Skip to main content
assistive.skiplink.to.breadcrumbs
assistive.skiplink.to.header.menu
assistive.skiplink.to.action.menu
assistive.skiplink.to.quick.search

Search

Page History

Versions Compared

Key

This line was added.
This line was removed.
Formatting was changed.

...

I forbindelse med fejlsøgning sammenholdes den konkrete SOAP fejl med de beskrevne STS svar ved hjælp af faultcode, faultactor og faultstring.

Verify UserInfo

CPR check

Ugyldig CPR nummer
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:cvrridcpr faultstring = Authentication failed: cvrrid-cpr mismatch [CVR:-RID:,*]
Årsag	Anvender, bruger
Forklaring	MOCES Certifikat og CPR-nummer fra ID-kort stemmer ikke overens, og identitet kan ikke bekræftes.
Løsning	Undersøg om det anvendte certifikat svarer til ID-kortet Undersøg om CPR i ID-kort er som forventet Undersøg hvilket CPR er tilknyttet certifikatet

Manglende CPR nummer tilknytning
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:cvrridcpr faultstring = Authentication failed: illegal cvrrid [CVR:-RID:]
Årsag	Anvender, bruger
Forklaring	Det anvendte MOCES certifikat har ikke noget tilknytte CPR-nummer og identitet kan ikke bekræftes.
Løsning	Check at der er tilknyttet et CPR til certifikatet hos DanID

Fejl ved CPR nummer opslag
STS svar	faultcode = wst:RequestFailed faultactor = dk:sosi:sts:cvrridcpr faultstring = The specified request failed:*
Årsag	STS
Forklaring	STS har ikke kunnet foretage opslag imod RID-CPR tjeneste og dermed ikke kunnet verificere ID-kortet.
Løsning	Gentag forespørgsel efter kort pause Ved gentagne fejl kontakt helpdesk med detaljeret fejlbesked

Autorisations check

Manglende autorisation
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:autorisation faultstring = Authentication failed: missing authorization
Årsag	Bruger
Forklaring	Der findes ikke nogle tilknyttede gyldige autorisationer til CPR-nummeret i autorisationsregisteret.
Løsning	Check at brugeren har en gyldig autorisation.

Forkert autorisation
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:autorisation faultstring = Authentication failed: authorization not found (available [{code, role}, .., {code, role}])
Årsag	Bruger
Forklaring	Der blev ikke fundet en autorisation tilknyttet CPR-nummeret, som matcher autorisations- eller uddannelseskode i ID-kortet. Medsendt i fejlteksten er en liste over de autorisationskoder (code) og uddannelseskoder (role) som er tilgængelige for CPR-nummeret.
Løsning	Tjek at brugerens autorisationer mathcer med de medsendte oplysninger i ID-kortet, dvs. SAML attributten UserAuthorizationCode (autorisationskode) og UserRole (uddannelseskode). Anvend eventuelt en af de mulige kombinationer i fejlteksten.

Flere autorisationer fundet
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:autorisation faultstring = Authentication failed: multiple authorizations found ([{code, role}, .., {code, role}])
Årsag	Bruger
Forklaring	Der blev fundet mere end én autorisation tilknyttet CPR-nummeret, som matcher autorisations- eller uddannelseskode i ID-kortet. Medsendt i fejlteksten er en liste over de autorisationskoder (code) og uddannelseskoder (role) som matchede.
Løsning	Angiv i ID-kortet hvilken autorisation der skal bruges, dvs. enten med angivelse af autorsations- eller uddannelseskode. Anvend eventuelt en af de mulige kombinationer i fejlteksten.

Check af CPR claim

Manglende CPR claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = CPR claim missing
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder ikke et CPR claim.
Løsning	Fremsend en ny forespørgsel med et gyldigt CPR claim (og overvej at stramme op på klient systemets input validering).

Ugyldigt CPR claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = CPR-number must be 10 digits
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder et CPR claim i ugyldigt format.
Løsning	Fremsend en ny forespørgsel med et gyldigt CPR claim (og overvej at stramme op på klient systemets input validering).

Forkert CPR claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = CPR/PID mismatch
Årsag	Anvender
Forklaring	Det medsendte påståede CPR matcher ikke cpr nummeret tilknyttet brugerens certifikat. Brugeren har formentlig tastet forkert.
Løsning	Fremsend en ny forespørgsel med et gyldigt CPR claim.

Check af audience

Angivelse af audience mangler
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = Audience is missing
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder ikke angivelse af et audience (som det udstedte token kan benyttes til)
Løsning	Anvendersystemet tilrettes til at medsende audience (dette vil ofte være https://fmk).

Ukendt audience
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = Audience not configured
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder angivelse af et ukendt audience (som det udstedte token kan benyttes til)
Løsning	Anvendersystemet tilrettes til at medsende korrekt audience (dette vil ofte være https://fmk).

Check af signatur på besked

Ugyldig signatur
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = Unable to validate envelope signature
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder ingen eller en ugyldig xml signatur - dette sker ofte ved omformatering af indeholdet på en signeret besked
Løsning	Anvendersystemet tilrettes til at signere og/eller undgå omformatering i forbindelse med afsendelse

Certifikat udløbet
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:* faultstring = Certificate expired or not yet valid
Årsag	Anvender
Forklaring	Den medsendte forespørgsel er signeret med et udløbet certifikat.
Løsning	Anvendersystemet skal forny sit certifikat og benytte dette. Endvidere skal NSP konfigureres til at tillade det nye certifikat

Certifikat revokeret
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:* faultstring = Certificate revoked
Årsag	Anvender
Forklaring	Den medsendte forespørgsel er signeret med et revokeret certifikat.
Løsning	Anvendersystemet skal forny sit certifikat og benytte dette. Endvidere skal NSP konfigureres til at tillade det nye certifikat

Certifikat ikke konfigureret
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:* faultstring = Signing certificate not whitelisted for this audience
Årsag	Anvender
Forklaring	Det signerende certifikat er ikke whitelistet til at det angivne audience.
Løsning	Kontakt NSP support med henblik på at få det ønskede certifikat whitelistet.

Check af Bootstrap token

Ugyldig signatur
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = Signature on OIOSAMLAssertion is invalid
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder et bootstrap token med ugyldig xml signatur - dette sker ofte ved omformatering af indeholdet på en signeret besked
Løsning	Anvendersystemet tilrettes til at signere og/eller undgå omformatering i forbindelse med afsendelse

Certifikat udløbet
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = En af følgende: Bootstrap token signer expired BST2SOSI Certificate expired JWT signer expired NBO certificate expired JWT signer expired
Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte bootstrap token er signeret med et udløbet certifikat.
Løsning	Kontakt NSP support. Den Idp (typisk Nem-id) som signerer bootstrap token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.

Certifikat endnu ikke gyldigt
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = En af følgende: Bootstrap token signer not valid yet BST2SOSI Certificate not valid yet JWT signer not valid yet NBO certificate not valid yet JWT signer not valid yet
Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte bootstrap token er signeret med et certifikat der endnu ikke kan benyttes.
Løsning	Et af følgende: Vent til certifikatet bliver gyldigt. Tidspunktet fremgår af certifikatet. Kontakt NSP support. Den Idp (typisk Nem-id) som signerer bootstrap token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.

Certifikat revokeret
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = En af følgende: Bootstrap token signer revoked BST2SOSI Certificate revoked JWT signer revoked NBO certificate revoked JWT signer revoked
Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte bootstrap token er signeret med et revokeret certifikat.
Løsning	Kontakt NSP support. Den Idp (typisk Nem-id) som signerer bootstrap token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.

Certifikat ikke trusted
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = The certificate that signed the security token is not trusted
Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte bootstrap token er signeret med et certifikat, som ikke accepteres af STS. Bootstrap token bør typisk være signeret af Nem-id.
Løsning	Anvend et bootstrap token signeret af Nem-id, eller kontakt NSP support med henblik på alternativ løsning om nødvendigt (der findes et anvendeligt alternativ i testmiljøerne))

Bootstrap token ikke udstedt til borger
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = Token not issued to a citizen
Årsag	Anvender
Forklaring	Det indeholdte bootstrap token er ikke udstedt på baggrund af en borgers certifikat. Kun borger-certifikater kan anvendes
Løsning	Anvend et bootstrap token udstedet på baggrund af et borger certifikat (POCES).

Ugyldigt nameid
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = Invalid name: <nameid>
Årsag	Ukendt
Forklaring	Det indeholdte bootstrap token indeholder et ugyldigt formateret nameid.
Løsning	Hvis bootstrap token er udstedt af Nem-id, kontaktes NSP supporten med henblik på analyse af fejlen.

Bootstrap token udløbet
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = Bootstrap token no longer valid
Årsag	Oftest anvender
Forklaring	Det indeholdte bootstrap token er udløbet.
Løsning	Hent og benyt et nyt bootstrap token.

Dekryptering

Token kan ikke dekrypteres
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = Unable to decrypt element
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder et token, som er krypteret med en nøgle som ikke er kendt af STS’en
Løsning	Kan f.eks. skyldes manglende kryptering, kryptering med forkert nøgle, eller at der er "pillet" ved data efter kryptering.

Parse SecurityToken Request

...

ID-kort gyldighed
STS svar	faultcode = wst:InvalidTimeRange faultactor = dk:sosi:sts faultstring = The requested time range is invalid or unsupported: IDCard is created after or expires before current system time
Årsag	Anvender, STS
Forklaring	ID-kortet er udstedt på et system, der ikke er tidssynkroniseret med STS. Hvis tiden afviger signifikant (der tillades nogen tidsdrift), kan ID-kortet ikke udstedes.
Løsning	Såfremt STS tiden ikke er korrekt vil der generelt være problemer med udstedelsen af ID-kort. Fejlen vil derfor overvejende skulle fejlsøges hos anvenderen: Undersøg om anvenderens IT-system anvender korrekt tid Check om NTP anvendes, evt. hyppighed og NTP server Synkroniser tid

Id kort for gammelt til denne modtager
STS svar	faultcode = wst:InvalidTimeRange faultactor = dk:sosi:sts faultstring = The requested time range is invalid or unsupported: IDCard is too old for this audience: * [>]
Årsag	Anvender
Forklaring	Ved billetomveksling kan der være lagt begrænsninger på hvor gammelt det id-kort som søges vekslet må være. Medsendt i fejlteksten er modtager, samt aktuel og maksimal alder på id-kortet i minutter. Dette vil typisk være 24 timer, men kan for visse modtagere være mindre.
Løsning	Forny ID-kortet og få det signeret af STS.

Verify Certificate

Ugyldig udsteder
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts faultstring = Authentication failed: certificate issued by invalid party
Årsag	Anvender
Forklaring	Det underskrivende certifikat er ikke udstedt i føderationen og kan derfor ikke anvendes til udstedelse af ID-kort.
Løsning	Undersøg hvilken STS der er brugt, dvs. Test eller Produktion. Undersøg hvilken CA der har udstedt certifikatet

...

MOCES certifikat black listed
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts faultstring = Authentication failed: MOCES is blacklisted [*]
Årsag	STS
Forklaring	Det underskrivende certifikat er black listed i STS’en og kan derfor ikke udstede ID-kort.
Løsning	Bekræft at certifikatet er black listed Undersøg årsagen til black listing

Verify SystemInfo

CVR uoverensstemmelse
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts faultstring = Authentication failed: cvr mismatch
Årsag	Anvender
Forklaring	CVR i ID-kortet svarer ikke til CVR i certifikatets subject serial number.
Løsning	Verificer CVR nummer i STS forespørgsel Find CVR i certifikatet


STS svar	faultcode = faultactor = faultstring =
Årsag
Forklaring
Løsning


STS svar	faultcode = faultactor = faultstring =
Årsag
Forklaring
Løsning


STS svar	faultcode = faultactor = faultstring =
Årsag
Forklaring
Løsning


STS svar	faultcode = faultactor = faultstring =
Årsag
Forklaring
Løsning


STS svar	faultcode = faultactor = faultstring =
Årsag
Forklaring
Løsning