Codici di errore di ACS
Aggiornamento: 19 giugno 2015
Si applica a: Azure
Questo argomento include i messaggi di errore più comuni che potrebbero essere rilevati quando si usa Microsoft Azure Active Directory Controllo di accesso (noto anche come servizio Controllo di accesso o servizio ACS) e le azioni necessarie per correggere l'errore, quando applicabile. Per informazioni su come fornire la gestione degli errori personalizzata in base ai codici di errore, vedere Procedura: Usare un URL di errore per la gestione degli errori personalizzati.
Importante
Gli spazi dei nomi ACS possono eseguire la migrazione delle configurazioni del provider di identità Google da OpenID 2.0 a OpenID Connect. La migrazione deve essere completata prima del 1° giugno 2015. Per indicazioni dettagliate, vedere Migrazione degli spazi dei nomi ACS a Google OpenID Connessione.
Importante
Non usare le descrizioni o i codici di errore di ACS nella logica dell'applicazione. Quando si scrive un codice di gestione degli errori, usare i valori dei codici di errore e dello stato HTTP. Le descrizioni degli errori e i codici di errore di ACS possono essere modificati in qualsiasi momento senza preavviso. Per altre informazioni, vedere Linee guida per i tentativi di ACS e Limitazioni del servizio ACS.
Errori del protocollo di federazione attivo, inclusi SOAP e WS-Trust
| Errore ACS | Codice di stato HTTP | Message | Rimedio |
|---|---|---|---|
ACS10000 |
400 |
Errore durante l'elaborazione del messaggio SOAP. |
Dettagli inclusi nel messaggio. |
ACS10001 |
400 |
Errore durante l'elaborazione dell'intestazione SOAP. |
Dettagli inclusi nel messaggio. |
ACS10002 |
400 |
Errore durante l'elaborazione del corpo SOAP. |
Dettagli inclusi nel messaggio. |
ACS10003 |
400 |
Errore durante l'elaborazione dell'intestazione di sicurezza. |
Dettagli inclusi nel messaggio. |
Errori del protocollo WS-Federation, inclusi i metadati di federazione.
Gli errori descritti in questa sezione sono correlati al protocollo e ai metadati WS-Federation.
Per generare un file di WS-FederationMetadata.xml valido, usare FedUtil o lo strumento Identity and Access in Visual Studio 2012. Il portale di gestione ACS genera anche un documento di metadati WS-Federation per ogni spazio dei nomi Controllo di accesso. Per visualizzarla, nel portale di gestione di ACS fare clic su Integrazione dell'applicazione.
Per personalizzare WS-Federation metadati, usare le classi nello spazio dei nomi Microsoft.IdentityModel.Protocols.WSFederation.Metadata .
Per la specifica XML Schema dei metadati standard WS-Federation oasis, vedere la sezione 3 dello standard WS-Federation Language (WS-Federation) di Servizi Web in http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.
Per altre informazioni su errori specifici e le relative soluzioni, vedere le voci di questa tabella.
| Errore | Codice di stato HTTP | Message | Rimedio |
|---|---|---|---|
ACS20000 |
400 |
Errore durante l'elaborazione di una richiesta di accesso WS-Federation. |
Dettagli inclusi nel messaggio. |
ACS20001 |
400 |
Errore durante l'elaborazione di una risposta di accesso WS-Federation. |
Dettagli inclusi nel messaggio. |
ACS20002 |
400 |
Errore durante il tentativo di generare i metadati di federazione. |
È possibile che nel messaggio siano riportati altri dettagli. Verificare che sia presente un certificato di firma del token primario nello spazio dei nomi Controllo di accesso. |
ACS20003 |
400 |
Errore durante il tentativo di importare i metadati di federazione. |
È possibile che nel messaggio siano riportati altri dettagli. Assicurarsi che l'URL dei metadati o il file dei metadati sia valido. |
ACS20004 |
Impossibile recuperare l'entità dai metadati. |
Assicurarsi che il file dei metadati contenga un'ID entità. |
|
ACS20005 |
Entità di metadati multiple non supportate. |
Verificare che nei metadati di federazione sia inclusa esattamente un'entità. |
|
ACS20006 |
Nessun descrittore del servizio token di sicurezza trovato. |
Verificare che nei metadati di federazione sia incluso esattamente un descrittore del servizio token di sicurezza. |
|
ACS20007 |
Descrittori multipli del servizio token di sicurezza non supportati. |
Verificare che nei metadati di federazione sia incluso esattamente un descrittore del servizio token di sicurezza. |
|
ACS20008 |
400 |
È possibile importare solo provider di identità che supportano WS-Federation. |
Verificare che nei metadati di federazione sia incluso un elemento RoleDescriptor di tipo "fed:SecurityTokenServiceType". |
ACS20009 |
400 |
Errore durante la lettura del documento dei metadati WS-Federation. |
ACS non è riuscito a analizzare il documento dei metadati fornito, pertanto potrebbe non essere valido. È possibile convalidare il documento eseguendolo mediante Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata(). |
ACS20010 |
Nessun descrittore del servizio dell'applicazione trovato. |
Assicurarsi che il file dei metadati contenga un descrittore del servizio dell'applicazione. |
|
ACS20011 |
Descrittori multipli del servizio dell'applicazione non supportati. |
Assicurarsi che il file dei metadati contenga un solo descrittore del servizio dell'applicazione. |
|
ACS20012 |
400 |
La richiesta in ingresso non è una richiesta WS-Federation valida. |
Verificare che la richiesta sia una richiesta o una risposta di accesso WS-Federation valida e che includa tutti i parametri necessari. |
ACS20014 |
400 |
Il formato XML del documento dei metadati WS-Federation non è corretto. |
Questo errore si verifica quando la sintassi dell'XML nel documento dei metadati WS-Federation non è corretta, ad esempio quando nel documento è presente un numero eccessivo o troppo basso di parentesi o tag. Si verifica più spesso quando si tenta di creare o modificare manualmente un documento WS-FederationMetadata.xml. Questo errore non è correlato alla conformità con l'XML Schema dei metadati. Per risolvere questo errore, usare uno strumento di convalida XML, ad esempio gli strumenti in Visual Studio o XML Blocco note 2007. |
Errori del protocollo OpenID
| Errore | Codice di stato HTTP | Message | Rimedio |
|---|---|---|---|
ACS30000 |
400 |
Errore durante l'elaborazione di una risposta di accesso OpenID. |
Dettagli inclusi nel messaggio. |
ACS30001 |
400 |
Impossibile verificare la firma della risposta OpenID. |
La firma OpenID non era valida oppure è stata rifiutata dal provider di identità. Verificare che il messaggio non sia stato alterato. |
Errori del protocollo Graph per Facebook
| Errore | Codice di stato HTTP | Message | Rimedio |
|---|---|---|---|
ACS40000 |
400 |
Errore durante l'elaborazione di una risposta di accesso Facebook. È possibile che la configurazione dell'applicazione Facebook non sia valida. |
Verificare che l'ID applicazione e il segreto configurati in ACS corrispondano agli stessi valori nel portale per sviluppatori di Facebook. |
ACS40001 |
400 |
Errore durante il tentativo di ottenere un token di accesso da Facebook. |
Assicurarsi che il segreto e l'ID applicazione configurati tramite ACS siano validi. |
Errori generici del servizio token di sicurezza, inclusi i metadati del provider di identità
| Errore | Codice di stato HTTP | Message | Rimedio |
|---|---|---|---|
ACS50000 |
Errore durante il rilascio di un token. |
Dettagli inclusi nel messaggio. |
|
ACS50001 |
400 |
L'area di autenticazione della relying party richiesta '<URL> dell'area di autenticazione' è sconosciuta. |
C'è stata una mancata corrispondenza tra l'oggetto AppliesTo specificato nella richiesta di token e le aree di autenticazione configurate in ACS. Verificare che: 1. L'area di autenticazione della relying party deve essere configurata correttamente. A tale scopo, è possibile usare il portale di gestione o il servizio di gestione ed esaminare le voci RelyingParty.RelyingPartyAddresses. 2. La relying party deve essere stata associata al provider di identità. Anche in questo caso, è possibile usare il portale di gestione o il servizio di gestione ed esaminare le voci RelyingPartyIdentityProviders. |
ACS50002 |
400 |
Configurazione del servizio non valida. (Dettagli inclusi nel messaggio.) |
Dettagli inclusi nel messaggio. |
ACS50003 |
400 |
Nessuna chiave primaria di firma simmetrica configurata. Per SWT è necessaria una chiave di firma simmetrica. |
Se la relying party scelta usa SWT come tipo di token, verificare che una chiave simmetrica sia configurata per la relying party o lo spazio dei nomi Controllo di accesso e che la chiave sia impostata su primaria e entro il periodo di validità. |
ACS50004 |
400 |
Nessun certificato primario di firma X.509 configurato. Per SAML è necessario un certificato di firma. |
Se la relying party scelta usa SAML come tipo di token, assicurarsi che sia configurato un certificato X.509 valido per la relying party o lo spazio dei nomi Controllo di accesso. Il certificato deve essere impostato come primario ed entro il relativo periodo di validità. |
ACS50005 |
400 |
La crittografia dei token è obbligatoria, ma nessun certificato di crittografia è configurato per la relying party. |
Disabilitare la crittografia dei token per la relying party scelta oppure caricare un certificato X.509 da utilizzare per la crittografia dei token. |
ACS50006 |
403 |
Verifica della firma non riuscita. È possibile che nel messaggio siano riportati altri dettagli. |
Assicurarsi che le chiavi di verifica configurate tramite ACS siano valide. |
ACS50007 |
400 |
Impossibile trovare la firma. |
Assicurarsi che il token in ingresso sia firmato e valido. |
ACS50008 |
401 |
SAML token is invalid (Token SAML non valido). È possibile che nel messaggio siano riportati altri dettagli. |
Per altre informazioni, vedere Come correggere l'errore ACS50008. |
ACS50009 |
401 |
Token SWT non valido. È possibile che nel messaggio siano riportati altri dettagli. |
Dettagli inclusi nel messaggio. |
ACS50010 |
403 |
Convalida dell'URI del gruppo di destinatari non riuscita. È possibile che nel messaggio siano riportati altri dettagli. |
Assicurarsi che il gruppo di destinatari del token in ingresso sia impostato su https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
Indirizzo ReplyTo mancante o non corrispondente all'area di autenticazione. |
Per operare con WS-Federation, una relying party deve avere almeno un indirizzo ReplyTo configurato. |
ACS50012 |
401 |
Autenticazione non riuscita. È possibile che nel messaggio siano riportati altri dettagli. |
Quando un'applicazione multi-tenant tenta di acquisire un token per accedere all'API Graph per un tenant di Azure AD che ha autorizzato l'applicazione di recente, la richiesta del token potrebbe temporaneamente avere esito negativo con codice di errore ACS50012. Per risolvere il problema, attendere qualche minuto e ripetere l'operazione. In alternativa, chiedere all'amministratore di tenant che ha fornito il consenso di accedere all'applicazione dopo il consenso. |
ACS50013 |
400 |
Il numero di segmenti nel valore dell'URI è superiore al numero massimo accettabile di segmenti di percorso. |
Assicurarsi che il numero di segmenti nel valore dell'URI sia minore o uguale a 32. |
ACS50014 |
400 |
Autoattestazioni non consentite per le identità di servizio e gestione. |
Assicurarsi che il token di autenticazione dell'identità del servizio contenga attestazioni o solo l'attestazione dell'identificatore del nome. |
ACS50015 |
400 |
Errore durante il tentativo di ottenere i metadati del provider di identità. |
È possibile che nel messaggio siano riportati altri dettagli. Assicurarsi che l'URL dei metadati o il file sia valido. |
ACS50016 |
400 |
X509Certificate con oggetto 'Nome soggetto> certificato' e identificazione personale '<<Identificazione personale certificato>' non corrisponde a alcun certificato configurato. |
Verificare che il certificato richiesto sia stato caricato in ACS. |
ACS50017 |
401 |
Il certificato con il< nome soggetto> del certificato e la convalida '<Nome autorità di certificazione>' non riuscita. |
Verificare che il certificato sia autofirmato o che sia concatenato a un'autorità di certificazione radice attendibile. Il certificato inoltre non deve essere stato revocato e deve essere entro il relativo periodo di validità. Per altre informazioni, vedere Come correggere l'errore ACS50017. |
ACS50018 |
400 |
