Esta documentação foi arquivada e não está sendo atualizada.

Códigos de erro do ACS

Publicado: abril de 2011

Atualizado: junho de 2015

Aplica-se a: Azure

Este tópico inclui as mensagens de erro mais comuns que podem ser encontradas ao usar o Access Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS) e as ações requeridas para concertar o erro, quando for aplicável. Para obter mais informações sobre como fornecer tratamento personalizado de erros baseado no código de erros, consulte Como: Usar uma URL de erro para tratamento de erros personalizado.

ImportantImportante
Namespace ACS podem migrar suas configurações do provedor de identidade do Google de OpenID 2.0 para OpenID Connect. A migração deve ser concluída antes de 1º de junho de 2015. Para obter orientações detalhadas, consulte Migrando os namespaces ACS para o Google OpenID Connect.

ImportantImportante
Não use os códigos de erro do ACS ou descrições em lógicas de aplicativo. Ao gravar o código de tratamento de erros, use os valores do status HTTP e os códigos de erro. Os códigos de erro do ACS e as descrições de erro podem ser alteradas em qualquer momento e sem aviso. Para obter mais informações, consulte Diretrizes para repetição de ACS e Limitações do serviço ACS.

 

Erro do ACS Código de status HTTP Mensagem Medida

ACS10000

400

Ocorreu um erro ao processar a mensagem SOAP

Os detalhes estão na mensagem.

ACS10001

400

Ocorreu um erro ao processar o cabeçalho SOAP

Os detalhes estão na mensagem.

ACS10002

400

Ocorreu um erro ao processar o corpo SOAP

Os detalhes estão na mensagem.

ACS10003

400

Ocorreu um erro ao processar o cabeçalho de segurança

Os detalhes estão na mensagem.

Os erros nesta seção estão relacionados com o protocolo do WS-Federation e aos metadados do WS-Federation.

Para gerar um arquivo WS-FederationMetadata.xml válido, use o FedUtil ou a ferramenta de Identidade e acesso no Visual Studio 2012. O Portal de gerenciamento do ACS também gera um documento de metadados do WS-Federation para cada Namespace do Access Control. Para vê-lo, no Portal de gerenciamento do ACS, clique em Integração do aplicativo.

Para personalizar os metadados do WS-Federation, use as classes no namespace Microsoft.IdentityModel.Protocols.WSFederation.Metadata.

Para a especificação do esquema XML de metadados do WS-Federation de padrão OASIS, consulte a Seção 3 do padrão Linguagem de Web Services Federation (WS-Federation) Versão 1.2 em http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.

Para obter mais informações sobre erros particulares e sua resolução, consulte as entradas nesta tabela.

 

Error Código de status HTTP Mensagem Medida

ACS20000

400

Ocorreu um erro ao processar uma solicitação de logon do WS-Federation

Os detalhes estão na mensagem.

ACS20001

400

Ocorreu um erro ao processar uma resposta de logon de WS-Federation

Os detalhes estão na mensagem.

ACS20002

400

Ocorreu um erro ao tentar gerar metadados de federação

Podem ser encontrados mais detalhes na mensagem. Verificar que exista um certificado de assinatura de token principal no seu Namespace do Access Control.

ACS20003

400

Ocorreu um erro ao tentar importar metadados de federação

Podem ser encontrados mais detalhes na mensagem. Certificar-se que a URL de metadados ou o arquivo de metadados seja válido.

ACS20004

Não é possível recuperar a entidade dos metadados

Certifique-se de que o arquivo de metadados contenha um ID de identidade.

ACS20005

Não há suporte para várias entidades de metadados

Certifique-se de que os metadados de federação contenham exatamente uma entidade.

ACS20006

Não foi possível localizar descritores de serviço de token de segurança

Certifique-se de que os metadados de federação contenham exatamente um descritor de serviço de token de segurança.

ACS20007

Não há suporte para vários descritores de serviço de token de segurança

Certifique-se de que os metadados de federação contenham exatamente um descritor de serviço de token de segurança.

