ACS 錯誤碼
更新日期:2015 年 6 月 19 日
適用對象:Azure
本主題包含最常見的錯誤訊息,這些錯誤訊息可能會在使用Microsoft Azure Active Directory 存取控制 (也稱為 存取控制 Service 或 ACS) ,以及適用時修正錯誤所需的動作。 如需如何根據錯誤碼提供自訂錯誤處理的資訊,請參閱 如何:針對自訂錯誤處理使用錯誤 URL。
重要
ACS 命名空間可以將其 Google 身分識別提供者組態從 OpenID 2.0 移轉至 OpenID Connect。 移轉必須在 2015 年 6 月 1 日之前完成。 如需詳細指引,請參閱將 ACS 命名空間移轉至 Google OpenID 連線。
重要
請勿在應用程式邏輯中使用 ACS 錯誤碼或描述。 撰寫錯誤處理程式碼時,請使用 HTTP 狀態值和錯誤碼。 ACS 錯誤碼和錯誤描述可以在沒有警告的情況下隨時變更。 如需詳細資訊,請參閱 ACS 重試指導方針 和 ACS 服務限制。
作用中同盟通訊協定錯誤,包括 SOAP 及 WS-Trust
| ACS 錯誤 | HTTP 狀態碼 | 訊息 | 補救方法 |
|---|---|---|---|
ACS10000 |
400 |
處理 SOAP 訊息時發生錯誤 |
詳細資料位於訊息中。 |
ACS10001 |
400 |
處理 SOAP 標頭時發生錯誤 |
詳細資料位於訊息中。 |
ACS10002 |
400 |
處理 SOAP 本文時發生錯誤 |
詳細資料位於訊息中。 |
ACS10003 |
400 |
處理安全性標頭時發生錯誤 |
詳細資料位於訊息中。 |
WS-同盟通訊協定錯誤,包括同盟中繼資料
此區段中的錯誤與 WS-同盟通訊協定和 WS-同盟中繼資料有關。
若要產生有效的WS-FederationMetadata.xml檔案,請在 Visual Studio 2012 中使用FedUtil或Identity and Access工具。 ACS 管理入口網站也會為每個存取控制命名空間產生WS-Federation元資料檔案。 若要檢視它,請在 ACS 管理入口網站中,按一下 [應用程式整合]。
若要自訂WS-Federation中繼資料,請使用 Microsoft.IdentityModel.Protocols.WSFederation.Metadata 命名空間中的類別。
如需 OASIS 標準WS-Federation中繼資料 XML 架構規格,請參閱 上的 Web 服務同盟語言 (WS-Federation) 1.2 版標準 http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942 的第 3 節。
如需特定錯誤與其解決方案的詳細資訊,請參閱此表格中的項目。
| 錯誤 | HTTP 狀態碼 | 訊息 | 補救方法 |
|---|---|---|---|
ACS20000 |
400 |
處理 WS-同盟登入要求時發生錯誤 |
詳細資料位於訊息中。 |
ACS20001 |
400 |
處理 WS-同盟登入回應時發生錯誤 |
詳細資料位於訊息中。 |
ACS20002 |
400 |
嘗試產生同盟中繼資料時發生錯誤 |
在訊息中可以找到更多詳細資料。 確認您的存取控制命名空間中有主要權杖簽署憑證。 |
ACS20003 |
400 |
嘗試匯入同盟中繼資料時發生錯誤 |
在訊息中可以找到更多詳細資料。 確定中繼資料 URL 或中繼資料檔案有效。 |
ACS20004 |
無法從中繼資料擷取實體 |
確定中繼資料檔案包含實體 ID。 |
|
ACS20005 |
不支援多個中繼資料實體 |
請確定同盟中繼資料確實只包含一個實體。 |
|
ACS20006 |
找不到安全性權杖服務描述元 |
請確定同盟中繼資料確實只包含一個安全性權杖服務描述元。 |
|
ACS20007 |
不支援多個安全性權杖服務描述元 |
請確定同盟中繼資料確實只包含一個安全性權杖服務描述元。 |
|
ACS20008 |
400 |
只能匯入支援WS-Federation的識別提供者。 |
請確定同盟中繼資料包含類型為 "fed:SecurityTokenServiceType" 的 RoleDescriptor。 |
ACS20009 |
400 |
讀取 WS-同盟中繼資料文件時發生錯誤 |
ACS 無法剖析提供的元資料檔案,因此可能無效。 您可以透過 Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata() 執行您的文件來驗證它。 |
ACS20010 |
找不到應用程式服務描述元 |
確定中繼資料檔案包含應用程式服務描述元。 |
|
ACS20011 |
不支援多個應用程式服務描述元 |
確定中繼資料檔案只包含一個應用程式服務描述元。 |
|
ACS20012 |
400 |
連入要求是無效的 WS-同盟要求 |
請確定要求是有效的 WS-同盟登入要求或登入回應,而且它包含所有必要的參數。 |
ACS20014 |
400 |
WS-同盟中繼資料文件不是格式良好的 XML |
當 WS-同盟中繼資料文件中的 XML 語法不正確時 (例如當文件的括號或標記有多出或缺少時),就會發生此錯誤。 當您嘗試手動建立或編輯WS-FederationMetadata.xml檔時,最常會發生此情況。 此錯誤與中繼資料 XML 架構的合規性無關。 若要解決此錯誤,請使用 XML 驗證程式工具,例如 Visual Studio 或XML 記事本 2007中的工具。 |
OpenID Protocol 錯誤
| 錯誤 | HTTP 狀態碼 | 訊息 | 補救方法 |
|---|---|---|---|
ACS30000 |
400 |
處理 OpenID 登入回應時發生錯誤。 |
詳細資料位於訊息中。 |
ACS30001 |
400 |
無法驗證 OpenID 回應簽章。 |
OpenID 簽章無效,或被身分識別提供者拒絕。 請確定訊息未遭受竄改。 |
Facebook 圖形通訊協定錯誤
| 錯誤 | HTTP 狀態碼 | 訊息 | 補救方法 |
|---|---|---|---|
ACS40000 |
400 |
處理 Facebook 登入回應時發生錯誤。 原因可能是無效的 Facebook 應用程式設定所致。 |
確認 ACS 上設定的應用程式識別碼和秘密符合 Facebook 開發人員入口網站中的相同值。 |
ACS40001 |
400 |
嘗試從 Facebook 取得存取權杖時發生錯誤。 |
確定透過 ACS 設定的應用程式 ID 和應用程式密碼有效。 |
一般安全性權杖服務錯誤,包括身分識別提供者中繼資料
| 錯誤 | HTP 狀態碼 | 訊息 | 補救方法 |
|---|---|---|---|
ACS50000 |
簽發權杖時發生錯誤。 |
詳細資料位於訊息中。 |
|
ACS50001 |
400 |
要求的信賴憑證者領域 ' < Realm URL > ' 未知。 |
權杖要求中提供的 AppliesTo 與您在 ACS 中設定的領域不符。 請檢查:1。 您的信賴憑證者已正確設定其領域。 您可以透過管理入口網站或使用管理服務檢查您的 RelyingParty.RelyingPartyAddresses 項目來完成這項工作。2. 您的信賴憑證者已經與身分識別提供者產生關聯。 您可以從管理入口網站或使用管理服務檢查您的 RelyingPartyIdentityProviders 項目來完成這項工作。 |
ACS50002 |
400 |
無效的服務設定 (詳細資料位於訊息中)。 |
詳細資料位於訊息中。 |
ACS50003 |
400 |
未設定主要對稱簽署金鑰。 SWT 需要對稱簽署金鑰。 |
如果選擇的信賴憑證者使用 SWT 做為其權杖類型,請確認已針對信賴憑證者或存取控制命名空間設定對稱金鑰,且金鑰設定為主要和在其有效期間內。 |
ACS50004 |
400 |
未設定主要 X.509 簽署憑證。 SAML 需要對稱簽署憑證。 |
如果選擇的信賴憑證者使用 SAML 做為其權杖類型,請確定已針對信賴憑證者或存取控制命名空間設定有效的 X.509 憑證。 必須將憑證設為主要,而且仍在其有效期間內。 |
ACS50005 |
400 |
需要權杖加密,但不需要為信賴憑證者設定加密憑證。 |
請停用所選信賴憑證者的權杖加密,或上傳權杖加密要使用的 X.509 憑證。 |
ACS50006 |
403 |
簽章驗證失敗 (在訊息中可能有更多詳細資料)。 |
確定透過 ACS 設定的驗證金鑰有效。 |
ACS50007 |
400 |
找不到簽章。 |
確定連入權杖已簽署並且有效。 |
ACS50008 |
401 |
SAML 權杖無效。 (在訊息中可能有更多詳細資料)。 |
如需詳細資訊,請參閱 如何修正錯誤 ACS50008。 |
ACS50009 |
401 |
SWT 權杖無效 (在訊息中可能有更多詳細資料)。 |
詳細資料位於訊息中。 |
ACS50010 |
403 |
對象 URI 驗證失敗 (在訊息中可能有更多詳細資料)。 |
確定傳入權杖的物件已設定為 https://yournamespace.accesscontrol.windows.net |
ACS50011 |
400 |
ReplyTo 地址遺漏或與領域不符。 |
為了與 WF 同盟一起運作,信賴憑證者至少必須設定一個 ReplyTo 地址。 |
ACS50012 |
401 |
驗證失敗。 (在訊息中可能有更多詳細資料)。 |
當多租用戶應用程式嘗試取得權杖,以便存取最近剛同意應用程式之 Azure AD 租用戶的 Graph API 時,權杖要求會暫時失敗,並帶有錯誤 ACS50012。 若要解決此問題,請等候幾分鐘後再試。 或者,由提供同意記錄的租用戶管理員,在同意之後向應用程式呈報。 |
ACS50013 |
400 |
在 URI 值中的區段數目比可接受的路徑區段數目上限多。 |
確定 URI 值中的區段數目等於或小於 32。 |
ACS50014 |
400 |
對服務與管理身分識別不允許使用自我判斷提示的宣告。 |
請確定您的服務身分識別驗證權杖不包含宣告,或只包含名稱識別碼宣告。 |
ACS50015 |
400 |
嘗試取得身分識別提供者中繼資料時發生錯誤。 |
在訊息中可以找到更多詳細資料。 確定中繼資料 URL 或檔案有效。 |
ACS50016 |
400 |
具有主體 「 < 憑證主體名稱 > 」且指紋 ' < Certificate Thumbprint > ' 的 X509Certificate 不符合任何已設定的憑證。 |
確定要求的憑證已上傳至 ACS。 |
ACS50017 |
401 |
主體為「 < 憑證主體名稱 > 」和簽發者「 < 簽發者名稱 > 」的憑證驗證失敗。 |
請確定憑證是自我簽署或鏈結到信任的根憑證授權。 憑證也不能已撤銷,且必須仍在其有效期間內。 如需詳細資訊,請參閱 如何修正錯誤 ACS50017。 |
ACS50018 |
400 |
遺失領域。 未指定信賴憑證者的名稱。 |
確定要求包含領域。 |
ACS50019 |
401 |
使用者取消了登入。 |
|
ACS50020 |
401 |
使用者未經授權。 |
|
ACS50022 |
400 |
回呼參數值 ' < Function name > ' 不是有效的 JavaScript 函式名稱。 |
請確定指定的回撥參數是有效 JavaScript 函數名稱的名稱。 有效的 JavaScript 函數名稱只能包含字母、數字及 "$" 和 "_" 字元,而且開頭不能是數字。 不支援在函數名稱中使用 Unicode 字元。 |
ACS50026 |
名稱為 'name' 的主體不是有效的主體。 |
此錯誤表示嘗試依指定名稱尋找實體失敗,因為 ACS 不知道實體。 視情況而定,此實體可能是服務識別、信賴憑證者應用程式或身分識別提供者。 確認此實體存在於您的存取控制命名空間中。 |
|
ACS50042 |
401 |
遺漏產生成對識別碼所需的 Salt。 如果此應用程式是新近註冊的,請等候幾分鐘,然後再試一次。 |
如果您嘗試在將應用程式加入 Azure AD 後立即登入應用程式,則在成對金鑰同步之前,登入嘗試可能會失敗。 請等候幾分鐘,再試著登入一次。 如需詳細資訊,請參閱 ACS 重試指導方針。 |
規則引擎、資料及管理服務錯誤
| 錯誤 | HTTP 狀態碼 | 訊息 | 補救方法 |
|---|---|---|---|
ACS 60000 |
403 |
原則引擎錯誤 |
詳細資料位於訊息中。 |
ACS60001 |
在處理規則期間沒有產生輸出宣告。 |
與所選信賴憑證者有關的規則群組沒有規則適用於由您的身分識別提供者產生的宣告。 在與您的信賴憑證者相關的規則群組中設定一些規則,或使用規則群組編輯器產生傳遞規則。 |
|
ACS60002 |
403 |
已達到權杖要求的數量配額,無法再要求更多數量。 |
|
ACS60003 |
403 |
無法修改唯讀屬性。 |
某些內建 ACS 物件無法修改或刪除。 |
ACS60004 |
409 |
版本衝突 |
嘗試將信賴憑證者、身分識別提供者、服務識別或簽發者的名稱更新為與其他信賴憑證者、身分識別提供者、服務識別或簽發者相同的名稱時,可能會收到版本衝突錯誤。 若要解決此問題,請選擇其他的唯一名稱。 |
ACS60005 |
400 |
嘗試新增一個含有無效或遺失父系的子物件。 |
對於子物件 (如地址),請確定父元件或物件 ID 有效且具有正確的類型。 |
ACS60006 |
400 |
嘗試插入資料庫中已存在的新物件複本。 |
您嘗試插入的物件違反唯一性限制。 必要時,請確定物件的屬性 (如名稱及地址) 是不是唯一的。 |
ACS60007 |
400 |
無效的 X.509 憑證 |
請確定提供的位元組是有效的 X.509 憑證。 |
ACS60008 |
找不到這個 < 物件類型 > 的唯一名稱。 |
||
ACS60012 |
輸入宣告的數量 (#) 超過限制 (80)。 |
您的連入權杖必須擁有 80 個宣告或更少,ACS 才能處理並順利發出連出權杖。 |
|
ACS60021 |
503 |
服務無法使用 |
因為 ACS 資料伺服器忙著回應來自所有命名空間的權杖要求,所以拒絕了此權杖要求。 請等候幾秒鐘,然後在經過更久的時間間隔後重試要求。 如需詳細資訊,請參閱 ACS 重試指導方針。 |
OAuth 2.0 通訊協定錯誤
| 錯誤 | HTTP 狀態碼 | 訊息 | 修正錯誤所需的動作 |
|---|---|---|---|
ACS70000 |
401 |
所提供的存取權限無效、已到期或已撤銷。 |
詳細資料位於訊息中。 |
ACS70001 |
401 |
用戶端未經授權。 |
|
ACS70002 |
401 |
無效的用戶端。 |
|
ACS70003 |
401 |
授權伺服器不支援包含的存取權限。 |
ACS 管理入口網站錯誤
| 錯誤 | HTTP 錯誤代碼 | 訊息 | 修正錯誤所需的動作 |
|---|---|---|---|
ACS80001 |
404 |
此規則已設定為使用管理入口網站不支援的宣告簽發者。 請使用管理服務來檢視並編輯此規則。 |
若規則已設定為使用非識別提供者的簽發者或存取控制服務 “LOCAL AUTHORITY” 簽發者,會發生此錯誤。 如需如何使用 ACS 管理服務的詳細資訊,請參閱 ACS 管理服務。 |
其他錯誤
| 錯誤 | HTTP 錯誤代碼 | 訊息 | 補救方法 |
|---|---|---|---|
ACS90002 |
404 |
在 URL 中的服務命名空間名稱無效。 |
確認所要求的存取控制命名空間存在。 |
ACS90004 |
400 |
要求的格式不正確。 |
|
ACS90005 |
502 |
外部伺服器錯誤 (在訊息中可以找到更多詳細資料)。 |
與外部伺服器 (例如身分識別提供者) 溝通期間發生錯誤。 |
ACS90006 |
504 |
內部伺服器逾時。 |
與外部伺服器 (如身分識別提供者) 溝通期間發生通訊逾時。 |
ACS90007 |
405 |
不允許要求方法。 |
請確定那個端點支援所用的 HTTP 方法 (如 GET 及 POST)。 |
ACS90008 |
403 |
該租賃者已經停用。 |
請確定您的存取控制命名空間為作用中。 |
ACS90009 |
404 |
找不到 < 指定識別碼的物件 > 。 |
詳細資料位於訊息中。 |
ACS90010 |
400 |
不支援。 (在訊息中可以找到更多詳細資料)。 |
詳細資料位於訊息中。 |
ACS90011 |
400 |
無效的要求 (在訊息中可以找到更多詳細資料)。 |
詳細資料位於訊息中。 |
ACS90012 |
408 |
對伺服器的要求逾時。 |
詳細資料位於訊息中。 |
ACS90013 |
400 |
無效的使用者輸入 (在訊息中可以找到更多詳細資料)。 |
詳細資料位於訊息中。 |
ACS90014 |
400 |
遺漏必要的欄位 ' < Field > '。 |
請確定您對 ACS 的要求包含您使用之通訊協定所需的所有參數。 |
ACS90015 |
403 |
未授權:此租使用者會限制服務金鑰。 |
ACS 不會顯示屬於 ServiceBus 和 Cache 命名空間的金鑰。 若要檢視這些金鑰,請使用 ServiceBus 或快取入口網站。 |
ACS90016 |
400 |
「 < 金鑰大小 > 」位是不正確金鑰大小。 金鑰大小必須大於 0,而且是 8 的倍數。 |
|
ACS90046 |
503 |
服務無法使用 |
因為 ACS 忙著回應來自所有命名空間的權杖要求,所以拒絕了此權杖要求。 請等候幾秒鐘,然後在經過更久的時間間隔後重試要求。 如需詳細資訊,請參閱 ACS 重試指導方針。 |
ACS90055 |
429 |
要求太多 |
因為此命名空間超過了延長的期間每秒 30 個權杖的最大權杖要求率,所以此權杖要求遭到拒絕。 請等候幾秒鐘,然後在經過更久的時間間隔後重試要求。 如果再發生錯誤,請考慮將工作負載重新分配給多個命名空間。 如需詳細資訊,請參閱 ACS 服務限制。 |