Area di autenticazione mancante. Nome della relying party non specificato. |
Verificare che nella richiesta sia inclusa un'area di autenticazione. |
ACS50019 |
401 |
Accesso annullato dall'utente. |
|
ACS50020 |
401 |
Utente non autorizzato. |
|
ACS50022 |
400 |
Il valore del parametro di callback '<Nome funzione>' non è un nome di funzione JavaScript valido. |
Verificare che il parametro di callback specificato sia un nome di funzione JavaScript valido. I nomi di funzione JavaScript validi possono contenere soltanto lettere, numeri e i caratteri '$' e '_' e non possono iniziare con un numero. I caratteri Unicode non sono supportati nei nomi delle funzioni. |
ACS50026 |
Un'entità di sicurezza con nome 'name' non è valida. |
Questo errore indica che un tentativo di trovare un'entità dal nome specificato non è riuscita perché l'entità non è nota a ACS. In base allo scenario, questa entità può essere un'identità del servizio, un'applicazione relying party o un provider di identità. Verificare che questa entità esista nello spazio dei nomi Controllo di accesso. |
|
ACS50042 |
401 |
Valore salt obbligatorio per generare un identificatore pairwise mancante. Se l'applicazione è stata registrata di recente, attendere qualche minuto prima di riprovare. |
Se si tenta di accedere a un'applicazione subito dopo averla aggiunta ad Azure AD, il tentativo di accesso può avere esito negativo finché le chiavi pairwise non sono sincronizzate. Attendere alcuni minuti e tentare nuovamente l'accesso. Per altre informazioni, vedere Linee guida per i tentativi di ACS. |
Errori del servizio di gestione, dei dati e del motore regole
| Errore | Codice di stato HTTP | Message | Rimedio |
|---|---|---|---|
ACS 60000 |
403 |
Errore del motore regole. |
Dettagli inclusi nel messaggio. |
ACS60001 |
Nessuna attestazione di output generata durante l'elaborazione delle regole. |
I gruppi di regole associati alla relying party scelta non dispongono di regole applicabili alle attestazioni generate dal provider di identità. Configurare alcune regole in un gruppo di regole associato alla relying party o generare regole pass-through utilizzando l'editor dei gruppi di regole. |
|
ACS60002 |
403 |
È stata raggiunta la quota per il numero di richieste di token. Impossibile richiedere altri token. |
|
ACS60003 |
403 |
Impossibile modificare una proprietà di sola lettura. |
Non è possibile modificare o eliminare determinati oggetti ACS predefiniti. |
ACS60004 |
409 |
Conflitto di versione. |
È possibile ricevere un errore di conflitto di versione quando si cerca di aggiornare il nome di una relying party, di un provider di identità, di un'identità di servizio o di un'autorità di certificazione in modo che corrisponda a quello di una relying party, di un provider di identità, di un'identità di servizio o di un'autorità di certificazione diversa. Per risolvere questo problema, scegliere un nome univoco differente. |
ACS60005 |
400 |
Tentativo di aggiunta di un oggetto figlio con un oggetto padre non valido o mancante. |
Per gli oggetti figlio, quali ad esempio gli indirizzi, verificare che l'ID oggetto o l'oggetto padre sia valido e del tipo corretto. |
ACS60006 |
400 |
Tentativo di inserimento di una nuova copia di un oggetto già esistente nel database. |
L'oggetto che si sta tentando di inserire viola un vincolo di univocità. Verificare che le proprietà dell'oggetto, ad esempio il nome e l'indirizzo, siano univoche se necessario. |
ACS60007 |
400 |
Certificato X.509 non valido. |
Verificare che i byte forniti siano un certificato X.509 valido. |
ACS60008 |
Impossibile trovare un nome univoco per questo <tipo di> oggetto. |
||
ACS60012 |
Il numero di attestazioni di input (#) supera il limite (80). |
Se il token in ingresso contiene più di 80 attestazioni, ACS non sarà in grado di elaborarle e di emettere un token in uscita. |
|
ACS60021 |
503 |
Servizio non disponibile |
La richiesta di token viene rifiutata perché i server di dati ACS sono occupati a rispondere alle richieste di token di tutti gli spazi dei nomi. Attendere alcuni secondi e ripetere la richiesta aumentando gli intervalli di tempo. Per altre informazioni, vedere Linee guida per i tentativi di ACS. |
Errori del protocollo OAuth 2.0
| Errore | Codice di stato HTTP | Message | Azione da intraprendere per correggere l'errore |
|---|---|---|---|
ACS70000 |
401 |
Autorizzazione di accesso non valida, scaduta o revocata. |
Dettagli inclusi nel messaggio. |
ACS70001 |
401 |
Client non autorizzato. |
|
ACS70002 |
401 |
Client non valido. |
|
ACS70003 |
401 |
L'autorizzazione di accesso inclusa non è supportata dal server di autorizzazione. |
Errori del portale di gestione ACS
| Errore | Codice di errore HTTP | Message | Azione da intraprendere per correggere l'errore |
|---|---|---|---|
ACS80001 |
404 |
Questa regola è configurata per l'uso di un tipo di autorità di certificazione non supportato dal portale di gestione. Usare il servizio di gestione per visualizzare e modificare la regola. |
Questo errore si verifica quando una regola è configurata per l'uso di un'autorità di certificazione diversa da un provider di identità o dall'autorità di certificazione "LOCAL AUTHORITY" del Servizio di controllo di accesso. Per informazioni dettagliate su come usare il servizio di gestione ACS, vedere Servizio di gestione ACS. |
Altri errori
| Errore | Codice di errore HTTP | Message | Rimedio |
|---|---|---|---|
ACS90002 |
404 |
Il nome dello spazio dei nomi del servizio nell'URL non è valido. |
Verificare che lo spazio dei nomi Controllo di accesso richiesto esista. |
ACS90004 |
400 |
Formato della richiesta non corretto. |
|
ACS90005 |
502 |
Errore server esterno. (È possibile che nel messaggio siano riportati altri dettagli.) |
Si è verificato un errore durante la comunicazione con un server esterno, ad esempio un provider di identità. |
ACS90006 |
504 |
Timeout server esterno. |
Si è verificato un timeout durante la comunicazione con un server esterno, ad esempio un provider di identità. |
ACS90007 |
405 |
Metodo della richiesta non consentito. |
Verificare che il metodo HTTP (ad esempio, GET e POST) usato sia supportato dall'endpoint. |
ACS90008 |
403 |
Tenant disabilitato. |
Assicurarsi che lo spazio dei nomi Controllo di accesso sia attivo. |
ACS90009 |
404 |
Nessun <oggetto> è stato trovato per l'ID specificato. |
Dettagli inclusi nel messaggio. |
ACS90010 |
400 |
Non supportata. (È possibile che nel messaggio siano riportati altri dettagli.) |
Dettagli inclusi nel messaggio. |
ACS90011 |
400 |
Richiesta non valida. (È possibile che nel messaggio siano riportati altri dettagli.) |
Dettagli inclusi nel messaggio. |
ACS90012 |
408 |
Timeout della richiesta al server. |
Dettagli inclusi nel messaggio. |
ACS90013 |
400 |
Input utente non valido. (È possibile che nel messaggio siano riportati altri dettagli.) |
Dettagli inclusi nel messaggio. |
ACS90014 |
400 |
Il campo obbligatorio '<Field>' non è presente. |
Assicurarsi che la richiesta a ACS contenga tutti i parametri richiesti dal protocollo usato. |
ACS90015 |
403 |
Non autorizzato: le chiavi di servizio sono limitate per questo tenant. |
ACS non visualizzerà le chiavi appartenenti agli spazi dei nomi ServiceBus e Cache. Per visualizzare tali chiavi, usare il portale di Service Bus o Cache. |
ACS90016 |
400 |
"<Dimensioni> chiave" bit è una dimensione della chiave non valida. La dimensione della chiave deve essere maggiore di 0 e un multiplo di 8. |
|
ACS90046 |
503 |
Servizio non disponibile |
La richiesta di token viene rifiutata perché ACS è occupato a rispondere alle richieste di token di tutti gli spazi dei nomi. Attendere alcuni secondi e ripetere la richiesta aumentando gli intervalli di tempo. Per altre informazioni, vedere Linee guida per i tentativi di ACS. |
ACS90055 |
429 |
Numero eccessivo di richieste |
La richiesta di token viene rifiutata perché questo spazio dei nomi ha superato il numero massimo di 30 richieste di token al secondo per un periodo prolungato. Attendere alcuni secondi e ripetere la richiesta aumentando gli intervalli di tempo. Se l'errore si verifica nuovamente, valutare la possibilità di ridistribuire il carico di lavoro su più spazi dei nomi. Per altre informazioni, vedere Limitazioni del servizio ACS. |