Esporta (0) Stampa
Espandi tutto

Codici di errore di ACS

Pubblicato: aprile 2011

Aggiornamento: marzo 2015

Si applica a: Azure

Questo argomento contiene i messaggi di errore più comuni che possono essere generati durante l'uso di Microsoft Azure Active Directory Access Control (anche noto come Servizio Access Controll o ACS), insieme all'azione da intraprendere per correggere l'errore, quando possibile. Per informazioni su come fornire una gestione personalizzata degli errori in base ai codici di errore, vedere Procedura: usare un URL di errore per la gestione personalizzata degli errori.

ImportantImportante
A partire dal 19 maggio 2014 i nuovi spazi dei nomi ACS non potranno più usare Google come provider di identità. Gli spazi dei nomi ACS registrati prima di tale data potranno continuare a usare Google come provider di identità. Per altre informazioni, vedere Note sulla versione. Se si tenta di eseguire l'autenticazione con un account Google usando un nuovo spazio dei nomi ACS, si riceverà un errore HTTP 400.

ImportantImportante
Non usare le descrizioni o i codici di errore di ACS nella logica dell'applicazione. Quando si scrive un codice di gestione degli errori, usare i valori dei codici di errore e dello stato HTTP. Le descrizioni degli errori e i codici di errore di ACS possono essere modificati in qualsiasi momento senza preavviso. Per altre informazioni, vedere Linee guida sulla ripetizione dei tentativi per ACS e Limitazioni del servizio ACS.

 

Errore ACS Codice di stato HTTP Messaggio Rimedio

ACS10000

400

Errore durante l'elaborazione del messaggio SOAP.

Dettagli inclusi nel messaggio.

ACS10001

400

Errore durante l'elaborazione dell'intestazione SOAP.

Dettagli inclusi nel messaggio.

ACS10002

400

Errore durante l'elaborazione del corpo SOAP.

Dettagli inclusi nel messaggio.

ACS10003

400

Errore durante l'elaborazione dell'intestazione di sicurezza.

Dettagli inclusi nel messaggio.

Gli errori descritti in questa sezione sono correlati al protocollo e ai metadati WS-Federation.

Per creare un file WS-FederationMetadata.xml valido, usare FedUtil o lo strumento Identity and Access disponibile in Visual Studio 2012. Il portale di gestione ACS genera anche un documento di metadati WS-Federation per ogni Spazio dei nomi di Access Control. Per visualizzarlo, fare clic su Application integration nel portale di gestione ACS.

Per personalizzare i metadati WS-Federation, usare le classi nello spazio dei nomi Microsoft.IdentityModel.Protocols.WSFederation.Metadata.

Per le specifiche dello schema XML dei metadati WS-Federation in base allo standard OASIS, vedere la sezione 3 della versione 1.2 dello standard Web Services Federation Language (WS-Federation) disponibile in http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.

Per altre informazioni su errori specifici e le relative soluzioni, vedere le voci di questa tabella.

 

Errore Codice di stato HTTP Messaggio Rimedio

ACS20000

400

Errore durante l'elaborazione di una richiesta di accesso WS-Federation.

Dettagli inclusi nel messaggio.

ACS20001

400

Errore durante l'elaborazione di una risposta di accesso WS-Federation.

Dettagli inclusi nel messaggio.

ACS20002

400

Errore durante il tentativo di generare i metadati di federazione.

È possibile che nel messaggio siano riportati altri dettagli. Verificare che nello Spazio dei nomi di Access Control sia presente un certificato primario per la firma di token.

ACS20003

400

Errore durante il tentativo di importare i metadati di federazione.

È possibile che nel messaggio siano riportati altri dettagli. Assicurarsi che l'URL dei metadati o il file dei metadati sia valido.

ACS20004

Impossibile recuperare l'entità dai metadati.

Assicurarsi che il file dei metadati contenga un'ID entità.

ACS20005

Entità di metadati multiple non supportate.

Verificare che nei metadati di federazione sia inclusa esattamente un'entità.

ACS20006

Nessun descrittore del servizio token di sicurezza trovato.

Verificare che nei metadati di federazione sia incluso esattamente un descrittore del servizio token di sicurezza.