ACS20008

400

Apenas os provedores de identidade que tem suporte de Web Services Federation podem ser importados.
ou
Apenas terceiras partes confiáveis que tem suporte de Web Services Federation podem ser importados.

Certifique-se de que os metadados de federação contenham um RoleDescritptor do tipo "fed:SecurityTokenServiceType".

ACS20009

400

Ocorreu um erro na leitura do documento de metadados do WS-Federation

O ACS não conseguiu analisar o documento de metadados fornecido, portanto, pode ser inválido. Você pode validar seu documento executando-o através do Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata().

ACS20010

Não foi possível localizar descritores de serviço do aplicativo

Certifique-se de que o arquivo de metadados contenha um descritor de serviço do aplicativo.

ACS20011

Não há suporte para vários descritores de serviço do aplicativo

Certifique-se de que o arquivo de metadados contenha apenas um descritor de serviço do aplicativo.

ACS20012

400

A solicitação de entrada não é uma solicitação de WS-Federation válida

Certifique-se de que a solicitação seja uma solicitação de logon ou uma resposta de logon do WS-Federation e que contenha todos os parâmetros necessários.

ACS20014

400

O documento de metadados de WS-Federation não é um XML bem formado

Este erro ocorre quando o XML no documento de metadados de WS-Federation não é sintaticamente correto, como quando o documento tem colchetes ou marcas extras ou ausentes. Ocorre mais frequentemente quando você tenta criar ou editar um documento WS-FederationMetadata.xml manualmente. Este erro não está relacionado à conformidade com o esquema XML de metadados.

Para resolver este erro, use uma ferramenta validadora XML, como as ferramentas no Visual Studio ou XML Notepad 2007.

 

Error Código de status HTTP Mensagem Medida

ACS30000

400

Houve um erro processando uma resposta de logon do OpenID.

Os detalhes estão na mensagem.

ACS30001

400

Não foi possível verificar a assinatura de resposta do OpenId.

A assinatura do OpenID foi inválida ou rejeitada pelo provedor de identidade. Certifique-se de que a mensagem não foi violada.

 

Error Código de status HTTP Mensagem Medida

ACS40000

400

Ocorreu um erro ao processar uma resposta de logon do Facebook. Isto pode ser provocado por uma configuração inválida do aplicativo do Facebook.

Verificar que o ID e o Segredo do aplicativo configurado no ACS corresponda com os mesmos valores no portal do desenvolvedor de Facebook.

ACS40001

400

Ocorreu um erro ao tentar conseguir o token de acesso do Facebook.

Certifique-se de que o ID e o segredo do aplicativo que foram configurados via o ACS sejam válidos.

 

Error Código de status HTTP Mensagem Medida

ACS50000

Houve um erro ao emitir um token.

Os detalhes estão na mensagem.

ACS50001

400

Realm da terceira parte confiável solicitada '<Realm URL>' é desconhecido.

Houve uma incompatibilidade entre o AppliesTo fornecido na solicitação de token e os realms que você configurou no ACS. Verifique que: 1. Sua terceira parte confiável tenha seu realm configurado corretamente. Você pode fazer isto através do Portal de gerenciamento ou usando o Serviço de gerenciamento, analisando suas entradas RelyingParty.RelyingPartyAddresses.2. Sua terceira parte confiável foi associada com o provedor de identidade. Você também pode fazer isto do Portal de gerenciamento ou usando o Serviço de gerenciamento, analisando suas entradas RelyingPartyIdentityProviders.

ACS50002

400

Configuração de serviço inválida. (Os detalhes estão na mensagem).

Os detalhes estão na mensagem.

ACS50003

400

Nenhuma chave de autenticação simétrica principal configurada. Uma chave de autenticação simétrica é obrigatória para o SWT.

