Skip to main content
assistive.skiplink.to.breadcrumbs
assistive.skiplink.to.header.menu
assistive.skiplink.to.action.menu
assistive.skiplink.to.quick.search

Search

Page History

Versions Compared

Key

This line was added.
This line was removed.
Formatting was changed.

Table of Contents

outline	true

Introduktion

Dette dokument er rettet mod personer der skal forstå de fejlsituationer der kan opstå ved kald til STS.

...

Ugyldig signatur
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = Unable to validate envelope signature
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder ingen eller en ugyldig xml signatur - dette sker ofte ved omformatering af indeholdet på en signeret besked
Løsning	Anvendersystemet tilrettes til at signere og/eller undgå omformatering i forbindelse med afsendelse

Ugyldig token signatur
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = Signature on OIOSAMLAssertion is invalid
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder et bootstrap token med ugyldig xml signatur - dette sker ofte ved omformatering af indeholdet på en signeret besked
Løsning	Anvendersystemet tilrettes til at signere og/eller undgå omformatering i forbindelse med afsendelse

Certifikat udløbet
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:* faultstring = Certificate expired or not yet valid
Årsag	Anvender
Forklaring	Den medsendte forespørgsel er signeret med et udløbet certifikat.
Løsning	Anvendersystemet skal forny sit certifikat og benytte dette. Endvidere skal NSP konfigureres til at tillade det nye certifikat

Certifikat udløbet for token signatur
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = En af følgende: Bootstrap token signer expired BST2SOSI Certificate expired JWT signer expired NBO certificate expired JWT signer expired
Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte token er signeret med et udløbet certifikat.
Løsning	Kontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.

Certifikat endnu ikke gyldigt for token signatur
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = En af følgende: Bootstrap token signer not valid yet BST2SOSI Certificate not valid yet JWT signer not valid yet NBO certificate not valid yet JWT signer not valid yet
Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte token er signeret med et certifikat der endnu ikke kan benyttes.
Løsning	Et af følgende: Vent til certifikatet bliver gyldigt. Tidspunktet fremgår af certifikatet. Kontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.

Certifikat revokeret
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:* faultstring = Certificate revoked
Årsag	Anvender
Forklaring	Den medsendte forespørgsel er signeret med et revokeret certifikat.
Løsning	Anvendersystemet skal forny sit certifikat og benytte dette. Endvidere skal NSP konfigureres til at tillade det nye certifikat

Certifikat revokeret for token signatur
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = En af følgende: Bootstrap token signer revoked BST2SOSI Certificate revoked JWT signer revoked NBO certificate revoked JWT signer revoked
Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte token er signeret med et revokeret certifikat.
Løsning	Kontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.

Certifikat ikke konfigureret
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:* faultstring = Signing certificate not whitelisted for this audience
Årsag	Anvender
Forklaring	Det signerende certifikat er ikke whitelistet til at det angivne audience.
Løsning	Kontakt NSP support med henblik på at få det ønskede certifikat whitelistet.

Ugyldig udsteder
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts faultstring = Authentication failed: certificate issued by invalid party
Årsag	Anvender
Forklaring	Det underskrivende certifikat er ikke udstedt i føderationen og kan derfor ikke anvendes til udstedelse af ID-kort.
Løsning	Undersøg hvilken STS der er brugt, dvs. Test eller Produktion. Undersøg hvilken CA der har udstedt certifikatet

Certifikat ikke trusted for token signatur
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = The certificate that signed the security token is not trusted
Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte token er signeret med et certifikat, som ikke accepteres af STS. Token bør typisk være signeret af Nem-id.
Løsning	Anvend et token signeret af Nem-id, eller kontakt NSP support med henblik på alternativ løsning om nødvendigt (der findes et anvendeligt alternativ i testmiljøerne))

MOCES certifikat ikke whitelisted
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts faultstring = Authentication failed: MOCES not in whitelist [*]
Årsag	STS
Forklaring	Det underskrivende certifikat er ikke whitelisted i STS’en og kan derfor ikke udstede ID-kort.
Løsning	Kontakt NSP support med henblik på at få det ønskede certifikat whitelistet.

MOCES certifikat blacklisted
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts faultstring = Authentication failed: MOCES is blacklisted [*]
Årsag	STS
Forklaring	Det underskrivende certifikat er blacklisted i STS’en og kan derfor ikke udstede ID-kort.
Løsning	Bekræft at certifikatet er blacklisted Undersøg årsagen til blacklisting

Validering af token

Token ikke udstedt til borger
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = Token not issued to a citizen
Årsag	Anvender
Forklaring	Det indeholdte token er ikke udstedt på baggrund af en borgers certifikat. Kun borger-certifikater kan anvendes
Løsning	Anvend et token udstedet på baggrund af et borger certifikat (POCES).

...

Ugyldig Authentication Level
STS svar	faultcode = wst:RequestFailed faultactor = dk:sosi:sts faultstring = The specified RequestSecurityToken is not understood: Authentication level not supported (*)
Årsag	Anvender
Forklaring	Forespørgslen indeholder et ID-kort med et authentication level der ikke er understøttet, dvs. forskelligt fra level 3 eller 4 (se DGWS for detaljer).
Løsning	Klienten rettes, så kun understøttede authentication level versioner anvendes.

Validering af ID-kort

Ugyldig ID-kort version
STS svar	faultcode = wst:RequestFailed faultactor = dk:sosi:sts:seal faultstring = The specified request failed IDCard version ’*’ not supported. Supported versions are: [1.0.1,1.0]
Årsag	Anvender
Forklaring	Forespørgslen indeholder et ID-kort med en version der ikke understøttes af STS (se DGWS for detaljer).
Løsning	Klienten rettes, så kun understøttede ID-kort versioner anvendes. Nyere versioner af både Seal.Java og Seal.NET producerer ID-kort med korrekt version.

Ugyldigt tidsinterval på ID-kort
STS svar	faultcode = wst:InvalidTimeRange faultactor = dk:sosi:sts faultstring = The requested time range is invalid or unsupported: IDCard have maximum validity of 24 hours + [*]
Årsag	Anvender
Forklaring	Forespørgslen anmoder om et ID-kort med gyldighed mere end 24 timer, hvilket ikke understøttes (se DGWS for detaljer).
Løsning	Klienten rettes, så kun ID-kort med gyldighed på 24 timer eller mindre forsøges udstedt.

...