ACS20007

Descrittori multipli del servizio token di sicurezza non supportati.

Verificare che nei metadati di federazione sia incluso esattamente un descrittore del servizio token di sicurezza.

ACS20008

400

È possibile importare solo provider di identità con supporto per WS-Federation.
oppure
È possibile importare solo relying party con supporto per WS-Federation.

Verificare che nei metadati di federazione sia incluso un elemento RoleDescriptor di tipo "fed:SecurityTokenServiceType".

ACS20009

400

Errore durante la lettura del documento dei metadati WS-Federation.

ACS non è stato in grado di analizzare il documento dei metadati fornito, che potrebbe perciò non essere valido. È possibile convalidare il documento eseguendolo mediante Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata().

ACS20010

Nessun descrittore del servizio dell'applicazione trovato.

Assicurarsi che il file dei metadati contenga un descrittore del servizio dell'applicazione.

ACS20011

Descrittori multipli del servizio dell'applicazione non supportati.

Assicurarsi che il file dei metadati contenga un solo descrittore del servizio dell'applicazione.

ACS20012

400

La richiesta in ingresso non è una richiesta WS-Federation valida.

Verificare che la richiesta sia una richiesta o una risposta di accesso WS-Federation valida e che includa tutti i parametri necessari.

ACS20014

400

Il formato XML del documento dei metadati WS-Federation non è corretto.

Questo errore si verifica quando la sintassi dell'XML nel documento dei metadati WS-Federation non è corretta, ad esempio quando nel documento è presente un numero eccessivo o troppo basso di parentesi o tag. Nella maggior parte dei casi si verifica quando si tenta di creare o modificare manualmente un documento WS-FederationMetadata.xml. Questo errore non è correlato alla conformità con lo schema XML dei metadati.

Per risolvere questo errore, usare uno strumento di convalida XML, ad esempio gli strumenti disponibili in Visual Studio o XML Notepad 2007.

 

Errore Codice di stato HTTP Messaggio Rimedio

ACS30000

400

Errore durante l'elaborazione di una risposta di accesso OpenID.

Dettagli inclusi nel messaggio.

ACS30001

400

Impossibile verificare la firma della risposta OpenID.

La firma OpenID non era valida oppure è stata rifiutata dal provider di identità. Verificare che il messaggio non sia stato alterato.

 

Errore Codice di stato HTTP Messaggio Rimedio

ACS40000

400

Errore durante l'elaborazione di una risposta di accesso Facebook. È possibile che la configurazione dell'applicazione Facebook non sia valida.

Verificare che il segreto e l'ID applicazione configurati in ACS corrispondano ai valori presenti nel portale per sviluppatori di Facebook.

ACS40001

400

Errore durante il tentativo di ottenere un token di accesso da Facebook.

Assicurarsi che il segreto e l'ID applicazione configurati tramite ACS siano validi.

 

Errore Codice di stato HTTP Messaggio Rimedio

ACS50000

Errore durante il rilascio di un token.

Dettagli inclusi nel messaggio.

ACS50001

400

L'area di autenticazione della relying party '<URL area di autenticazione>' richiesta è sconosciuta.

Non vi è corrispondenza tra l'elemento AppliesTo fornito nella richiesta del token e le aree di autenticazione configurate in ACS. Verificare quanto segue: 1. L'area di autenticazione della relying party deve essere configurata correttamente. A tale scopo, è possibile usare il portale di gestione o il servizio di gestione ed esaminare le voci RelyingParty.RelyingPartyAddresses. 2. La relying party deve essere stata associata al provider di identità. Anche in questo caso, è possibile usare il portale di gestione o il servizio di gestione ed esaminare le voci RelyingPartyIdentityProviders.

ACS50002

400

Configurazione del servizio non valida. (Dettagli inclusi nel messaggio.)

Dettagli inclusi nel messaggio.

ACS50003

400

Nessuna chiave primaria di firma simmetrica configurata. Per SWT è necessaria una chiave di firma simmetrica.

Se la relying party scelta usa SWT come tipo di token, verificare che sia configurata una chiave simmetrica per la relying party o per lo Spazio dei nomi di Access Control e che la chiave sia impostata come primaria ed entro il relativo periodo di validità.

ACS50004

400

Nessun certificato primario di firma X.509 configurato. Per SAML è necessario un certificato di firma.

Se la relying party scelta usa SAML come tipo di token, verificare che sia configurato un certificato X.509 valido per la relying party o per lo Spazio dei nomi di Access Control. Il certificato deve essere impostato come primario ed entro il relativo periodo di validità.

ACS50005

400

La crittografia dei token è obbligatoria, ma nessun certificato di crittografia è configurato per la relying party.

Disabilitare la crittografia dei token per la relying party scelta oppure caricare un certificato X.509 da usare per la crittografia dei token.

ACS50006

403

Verifica della firma non riuscita. (È possibile che nel messaggio siano riportati altri dettagli.)

Assicurarsi che le chiavi di verifica configurate tramite ACS siano valide.

ACS50007

400

Impossibile trovare la firma.

Assicurarsi che il token in ingresso sia firmato e valido.

ACS50008

401

Token SAML non valido. (È possibile che nel messaggio siano riportati altri dettagli.)

Per altre informazioni, vedere Come correggere l'errore ACS50008.

ACS50009

401

Token SWT non valido. (È possibile che nel messaggio siano riportati altri dettagli.)

Dettagli inclusi nel messaggio.

ACS50010

403

Convalida dell'URI del gruppo di destinatari non riuscita. (È possibile che nel messaggio siano riportati altri dettagli.)

Assicurarsi che i destinatari del token in ingresso siano impostati su https://yournamespace.accesscontrol.windows.net.

ACS50011

400

Indirizzo ReplyTo mancante o non corrispondente all'area di autenticazione.

Per operare con WS-Federation, una relying party deve avere almeno un indirizzo ReplyTo configurato.
Tale indirizzo può essere configurato nel portale di gestione ACS usando il campo Return URL.
Se il messaggio in ingresso specifica un indirizzo ReplyTo, verificare che corrisponda a un indirizzo ReplyTo configurato o che sia un suffisso di un tale indirizzo (ad esempio, per l'indirizzo ReplyTo configurato http://example.com/path1/, http://example.com/path1/index.aspx sarebbe un elemento ReplyTo richiesto valido, ma non http://example.com/path2/index.aspx).

ACS50012

401

Autenticazione non riuscita. (È possibile che nel messaggio siano riportati altri dettagli.)

Quando un'applicazione multi-tenant tenta di acquisire un token per accedere all'API Graph per un tenant di Azure AD che ha autorizzato l'applicazione di recente, la richiesta del token potrebbe temporaneamente avere esito negativo con codice di errore ACS50012. Per risolvere il problema, attendere qualche minuto e ripetere l'operazione. In alternativa, chiedere all'amministratore di tenant che ha fornito il consenso di accedere all'applicazione dopo il consenso.

ACS50013

400

Il numero di segmenti nel valore dell'URI è superiore al numero massimo accettabile di segmenti di percorso.

Assicurarsi che il numero di segmenti nel valore dell'URI sia minore o uguale a 32.

ACS50014

400

Autoattestazioni non consentite per le identità di servizio e gestione.

Assicurarsi che il token di autenticazione dell'identità di servizio non contenga attestazioni o che contenga solo l'attestazione dell'identificatore del nome.

ACS50015

400

Errore durante il tentativo di ottenere i metadati del provider di identità.

È possibile che nel messaggio siano riportati altri dettagli. Assicurarsi che l'URL dei metadati o il file sia valido.

ACS50016

400

X509Certificate con soggetto '<Nome soggetto certificato>' e identificazione personale '<Identificazione personale certificato>' non corrisponde ad alcun certificato configurato.

Verificare che il certificato richiesto sia stato caricato in ACS.

ACS50017

401

Convalida del certificato con soggetto '<Nome soggetto certificato>' e autorità di certificazione '<Nome autorità di certificazione>' non riuscita.

Verificare che il certificato sia autofirmato o che sia concatenato a un'autorità di certificazione radice attendibile. Il certificato inoltre non deve essere stato revocato e deve essere entro il relativo periodo di validità. Per altre informazioni, vedere Come correggere l'errore ACS50017.

ACS50018

400

Area di autenticazione mancante. Nome della relying party non specificato.

Verificare che nella richiesta sia inclusa un'area di autenticazione.

ACS50019

401

Accesso annullato dall'utente.

ACS50020

401

Utente non autorizzato.

ACS50022

400

Il valore del parametro di callback '<Nome funzione>' non è un nome di funzione JavaScript valido.

Verificare che il parametro di callback specificato sia un nome di funzione JavaScript valido. I nomi di funzione JavaScript validi possono contenere soltanto lettere, numeri e i caratteri '$' e '_' e non possono iniziare con un numero. I caratteri Unicode non sono supportati nei nomi delle funzioni.

ACS50026

Un'entità di sicurezza con nome 'name' non è valida.

Questo errore indica che un tentativo di trovare un'entità in base al nome specificato non è riuscito perché l'entità non è nota a ACS. In base allo scenario, questa entità può essere un'identità del servizio, un'applicazione relying party o un provider di identità.

Verificare che l'entità esiste nello Spazio dei nomi di Access Control.

ACS50042

401

Valore salt obbligatorio per generare un identificatore pairwise mancante. Se l'applicazione è stata registrata di recente, attendere qualche minuto prima di riprovare.

Se si tenta di accedere a un'applicazione subito dopo averla aggiunta ad Azure AD, il tentativo di accesso può avere esito negativo finché le chiavi pairwise non sono sincronizzate. Attendere alcuni minuti e tentare nuovamente l'accesso. Per altre informazioni, vedere Linee guida sulla ripetizione dei tentativi per ACS.

 

Errore Codice di stato HTTP Messaggio Rimedio

ACS

60000

403

Errore del motore regole.

Dettagli inclusi nel messaggio.

ACS60001

Nessuna attestazione di output generata durante l'elaborazione delle regole.

I gruppi di regole associati alla relying party scelta non dispongono di regole applicabili alle attestazioni generate dal provider di identità. Configurare alcune regole in un gruppo di regole associato alla relying party o generare regole pass-through utilizzando l'editor dei gruppi di regole.

ACS60002

403

È stata raggiunta la quota per il numero di richieste di token. Impossibile richiedere altri token.

ACS60003

403

Impossibile modificare una proprietà di sola lettura.

Alcuni oggetti predefiniti di ACS non possono essere modificati o eliminati.

ACS60004

409

Conflitto di versione.

È possibile ricevere un errore di conflitto di versione quando si cerca di aggiornare il nome di una relying party, di un provider di identità, di un'identità di servizio o di un'autorità di certificazione in modo che corrisponda a quello di una relying party, di un provider di identità, di un'identità di servizio o di un'autorità di certificazione diversa. Per risolvere questo problema, scegliere un nome univoco differente.

ACS60005

400

Tentativo di aggiunta di un oggetto figlio con un oggetto padre non valido o mancante.

Per gli oggetti figlio, quali ad esempio gli indirizzi, verificare che l'ID oggetto o l'oggetto padre sia valido e del tipo corretto.

ACS60006

400

Tentativo di inserimento di una nuova copia di un oggetto già esistente nel database.

L'oggetto che si sta tentando di inserire viola un vincolo di univocità. Verificare che le proprietà dell'oggetto, ad esempio il nome e l'indirizzo, siano univoche se necessario.

ACS60007

400

Certificato X.509 non valido.

Verificare che i byte forniti siano un certificato X.509 valido.

ACS60008

Impossibile trovare un nome univoco per <tipo di oggetto>.

ACS60012

Il numero di attestazioni di input (#) supera il limite (80).

Se il token in ingresso contiene più di 80 attestazioni, ACS non sarà in grado di elaborarle e di emettere un token in uscita.

ACS60021

503

Servizio non disponibile.

La richiesta di token viene rifiutata perché i server di dati ACS sono occupati a rispondere alle richieste di token di tutti gli spazi dei nomi. Attendere alcuni secondi e ripetere la richiesta aumentando gli intervalli di tempo. Per altre informazioni, vedere Linee guida sulla ripetizione dei tentativi per ACS.

 

Errore Codice di stato HTTP Messaggio Azione da intraprendere per correggere l'errore

ACS70000

401

Autorizzazione di accesso non valida, scaduta o revocata.

Dettagli inclusi nel messaggio.

ACS70001

401

Client non autorizzato.

ACS70002

401

Client non valido.

ACS70003

401

L'autorizzazione di accesso inclusa non è supportata dal server di autorizzazione.

 

Errore Codice di errore HTTP Messaggio Azione da intraprendere per correggere l'errore

ACS80001

404

Questo ruolo è configurato per l'uso di un tipo di autorità di certificazione non supportato dal portale di gestione. Usare il servizio di gestione per visualizzare e modificare il ruolo.

Questo errore si verifica quando il ruolo è configurato per l'uso di un'autorità di certificazione diversa da un provider di identità o dall'autorità di certificazione "LOCAL AUTHORITY" di Access Control Service. Per istruzioni dettagliate sull'uso del servizio di gestione ACS, vedere Servizio di gestione ACS.

 

Errore Codice di errore HTTP Messaggio Rimedio

ACS90002

404

Il nome dello spazio dei nomi del servizio nell'URL non è valido.

Verificare che lo Spazio dei nomi di Access Control richiesto esista.

ACS90004

400

Formato della richiesta non corretto.

ACS90005

502

Errore server esterno. (È possibile che nel messaggio siano riportati altri dettagli.)

Si è verificato un errore durante la comunicazione con un server esterno, ad esempio un provider di identità.

ACS90006

504

Timeout server esterno.

Si è verificato un timeout durante la comunicazione con un server esterno, ad esempio un provider di identità.

ACS90007

405

Metodo della richiesta non consentito.

Verificare che il metodo HTTP (ad esempio, GET e POST) usato sia supportato dall'endpoint.

ACS90008

403

Tenant disabilitato.

Assicurarsi che lo Spazio dei nomi di Access Control sia attivo.

ACS90009

404

Nessun <oggetto> trovato per l'ID specificato.

Dettagli inclusi nel messaggio.

ACS90010

400

Non supportato. (È possibile che nel messaggio siano riportati altri dettagli.)

Dettagli inclusi nel messaggio.

ACS90011

400

Richiesta non valida. (È possibile che nel messaggio siano riportati altri dettagli.)

Dettagli inclusi nel messaggio.

ACS90012

408

Timeout della richiesta al server.

Dettagli inclusi nel messaggio.

ACS90013

400

Input utente non valido. (È possibile che nel messaggio siano riportati altri dettagli.)

Dettagli inclusi nel messaggio.

ACS90014

400

Campo obbligatorio '<Campo>' mancante.

Assicurarsi che la richiesta ad ACS contenga tutti i parametri richiesti dal protocollo in uso.

ACS90015

403

Non autorizzato: restrizione delle chiavi di servizio per il tenant.

ACS non visualizzerà le chiavi appartenenti agli spazi dei nomi di Service Bus e Cache. Per visualizzare tali chiavi, usare il portale di Service Bus o Cache.

ACS90016

400

'<Dimensione chiave>' bit non è una dimensione di chiave valida. La dimensione della chiave deve essere maggiore di 0 e un multiplo di 8.

ACS90046

503

Servizio non disponibile.

La richiesta di token viene rifiutata perché ACS è occupato a rispondere alle richieste di token di tutti gli spazi dei nomi. Attendere alcuni secondi e ripetere la richiesta aumentando gli intervalli di tempo. Per altre informazioni, vedere Linee guida sulla ripetizione dei tentativi per ACS.

ACS90055

429

Numero eccessivo di richieste.

La richiesta di token viene rifiutata perché questo spazio dei nomi ha superato il numero massimo di 30 richieste di token al secondo per un periodo prolungato. Attendere alcuni secondi e ripetere la richiesta aumentando gli intervalli di tempo. Se l'errore si verifica nuovamente, valutare la possibilità di ridistribuire il carico di lavoro su più spazi dei nomi. Per altre informazioni, vedere Limitazioni del servizio ACS.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2015 Microsoft