Se a terceira parte confiável usa o SWT como seu tipo de token, verificar que uma chave simétrica seja configurada para a terceira parte confiável ou o Namespace do Access Control, e que a chave seja configurada como principal e dentro do período de validade.

ACS50004

400

Nenhum certificado de autenticação X.509 principal está configurado. Um certificado de autenticação é obrigatório para o SAML.

Se a terceira parte escolhida usa o SAML como seu tipo de token, certifique-se de que um certificado X.509 seja configurado para a terceira parte confiável ou o Namespace do Access Control. O certificado deve ser configurado como primário e deve estar dentro do período de validade.

ACS50005

400

A criptografia do token é obrigatória, mas nenhum certificado de criptografia está configurado para a parte confiável.

Desabilite a criptografia do token para a parte confiável escolhida ou carregue um certificado X.509 para ser usado com a criptografia do token.

ACS50006

403

Erro ao verificar a assinatura. (Pode haver mais detalhes na mensagem.)

Certifique-se de que as chaves de verificação que foram configuradas pelo ACS sejam válidas.

ACS50007

400

Assinatura não localizada.

Certifique-se de que o token de entrada seja assinado e válido.

ACS50008

401

O token SAML é inválido. (Pode haver mais detalhes na mensagem.)

Para obter mais informações, consulte Como corrigir o erro ACS50008.

ACS50009

401

O token SWT é inválido. (Pode haver mais detalhes na mensagem.)

Os detalhes estão na mensagem.

ACS50010

403

A validação URI de audiência falhou. (Pode haver mais detalhes na mensagem.)

Verifique que a audiência do token de entrada esteja configurada para https://yournamespace.accesscontrol.windows.net

ACS50011

400

O endereço ReplyTo está ausente ou não corresponde com o realm.

Para trabalhar com o Web Services Federation, uma terceira parte confiável deve ter pelo menos um endereço ReplyTo configurado.
Isto é configurável no Portal de gerenciamento do ACS usando o campo URL de retorno.
Se a mensagem de entrada especifica um endereço ReplyTo, certifique-se de que corresponda a um ReplyTo configurado, ou seja um sufixo de algum (por exemplo, para o ReplyTo configurado http://example.com/path1/, o http://example.com/path1/index.aspx seria um ReplyTo solicitado válido, mas o http://example.com/path2/index.aspx não).

ACS50012

401

A autenticação falhou. (Pode haver mais detalhes na mensagem.)

Quando um aplicativo multilocatário tenta adquirir um token para acessar a Graph API de um locatário do AD do Azure que consentiu recentemente no aplicativo, a solicitação de token pode falhar temporariamente com o erro ACS50012. Para resolver o problema, aguarde alguns minutos e tente novamente. Ou obtenha o administrador de locatário que forneceu o logon de consentimento ao aplicativo após o consentimento.

ACS50013

400

O número de segmentos no valor URI é maior que o número máximo aceitável de segmentos do caminho.

Verifique que o número de segmentos no valor URI seja igual ou menor que 32.

ACS50014

400

Não são permitidas as declarações auto-declaradas para identidades de serviço e gerenciamento.

Certifique-se de que a autenticação de identidade do serviço não contenha declarações ou contenha apenas a declaração do identificador do nome.

ACS50015

400

Ocorreu um erro ao tentar conseguir os metadados do provedor de identidade.

Podem ser encontrados mais detalhes na mensagem. Certificar-se que a URL de metadados ou o arquivo sejam válidos.

ACS50016

400

O Certificado X.509 com assunto "<Nome do assunto do certificado>" e impressão digital "<Impressão digital do certificado>" não correspondem a nenhum dos certificados configurados.

Certifique-se de que o certificado solicitado foi carregado no ACS.

ACS50017

401

O certificado com assunto '<Nome do assunto do certificado>' e emissor '<Nome do emissor>' falharam na validação.

Certificar-se de que o certificado esteja autoassinado ou que ele ligue a uma autoridade de certificação raiz confiável. O certificado também não deve ser revocado e deve estar dentro do período de validade. Para obter mais informações, consulte Como corrigir o erro ACS50017.

ACS50018

400

O realm está ausente. O nome da terceira parte confiável não foi especificado.

Certificar-se que a solicitação contenha um realm.

ACS50019

401

O logon foi cancelado pelo usuário.

ACS50020

401

O usuário não está autorizado.

ACS50022

400

O valor de parâmetro de retorno de chamada '<Nome da função>' não é um nome de função JavaScript válido.

Certifique-se de que o parâmetro de retorno de chamada seja um nome válido de uma função JavaScript. Os nomes das funções JavaScript contém apenas letras, dígitos, e os caracteres '$' e "_" e não pode começar com um dígito. Não ha suporte para caracteres Unicode nos nomes das funções.

ACS50026

A entidade com o nome 'nome' não é uma entidade válida.

Este erro indica que uma tentativa de localizar uma entidade pelo nome especificado falhou, porque a entidade não é conhecida para o ACS. Esta entidade poderia ser uma identidade de serviço, um aplicativo da terceira parte confiável, ou um provedor de identidade, dependendo do cenário.

Verifique que esta entidade exista em seu Namespace do Access Control.

ACS50042

401

O salt requerido para gerar um identificador de paridade está ausente. Se este aplicativo foi registrado recentemente, espere alguns minutos antes de tentar novamente.

Se você tenta fazer logon em um aplicativo imediatamente após adicioná-lo no AD do Azure, a tentativa de logon pode falhar até que as chaves de paridade sejam sincronizadas. Espere alguns minutos e tente fazer logon novamente. Para obter mais informações, consulte Diretrizes para repetição de ACS.

 

Error Código de status HTTP Mensagem Medida

ACS

60000

403

Erro de mecanismo de políticas

Os detalhes estão na mensagem.

ACS60001

Nenhuma declaração de saída gerada durante o processamento de regras.

O(s) grupo(s) de regras associados com a terceira parte confiável escolhida não tem regras que sejam aplicáveis às declarações geradas por seu provedor de identidade. Configure algumas regras em um grupo de regras associado com sua terceira parte confiável ou gere as regras de passagem usando o editor de grupo de regras.

ACS60002

403

A cota para o número de solicitações de token foi atingido e não podem haver mais solicitações.

ACS60003

403

Não se pode modificar uma propriedade de apenas leitura.

Alguns objetos internos do ACS não podem ser modificados ou excluídos.

ACS60004

409

Conflito de versão

Um erro de conflito de versão pode ser recebido ao tentar atualizar o nome de uma terceira parte confiável, provedor de identidade, serviço de identidade, ou emissor com o mesmo nome que outra terceira parte confiável, provedor de identidade, identidade de serviço, ou emissor. Para resolver este problema, escolha um nome único diferente.

ACS60005

400

Tentou-se adicionar um objeto filho com um pai inválido ou ausente.

Para objetos filho, como endereços, certifique-se de que o objeto pai ou ID do objeto seja válido e do tipo correto.

ACS60006

400

Tentou-se insertar uma nova cópia de um objeto que já existe no banco de dados.

O objeto que você está tentando insertar viola uma restrição de exclusividade. Verifique que as propriedades do objeto, como o nome e o endereço, sejam únicos se for necessário.

ACS60007

400

Certificado X.509 inválido

Certifique-se de que os bytes fornecidos sejam um certificado X.509 válido.

ACS60008

Não foi possível localizar um nome único para este <tipo de objeto>.

ACS60012

O número de declarações de entrada (#) excede o limite (80).

Seu token de entrada deve ter 80 declarações ou menos para que o ACS os processe e então emita com êxito um token de saída.

ACS60021

503

Serviço não disponível

O token solicitado é rejeitado porque os servidores de dados do ACS estão ocupados respondendo as solicitações de token de todos os namespaces. Espere alguns segundos e tente novamente as solicitações aumentando os intervalos de tempo. Para obter mais informações, consulte Diretrizes para repetição de ACS.

 

Error Código de status HTTP Mensagem É requerida uma ação para concertar este erro

ACS70000

401

O acesso concedido fornecido é inválido, expirado ou revocado.

Os detalhes estão na mensagem.

ACS70001

401

O cliente não está autorizado.

ACS70002

401

Cliente inválido.

ACS70003

401

O acesso concedido incluído não tem suporte pelo servidor de autorização.

 

Error Código de erro HTTP Mensagem É requerida uma ação para concertar este erro

ACS80001

404

Esta regra foi configurada para usar um tipo de emissor de declaração que não tem suporte no portal de gerenciamento. Use o serviço de gerenciamento para exibir e editar esta regra.

Este erro ocorre se uma regra é configurada para usar um Emissor que não é um provedor de identidade ou o emissor da "AUTORIDADE LOCAL" do Serviço de Controle de Acesso. Para obter mais detalhes sobre como usar o Serviço de Gerenciamento do ACS, consulte Serviço de Gerenciamento ACS.

 

Error Código de erro HTTP Mensagem Medida

ACS90002

404

O nome do namespace do serviço na URL é inválido.

Verificar que o Namespace do Access Control solicitado exista.

ACS90004

400

A solicitação não está formatada adequadamente.

ACS90005

502

Erro do servidor externo. (Podem ser encontrados mais detalhes na mensagem).

Ocorreu um erro durante a comunicação com o servidor externo, como um provedor de identidade.

ACS90006

504

Tempo limite do servidor externo.

A comunicação atingiu o tempo limite ao comunicar-se com o servidor externo, como um provedor de identidade.

ACS90007

405

Método de solicitação não permitido.

Certificar-se que o método HTTP usado (como o GET e POST) tenha suporte do ponto de extremidade.

ACS90008

403

O locatário está desabilitado.

Certifique-se de que seu Namespace do Access Control esteja ativo.

ACS90009

404

Não se localizou nenhum <objeto> para a ID fornecida.

Os detalhes estão na mensagem.

ACS90010

400

Sem suporte. (Podem ser encontrados mais detalhes na mensagem).

Os detalhes estão na mensagem.

ACS90011

400

Solicitação inválida. (Podem ser encontrados mais detalhes na mensagem).

Os detalhes estão na mensagem.

ACS90012

408

A solicitação ao servidor atingiu seu tempo limite.

Os detalhes estão na mensagem.

ACS90013

400

Entrada de usuário inválida. (Podem ser encontrados mais detalhes na mensagem).

Os detalhes estão na mensagem.

ACS90014

400

O campo solicitado '<Campo>' está ausente.

Certifique-se de que sua solicitação ao ACS contenha todos os parâmetros que sejam requeridos pelo protocolo que você estiver usando.

ACS90015

403

Não autorizado: As chaves de serviço são restritas para este Locatário.

O ACS não exibirá as chaves pertencentes aos nomes do ServiceBus nem do Cache. Para ver estas chaves, use o portal do ServiceBus ou do Cache.

ACS90016

400

'os bits do <Tamanho da chave>' é um tamanho inválido. O tamanho da chave dever ser maior que 0 e um múltiplo de 8.

ACS90046

503

Serviço não disponível

O token solicitado é rejeitado porque o ACS está ocupado respondendo as solicitações de token de todos os namespaces. Espere alguns segundos e tente novamente as solicitações aumentando os intervalos de tempo. Para obter mais informações, consulte Diretrizes para repetição de ACS.

ACS90055

429

Há demais solicitações

A solicitação do token é rejeitada, porque este namespace excedeu a taxa máxima de solicitações de token de 30 tokens por segundo por um tempo prolongado. Espere alguns segundos e tente novamente as solicitações aumentando os intervalos de tempo. Se o erro persiste, considere distribuir novamente a carga de trabalho em vários namespaces. Para obter mais informações, consulte Limitações do serviço ACS.

Mostrar: