Эта документация перемещена в архив и не поддерживается.

Коды ошибок ACS

Опубликовано: Апрель 2011 г.

Обновлено: Июнь 2015 г.

Назначение: Azure

Эта статья содержит самые распространенные сообщения об ошибках, которые могут отображаться при использовании Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS), а также действия, необходимые для устранения ошибки (если это возможно). Сведения о настраиваемой обработке ошибок на основе кода ошибки см. в статье Инструкции Использование URL-адреса ошибки для обработки пользовательских ошибок.

ImportantВажно!
Пространства имен ACS могут перенести конфигурации поставщика удостоверений Google из OpenID 2.0 в OpenID Connect. Миграцию нужно завершить до 1 июня 2015 г. Подробное руководство см. в статье Перенос пространств имен ACS в Google OpenID Connect.

ImportantВажно!
Не используйте коды или описание ошибок ACS в логике приложений. При написании кода обработки ошибок используйте значения состояния HTTP и кода ошибки. Коды и описание ошибок ACS могут быть изменены в любой момент без предупреждения. Дополнительные сведения см. в разделах Рекомендации по повторам ACS и Ограничения службы ACS.

 

Ошибка ACS Код состояния HTTP Сообщение Средство

ACS10000

400

При обработке сообщения SOAP возникла ошибка

Дополнительные сведения см. в сообщении.

ACS10001

400

При обработке заголовка SOAP возникла ошибка

Дополнительные сведения см. в сообщении.

ACS10002

400

При обработке текста запроса SOAP возникла ошибка

Дополнительные сведения см. в сообщении.

ACS10003

400

При обработке заголовка безопасности возникла ошибка

Дополнительные сведения см. в сообщении.

Ошибки в этом разделе связаны с протоколом и метаданными WS-Federation.

Для создания допустимого файла WS-FederationMetadata.xml используйте FedUtil или средство Удостоверение и доступ в Visual Studio 2012. Портал управления Служба управления доступом также создает документ метаданных WS-Federation для каждого Пространство имен Access Control. Чтобы просмотреть его, на портале управления Служба управления доступом щелкните Интеграция приложений.

Чтобы настроить метаданные WS-Federation, используйте классы в пространстве имен Microsoft.IdentityModel.Protocols.WSFederation.Metadata.

Спецификацию XML-схемы метаданных WS-Federation стандарта OASIS см. в разделе 3 стандарта Язык Web Services Federation (WS-Federation), версия 1.2 по адресу http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.

Дополнительные сведения о конкретных ошибках и способах их устранения см. в этой таблице.

 

Ошибка Код состояния HTTP Сообщение Средство

ACS20000

400

При обработке запроса входа WS-Federation возникла ошибка

Дополнительные сведения см. в сообщении.

ACS20001

400

При обработке ответа на запрос входа WS-Federation возникла ошибка

Дополнительные сведения см. в сообщении.

ACS20002

400

При попытке создать метаданные федерации возникла ошибка

Дополнительные сведения см. в сообщении. Убедитесь, что в Пространство имен Access Control есть сертификат подписи основного токена.

ACS20003

400

При попытке импортировать метаданные федерации возникла ошибка

Дополнительные сведения см. в сообщении. Убедитесь, что URL-адрес или файл метаданных допустимы.

ACS20004

Не удается получить объект из метаданных

Убедитесь, что файл метаданных содержит идентификатор объекта.

ACS20005

Множество объектов метаданных не поддерживается

Убедитесь, что метаданные федерации содержат один объект.

ACS20006

Дескрипторы службы токенов не найдены

Убедитесь, что метаданные федерации содержат один дескриптор службы токенов безопасности.

ACS20007

Множество дескрипторов службы токенов безопасности не поддерживаются

Убедитесь, что метаданные федерации содержат один дескриптор службы токенов безопасности.

ACS20008

400

Импортировать можно только поставщиков, поддерживающих WS-Federation.
или
Импортировать можно только проверяющие стороны, поддерживающие WS-Federation.

Убедитесь, что метаданные федерации содержат RoleDescriptor типа "fed:SecurityTokenServiceType".

ACS20009

400

При чтении документа метаданных WS-Federation возникла ошибка

Служба управления доступом не удалось проанализировать указанный документ метаданных, возможно, он недопустим. Вы можете проверить документ с помощью Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata().

ACS20010

Дескрипторы службы приложения не найдены

Убедитесь, что файл метаданных содержит дескриптор службы приложения.

ACS20011

Множество дескрипторов службы приложения не поддерживаются

Убедитесь, что файл метаданных содержит один дескриптор службы приложения.

ACS20012

400

Входящий запрос не является допустимым запросом WS-Federation

Убедитесь, что запрос является допустимым запросом входа или ответом на запрос входа WS-Federation и что он содержит все обязательные параметры.

ACS20014

400

Документ метаданных WS-Federation не является XML-файлом в допустимом формате

Эта ошибка происходит, если XML в документе метаданных WS-Federation содержит синтаксические ошибки, например лишние или недостающие скобки и теги. Эта ошибка чаще всего возникает при попытке создать или изменить документ WS-FederationMetadata.xml вручную. Она не связана с соответствием XML-схеме метаданных.

Чтобы устранить эту ошибку, используйте средство проверки XML, например средства Visual Studio или XML Notepad 2007.

 

Ошибка Код состояния HTTP Сообщение Средство

ACS30000

400

При обработке ответа на запрос входа OpenID возникла ошибка.

Дополнительные сведения см. в сообщении.

ACS30001

400

Не удается проверить подпись ответа OpenID.

Подпись OpenID недействительна или была отклонена поставщиком удостоверений. Убедитесь, что сообщение не было подделано.

 

Ошибка Код состояния HTTP Сообщение Средство

ACS40000

400

При обработке ответа на запрос входа Facebook возникла ошибка Возможно, ошибка вызвана недопустимой конфигурацией приложения Facebook.

Убедитесь, что код и секрет приложения в Служба управления доступом соответствуют значениям на портале разработчика Facebook.

ACS40001

400

При попытке получить токен доступа от Facebook возникла ошибка.

Убедитесь, что в ACS настроены допустимые код и секрет приложения.

 

Ошибка Код состояния HTTP Сообщение Средство

ACS50000

При выдаче токена произошла ошибка.

Дополнительные сведения см. в сообщении.

ACS50001

400

Запрошена неизвестная область проверяющей стороны "<URL-адрес области>".

Значение AppliesTo в запросе токена и области, настроенные в Служба управления доступом, не совпадают. Выполните следующие проверки: 1. Убедитесь, что область проверяющей стороны настроена правильно. Это можно сделать с помощью портала управления или службы управления, изучив записи RelyingParty.RelyingPartyAddresses. 2. Убедитесь, что проверяющая сторона связана с поставщиком удостоверений. Это также можно сделать с помощью портала управления или службы управления, изучив записи RelyingPartyIdentityProviders.

ACS50002

400

Недопустимая конфигурация службы. (Дополнительные сведения см. в сообщении.)

Дополнительные сведения см. в сообщении.

ACS50003

400

Не настроен основной симметричный ключ подписывания. Он необходим для SWT.

Если выбранная проверяющая сторона использует SWT как тип токена, убедитесь, что для проверяющей стороны или Пространство имен Access Control настроен симметричный ключ, который задан как первичный и срок действия которого не истек.

ACS50004

400

Не настроен основной сертификат подписи X.509. Он необходим для SAML.

Если выбранная проверяющая сторона использует SAML как тип токена, убедитесь, что для проверяющей стороны или Пространство имен Access Control настроен допустимый сертификат X.509, который задан как первичный и срок действия которого не истек.

ACS50005

400

Требуется использовать шифрование токенов, но не настроен сертификат шифрования для проверяющей стороны.

Отключите шифрование токенов для выбранной проверяющей стороны или отправьте сертификат X.509 для шифрования токенов.

ACS50006

403

Ошибка проверки подписи. (Подробности указаны в сообщении.)

Убедитесь, что в ACS настроены допустимые ключи проверки.

ACS50007

400

Подпись не найдена.

Убедитесь, что входящий токен подписан и действителен.

ACS50008

401

Недопустимый токен SAML. (Подробности указаны в сообщении.)

Дополнительные сведения см. в Устранение ошибки ACS50008.

ACS50009

401

Недопустимый токен SWT. (Подробности указаны в сообщении.)

Дополнительные сведения см. в сообщении.

ACS50010

403

Ошибка проверки URI аудитории. (Подробности указаны в сообщении.)

Убедитесь, что для входящего токена задана аудитория https://yournamespace.accesscontrol.windows.net

ACS50011

400

Адрес для ответа отсутствует или не соответствуют области.

Для работы с WS-Federation для проверяющей стороны необходимо настроить по крайней мере один адрес для ответа.
Это можно сделать на портале управления Служба управления доступом в поле "URL возврата".
Если во входящем сообщении указан адрес для ответа, убедитесь, что он соответствует настроенному адресу или является его суффиксом (например, для настроенного адреса http://example.com/path1/ адрес http://example.com/path1/index.aspx будет допустимым адресом для ответа, а http://example.com/path2/index.aspx — нет).

ACS50012

401

Ошибка проверки подлинности. (Подробности указаны в сообщении.)

Если мультитенантное приложение пытается получить токен для доступа к API Graph для клиента Azure AD, который недавно отправил согласие для приложения, запрос токена может завершиться с временной ошибкой ACS50012. Чтобы устранить эту проблему, подождите несколько минут и повторите попытку. Или попросите администратора клиента, предоставившего согласие, войти в приложение после согласия.

ACS50013

400

Число сегментов в значении URI превышает максимально допустимое количество сегментов пути.

Убедитесь, что число сегментов в значении URI не превышает 32.

ACS50014

400

Для удостоверений службы и управления не могут использоваться самозаверяемые утверждения.

Убедитесь, что токен проверки подлинности удостоверения службы не содержит утверждений или содержит только утверждение идентификатора имени.

ACS50015

400

При попытке получить метаданные поставщика удостоверений возникла ошибка.

Дополнительные сведения см. в сообщении. Убедитесь, что URL-адрес или файл допустимы.

ACS50016

400

Сертификат X509 с субъектом "<имя субъекта сертификата>" и отпечатком "<отпечаток сертификата>" не соответствует настроенным сертификатам.

Убедитесь, что запрошенный сертификат отправлен в Служба управления доступом.

ACS50017

401

Ошибка проверки сертификата с субъектом "<Имя субъекта сертификата>" и издателем "<Имя издателя>".

Убедитесь, что сертификат является самозаверяющим или связан с доверенным корневым центром сертификации. Сертификат не должен быть отозван и должен быть действующим. Дополнительные сведения см. в Устранение ошибки ACS50017.

ACS50018

400

Отсутствует область. Имя проверяющей стороны не указано.

Убедитесь, что запрос содержит область.

ACS50019

401

Вход в систему отменен пользователем.

ACS50020

401

Пользователь не авторизован.

ACS50022

400

Значение параметра обратного вызова "<имя функции>" не является допустимым именем функции JavaScript.

Убедитесь, что указанный параметр обратного вызова — это имя допустимой функции JavaScript. Допустимые имена функций JavaScript содержит только буквы, цифры и символы "$" и "_", при этом они не могут начинаться с цифры. Символы Юникода в именах функций не поддерживаются.

ACS50026

Недопустимый субъект с именем "имя".

Эта ошибка возникает при попытке найти по имени объект, неизвестный в Служба управления доступом. Это может быть удостоверение службы, приложение проверяющей стороны или поставщик удостоверений в зависимости от сценария.

Убедитесь, что этот объект существует в Пространство имен Access Control.

ACS50042

401

Случайные данные, необходимые для создания парного идентификатора, отсутствуют. Если приложение было зарегистрировано недавно, подождите несколько минут и повторите попытку.

Если попытаться войти в приложение сразу после его добавления в Azure AD, операция может завершиться ошибкой, если парные ключи не синхронизированы. Подождите несколько минут и попробуйте войти еще раз. Дополнительные сведения см. в Рекомендации по повторам ACS.

 

Ошибка Код состояния HTTP Сообщение Средство

Служба управления доступом

60000

403

Ошибка модуля политик

Дополнительные сведения см. в сообщении.

ACS60001

Выходные утверждения не были созданы во время обработки правил.

Группы правил, связанные с выбранной проверяющей стороной, не содержат правил, применимых к утверждениям, которые созданы поставщиком удостоверений. Настройте правила в группе, связанной с проверяющей стороной, или создайте сквозные правила, используя редактор групп правил.

ACS60002

403

Достигнута квота для числа запросов, дополнительные запросы недопустимы.

ACS60003

403

Не удается изменить свойство только для чтения.

Определенные встроенные объекты Служба управления доступом не могут быть изменены или удалены.

ACS60004

409

Конфликт версий

Конфликт версий может возникнуть при попытке изменить имя проверяющей стороны, поставщика удостоверений, удостоверения службы или издателя на имя, совпадающей с именем другой проверяющей стороны, поставщика удостоверений, удостоверения службы или издателя. Чтобы устранить ошибку, выберите другое уникальное имя.

ACS60005

400

Попытка добавить дочерний объект с недопустимым или отсутствующие родительским объектом.

Для дочерних объектов, таких как адреса, необходимо убедиться, что родительский объект или идентификатор объекта допустим и относится в нужному типу.

ACS60006

400

Попытка вставить новую копию объекта, который уже существует в базе данных.

Объект, который вы пытаетесь вставить, нарушает ограничение уникальности. При необходимости убедитесь, что свойства объекта, такие как имя и адрес, уникальны.

ACS60007

400

Недопустимый сертификат X.509

Убедитесь, что указанные данные представляют допустимый сертификат X.509.

ACS60008

Не удается найти уникальное имя для этого <типа объекта>.

ACS60012

Число входных утверждений (#) превышает ограничение (80).

Входящий токен должен содержать не больше 80 утверждений, чтобы служба ACS могла их обработать и успешно выдать исходящий токен.

ACS60021

503

Служба недоступна

Запрос токена отклонен, так как серверы данных ACS отвечают на запросы токена из всех пространств имен. Подождите несколько секунд и повторите запросы через увеличивающиеся временные интервалы. Дополнительные сведения см. в Рекомендации по повторам ACS.

 

Ошибка Код состояния HTTP Сообщение Действие, необходимое для устранения ошибки

ACS70000

401

Предоставленные права доступа недействительны, истекли или отозваны.

Дополнительные сведения см. в сообщении.

ACS70001

401

Клиент не авторизован.

ACS70002

401

Недопустимый клиент.

ACS70003

401

Права доступа указаны, но не поддерживаются сервером авторизации.

 

Ошибка Код ошибки HTTP Сообщение Действие, необходимое для устранения ошибки

ACS80001

404

Это правило настроено для использования типа издателя утверждения, который не поддерживается порталом управления. Изучите и измените это правило в службе управления.

Эта ошибка возникает, если правило настроено для использования издателя, который не является поставщиком удостоверений или издателем "LOCAL AUTHORITY" службы Access Control Service. Сведения об использовании службы управления ACS см. в статье Служба управления ACS.

 

Ошибка Код ошибки HTTP Сообщение Средство

ACS90002

404

Недопустимое имя пространства имен службы в URL-адресе.

Убедитесь, что запрошенное Пространство имен Access Control существует.

ACS90004

400

Неверный формат запроса.

ACS90005

502

Внешняя ошибка сервера. (Дополнительные сведения см. в сообщении.)

При взаимодействии с внешним сервером, например поставщиком удостоверений, возникла ошибка.

ACS90006

504

Превышено время ожидания внешнего сервера.

Превышено время ожидания подключения к внешнему серверу, например поставщику удостоверений.

ACS90007

405

Недопустимый метод запроса.

Убедитесь, что метод HTTP (например, GET или POST) поддерживается конечной точкой.

ACS90008

403

Клиент отключен.

Убедитесь, что Пространство имен Access Control активно.

ACS90009

404

<Объект> с указанным идентификатором не найден.

Дополнительные сведения см. в сообщении.

ACS90010

400

Не поддерживается. (Дополнительные сведения см. в сообщении.)

Дополнительные сведения см. в сообщении.

ACS90011

400

Недопустимый запрос. (Дополнительные сведения см. в сообщении.)

Дополнительные сведения см. в сообщении.

ACS90012

408

Превышено время ожидания запроса к серверу.

Дополнительные сведения см. в сообщении.

ACS90013

400

Пользователь ввел недопустимые данные. (Дополнительные сведения см. в сообщении.)

Дополнительные сведения см. в сообщении.

ACS90014

400

Отсутствует обязательное поле "<Поле>".

Убедитесь, что запрос к службе ACS содержит все параметры, необходимые для используемого протокола.

ACS90015

403

Не авторизован: ключи службы ограничены для этого клиента.

Служба управления доступом не показывает ключи, принадлежащие к пространствам имен ServiceBus и Cache. Для их просмотра используйте портал ServiceBus или Cache.

ACS90016

400

'Недопустимый размер ключа <Размер ключа> в битах. Размер ключа должен быть больше 0 и кратен 8.

ACS90046

503

Служба недоступна

Запрос токена отклонен, так как служба ACS отвечает на запросы токена из всех пространств имен. Подождите несколько секунд и повторите запросы через увеличивающиеся временные интервалы. Дополнительные сведения см. в Рекомендации по повторам ACS.

ACS90055

429

Слишком много запросов

Запрос токена отклонен, так как для этого пространства имен превышена максимальная скорость запроса токенов (30 токенов в секунду). Подождите несколько секунд и повторите запросы через увеличивающиеся временные интервалы. Если ошибка повторяется, распределите нагрузку по нескольким пространствам имен. Дополнительные сведения см. в Ограничения службы ACS.

Показ: