Page History
...
| Certifikat ikke trusted for token signatur | |
|---|---|
| STS svar | faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = The certificate that signed the security token is not trusted |
| Årsag | Anvender eller konfiguration |
| Forklaring | Det indeholdte token er signeret med et certifikat, som ikke accepteres af STS. Token bør typisk være signeret af Nem-id. |
| Løsning | Anvend et token signeret af Nem-id, eller kontakt NSP support med henblik på alternativ løsning om nødvendigt (der findes et anvendeligt alternativ i testmiljøerne)) |
| MOCES certifikat Certifikat ikke whitelisted | |
|---|---|
| STS svar | faultcode = wst:FailedAuthentication
|
| Årsag | STS |
| Forklaring | Det underskrivende certifikat er ikke whitelisted i STS’en og kan derfor ikke udstede ID-kort. |
| Løsning | Kontakt NSP support med henblik på at få det ønskede certifikat whitelistet. |
| MOCES certifikat blacklisted | |
|---|---|
| STS svar | faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts faultstring = Authentication failed: MOCES is blacklisted [*] |
| Årsag | STS |
| Forklaring | Det underskrivende certifikat er blacklisted i STS’en og kan derfor ikke udstede ID-kort. |
| Løsning |
|
Validering af token
| Ugyldig certifikat type |
|---|
| STS svar | faultcode = wst: |
|---|
| FailedAuthentication faultactor = dk:sosi:sts |
faultstring = |
| Authentication failed: signed with unsupported certificate type | |
| Årsag | Anvender |
|---|---|
| Forklaring |
| Typen af det underskrivende certifikat er ikke |
| supporteret af STS. STS understøtter typerne: MOCES, VOCES, FOCES, POCES | |
| Løsning | Benyt et certifikat med et af de understøttede typer. |
|---|
| Ugyldig certifikat type til signering af ID-kort |
|---|
| STS svar | faultcode = wst: |
|---|---|
| FailedAuthentication faultactor = dk:sosi:sts |
faultstring = |
| Authentication failed: must be signed with <certType> |
| Årsag |
|---|
| Anvender |
| Forklaring |
|---|
ID-kortet skal være signeret af et certifikat med type certType. Bruger ID-kort skal signeres af MOCES certifikater. System ID-kort må ikke signeres af MOCES certifikater. |
| Løsning |
|---|
| Signer ID-kortet med et certifikat af typen certType. |
| Ugyldig percistence level af MOCES3 certifikat |
|---|
| STS svar | faultcode = wst: |
|---|---|
| FailedAuthentication faultactor = dk:sosi:sts |
faultstring = |
- Bootstrap token no longer valid
- OIOSAML token no longer valid
| Authentication failed: signed with unsupported certificate - persistence level of moces3 certificates must be global | |
| Årsag | Anvender |
|---|---|
| Forklaring | Der er benyttet et MOCES3 certifikat, som ikke har global persistence level, til at signere ID-kortet. |
| Løsning | Signer ID-kortet med et MOCES3 certifikat med global persistence level |
| STS svar | faultcode = faultactor = faultstring = |
|---|---|
| Årsag | |
| Forklaring | |
| Løsning | |
Validering af token
| Token ikke udstedt til borger |
|---|
| STS svar | faultcode = wst:InvalidRequest faultactor = dk:sosi:sts: |
|---|---|
| its faultstring = |
| Token not issued to a citizen | |
| Årsag | Anvender |
|---|---|
| Forklaring |
Validering af Authentication Level
| Det indeholdte token er ikke udstedt på baggrund af en borgers certifikat. Kun borger-certifikater kan anvendes | |
| Løsning | Anvend et token udstedet på baggrund af et borger certifikat (POCES). |
|---|
| Ugyldigt nameid |
|---|
| STS svar | faultcode = wst: |
|---|
| InvalidRequest faultactor = dk:sosi:sts:its faultstring = |
| Invalid name: <nameid> |
| Årsag |
|---|
| Ukendt |
| Forklaring |
|---|
| Det indeholdte token indeholder et ugyldigt formateret nameid. |
| Løsning |
|---|
Validering af ID-kort
| Hvis token er udstedt af Nem-id, kontaktes NSP supporten med henblik på analyse af fejlen. |
| Token udløbet | |
|---|---|
| Ugyldig ID-kort version | |
| STS svar | faultcode = wst: RequestFailedInvalidRequest faultstring = The specified request failed IDCard version ’*’ not supported. Supported versions are: [1.0.1,1.0] |
| Årsag | Anvender |
| Forklaring | Forespørgslen indeholder et ID-kort med en version der ikke understøttes af STS (se DGWS for detaljer). |
| Løsning | Klienten rettes, så kun understøttede ID-kort versioner anvendes. Nyere versioner af både Seal.Java og Seal.NET producerer ID-kort med korrekt version. |
its
| |
| Årsag | Oftest anvender |
|---|---|
| Forklaring | Det indeholdte token er udløbet. |
| Løsning | Hent og benyt et nyt token. |
| Token kan ikke dekrypteres | |
|---|---|
| STS svar | faultcode = wst: |
| InvalidRequest faultactor = dk:sosi:sts:* faultstring = |
| Unable to decrypt element | |
| Årsag | Anvender |
|---|---|
| Forklaring | Den medsendte forespørgsel indeholder et token, som er krypteret med en nøgle som ikke er kendt af STS’en |
| Løsning | Kan f.eks. skyldes manglende kryptering, kryptering med forkert nøgle, eller at der er "pillet" ved data efter kryptering. |
Validering af Authentication Level
| Ugyldig Authentication Level |
|---|
| STS svar | faultcode = wst: |
|---|---|
| RequestFailed faultactor = dk:sosi:sts faultstring = The |
| specified RequestSecurityToken is not understood: Authentication level not supported (*) | |
| Årsag | Anvender |
|---|
| Forklaring | Forespørgslen indeholder et ID- |
|---|
| kort med et authentication level der ikke er |
| understøttet, dvs. forskelligt fra level 3 eller 4 (se DGWS for detaljer). | |
| Løsning | Klienten rettes, så kun understøttede authentication level versioner anvendes. |
|---|
Validering af ID-kort
| Ugyldig ID-kort version |
|---|
- Undersøg om anvenderens IT-system anvender korrekt tid
- Check om NTP anvendes, evt. hyppighed og NTP server
- Synkroniser tid
| ID-kort for gammelt til denne modtager | |
|---|---|
| STS svar | faultcode = wst:InvalidTimeRangeRequestFailed faultactor = dk:sosi:sts:seal faultstring = The requested time range is invalid or unsupported: IDCard is too old for this audience: * [*>*specified request failed IDCard version ’*’ not supported. Supported versions are: [1.0.1,1.0] |
| Årsag | Anvender |
| Forklaring | Ved billetomveksling kan der være lagt begrænsninger på hvor gammelt det id-kort som søges vekslet må være. Medsendt i fejlteksten er modtager, samt aktuel og maksimal alder på id-kortet i minutter. Dette vil typisk være 24 timer, men kan for visse modtagere være mindre. |
| Løsning | Forny ID-kortet og få det signeret af STS. |
| Forespørgslen indeholder et ID-kort med en version der ikke understøttes af STS (se DGWS for detaljer). | |
| Løsning | Klienten rettes, så kun understøttede ID-kort versioner anvendes. Nyere versioner af både Seal.Java og Seal.NET producerer ID-kort med korrekt version. |
| Ugyldigt tidsinterval på ID-kort | |
|---|---|
| STS svar | faultcode = wst:InvalidTimeRange faultactor = dk:sosi:sts faultstring = The requested time range is invalid or unsupported: IDCard have maximum validity of 24 hours + [*] |
| Årsag | Anvender |
| Forklaring | Forespørgslen anmoder om et ID-kort med gyldighed mere end 24 timer, hvilket ikke understøttes (se DGWS for detaljer). |
| Løsning | Klienten rettes, så kun ID-kort med gyldighed på 24 timer eller mindre forsøges udstedt. |
| Ugyldigt tidsinterval på ID-kort | |
|---|---|
| STS svar | faultcode = wst:InvalidTimeRange faultactor = dk:sosi:sts faultstring = The requested time range is invalid or unsupported: IDCard is created after or expires before current system time |
| Årsag | Anvender, STS |
| Forklaring | ID-kortet er udstedt på et system, der ikke er tidssynkroniseret med STS. Hvis tiden afviger signifikant (der tillades nogen tidsdrift), kan ID-kortet ikke udstedes. |
| Løsning | Såfremt STS tiden ikke er korrekt vil der generelt være problemer med udstedelsen af ID-kort. Fejlen vil derfor overvejende skulle fejlsøges hos anvenderen:
|
| ID-kort for gammelt til denne modtager | |
|---|---|
| STS svar | faultcode = wst:InvalidTimeRange faultactor = dk:sosi:sts faultstring = The requested time range is invalid or unsupported: IDCard is too old for this audience: * [*>*] |
| Årsag | Anvender |
| Forklaring | Ved billetomveksling kan der være lagt begrænsninger på hvor gammelt det id-kort som søges vekslet må være. Medsendt i fejlteksten er modtager, samt aktuel og maksimal alder på id-kortet i minutter. Dette vil typisk være 24 timer, men kan for visse modtagere være mindre. |
| Løsning | Forny ID-kortet og få det signeret af STS. |
| Ugyldigt nameId | |
|---|---|
| STS svar | faultcode = wst:BadRequest faultactor = dk:sosi:sts faultstring = The specified RequestSecurityToken is not understood: IDCard nameId must match information from certificate. |
| Årsag | Anvender |
| Forklaring | nameId på ID-kortet indeholder certifikat informationer, som ikke matcher certifikatet der har signeret ID-kortet |
| Løsning |
|
| CVR uoverensstemmelse | |
|---|---|
| STS svar | faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts faultstring = Authentication failed: cvr mismatch |
| Årsag | Anvender |
| Forklaring | CVR i ID-kortet svarer ikke til CVR i certifikatets subject serial number. |
| Løsning |
|
| Ugyldigt id-kort med authentication level 3 | |
|---|---|
| STS svar | faultcode = wst:BadRequest faultactor = dk:sosi:sts faultstring = The specified RequestSecurityToken is not understood: ID-Card is not a System ID-Card |
| Årsag | Anvender |
| Forklaring | Det medsendte ID-kort har authentication level 3, men er ikke et System ID-kort. |
| Løsning | Ret ID-kortet så det matcher et System ID-kort |
| Ugyldigt id-kort med authentication level 4 | |
|---|---|
| STS svar | faultcode = wst: |
| BadRequest faultactor = dk:sosi:sts faultstring = |
| The specified RequestSecurityToken is not understood: ID-Card is not a User ID-Card | |
| Årsag | Anvender |
|---|---|
| Forklaring |
| Det medsendte ID-kort har authentication level 4, men er ikke et Bruger ID-kort. | |
| Løsning | Hvis der ønskes et Bruger ID-kort: Ret ID-kortet så det matcher et Bruger ID-kort Hvis der ønskes et System ID-kort: Ret authentication level til 3 |
|---|
| Bruger id-kort signeret med VOCES/FOCES certifikat | |||
|---|---|---|---|
| Løsning |
| ||
| STS svar | faultcode = faultactor = faultstring = | ||
| Årsag | Forklaring | Løsning||
| STS svar | faultcode = wst:BadRequest faultactor = = dk:sosi:sts faultstring = The specified RequestSecurityToken is not understood: ID-Card is a User ID-Card signed with VOCES/FOCES | ||
| Årsag | Anvender | ||
| Forklaring | Bruger ID-kortet er signeret med et VOCES eller FOCES certifikat. STS'en tillader kun Bruger ID-kort signeret med et MOCES certifikat. | ||
| Løsning | Benyt et MOCES certifikat til at signere ID-kortet | ||
| STS svar | faultcode = faultactor = faultstring = |
|---|---|
| Årsag | |
| Forklaring | |
| Løsning | |
...