Versions Compared

Old Version 10

changes.mady.by.user Thomas Stougaard Lange

Saved on

compared with

New Version 11

changes.mady.by.user Thomas Stougaard Lange

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

I forbindelse med fejlsøgning sammenholdes den konkrete SOAP fejl med de beskrevne STS svar ved hjælp af faultcode, faultactor og faultstring.

...

Validering af brugerinformation

CPR

...

Ugyldig Ugyldigt CPR nummer
STS svarfaultcode = wst:FailedAuthentication
faultactor = dk:sosi:sts:cvrridcpr
faultstring = Authentication failed: cvrrid-cpr mismatch [CVR:*-RID:*,*]
ÅrsagAnvender, bruger
ForklaringMOCES Certifikat og CPR-nummer fra ID-kort stemmer ikke overens, og identitet kan ikke bekræftes.
Løsning
  1. Undersøg om det anvendte certifikat svarer til ID-kortet
  2. Undersøg om CPR i ID-kort er som forventet
  3. Undersøg hvilket CPR er tilknyttet certifikatet

...

Fejl ved CPR nummer opslag
STS svarfaultcode = wst:RequestFailed
faultactor = dk:sosi:sts:cvrridcpr
faultstring = The specified request failed:*
ÅrsagSTS
ForklaringSTS har ikke kunnet foretage opslag imod RID-CPR tjeneste og dermed ikke kunnet verificere ID-kortet.
Løsning
  1. Gentag forespørgsel efter kort pause
  2. Ved gentagne fejl kontakt helpdesk med detaljeret fejlbesked

...

Autorisation

Manglende autorisation
STS svarfaultcode = wst:FailedAuthentication
faultactor = dk:sosi:sts:autorisation
faultstring = Authentication failed: missing authorization
ÅrsagBruger
ForklaringDer findes ikke nogle tilknyttede gyldige autorisationer til CPR-nummeret i autorisationsregisteret.
LøsningCheck at brugeren har en gyldig autorisation.

...

Flere autorisationer fundet
STS svarfaultcode = wst:FailedAuthentication
faultactor = dk:sosi:sts:autorisation
faultstring = Authentication failed: multiple authorizations found ([{code, role}, .., {code, role}])
ÅrsagBruger
ForklaringDer blev fundet mere end én autorisation tilknyttet CPR-nummeret, som matcher autorisations- eller uddannelseskode i ID-kortet. Medsendt i fejlteksten er en liste over de autorisationskoder (code) og uddannelseskoder (role) som matchede.
LøsningAngiv i ID-kortet hvilken autorisation der skal bruges, dvs. enten med angivelse af autorsations- eller uddannelseskode. Anvend eventuelt en af de mulige kombinationer i fejlteksten.

...

Validering af CPR claim

Manglende CPR claim
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:*
faultstring = CPR claim missing
ÅrsagAnvender
ForklaringDen medsendte forespørgsel indeholder ikke et CPR claim.
LøsningFremsend en ny forespørgsel med et gyldigt CPR claim (og overvej at stramme op på klient systemets input validering).

...

Forkert CPR claim
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:its
faultstring = CPR/PID mismatch
ÅrsagAnvender
ForklaringDet medsendte påståede CPR matcher ikke cpr nummeret tilknyttet brugerens certifikat. Brugeren har formentlig tastet forkert.
LøsningFremsend en ny forespørgsel med et gyldigt CPR claim.

...

Validering af audience

Angivelse af audience mangler
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:its
faultstring = Audience is missing
ÅrsagAnvender
ForklaringDen medsendte forespørgsel indeholder ikke angivelse af et audience (som det udstedte token kan benyttes til)
LøsningAnvendersystemet tilrettes til at medsende audience (dette vil ofte være https://fmk).
Ukendt audience
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:its
faultstring = Audience not configured
ÅrsagAnvender
ForklaringDen medsendte forespørgsel indeholder angivelse af et ukendt audience (som det udstedte token kan benyttes til)
LøsningAnvendersystemet tilrettes til at medsende korrekt audience (dette vil ofte være https://fmk).

...

Validering af signatur

...

Certifikat udløbet
Ugyldig signatur
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:*
faultstring = Unable to validate envelope signature
ÅrsagAnvender
ForklaringDen medsendte forespørgsel indeholder ingen eller en ugyldig xml signatur - dette sker ofte ved omformatering af indeholdet på en signeret besked
LøsningAnvendersystemet tilrettes til at signere og/eller undgå omformatering i forbindelse med afsendelse
Ugyldig token signatur
STS svarfaultcode = wst:
FailedAuthentication
InvalidRequest
faultactor = dk:sosi:sts:*
faultstring =
Certificate expired or not yet valid
Signature on OIOSAMLAssertion is invalid
ÅrsagAnvender
ForklaringDen medsendte forespørgsel
er signeret med et udløbet certifikat.
indeholder et bootstrap token med ugyldig xml signatur - dette sker ofte ved omformatering af indeholdet på en signeret besked
LøsningAnvendersystemet tilrettes til at signere og/eller undgå omformatering i forbindelse med afsendelse
skal forny sit certifikat og benytte dette. Endvidere skal NSP konfigureres til at tillade det nye certifikat
Certifikat udløbetCertifikat revokeret
STS svarfaultcode = wst:FailedAuthentication
faultactor = dk:sosi:sts:*
faultstring = Certificate revokedexpired or not yet valid
ÅrsagAnvender
ForklaringDen medsendte forespørgsel er signeret med et revokeret udløbet certifikat.
LøsningAnvendersystemet skal forny sit certifikat og benytte dette. Endvidere skal NSP konfigureres til at tillade det nye certifikat
Certifikat
ikke konfigureret
udløbet for token signatur
STS svar

faultcode = wst:

FailedAuthentication

InvalidRequest
faultactor = dk:sosi:sts:*
faultstring =

Signing certificate not whitelisted for this audienceÅrsagAnvenderForklaringDet signerende certifikat er ikke whitelistet til at det angivne audience

En af følgende:

  • Bootstrap token signer expired
  • BST2SOSI Certificate expired
  • JWT signer expired
  • NBO certificate expired
  • JWT signer expired
ÅrsagAnvender eller konfiguration
ForklaringDet indeholdte token er signeret med et udløbet certifikat.
LøsningKontakt NSP support
med henblik på at få det ønskede certifikat whitelistet.

Check af token

. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.
Certifikat endnu ikke gyldigt for token signatur
STS
Ugyldig signaturSTS
svar

faultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:*
faultstring =

Signature on OIOSAMLAssertion is invalidLøsningAnvendersystemet tilrettes til at signere og/eller undgå omformatering i forbindelse med afsendelseCertifikat udløbetSTS svar

faultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:*
faultstring = En af følgende:

  • Bootstrap token signer expired
  • BST2SOSI Certificate expired
  • JWT signer expired
  • NBO certificate expired
  • JWT signer expired
ÅrsagAnvender eller konfigurationForklaringDet indeholdte token er signeret med et udløbet certifikat.Løsning

En af følgende:

  • Bootstrap token signer not valid yet
  • BST2SOSI Certificate not valid yet
  • JWT signer not valid yet
  • NBO certificate not valid yet
  • JWT signer not valid yet
ÅrsagAnvender eller konfiguration
Forklaring
Den medsendte forespørgsel indeholder et bootstrap token med ugyldig xml signatur - dette sker ofte ved omformatering af indeholdet på en signeret besked
Det indeholdte token er signeret med et certifikat der endnu ikke kan benyttes.
Løsning

Et af følgende:

  1. Vent til certifikatet bliver gyldigt. Tidspunktet fremgår af certifikatet.
  1. Kontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.
Certifikat
endnu ikke gyldigt
revokeret
STS svarfaultcode = wst:
InvalidRequest
FailedAuthentication
faultactor = dk:sosi:sts:*
faultstring =
En af følgende:
  • Bootstrap token signer not valid yet
  • BST2SOSI Certificate not valid yet
  • JWT signer not valid yet
  • NBO certificate not valid yet
  • JWT signer not valid yet
Certificate revoked
ÅrsagAnvender
eller konfiguration
Forklaring
Det indeholdte token
Den medsendte forespørgsel er signeret med et revokeret certifikat
der endnu ikke kan benyttes
.
LøsningAnvendersystemet skal forny sit certifikat og benytte dette. Endvidere skal NSP konfigureres til at tillade det nye certifikat
Certifikat revokeret for token signatur

Et af følgende:

  1. Vent til certifikatet bliver gyldigt. Tidspunktet fremgår af certifikatet.
  2. Kontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.
Certifikat revokeret
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:*
faultstring = En af følgende:
  • Bootstrap token signer revoked
  • BST2SOSI Certificate revoked
  • JWT signer revoked
  • NBO certificate revoked
  • JWT signer revoked
ÅrsagAnvender eller konfiguration
ForklaringDet indeholdte token er signeret med et revokeret certifikat.
LøsningKontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.
Certifikat ikke trustedkonfigureret
STS svarfaultcode = wst:InvalidRequestFailedAuthentication
faultactor = dk:sosi:sts:*
faultstring = The certificate that signed the security token is not trustedSigning certificate not whitelisted for this audience
ÅrsagAnvender eller konfiguration
ForklaringDet indeholdte token er signeret med et certifikat, som ikke accepteres af STS. Token bør typisk være signeret af Nem-idsignerende certifikat er ikke whitelistet til at det angivne audience.
LøsningAnvend et token signeret af Nem-id, eller kontakt Kontakt NSP support med henblik på alternativ løsning om nødvendigt (der findes et anvendeligt alternativ i testmiljøerne))at få det ønskede certifikat whitelistet.
Ugyldig udsteder
Token ikke udstedt til borger
STS svarfaultcode = wst:
InvalidRequest
FailedAuthentication
faultactor = dk:sosi:sts
:its

faultstring =
Token not issued to a citizen
Authentication failed: certificate issued by invalid party
ÅrsagAnvender
ForklaringDet
indeholdte token
underskrivende certifikat er ikke udstedt
på baggrund af en borgers certifikat. Kun borger-certifikater kan anvendes
i føderationen og kan derfor ikke anvendes til udstedelse af ID-kort.
Løsning
  1. Undersøg hvilken STS der er brugt, dvs. Test eller Produktion.
  2. Undersøg hvilken CA der har udstedt certifikatet
Certifikat ikke trusted for token signatur
STS
LøsningAnvend et token udstedet på baggrund af et borger certifikat (POCES).Ugyldigt nameidSTS
svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:
its
*
faultstring =
Invalid name: <nameid>
The certificate that signed the security token is not trusted
Årsag
Ukendt
Anvender eller konfiguration
ForklaringDet
indeholdte token indeholder et ugyldigt formateret nameid.LøsningHvis token er udstedt af Nem-id, kontaktes NSP supporten med henblik på analyse af fejlen.Token udløbet
indeholdte token er signeret med et certifikat, som ikke accepteres af STS. Token bør typisk være signeret af Nem-id.
LøsningAnvend et token signeret af Nem-id, eller kontakt NSP support med henblik på alternativ løsning om nødvendigt (der findes et anvendeligt alternativ i testmiljøerne))
MOCES certifikat ikke whitelisted
STS svarfaultcode = wst:
InvalidRequest
FailedAuthentication
faultactor = dk:sosi:sts
:its

faultstring =
En af følgende
  • Bootstrap token no longer valid
  • OIOSAML token no longer valid
ÅrsagOftest anvender
Authentication failed: MOCES not in whitelist [*]
ÅrsagSTS
ForklaringDet
indeholdte token er udløbet
underskrivende certifikat er ikke whitelisted i STS’en og kan derfor ikke udstede ID-kort.
Løsning
Hent og benyt et nyt token.

Dekryptering

Kontakt NSP support med henblik på at få det ønskede certifikat whitelistet.

Token kan ikke dekrypteresSTS svar
MOCES certifikat blacklisted
STS svar
faultcode = wst:
InvalidRequest
FailedAuthentication
faultactor = dk:sosi:sts
:*

faultstring =
Unable to decrypt element
Authentication failed: MOCES is blacklisted [*]
Årsag
Anvender
STS
Forklaring
Den medsendte forespørgsel indeholder et token, som er krypteret med en nøgle som ikke er kendt af STS’enLøsningKan f.eks. skyldes manglende kryptering, kryptering med forkert nøgle, eller at der er "pillet" ved data efter kryptering.

Parse SecurityToken Request

Det underskrivende certifikat er blacklisted i STS’en og kan derfor ikke udstede ID-kort.
Løsning
  1. Bekræft at certifikatet er blacklisted
  2. Undersøg årsagen til blacklisting

Validering af token

Token ikke udstedt til borger
Ugyldig ID-kort version
STS svarfaultcode = wst:
RequestFailed
InvalidRequest
faultactor = dk:sosi:sts:
seal
its
faultstring =
The specified request failed IDCard version ’*’ not supported. Supported versions are: [1.0.1,1.0]
Token not issued to a citizen
ÅrsagAnvender
Forklaring
Forespørgslen indeholder et ID-kort med en version der ikke understøttes af STS (se DGWS for detaljer).LøsningKlienten rettes, så kun understøttede ID-kort versioner anvendes. Nyere versioner af både Seal.Java og Seal.NET producerer ID-kort med korrekt version.

Check Authentication Level

Det indeholdte token er ikke udstedt på baggrund af en borgers certifikat. Kun borger-certifikater kan anvendes
LøsningAnvend et token udstedet på baggrund af et borger certifikat (POCES).
Ugyldig Authentication LevelSTS svarfaultcode = wst:RequestFailed
Ugyldigt nameid
STS svarfaultcode = wst:InvalidRequest

faultactor = dk:sosi:sts:its
faultstring =
The specified RequestSecurityToken is not understood: Authentication level not supported (*)
Invalid name: <nameid>
Årsag
Anvender
Ukendt
Forklaring
Forespørgslen indeholder et ID-kort med et authentication level der ikke er understøttet, dvs. forskelligt fra level 3 eller 4 (se DGWS for detaljer).LøsningKlienten rettes, så kun understøttede authentication level versioner anvendes.

Verify ID Card

Det indeholdte token indeholder et ugyldigt formateret nameid.
LøsningHvis token er udstedt af Nem-id, kontaktes NSP supporten med henblik på analyse af fejlen.
ID-kort gyldighedSTS svarfaultcode = wst:InvalidTimeRange
Token udløbet
STS svar

faultcode = wst:InvalidRequest


faultactor = dk:sosi:sts


faultstring = The requested time range is invalid or unsupported: IDCard have maximum validity of 24 hours + [*]

:its
faultstring = En af følgende

  • Bootstrap token no longer valid
  • OIOSAML token no longer valid
ÅrsagOftest anvender
ForklaringDet indeholdte token er udløbet.
LøsningHent og benyt et nyt token.
ÅrsagAnvenderForklaringForespørgslen anmoder om et ID-kort med gyldighed mere end 24 timer, hvilket ikke understøttes (se DGWS for detaljer).LøsningKlienten rettes, så kun ID-kort med gyldighed på 24 timer eller mindre forsøges udstedt.ID-kort gyldighed
Token kan ikke dekrypteres
STS svarfaultcode = wst:
InvalidTimeRange
InvalidRequest
faultactor = dk:sosi:sts:*
faultstring =
The requested time range is invalid or unsupported: IDCard is created after or expires before current system time
Unable to decrypt element
ÅrsagAnvender
ForklaringDen medsendte forespørgsel indeholder et token, som er krypteret med en nøgle som ikke er kendt af STS’en
LøsningKan f.eks. skyldes manglende kryptering, kryptering med forkert nøgle, eller at der er "pillet" ved data efter kryptering.

Validering af Authentication Level

Ugyldig Authentication Level
STS svarfaultcode = wst:RequestFailed
faultactor = dk:sosi:sts
faultstring = The specified RequestSecurityToken is not understood: Authentication level not supported (*)
ÅrsagAnvender
ForklaringForespørgslen indeholder et ID-kort med et authentication level der ikke er understøttet, dvs. forskelligt fra level 3 eller 4 (se DGWS for detaljer).
LøsningKlienten rettes, så kun understøttede authentication level versioner anvendes.

Validering af ID-kort

Ugyldig ID-kort version
STS svarfaultcode = wst:RequestFailed
faultactor = dk:sosi:sts:seal
faultstring = The specified request failed IDCard version ’*’ not supported. Supported versions are: [1.0.1,1.0]
ÅrsagAnvender
ForklaringForespørgslen indeholder et ID-kort med en version der ikke understøttes af STS (se DGWS for detaljer).
LøsningKlienten rettes, så kun understøttede ID-kort versioner anvendes. Nyere versioner af både Seal.Java og Seal.NET producerer ID-kort med korrekt version.
Ugyldigt tidsinterval på ID-kort
ÅrsagAnvender, STSForklaringID-kortet er udstedt på et system, der ikke er tidssynkroniseret med STS. Hvis tiden afviger signifikant (der tillades nogen tidsdrift), kan ID-kortet ikke udstedes.LøsningSåfremt STS tiden ikke er korrekt vil der generelt være problemer med udstedelsen af ID-kort. Fejlen vil derfor overvejende skulle fejlsøges hos anvenderen:
  1. Undersøg om anvenderens IT-system anvender korrekt tid
  2. Check om NTP anvendes, evt. hyppighed og NTP server
  3. Synkroniser tid
Id kort for gammelt til denne modtager
STS svarfaultcode = wst:InvalidTimeRange
faultactor = dk:sosi:sts
faultstring = The requested time range is invalid or unsupported: IDCard
is too old for this audience: * [*>
have maximum validity of 24 hours + [*]
ÅrsagAnvender
Forklaring
Ved billetomveksling kan der være lagt begrænsninger på hvor gammelt det id-kort som søges vekslet må være. Medsendt i fejlteksten er modtager, samt aktuel og maksimal alder på id-kortet i minutter. Dette vil typisk være 24 timer, men kan for visse modtagere være mindre.LøsningForny ID-kortet og få det signeret af STS.

Verify Certificate

Forespørgslen anmoder om et ID-kort med gyldighed mere end 24 timer, hvilket ikke understøttes (se DGWS for detaljer).
LøsningKlienten rettes, så kun ID-kort med gyldighed på 24 timer eller mindre forsøges udstedt.
Ugyldigt tidsinterval på ID-kortUgyldig udsteder
STS svarfaultcode = wst:FailedAuthenticationInvalidTimeRange
faultactor = dk:sosi:sts
faultstring = Authentication failed: certificate issued by invalid partyThe requested time range is invalid or unsupported: IDCard is created after or expires before current system time
ÅrsagAnvender, STS
ForklaringDet underskrivende certifikat er ikke udstedt i føderationen og kan derfor ikke anvendes til udstedelse af ID-kortID-kortet er udstedt på et system, der ikke er tidssynkroniseret med STS. Hvis tiden afviger signifikant (der tillades nogen tidsdrift), kan ID-kortet ikke udstedes.
Løsning
  1. Undersøg hvilken STS der er brugt, dvs. Test eller Produktion.
  2. Undersøg hvilken CA der har udstedt certifikatet

Verify ACL

Såfremt STS tiden ikke er korrekt vil der generelt være problemer med udstedelsen af ID-kort. Fejlen vil derfor overvejende skulle fejlsøges hos anvenderen:
  1. Undersøg om anvenderens IT-system anvender korrekt tid
  2. Check om NTP anvendes, evt. hyppighed og NTP server
  3. Synkroniser tid
ID-kort for gammelt til denne modtager
MOCES certifikat black listed
STS svarfaultcode = wst:
FailedAuthentication
InvalidTimeRange
faultactor = dk:sosi:sts
faultstring =
Authentication failed: MOCES is blacklisted [
The requested time range is invalid or unsupported: IDCard is too old for this audience: * [*>*]
Årsag
STS
Anvender
Forklaring
Det underskrivende certifikat er black listed i STS’en og kan derfor ikke udstede ID-kort.Løsning
  1. Bekræft at certifikatet er black listed
  2. Undersøg årsagen til black listing

...

Ved billetomveksling kan der være lagt begrænsninger på hvor gammelt det id-kort som søges vekslet må være. Medsendt i fejlteksten er modtager, samt aktuel og maksimal alder på id-kortet i minutter. Dette vil typisk være 24 timer, men kan for visse modtagere være mindre.
LøsningForny ID-kortet og få det signeret af STS.
CVR uoverensstemmelse
STS svarfaultcode = wst:FailedAuthentication
faultactor = dk:sosi:sts
faultstring = Authentication failed: cvr mismatch
ÅrsagAnvender
ForklaringCVR i ID-kortet svarer ikke til CVR i certifikatets subject serial number.
Løsning
  1. Verificer CVR nummer i STS forespørgsel
  2. Find CVR i certifikatet

...