AD FS 1021 Fehler bei der OAuth-Tokenanforderung

Hallo zusammen,

die Fehlerdetails: (Server 2016 ADFS)

Ausnahmedetails: 
Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9304: Die Benutzeridentität im empfangenen OAuth-Aktualisierungstoken entspricht nicht mehr einem aktiven Konto. Das Konto wurde entweder gelöscht oder deaktiviert.
   bei Microsoft.IdentityServer.Web.RefreshTokenUtil.ValidateAndUpdateSSO(SecurityTokenElement requestedTokenElement, SecurityToken deviceSecurityToken, DRDevice device, String deviceCertificateThumbprint, IUserInformationManager userInformationObject, ISessionTokenRevocationManager sessionTokenRevocationObject, ArtifactSecurityTokenType originalTokenType, RelyingParty rp, String clientId, Boolean validateRP, Boolean ignoreDeviceClaimsOverride)
   bei Microsoft.IdentityServer.Web.Protocols.OAuth.OAuthToken.OAuthTokenProtocolHandler.RedeemRefreshToken(OAuthRefreshTokenRequestContext tokenContext)

Der Fehler wird dadurch hervorgerufen das aus der Sicherheitsgruppe (Prä-Windows 2000 kompatibler Zugriff) folgende Elemente entfert wurden:
1. CA - Server (computerkonto)
2. NT-AUTORITÄT\Authentifizierte Benutzer

Zum Fehler MSIS9304 gibt es keinerlei google Ergebnisse.

Am Client gibt es folgendes Event (unregelmäßig, denke es hat zeitlich nichts damit zu tun):

1097 AAD

Error: 0xCAA9001F Integrated Windows authentication supported only in federation flow.
Exception of type 'class Exception' at AggregatedTokenRequest.cpp, line: 166, method: AggregatedTokenRequest::UseWindowsIntegratedAuth.  

Logged at AggregatedTokenRequest.cpp, line: 168, method: AggregatedTokenRequest::UseWindowsIntegratedAuth.

Request: authority: https://login.microsoftonline.com/common, client: 1b3c667f-cde3-4090-b60b-3d2abd0117f0, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/S-1-15-2-350187224-1905355452-1037786396-3028148496-2624191407-3283318427-1255436723, resource: https://arc.msn.com/v4, correlation ID (request): 48268d8b-de84-4d75-8fbf-b0e9bd049820

hat jemand einen Rat?

Please also mark the comments that contributed to the solution of the article

Content-Key: 32016735689

Url: https://administrator.de/contentid/32016735689

Printed on: April 28, 2024 at 10:04 o'clock

5 Comments

Latest comment

Zum Fehler MSIS9304 gibt es keinerlei google Ergebnisse.

Braucht es auch nicht, Fehlermeldung steht relativ deutlich direkt dahinter.

MSIS9304: Die Benutzeridentität im empfangenen OAuth-Aktualisierungstoken entspricht nicht mehr einem aktiven Konto. Das Konto wurde entweder gelöscht oder deaktiviert.

Beste Grüße

Zitat von @8585040390:

Zum Fehler MSIS9304 gibt es keinerlei google Ergebnisse.

genau das ist ja das Problem, es ist definitiv nicht inaktiv/gesperrt/gelöscht etc.

OAuth-Token auf dem Client löschen und neues frisches Token anfordern sollte helfen.

Gruß sid.

Das wäre super, es betrifft ca. 80 clients simultan.
Die können sich im Fehlerfall normal per SSO anmelden, nach ca. 30 Minuten werden die dann wieder gekickt. Das ganze von vorne..
Ich kenne den Grund aber nicht die Ursache. Es handelt sich um einen Weblogic, Java, Oracle bumbs..
Im Weblogic protkoll gibt es einige Hinweise darauf das Tokens ausgestellt werden die von anfang an ungültig sind wie:
Timetamp jetzt: Es wurde ein oauth token ausgestellt der nicht vor gestern und nicht nach heute früh gültig ist ;)
Im ADFS gibt es nur die MSIS9304 meldung

Lösung1

Lösung2

German solved Question Windows Server

Hotly discussed

Developer diary: Release 6.1admtech

End of availability for classic Teams clientDani