jeton SWT n'est pas valide. (Le message peut contenir davantage de détails.)

Les détails se trouvent dans le message.

ACS50010

403

La validation de l'URI d'audience a échoué. (Le message peut contenir davantage de détails.)

Assurez-vous que l'audience du jeton entrant est définie sur https://yournamespace.accesscontrol.windows.net

ACS50011

400

L'adresse ReplyTo est manquante ou ne correspond pas au domaine.

Pour fonctionner avec WS-Federation, une partie de confiance doit disposer d'au moins une adresse ReplyTo configurée.
Pour effectuer cette configuration, utilisez le champ « URL de renvoi » dans le portail de gestion ACS.
Si le message entrant spécifie une adresse ReplyTo, assurez-vous qu'elle correspond à un paramètre ReplyTo configuré ou qu'elle en constitue un suffixe (par exemple, pour le paramètre ReplyTo configuré http://exemple.com/chemin1/, http://exemple.com/chemin1/index.aspx serait un paramètre ReplyTo demandé valide, mais pas http://exemple.com/chemin2/index.aspx).

ACS50012

401

Échec de l'authentification. (Le message peut contenir davantage de détails.)

Lorsqu'une application mutualisée tente d'acquérir un jeton pour accéder à l'API Graph pour un locataire Azure AD qui a récemment consenti à l'application, la demande de jeton peut momentanément échouer avec l'erreur ACS50012. Pour résoudre le problème, patienter quelques minutes et réessayez. Sinon, demandez à l'administrateur du locataire qui a donné le consentement de se connecter à l'application après le consentement.

ACS50013

400

Le nombre de segments dans la valeur de l'URI dépasse le nombre maximum acceptable de segments de chemin.

Assurez-vous que le nombre de segments dans la valeur d'URI est inférieur ou égal à 32.

ACS50014

400

Les revendications auto-défendues ne sont pas autorisées pour les identités de service et de gestion.

Assurez-vous que le jeton d'authentification de service d'identité ne contient pas de revendications ou uniquement celles de l'identificateur de nom.

ACS50015

400

Une erreur s'est produite lors de la tentative d'obtention des métadonnées du fournisseur d'identité.

Le message peut contenir davantage de détails. Assurez-vous que l'URL ou le fichier des métadonnées sont valides.

ACS50016

400

Le certificat X.509 avec l'objet '<nom de l'objet de certificat>' et l'empreinte '<empreinte du certificat>' ne correspond à aucun certificat configuré.

Vérifiez que le certificat demandé a été téléchargé vers ACS.

ACS50017

401

Le certificat dont le sujet est « <nom du sujet du certificat> » et l'émetteur est « <nom de l'émetteur> » n'a pas pu être validé.

Assurez-vous que le certificat est auto-signé ou qu'il provient d'une autorité de certification racine fiable. Le certificat doit également ne pas avoir été révoqué et être encore valide. Pour plus d'informations, consultez Correction de l'erreur ACS50017.

ACS50018

400

Domaine manquant. Le nom de la partie de confiance manquante n'était pas spécifié.

Assurez-vous que la demande contient un domaine.

ACS50019

401

La connexion a été annulée par l'utilisateur.

ACS50020

401

L'utilisateur n'est pas autorisé.

ACS50022

400

La valeur de paramètre de rappel « <nom de la fonction> » n'est pas un nom de fonction JavaScript valide.

Assurez-vous que le paramètre de rappel spécifié est un nom de fonction JavaScript valide. Les noms de fonction JavaScript valides contiennent uniquement des lettres, des chiffres, ainsi que des caractères « $ » et « _ », et ne doivent pas commencer par un chiffre. Les caractères Unicode contenus dans les noms de fonction ne sont pas pris en charge.

ACS50026

Un principal nommé « nom » n'est pas valide.

Cette erreur indique qu'une tentative pour trouver une entité dont le nom a été spécifié a échoué, car l'entité n'est pas connue de ACS. Selon le scénario, cette entité peut être une identité de service, une application par partie de confiance ou un fournisseur d'identité.

Vérifiez que cette entité existe bien dans votre espace de noms Access Control.

ACS50042

401

La valeur salt nécessaire pour générer l'identificateur individuel est manquante. Si cette application a été enregistrée récemment, patientez quelques minutes avant de retenter l'opération.

Si vous essayez de vous connecter à l'application immédiatement après l'avoir ajoutée à Azure AD, la tentative de connexion risque d'échouer jusqu'à ce que les clés individuelles soient synchronisées. Attendez quelques minutes, puis tentez de vous connecter à nouveau. Pour plus d'informations, consultez Instructions relatives aux nouvelles tentatives pour ACS.

 

Erreur Code d'état HTTP Message Solution

ACS

60000

403

Erreur de moteur de stratégies.

Les détails se trouvent dans le message.

ACS60001

Aucune revendication de sortie n'a été générée pendant le traitement des règles.

Les groupes de règles associés à la partie de confiance choisie ne contiennent aucune règle applicable aux revendications générées par votre fournisseur d'identité. Configurez des règles dans un groupe de règles associé à votre partie de confiance ou générez des règles de transfert direct à l'aide de l'éditeur du groupe de règles.

ACS60002

403

Le quota du nombre de demandes de jeton a été atteint et aucune autre demande ne peut être effectuée.

ACS60003

403

Impossible de modifier une propriété en lecture seule.

Certains objets ACS intégrés ne peuvent être ni modifiés ni supprimés.

ACS60004

409

Conflit de versions.

Une erreur de conflit de version peut être reçue lors de la mise à jour du nom d'une partie de confiance, d'un fournisseur d'identité, d'une identité de service ou d'un émetteur vers un nom déjà existant. Choisissez un nom différent pour résoudre ce problème.

ACS60005

400

Tentative d'ajout d'un objet enfant avec un parent non valide ou manquant.

Pour les objets enfants, tels que les adresses, assurez-vous que l'objet parent ou l'ID d'objet est valide et de type adéquat.

ACS60006

400

Tentative d'insertion d'une nouvelle copie d'un objet qui existe déjà dans la base de données.

L'objet que vous tentez d'insérer ne respecte pas une contrainte d'unicité. Assurez-vous que les propriétés de l'objet, telles que le nom et l'adresse, sont uniques si cela est requis.

ACS60007

400

Certificat X.509 non valide.

Assurez-vous que les octets fournis constituent un certificat X.509 valide.

ACS60008

Impossible de trouver un nom unique pour ce <type d'objet>.

ACS60012

Le nombre de revendications d'entrée (#) dépasse la limite (80).

Votre jeton entrant doit comporter 80 revendications au maximum pour qu'ACS puisse les traiter et émettre un jeton sortant.

ACS60021

503

Service indisponible

La demande de jeton est rejetée : les serveurs de données ACS sont occupés à répondre aux demandes de jeton émanant des espaces de noms. Patientez quelques secondes et retentez la demande en augmentant les intervalles. Pour plus d'informations, consultez Instructions relatives aux nouvelles tentatives pour ACS.

 

Erreur Code d'état HTTP Message Action requise pour résoudre l'erreur

ACS70000

401

L'octroi d'accès fourni n'est pas valide, a expiré ou a été révoqué.

Les détails se trouvent dans le message.

ACS70001

401

Le client n'est pas autorisé.

ACS70002

401

Client non valide.

ACS70003

401

L'octroi d'accès inclus n'est pas pris en charge par le serveur d'autorisation.

 

Erreur Code d'erreur HTTP Message Action requise pour résoudre l'erreur

ACS80001

404

Cette règle est configurée pour utiliser un type d'émetteur de revendication non pris en charge par le portail de gestion. Utilisez le service de gestion pour afficher et modifier cette règle.

Cette erreur se produit si une règle est configurée pour utiliser un émetteur qui ne soit pas un fournisseur d'identité ou l'émetteur « LOCAL AUTHORITY » du service de contrôle d'accès. Pour plus d'informations sur l'utilisation du service de gestion ACS, consultez Service de gestion ACS.

 

Erreur Code d'erreur HTTP Message Solution

ACS90002

404

Le nom de l'espace de noms de service dans l'URL n'est pas valide.

Assurez-vous que l'espace de noms Access Control demandé existe.

ACS90004

400

La demande n'est pas formatée correctement.

ACS90005

502

Erreur de serveur externe. (Le message peut contenir davantage de détails.)

Une erreur s'est produite pendant la communication avec un serveur externe, tel qu'un fournisseur d'identité.

ACS90006

504

Expiration du serveur externe.

La communication a expiré pendant l'échange avec un serveur externe, tel qu'un fournisseur d'identité.

ACS90007

405

Méthode de demande non autorisée.

Assurez-vous que la méthode HTTP (par exemple, GET et POST) utilisée est prise en charge par ce point de terminaison.

ACS90008

403

Le locataire est désactivé.

Assurez-vous que l'espace de noms Access Control est actif.

ACS90009

404

Aucun <objet> n'a été trouvé pour l'ID indiqué.

Les détails se trouvent dans le message.

ACS90010

400

Non pris en charge. (Le message peut contenir davantage de détails.)

Les détails se trouvent dans le message.

ACS90011

400

Demande non valide. (Le message peut contenir davantage de détails.)

Les détails se trouvent dans le message.

ACS90012

408

La demande envoyée au serveur a expiré.

Les détails se trouvent dans le message.

ACS90013

400

Entrée utilisateur non valide. (Le message peut contenir davantage de détails.)

Les détails se trouvent dans le message.

ACS90014

400

Le champ obligatoire « <champ> » est manquant.

Assurez-vous que votre requête à ACS contienne tous les paramètres requis par le protocole que vous utilisez.

ACS90015

403

Non autorisé : les clés de service sont restreintes pour ce locataire.

ACS n'affiche pas les clés appartenant aux espaces de noms ServiceBus et Cache. Pour les afficher, utilisez le portail ServiceBus ou Cache.

ACS90016

400

'« <taille de la clé> » bits est une taille de clé non valide. La taille de la clé doit être supérieure à 0 et un multiple de 8.

ACS90046

503

Service indisponible

La demande de jeton est rejetée : ACS est occupé à répondre aux demandes de jeton émanant des espaces de noms. Patientez quelques secondes et retentez la demande en augmentant les intervalles. Pour plus d'informations, consultez Instructions relatives aux nouvelles tentatives pour ACS.

ACS90055

429

Requêtes trop nombreuses

La demande de jeton est rejetée : cet espace de noms a dépassé le taux maximal de demande de jeton qui est de 30 jetons par seconde pour une période prolongée. Patientez quelques secondes et retentez la demande en augmentant les intervalles. Si l'erreur se produit à nouveau, envisagez une redistribution de la charge de travail sur plusieurs espaces de noms. Pour plus d'informations, consultez Limitations du service ACS.

Afficher: