本文件已封存並已停止維護。

ACS 錯誤碼

發佈時間: 2011年4月

更新日期: 2015年6月

適用於: Azure

本主題包括使用 Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS) 時可能遭遇到的常見錯誤訊息,以及修正錯誤所需的動作 (在適當情況下)。如需如何根據錯誤碼提供自訂錯誤處理的資訊,請參閱作法:使用錯誤 URL 進行自訂錯誤處理

Important重要事項
ACS 命名空間可以將其 Google 身分識別提供者組態從 OpenID 2.0 移轉至 OpenID Connect。移轉必須在 2015 年 6 月 1 日之前完成。如需詳細指導方針,請參閱將 ACS 命名空間移轉到 Google OpenID Connect

Important重要事項
請勿在應用程式邏輯中使用 ACS 錯誤碼或描述。撰寫錯誤處理程式碼時,請使用 HTTP 狀態值和錯誤碼。ACS 錯誤碼和錯誤描述可以在沒有警告的情況下隨時變更。如需詳細資訊,請參閱ACS 重試方針ACS 服務限制

 

ACS 錯誤 HTTP 狀態碼 訊息 解決方式

ACS10000

400

處理 SOAP 訊息時發生錯誤

詳細資料位於訊息中。

ACS10001

400

處理 SOAP 標頭時發生錯誤

詳細資料位於訊息中。

ACS10002

400

處理 SOAP 本文時發生錯誤

詳細資料位於訊息中。

ACS10003

400

處理安全性標頭時發生錯誤

詳細資料位於訊息中。

此區段中的錯誤與 WS-同盟通訊協定和 WS-同盟中繼資料有關。

若要產生有效的 WS-FederationMetadata.xml 檔案,請使用 Visual Studio 2012 中的 FedUtil身分識別和存取工具。ACS 管理入口網站也會產生各 存取控制命名空間 的 WS 同盟中繼資料文件。若要進行檢視,請按一下 ACS 管理入口網站中的 [應用程式整合]。

若要自訂 WS-同盟中繼資料,請使用 Microsoft.IdentityModel.Protocols.WSFederation.Metadata 命名空間中的類別。

如需 OASIS 標準 WS-同盟中繼資料 XML 結構描述規格,請參閱 Web Services Federation Language (WS-Federation) Version 1.2 標準的第 3 節 (位於 http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942)。

如需特定錯誤與其解決方案的詳細資訊,請參閱此表格中的項目。

 

錯誤 HTTP 狀態碼 訊息 解決方式

ACS20000

400

處理 WS-同盟登入要求時發生錯誤

詳細資料位於訊息中。

ACS20001

400

處理 WS-同盟登入回應時發生錯誤

詳細資料位於訊息中。

ACS20002

400

嘗試產生同盟中繼資料時發生錯誤

在訊息中可以找到更多詳細資料。確認您的 存取控制命名空間 中有主要權杖簽署憑證。

ACS20003

400

嘗試匯入同盟中繼資料時發生錯誤

在訊息中可以找到更多詳細資料。確定中繼資料 URL 或中繼資料檔案有效。

ACS20004

無法從中繼資料擷取實體

確定中繼資料檔案包含實體 ID。

ACS20005

不支援多個中繼資料實體

請確定同盟中繼資料確實只包含一個實體。

ACS20006

找不到安全性權杖服務描述元

請確定同盟中繼資料確實只包含一個安全性權杖服務描述元。

ACS20007

不支援多個安全性權杖服務描述元

請確定同盟中繼資料確實只包含一個安全性權杖服務描述元。

ACS20008

400

只能匯入支援 WS-同盟的身分識別提供者。

只能匯入支援 WS-同盟的信賴憑證者。

請確定同盟中繼資料包含類型為 "fed:SecurityTokenServiceType" 的 RoleDescriptor。

ACS20009

400

讀取 WS-同盟中繼資料文件時發生錯誤

ACS 無法剖析提供的中繼資料文件,因此它可能是無效的。您可以透過 Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata() 執行您的文件來驗證它。

ACS20010

找不到應用程式服務描述元

確定中繼資料檔案包含應用程式服務描述元。

ACS20011

不支援多個應用程式服務描述元

確定中繼資料檔案只包含一個應用程式服務描述元。

ACS20012

400

連入要求是無效的 WS-同盟要求

請確定要求是有效的 WS-同盟登入要求或登入回應,而且它包含所有必要的參數。

ACS20014

400

WS-同盟中繼資料文件不是格式良好的 XML

當 WS-同盟中繼資料文件中的 XML 語法不正確時 (例如當文件的括號或標記有多出或缺少時),就會發生此錯誤。這最常發生在您嘗試手動建立或編輯 WS-FederationMetadata.xml 文件時。此錯誤與中繼資料 XML 結構描述的符合性無關。

若要解決此錯誤,請使用 XML 驗證器工具,例如 Visual Studio 或 XML Notepad 2007 中的工具。

 

錯誤 HTTP 狀態碼 訊息 解決方式

ACS30000

400

處理 OpenID 登入回應時發生錯誤。

詳細資料位於訊息中。

ACS30001

400

無法驗證 OpenID 回應簽章。

OpenID 簽章無效,或被身分識別提供者拒絕。請確定訊息未遭受竄改。

 

錯誤 HTTP 狀態碼 訊息 解決方式

ACS40000

400

處理 Facebook 登入回應時發生錯誤。原因可能是無效的 Facebook 應用程式設定所致。

請驗證在 ACS 上設定的應用程式 ID 和祕密符合在 Facebook 開發人員入口網站中的相同值。

ACS40001

400

嘗試從 Facebook 取得存取權杖時發生錯誤。

確定透過 ACS 設定的應用程式 ID 和應用程式密碼有效。

 

錯誤 HTP 狀態碼 訊息 解決方式

ACS50000

簽發權杖時發生錯誤。

詳細資料位於訊息中。

ACS50001

400

要求的信賴憑證者領域 '<Realm URL>' 不明。

在權杖要求中給定的 AppliesTo 與您在 ACS 中設定的領域不符。請確定:1. 您的信賴憑證者已正確設定其領域。您可以透過管理入口網站或使用管理服務檢查您的 RelyingParty.RelyingPartyAddresses 項目來完成這項工作。2.您的信賴憑證者已經與身分識別提供者產生關聯。您可以從管理入口網站或使用管理服務檢查您的 RelyingPartyIdentityProviders 項目來完成這項工作。

ACS50002

400

無效的服務設定(詳細資料位於訊息中)。

詳細資料位於訊息中。

ACS50003

400

未設定主要對稱簽署金鑰。SWT 需要對稱簽署金鑰。

如果選擇的信賴憑證者使用 SWT 作為其權杖類型,請確認已針對該信賴憑證者或 存取控制命名空間 設定對稱金鑰,並將金鑰設為主要,而且仍在其有效期間內。

ACS50004

400

未設定主要 X.509 簽署憑證。SAML 需要對稱簽署憑證。

如果選擇的信賴憑證者使用者 SAML 作為其權杖類型,請確定已針對該信賴憑證者或 存取控制命名空間 設定有效的 X.509 憑證。必須將憑證設為主要,而且仍在其有效期間內。

ACS50005

400

需要權杖加密,但不需要為信賴憑證者設定加密憑證。

請停用所選信賴憑證者的權杖加密,或上傳權杖加密要使用的 X.509 憑證。

ACS50006

403

簽章驗證失敗(在訊息中可能有更多詳細資料)。

確定透過 ACS 設定的驗證金鑰有效。

ACS50007

400

找不到簽章。

確定連入權杖已簽署並且有效。

ACS50008

401

SAML 簽章無效(在訊息中可能有更多詳細資料)。

如需詳細資訊,請參閱如何修正錯誤 ACS50008

ACS50009

401

SWT 權杖無效(在訊息中可能有更多詳細資料)。

詳細資料位於訊息中。

ACS50010

403

對象 URI 驗證失敗(在訊息中可能有更多詳細資料)。

確定連入權杖的 [適用對象] 已設定為 https://yournamespace.accesscontrol.windows.net

ACS50011

400

ReplyTo 地址遺���或與領域不符。

為了與 WF 同盟一起運作,信賴憑證者至少必須設定一個 ReplyTo 地址。
在 ACS 管理入口網站中使用 [傳回 URL] 欄位可以設定它。
如果連入訊息指定一個 ReplyTo 地址,請確定它符合已設定的 ReplyTo 或是尾碼為 1 (例如,對於設定的 ReplyTo http://example.com/path1/,http://example.com/path1/index.aspx 是有效的要求 ReplyTo,但 http://example.com/path2/index.aspx 則不是)。

ACS50012

401

驗證失敗(在訊息中可能有更多詳細資料)。

當多租用戶應用程式嘗試取得權杖,以便存取最近剛同意應用程式之 Azure AD 租用戶的 Graph API 時,權杖要求會暫時失敗,並帶有錯誤 ACS50012。若要解決此問題,請等候幾分鐘後再試。或者,由提供同意記錄的租用戶管理員,在同意之後向應用程式呈報。

ACS50013

400

在 URI 值中的區段數目比可接受的路徑區段數目上限多。

確定 URI 值中的區段數目等於或小於 32。

ACS50014

400

對服務與管理身分識別不允許使用自我判斷提示的宣告。

確定服務識別驗證權杖不包含任何宣告或僅包含名稱識別碼宣告。

ACS50015

400

嘗試取得身分識別提供者中繼資料時發生錯誤。

在訊息中可以找到更多詳細資料。確定中繼資料 URL 或檔案有效。

ACS50016

400

主旨為 <憑證主旨名稱> 的 X509Certificate 與指紋 <憑證指紋> 不符合任何設定的憑證。

請確定已將要求的憑證上傳到 ACS。

ACS50017

401

主旨為 <憑證主旨名稱> 的憑證與簽發者 <簽發者名稱> 驗證失敗。

請確定憑證是自我簽署或鏈結到信任的根憑證授權。憑證也不能已撤銷,且必須仍在其有效期間內。如需詳細資訊,請參閱如何修正 ACS50017 錯誤

ACS50018

400

遺失領域。未指定信賴憑證者的名稱。

確定要求包含領域。

ACS50019

401

使用者取消了登入。

ACS50020

401

使用者未經授權。

ACS50022

400

回撥參數值 <函數名稱> 不是有效的 JavaScript 函數名稱。

請確定指定的回撥參數是有效 JavaScript 函數名稱的名稱。有效的 JavaScript 函數名稱只能包含字母、數字及 "$" 和 "_" 字元,而且開頭不能是數字。不支援在函數名稱中使用 Unicode 字元。

ACS50026

名稱為 'name' 的主體不是有效的主體。

此錯誤表示嘗試依照指定的名稱尋找實體失敗,這是因為 ACS 不認得此實體。視情況而定,此實體可能是服務識別、信賴憑證者應用程式或身分識別提供者。

確認此實體已存在於您的 存取控制命名空間 中。

ACS50042

401

遺漏產生成對識別碼所需的 Salt。如果此應用程式是新近註冊的,請等候幾分鐘,然後再試一次。

如果您嘗試在將應用程式加入 Azure AD 後立即登入應用程式,則在成對金鑰同步之前,登入嘗試可能會失敗。請等候幾分鐘,再試著登入一次。如需詳細資訊,請參閱ACS 重試方針

 

錯誤 HTTP 狀態碼 訊息 解決方式

ACS

60000

403

原則引擎錯誤

詳細資料位於訊息中。

ACS60001

在處理規則期間沒有產生輸出宣告。

與所選信賴憑證者有關的規則群組沒有規則適用於由您的身分識別提供者產生的宣告。在與您的信賴憑證者相關的規則群組中設定一些規則,或使用規則群組編輯器產生傳遞規則。

ACS60002

403

已達到權杖要求的數量配額,無法再要求更多數量。

ACS60003

403

無法修改唯讀屬性。

無法修改或刪除某些內建的 ACS 物件。

ACS60004

409

版本衝突

嘗試將信賴憑證者、身分識別提供者、服務識別或簽發者的名稱更新為與其他信賴憑證者、身分識別提供者、服務識別或簽發者相同的名稱時,可能會收到版本衝突錯誤。若要解決此問題,請選擇其他的唯一名稱。

ACS60005

400

嘗試新增一個含有無效或遺失父系的子物件。

對於子物件 (如地址),請確定父元件或物件 ID 有效且具有正確的類型。

ACS60006

400

嘗試插入資料庫中已存在的新物件複本。

您嘗試插入的物件違反唯一性限制。必要時,請確定物件的屬性 (如名稱及地址) 是不是唯一的。

ACS60007

400

無效的 X.509 憑證

請確定提供的位元組是有效的 X.509 憑證。

ACS60008

找不到此 <物件類型> 的唯一名稱。

ACS60012

輸入宣告的數量 (#) 超過限制 (80)。

您的連入權杖必須擁有 80 個宣告或更少,ACS 才能處理並順利發出連出權杖。

ACS60021

503

服務無法使用

因為 ACS 資料伺服器忙著回應來自所有命名空間的權杖要求,所以拒絕了此權杖要求。請等候幾秒鐘,然後在經過更久的時間間隔後重試要求。如需詳細資訊,請參閱ACS 重試方針

 

錯誤 HTTP 狀態碼 訊息 修正錯誤所需的動作

ACS70000

401

所提供的存取權限無效、已到期或已撤銷。

詳細資料位於訊息中。

ACS70001

401

用戶端未經授權。

ACS70002

401

無效的用戶端。

ACS70003

401

授權伺服器不支援包含的存取權限。

 

錯誤 HTTP 錯誤代碼 訊息 修正錯誤所需的動作

ACS80001

404

此規則已設定為使用管理入口網站不支援的宣告簽發者。請使用管理服務來檢視並編輯此規則。

若規則已設定為使用非識別提供者的簽發者或存取控制服務 “LOCAL AUTHORITY” 簽發者,會發生此錯誤。如需有關如何使用 ACS 管理服務的詳細資訊,請參閱 ACS 管理服務

 

錯誤 HTTP 錯誤代碼 訊息 解決方式

ACS90002

404

在 URL 中的服務命名空間名稱無效。

確認要求的 存取控制命名空間 存在。

ACS90004

400

要求的格式不正確。

ACS90005

502

外部伺服器錯誤(在訊息中可以找到更多詳細資料)。

與外部伺服器 (例如身分識別提供者) 溝通期間發生錯誤。

ACS90006

504

內部伺服器逾時。

與外部伺服器 (如身分識別提供者) 溝通期間發生通訊逾時。

ACS90007

405

不允許要求方法。

請確定那個端點支援所用的 HTTP 方法 (如 GET 及 POST)。

ACS90008

403

該租賃者已經停用。

確定您的 存取控制命名空間 為使用中。

ACS90009

404

找不到給定 ID 的 <物件>。

詳細資料位於訊息中。

ACS90010

400

不支援。(在訊息中可以找到更多詳細資料)。

詳細資料位於訊息中。

ACS90011

400

無效的要求(在訊息中可以找到更多詳細資料)。

詳細資料位於訊息中。

ACS90012

408

對伺服器的要求逾時。

詳細資料位於訊息中。

ACS90013

400

無效的使用者輸入(在訊息中可以找到更多詳細資料)。

詳細資料位於訊息中。

ACS90014

400

遺失必要欄位 <欄位> 。

確定您對 ACS 的要求包含您所使用之通訊協定需要的所有參數。

ACS90015

403

未經授權:限制服務金鑰用於此租賃者。

ACS 不會顯示屬於 ServiceBus 及快取命名空間的顯示金鑰。若要檢視這些金鑰,請使用 ServiceBus 或快取入口網站。

ACS90016

400

'<金鑰大小> 位元是無效的金鑰大小。金鑰大小必須大於 0,而且是 8 的倍數。

ACS90046

503

服務無法使用

因為 ACS 忙著回應來自所有命名空間的權杖要求,所以拒絕了此權杖要求。請等候幾秒鐘,然後在經過更久的時間間隔後重試要求。如需詳細資訊,請參閱ACS 重試方針

ACS90055

429

要求太多

因為此命名空間超過了延長的期間每秒 30 個權杖的最大權杖要求率,所以此權杖要求遭到拒絕。請等候幾秒鐘,然後在經過更久的時間間隔後重試要求。如果再發生錯誤,請考慮將工作負載重新分配給多個命名空間。如需詳細資訊,請參閱ACS 服務限制

顯示: