user217
Goto Top

AD FS 1021 Fehler bei der OAuth-Tokenanforderung

Hallo zusammen,

die Fehlerdetails: (Server 2016 ADFS)

Ausnahmedetails: 
Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9304: Die Benutzeridentität im empfangenen OAuth-Aktualisierungstoken entspricht nicht mehr einem aktiven Konto. Das Konto wurde entweder gelöscht oder deaktiviert.
   bei Microsoft.IdentityServer.Web.RefreshTokenUtil.ValidateAndUpdateSSO(SecurityTokenElement requestedTokenElement, SecurityToken deviceSecurityToken, DRDevice device, String deviceCertificateThumbprint, IUserInformationManager userInformationObject, ISessionTokenRevocationManager sessionTokenRevocationObject, ArtifactSecurityTokenType originalTokenType, RelyingParty rp, String clientId, Boolean validateRP, Boolean ignoreDeviceClaimsOverride)
   bei Microsoft.IdentityServer.Web.Protocols.OAuth.OAuthToken.OAuthTokenProtocolHandler.RedeemRefreshToken(OAuthRefreshTokenRequestContext tokenContext)

Der Fehler wird dadurch hervorgerufen das aus der Sicherheitsgruppe (Prä-Windows 2000 kompatibler Zugriff) folgende Elemente entfert wurden:
1. CA - Server (computerkonto)
2. NT-AUTORITÄT\Authentifizierte Benutzer

Zum Fehler MSIS9304 gibt es keinerlei google Ergebnisse.

Am Client gibt es folgendes Event (unregelmäßig, denke es hat zeitlich nichts damit zu tun):

1097 AAD

Error: 0xCAA9001F Integrated Windows authentication supported only in federation flow.
Exception of type 'class Exception' at AggregatedTokenRequest.cpp, line: 166, method: AggregatedTokenRequest::UseWindowsIntegratedAuth.  

Logged at AggregatedTokenRequest.cpp, line: 168, method: AggregatedTokenRequest::UseWindowsIntegratedAuth.

Request: authority: https://login.microsoftonline.com/common, client: 1b3c667f-cde3-4090-b60b-3d2abd0117f0, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/S-1-15-2-350187224-1905355452-1037786396-3028148496-2624191407-3283318427-1255436723, resource: https://arc.msn.com/v4, correlation ID (request): 48268d8b-de84-4d75-8fbf-b0e9bd049820

hat jemand einen Rat?

Content-Key: 32016735689

Url: https://administrator.de/contentid/32016735689

Printed on: June 24, 2024 at 08:06 o'clock

Mitglied: 8585040390
8585040390 Sep 20, 2023 at 10:09:28 (UTC)
Goto Top
Zum Fehler MSIS9304 gibt es keinerlei google Ergebnisse.
Braucht es auch nicht, Fehlermeldung steht relativ deutlich direkt dahinter.

MSIS9304: Die Benutzeridentität im empfangenen OAuth-Aktualisierungstoken entspricht nicht mehr einem aktiven Konto. Das Konto wurde entweder gelöscht oder deaktiviert.

Beste Grüße
Member: user217
user217 Sep 20, 2023 at 10:51:50 (UTC)
Goto Top
Zitat von @8585040390:

Zum Fehler MSIS9304 gibt es keinerlei google Ergebnisse.
Braucht es auch nicht, Fehlermeldung steht relativ deutlich direkt dahinter.

MSIS9304: Die Benutzeridentität im empfangenen OAuth-Aktualisierungstoken entspricht nicht mehr einem aktiven Konto. Das Konto wurde entweder gelöscht oder deaktiviert.

Beste Grüße

genau das ist ja das Problem, es ist definitiv nicht inaktiv/gesperrt/gelöscht etc.
Mitglied: 7907292512
7907292512 Sep 20, 2023 updated at 12:16:36 (UTC)
Goto Top
OAuth-Token auf dem Client löschen und neues frisches Token anfordern sollte helfen.

Gruß sid.
Member: user217
user217 Sep 20, 2023 updated at 12:26:51 (UTC)
Goto Top
Das wäre super, es betrifft ca. 80 clients simultan.
Die können sich im Fehlerfall normal per SSO anmelden, nach ca. 30 Minuten werden die dann wieder gekickt. Das ganze von vorne..
Ich kenne den Grund aber nicht die Ursache. Es handelt sich um einen Weblogic, Java, Oracle bumbs..
Im Weblogic protkoll gibt es einige Hinweise darauf das Tokens ausgestellt werden die von anfang an ungültig sind wie:
Timetamp jetzt: Es wurde ein oauth token ausgestellt der nicht vor gestern und nicht nach heute früh gültig ist ;)
Im ADFS gibt es nur die MSIS9304 meldung face-sad
Member: user217
Solution user217 Sep 21, 2023 at 05:14:50 (UTC)
Goto Top