Page History

Versions Compared

Key

This line was added.
This line was removed.
Formatting was changed.

...

Ved behandling af en forespørgsel om udstedelse af ID-kort hos en STS, gennemgås en række skridt. Forløbet er skitseret forsimplet nedenfor, med de skridt der har primær relevans i forhold til diagnosticering af udstedelse. Hvert skridt kan føre til en afvisning af forespørgslen, mens succesfuld verifikation leder til signering og dermed udstedelse af et ID-kort.

Image RemovedImage Added

Verificeret forespørgsel

...

I forbindelse med fejlsøgning sammenholdes den konkrete SOAP fejl med de beskrevne STS svar ved hjælp af faultcode, faultactor og faultstring.

Validering af

...

CPR

Ugyldigt CPR nummer
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:cvrridcpr eller dk:sosi:sts:uuidcpr faultstring = En af følgende: Authentication failed: cvrrid-cpr mismatch [CVR:-RID: ,* ,<cpr>] Authentication failed: uuid-cpr mismatch [<uuid>,<cpr>]
Årsag	Anvender, bruger
Forklaring	MOCES Certifikat og CPR-nummer fra ID-kort stemmer ikke overens, og identitet kan ikke bekræftes.
Løsning	Undersøg om det anvendte certifikat svarer til ID-kortet Undersøg om CPR i ID-kort er som forventet Undersøg hvilket CPR er tilknyttet certifikatet

Manglende CPR nummer tilknytning
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:cvrridcpr eller dk:sosi:sts:uuidcpr faultstring = En af følgende: Authentication failed: illegal cvrrid [CVR:-RID:] Authentication failed: illegal uuid [<uuid>]
Årsag	Anvender, bruger
Forklaring	Det anvendte MOCES certifikat har ikke noget tilknytte tilknyttet CPR-nummer og identitet kan ikke bekræftes.
Løsning	Check at der er tilknyttet et CPR til certifikatet hos DanID

Fejl ved CPR nummer opslag
STS svar	faultcode = wst:RequestFailed faultactor = dk:sosi:sts:cvrridcpr faultstring = The specified request failed:*
Årsag	STS
Forklaring	STS har ikke kunnet foretage opslag imod RID-CPR tjeneste og dermed ikke kunnet verificere ID-kortet.
Løsning	Gentag forespørgsel efter kort pause Ved gentagne fejl kontakt helpdesk NSP support med detaljeret fejlbesked

Manglende autorisationFejl ved CVRRID-CPR opslag
STS svar	faultcode = wst:FailedAuthenticationRequestFailed faultactor = dk:sosi:sts:autorisationcvrridcpr faultstring = Authentication failed: missing authorizationThe specified request failed: cvrrid-cpr lookup failed [<subjectSerialNumber>]
Årsag	BrugerSTS
Forklaring	Der findes ikke nogle tilknyttede gyldige autorisationer til CPR-nummeret i autorisationsregisteret.
Løsning	Check at brugeren har en gyldig autorisation.
STS har ikke kunnet foretage opslag imod CVRRID-CPR tjeneste og dermed ikke kunnet verificere ID-kortet.
Løsning	Gentag forespørgsel efter kort pause Ved gentagne fejl kontakt NSP support med henblik på fejlfinding

Fejl ved UUID-CPR opslagForkert autorisation
STS svar	faultcode = wst:FailedAuthenticationRequestFailed faultactor = dk:sosi:sts:autorisationuuidcpr faultstring = Authentication The specified request failed: authorization not found (available [{code, role}, .., {code, role}])uuid-cpr lookup failed [<subjectSerialNumber>]
Årsag	BrugerSTS
Forklaring	Der blev ikke fundet en autorisation tilknyttet CPR-nummeret, som matcher autorisations- eller uddannelseskode i ID-kortet. Medsendt i fejlteksten er en liste over de autorisationskoder (code) og uddannelseskoder (role) som er tilgængelige for CPR-nummeret.
Løsning	Tjek at brugerens autorisationer mathcer med de medsendte oplysninger i ID-kortet, dvs. SAML attributten UserAuthorizationCode (autorisationskode) og UserRole (uddannelseskode). Anvend eventuelt en af de mulige kombinationer i fejlteksten.
STS har ikke kunnet foretage opslag imod UUID-CPR tjeneste og dermed ikke kunnet verificere ID-kortet.
Løsning	Gentag forespørgsel efter kort pause Ved gentagne fejl kontakt NSP support med henblik på fejlfinding

Ingen bruger data for CPRFlere autorisationer fundet
STS svar	faultcode = wst:FailedAuthenticationRequestFailed faultactor = dk:sosi:sts:autorisationbst2sosi faultstring = Authentication failed: multiple authorizations found ([{code, role}, .., {code, role}])Could not find userData for input CPR.
Årsag	Bruger
Forklaring	Der blev fundet mere end én autorisation tilknyttet CPR-nummeret, som matcher autorisations- eller uddannelseskode i ID-kortet. Medsendt i fejlteksten er en liste over de autorisationskoder (code) og uddannelseskoder (role) som matchede.
Løsning	Angiv i ID-kortet hvilken autorisation der skal bruges, dvs. enten med angivelse af autorsations- eller uddannelseskode. Anvend eventuelt en af de mulige kombinationer i fejlteksten.
ikke fundet bruger informationer for det medsendte CPR nummer.
Løsning	Undersøg om det medsendte CPR nummer er korrekt.

Validering af rolle/autorisation

Fejl ved autorisation opslag
STS svar	faultcode = wst:RequestFailed faultactor = dk:sosi:sts:autorisation faultstring = The specified request failed: authorization lookup failed [<cpr>]
Årsag	STS
Forklaring	STS har ikke kunnet foretage opslag imod autorisationsregisteret og dermed ikke kunnet verificere ID-kortet.
Løsning	Gentag forespørgsel efter kort pause Ved gentagne fejl kontakt NSP support med henblik på fejlfinding

Manglende autorisation
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:autorisation faultstring = Authentication failed: missing authorization
Årsag	Bruger
Forklaring	Der er i forespørgslen angivet en autorisation, men der findes ikke nogle tilknyttede gyldige autorisationer til CPR-nummeret i autorisationsregisteret.
Løsning	Tjek at brugeren har en gyldig autorisation.

Forkert autorisation
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:autorisation faultstring = Authentication failed: authorization not found (available [{code, role}, .., {code, role}])
Årsag	Bruger
Forklaring	Der blev ikke fundet en autorisation tilknyttet CPR-nummeret, som matcher autorisations- eller uddannelseskode i ID-kortet. Medsendt i fejlteksten er en liste over de autorisationskoder (code) og uddannelseskoder (role) som er tilgængelige for CPR-nummeret.
Løsning	Tjek at brugerens autorisationer mathcer med de medsendte oplysninger i ID-kortet, dvs. SAML attributten UserAuthorizationCode (autorisationskode) og UserRole (uddannelseskode). Anvend eventuelt en af de mulige kombinationer i fejlteksten.

Flere autorisationer fundet
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:autorisation faultstring = Authentication failed: multiple authorizations found ([{code, role}, .., {code, role}])
Årsag	Bruger
Forklaring	Der blev fundet mere end én autorisation tilknyttet CPR-nummeret, som matcher autorisations- eller uddannelseskode i ID-kortet. Medsendt i fejlteksten er en liste over de autorisationskoder (code) og uddannelseskoder (role) som matchede.
Løsning	Angiv i ID-kortet hvilken autorisation der skal bruges, dvs. enten med angivelse af autorsations- eller uddannelseskode. Anvend eventuelt en af de mulige kombinationer i fejlteksten. Alternativt kan bruger rollen sættes til "urn:dk:healthcare:no-role" i forespørgslen for at angive at der ikke ønskes en rolle eller autorisation på ID-kortet.

Ingen rolle eller autorisation fundet for bruger
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:nbo faultstring = The request was invalid or malformed: EducationCode must be specified or unique authorization must exist.
Årsag	Bruger
Forklaring	Der skal enten være angivet en rolle i ID-kortet, eller den specificerede bruger skal have præcis én national rolle eller autorisation.
Løsning	Angiv i ID-kortet den ønskede rolle eller autorisation for brugeren.

Bruger har ikke den forespurgte nationale rolle
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:autorisation faultstring = Authentication failed: user does not have the requested role (<role>)
Årsag	Bruger
Forklaring	Den medsendte nationale rolle er ikke tilknyttet den specificerede bruger.
Løsning	Lav en ny forespørgsel med en rolle, som er knyttet til den specificerede bruger.

Ugyldig national rolle
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:autorisation faultstring = Authentication failed: invalid role supplied (<role>)
Årsag	Anvender
Forklaring	Medsendte rolle har formatet af en national rolle, men matcher ikke en kendt national rolle.
Løsning	Undersøg om medsendte rolle er indtastet forkert.

Flere nationale roller fundet
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:autorisation faultstring = Authentication failed: multiple national roles found (<nationalRoles>)
Årsag	Anvender
Forklaring	Forespørgslen indeholder ikke en national rolle eller autorisation, og der blev fundet mere end én national rolle tilknyttet CPR-nummeret for brugeren.
Løsning	Angiv i forespørgslen hvilken national rolle der skal bruges. Anvend en af de mulige roller (nationalRoles) fra fejlteksten. Alternativt kan bruger rollen sættes til "urn:dk:healthcare:no-role" i forespørgslen for at angive at der ikke ønskes en rolle eller autorisation på ID-kortet.

Autorisation og rolle i samme forespørgsel
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:bst2sosi faultstring = The request was invalid or malformed: Only one of UserAuthorizationCode or UserRole is allowed in request.
Årsag	Anvender
Forklaring	Det er for denne omveksling ikke tilladt at specificere både UserAuthorizationCode og UserRole i samme forespørgsel.
Løsning	Fjern enten UserAuthorizationCode eller UserRole fra forespørgslen.

Validering af claims

Manglende CPR claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = CPR claim missing
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder ikke et CPR claim.
Løsning	Fremsend en ny forespørgsel med et gyldigt CPR claim (og overvej at stramme op på klient systemets input validering).

Ugyldigt CPR claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = CPR-number must be 10 digits
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder et CPR claim i ugyldigt format.
Løsning	Fremsend en ny forespørgsel med et gyldigt CPR claim (og overvej at stramme op på klient systemets input validering).

Forkert CPR claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = CPR/PID mismatch
Årsag	Anvender
Forklaring	Det medsendte påståede CPR matcher ikke cpr nummeret tilknyttet brugerens certifikat. Brugeren har formentlig tastet forkert.
Løsning	Fremsend en ny forespørgsel med et gyldigt CPR claim.

Forkert CPR claimIngen rolle eller autorisation fundet for bruger
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:nboits faultstring = The request was invalid or malformed: EducationCode must be specified or unique authorization must existCpr claim does not match cpr in assertion or Subject NameID.
Årsag	BrugerAnvender
Forklaring	Der skal enten være angivet en rolle i ID-kortet, eller den specificerede bruger skal have præcis én national rolle eller autorisation.
Løsning	Angiv i ID-kortet den ønskede rolle eller autorisation for brugeren.

Ingen bruger data for CPR

Det medsendte påståede CPR matcher ikke cpr nummeret i det medsendte token, eller Subject NameID. Brugeren har formentlig tastet forkert.
Løsning	Fremsend en ny forespørgsel med et gyldigt CPR claim.

Fejl i validering af CPR claim
STS svar	faultcode = wst:

RequestFailed

InvalidRequest
faultactor = dk:sosi:sts:

bst2sosi

its
faultstring =

Could not find userData for input CPR.

Årsag
Unable to validateScope cpr

Bruger

Forklaring
STS

Der blev ikke fundet bruger informationer for

STS'en kunne ikke validere gyldigheden af det medsendte påståede CPR

nummer

Løsning
.

Undersøg om det medsendte CPR nummer er korrekt.

Kontakt NSP support for at få fejlen undersøgt nærmere.

Tomt OnBehalfOf claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = OnBehalfOf claim must not be empty
Årsag	Anvender
Forklaring	Løsning

Validering af claims

	Den medsendte forespørgsel indeholder et tomt OnBehalfOf claim.
Løsning	Fremsend en ny forespørgsel, enten uden OnBehalfOf claim eller med et gyldigt OnBehalfOf claim (og overvej at stramme op på klient systemets input validering).

Ugyldigt OnBehalfOf Manglende CPR claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring* = CPR claim missingNo privileges provided by procuration
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder ikke et CPR claimpåståede fuldmagt (OnBehalfOf) findes ikke.
Løsning	Undersøg om cpr nummeret i OnBehalfOf er indtastet rigtigt. Undersøg om brugeren har en fuldmagt for dette cpr nummer.

Fejl i validering af OnBehalfOf		Fremsend en ny forespørgsel med et gyldigt CPR claim (og overvej at stramme op på klient systemets input validering).	Ugyldigt CPR claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring* = CPR-number must be 10 digitsUnable to get procurations
Årsag	AnvenderSTS
Forklaring	Den medsendte forespørgsel indeholder et CPR claim i ugyldigt formatSTS'en kunne ikke validere gyldigheden af den medsendte påståede fuldmagt.
Løsning	Kontakt NSP support for at få fejlen undersøgt nærmere.

Ugyldige claims		Fremsend en ny forespørgsel med et gyldigt CPR claim (og overvej at stramme op på klient systemets input validering).	Forkert CPR claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its* faultstring = CPR/PID mismatchThe request was invalid or malformed: Request contains invalid claims. Valid claims are: <validClaims>
Årsag	Anvender
Forklaring	Det medsendte påståede CPR matcher ikke cpr nummeret tilknyttet brugerens certifikat. Brugeren har formentlig tastet forkert.
Løsning	Fremsend en ny forespørgsel med et gyldigt CPR claim.
Forespørgslen indeholder claims som ikke kan bruges til denne type omveksling.
Løsning	Fjern claims fra forespørgslen, som ikke findes i listen af gyldige claims (validClaims).

Validering af audience

Angivelse af audience manglerForkert CPR claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = Cpr claim does not match cpr in assertion or Subject NameID.Audience is missing
Årsag	Anvender
Forklaring	Det medsendte påståede CPR matcher ikke cpr nummeret i det medsendte token, eller Subject NameID. Brugeren har formentlig tastet forkert.
Løsning	Fremsend en ny forespørgsel med et gyldigt CPR claim.
Den medsendte forespørgsel indeholder ikke angivelse af et audience (som det udstedte token kan benyttes til)
Løsning	Anvendersystemet tilrettes til at medsende audience (dette vil ofte være https://fmk).

Ukendt audienceFejl i validering af CPR claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts :its faultstring = Unable to validateScope cpr
Årsag	STS
Forklaring	STS'en kunne ikke validere gyldigheden af det medsendte påståede CPR.
Løsning	Kontakt NSP support for at få fejlen undersøgt nærmere.
:* faultstring = En af følgende: Audience not configured: <audience> The request was invalid or malformed: audience not known. The specified request failed: No configuration found for audience, '<audience>'
Årsag	Anvender eller konfiguration
Forklaring	Den medsendte forespørgsel indeholder angivelse af et ukendt audience (som det udstedte token kan benyttes til)
Løsning	Anvendersystemet tilrettes til at medsende korrekt audience (dette vil ofte være https://fmk). Hvis medsendte audience er korrekt, kontaktes NSP support for at få konfigureret STS med dette audience.

Ukendt audience for issuerTomt OnBehalfOf claim
STS svar	faultcode = wst:InvalidRequestRequestFailed faultactor = dk:sosi:sts:its faultstring = OnBehalfOf claim must not be emptyBST2IDWS assertion has an invalid audience. Actual audience:<audience>, Allowed audience:<allowedAudience>
Årsag	Anvender eller konfiguration
Forklaring	Den medsendte forespørgsel indeholder et tomt OnBehalfOf claim.
Løsning	Fremsend en ny forespørgsel, enten uden OnBehalfOf claim eller med et gyldigt OnBehalfOf claim (og overvej at stramme op på klient systemets input validering).
Det angivne audience er ikke tilladt for udstederen af det medsendte token
Løsning	Sørg for at 'AudienceRestriction' på det medsendte token er allowedAudience

Ukendt audience for BST2SOSI forespørgselUgyldigt OnBehalfOf claim
STS svar	faultcode = wst:InvalidRequestRequestFailed faultactor = dk:sosi:sts:itsbst2sosi faultstring = No privileges provided by procurationBST2SOSI assertion does not have allowed audience. Actual type:<audience>, Allowed type:<allowedAudience>
Årsag	Anvender
Forklaring	Den påståede fuldmagt (OnBehalfOf) findes ikkeBST2SOSI omvekslingen kræver en bestemt audience (allowedAudience).
Løsning	Undersøg om cpr nummeret i OnBehalfOf er indtastet rigtigt. Undersøg om brugeren har en fuldmagt for dette cpr nummer.	Lav en ny forespørgsel hvor audience på tokenet er allowedAudience.

Validering af signatur

Ugyldig signaturFejl i validering af OnBehalfOf claim
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its* faultstring = Unable to get procurationsvalidate envelope signature
Årsag	STSAnvender
Forklaring	STS'en kunne ikke validere gyldigheden af den medsendte påståede fuldmagt.
Løsning	Kontakt NSP support for at få fejlen undersøgt nærmere.
STS svar	faultcode = faultactor = faultstring =
Årsag	Forklaring	Løsning

Validering af audience

Den medsendte forespørgsel indeholder ingen eller en ugyldig xml signatur - dette sker ofte ved omformatering af indeholdet på en signeret besked
Løsning	Anvendersystemet tilrettes til at signere og/eller undgå omformatering i forbindelse med afsendelse

Ugyldig token signaturAngivelse af audience mangler
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its* faultstring = Audience Signature on OIOSAMLAssertion is missinginvalid
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder ikke angivelse af et audience (som det udstedte token kan benyttes til)et bootstrap token med ugyldig xml signatur - dette sker ofte ved omformatering af indeholdet på en signeret besked
Løsning	Anvendersystemet tilrettes til at medsende audience (dette vil ofte være https://fmk).signere og/eller undgå omformatering i forbindelse med afsendelse

Certifikat udløbetUkendt audience
STS svar	faultcode = wst:InvalidRequestFailedAuthentication faultactor = dk:sosi:sts:* faultstring = En af følgende: Audience not configured: <audience> The request was invalid or malformed: audience not known. The specified request failed: No configuration found for audience, '<audience>' faultstring = Certificate expired or not yet valid
Årsag	Anvender eller konfiguration
Forklaring	Den medsendte forespørgsel indeholder angivelse af et ukendt audience (som det udstedte token kan benyttes til)
Løsning	Anvendersystemet tilrettes til at medsende korrekt audience (dette vil ofte være https://fmk). Hvis medsendte audience er korrekt, kontaktes NSP support for at få konfigureret STS med dette audience.
er signeret med et udløbet certifikat.
Løsning	Anvendersystemet skal forny sit certifikat og benytte dette. Endvidere skal NSP konfigureres til at tillade det nye certifikat

Certifikat udløbet for token signaturUkendt audience for issuer
STS svar	faultcode = wst: RequestFailed InvalidRequest faultactor = dk:sosi:sts: its * faultstring = BST2IDWS assertion has an invalid audience. Actual audience:<audience>, Allowed audience:<allowedAudience> En af følgende: Bootstrap token signer expired BST2SOSI Certificate expired JWT signer expired NBO certificate expired JWT signer expired
Årsag	Anvender eller konfiguration
Forklaring	Det angivne audience er ikke tilladt for udstederen af det medsendte token
Løsning	Sørg for at 'AudienceRestriction' på det medsendte token er allowedAudience
indeholdte token er signeret med et udløbet certifikat.
Løsning	Kontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.

Certifikat endnu ikke gyldigt for token signaturUkendt audience for BST2SOSI forespørgsel
STS svar	faultcode = wst: RequestFailed InvalidRequest faultactor = dk:sosi:sts :bst2sosi faultstring = BST2SOSI assertion does not have allowed audience. Actual type:<audience>, Allowed type:<allowedAudience> :* faultstring = En af følgende: Bootstrap token signer not valid yet BST2SOSI Certificate not valid yet JWT signer not valid yet NBO certificate not valid yet JWT signer not valid yet
Årsag	Anvender eller konfiguration
Forklaring	BST2SOSI omvekslingen kræver en bestemt audience (allowedAudience).
Løsning	Lav en ny forespørgsel hvor audience på tokenet er allowedAudience.

Validering af signatur

Det indeholdte token er signeret med et certifikat der endnu ikke kan benyttes.
Løsning	Et af følgende: Vent til certifikatet bliver gyldigt. Tidspunktet fremgår af certifikatet. Kontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.

Det indeholdte token er signeret med et certifikat der endnu ikke kan benyttes.

Løsning

Et af følgende:

Vent til certifikatet bliver gyldigt. Tidspunktet fremgår af certifikatet.
Kontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.

Certifikat revokeret
Ugyldig signatur
STS svar	faultcode = wst:InvalidRequestFailedAuthentication faultactor = dk:sosi:sts:* faultstring = Unable to validate envelope signatureCertificate revoked
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder ingen eller en ugyldig xml signatur - dette sker ofte ved omformatering af indeholdet på en signeret beskeder signeret med et revokeret certifikat.
Løsning	Anvendersystemet tilrettes til at signere og/eller undgå omformatering i forbindelse med afsendelseskal forny sit certifikat og benytte dette. Endvidere skal NSP konfigureres til at tillade det nye certifikat

Certifikat revokeret for Ugyldig token signatur
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = Signature on OIOSAMLAssertion is invalidEn af følgende: Bootstrap token signer revoked BST2SOSI Certificate revoked JWT signer revoked NBO certificate revoked JWT signer revoked
Årsag	Anvender eller konfiguration
Forklaring	Den medsendte forespørgsel indeholder et bootstrap token med ugyldig xml signatur - dette sker ofte ved omformatering af indeholdet på en signeret besked
Løsning	Anvendersystemet tilrettes til at signere og/eller undgå omformatering i forbindelse med afsendelse
Det indeholdte token er signeret med et revokeret certifikat.
Løsning	Kontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.

Fejl i validering af certifikatCertifikat udløbet
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:* faultstring = Certificate expired or not yet validAuthentication failed: Certificate invalid (<errorMessage>)
Årsag	AnvenderUkendt
Forklaring	Den medsendte forespørgsel er signeret med et udløbet Noget gik galt i valideringen af det signerende certifikat.
Løsning	Anvendersystemet skal forny sit certifikat og benytte dette. Endvidere skal NSP konfigureres til at tillade det nye certifikat	Kontakt NSP support med henblik på analyse af fejlen.

Certifikat ikke konfigureret for audienceCertifikat udløbet for token signatur
STS svar	faultcode = wst:InvalidRequestFailedAuthentication faultactor = dk:sosi:sts:* faultstring = En af følgende: Bootstrap token signer expired BST2SOSI Certificate expired JWT signer expired NBO certificate expired JWT signer expired Signing certificate not whitelisted for this audience
Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte token er signeret med et udløbet certifikatsignerende certifikat er ikke whitelistet for det angivne audience.
Løsning	Kontakt NSP support . Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dettemed henblik på at få det ønskede certifikat whitelistet.

Certifikat endnu ikke gyldigt konfigureret for token signaturissuer
STS svar	faultcode = wst:InvalidRequestFailedAuthentication faultactor = dk:sosi:sts:* faultstring = En af følgende: Bootstrap token signer not valid yet BST2SOSI Certificate not valid yet JWT signer not valid yet NBO certificate not valid yet JWT signer not valid yet Signing certificate not whitelisted for this issuer
Årsag	Anvender	Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte token er signeret med et certifikat der endnu ikke kan benyttes.
Løsning	Et af følgende: Vent til certifikatet bliver gyldigt. Tidspunktet fremgår af certifikatet. Kontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.
signerende certifikat er ikke whitelistet for udstederen af ID-kortet.
Løsning	Kontakt NSP support med henblik på at få det ønskede certifikat whitelistet.

Ugyldig udstederCertifikat revokeret
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:* faultstring = Certificate revokedAuthentication failed: certificate issued by invalid party
Årsag	Anvender
Forklaring	Den medsendte forespørgsel er signeret med et revokeret certifikat.
Løsning	Anvendersystemet skal forny sit certifikat og benytte dette. Endvidere skal NSP konfigureres til at tillade det nye certifikat
Det underskrivende certifikat er ikke udstedt i føderationen og kan derfor ikke anvendes til udstedelse af ID-kort.
Løsning	Undersøg hvilken STS der er brugt, dvs. Test eller Produktion. Undersøg hvilken CA der har udstedt certifikatet

Certifikat ikke trusted Certifikat revokeret for token signatur
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring = En af følgende: Bootstrap token signer revoked BST2SOSI Certificate revoked JWT signer revoked NBO certificate revoked JWT signer revoked The certificate that signed the security token is not trusted
Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte token er signeret med et revokeret certifikat.
Løsning	Kontakt NSP support. Den Idp (typisk Nem-id) som signerer token skal benytte et nyt certifikat, NSP skal konfigureres til at stole på dette.
Det indeholdte token er signeret med et certifikat, som ikke accepteres af STS. Token bør typisk være signeret af Nem-id.
Løsning	Anvend et token signeret af Nem-id, eller kontakt NSP support med henblik på alternativ løsning om nødvendigt (der findes et anvendeligt alternativ i testmiljøerne))

Certifikat ikke whitelistedFejl i validering af certifikat
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts :* faultstring = Authentication failed: Certificate invalid (<errorMessage>)
Årsag	Ukendt
faultstring = En af følgende: Authentication failed: MOCES not in whitelist [] Authentication failed: VOCES not in whitelist []
Årsag	STS
Forklaring	Det underskrivende certifikat er ikke whitelisted i STS’en og kan derfor ikke udstede ID-kort	Forklaring	Noget gik galt i valideringen af det signerende certifikat.
Løsning	Kontakt NSP support med henblik på analyse af fejlen. at få det ønskede certifikat whitelistet.

MOCES certifikat blacklistedCertifikat ikke konfigureret for audience
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:* faultstring = Signing certificate not whitelisted for this audienceAuthentication failed: MOCES is blacklisted [*]
Årsag	AnvenderSTS
Forklaring	Det signerende certifikat er ikke whitelistet for det angivne audienceunderskrivende certifikat er blacklisted i STS’en og kan derfor ikke udstede ID-kort.
Løsning	Kontakt NSP support med henblik på at få det ønskede certifikat whitelistet.
Certifikat ikke konfigureret for issuer
Bekræft at certifikatet er blacklisted Undersøg årsagen til blacklisting

Ugyldig certifikat type
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts:* faultstring = Signing certificate not whitelisted for this issuerAuthentication failed: signed with unsupported certificate type
Årsag	Anvender
Forklaring	Det signerende Typen af det underskrivende certifikat er ikke whitelistet for udstederen af ID-kortet.
Løsning	Kontakt NSP support med henblik på at få det ønskede certifikat whitelistet.
supporteret af STS. STS understøtter typerne: MOCES, VOCES, FOCES, POCES
Løsning	Benyt et certifikat med et af de understøttede typer.

Ugyldig certifikat type til signering af ID-kortUgyldig udsteder
STS svar	faultcode = wst:FailedAuthentication faultactor = dk:sosi:sts faultstring = Authentication failed: certificate issued by invalid partymust be signed with <certType>
Årsag	Anvender
Forklaring	Det underskrivende certifikat er ikke udstedt i føderationen og kan derfor ikke anvendes til udstedelse af ID-kort.
Løsning	Undersøg hvilken STS der er brugt, dvs. Test eller Produktion. Undersøg hvilken CA der har udstedt certifikatet
ID-kortet skal være signeret af et certifikat med type certType. Bruger ID-kort skal signeres af MOCES certifikater. System ID-kort må ikke signeres af MOCES certifikater.
Løsning	Signer ID-kortet med et certifikat af typen certType.

Ugyldig percistence level af MOCES3 certifikatCertifikat ikke trusted for token signatur
STS svar	faultcode = wst:InvalidRequestFailedAuthentication faultactor = dk:sosi:sts:* faultstring = The certificate that signed the security token is not trustedAuthentication failed: signed with unsupported certificate - persistence level of moces3 certificates must be global
Årsag	Anvender eller konfiguration
Forklaring	Det indeholdte token er signeret med et Der er benyttet et MOCES3 certifikat, som ikke accepteres af STS. Token bør typisk være signeret af Nem-id har global persistence level, til at signere ID-kortet.
Løsning	Anvend et token signeret af Nem-id, eller kontakt NSP support med henblik på alternativ løsning om nødvendigt (der findes et anvendeligt alternativ i testmiljøerne))	Signer ID-kortet med et MOCES3 certifikat med global persistence level

Bruger id-kort signeret med VOCES/FOCES certifikatCertifikat ikke whitelisted
STS svar	faultcode = wst:FailedAuthenticationBadRequest faultactor = dk:sosi:sts faultstring = En af følgende: Authentication failed: MOCES not in whitelist [] Authentication failed: VOCES not in whitelist []
Årsag	STS
Forklaring	Det underskrivende certifikat er ikke whitelisted i STS’en og kan derfor ikke udstede ID-kort.
Løsning	Kontakt NSP support med henblik på at få det ønskede certifikat whitelistet.
The specified RequestSecurityToken is not understood: ID-Card is a User ID-Card signed with VOCES/FOCES
Årsag	Anvender
Forklaring	Bruger ID-kortet er signeret med et VOCES eller FOCES certifikat. STS'en tillader kun Bruger ID-kort signeret med et MOCES certifikat.
Løsning	Benyt et MOCES certifikat til at signere ID-kortet

Manglende elementer i signaturMOCES certifikat blacklisted
STS svar	faultcode = wst:FailedAuthenticationAuthenticationBadElements faultactor = dk:sosi:sts:seal faultstring = Authentication failed: MOCES is blacklisted []Insufficient Digest Elements:
Årsag	STSAnvender
Forklaring	Det underskrivende certifikat er blacklisted i STS’en og kan derfor ikke udstede ID-kortDen medsendte forespørgsel indeholder en xml signatur med manglende elementer.
Løsning	Bekræft at certifikatet er blacklisted Undersøg årsagen til blacklisting
Ugyldig certifikat type
Undersøg om noget er gået galt i forbindelse med signeringen af forespørgslen.

Validering af token

Token ikke udstedt til borger
STS svar	faultcode = wst:

FailedAuthentication

InvalidRequest
faultactor = dk:sosi:sts:its
faultstring =

Authentication failed: signed with unsupported certificate type

Forklaring
Token not issued to a citizen
Årsag	Anvender

Typen af det underskrivende certifikat

Det indeholdte token er ikke udstedt på baggrund af en borgers certifikat. Kun borger-certifikater kan anvendes
Løsning	Anvend et token udstedet på baggrund af et borger certifikat (POCES).

supporteret af STS. STS understøtter typerne: MOCES, VOCES, FOCES, POCES

Ugyldigt nameID
Løsning	Benyt et certifikat med et af de understøttede typer.
Ugyldig certifikat type til signering af ID-kort
STS svar	faultcode = wst: FailedAuthentication InvalidRequest faultactor = dk:sosi:sts:its faultstring = Authentication failed: must be signed with <certType En af følgende: Invalid name: <nameID> Invalid Subject NameID: <nameID>
Årsag	AnvenderUkendt
Forklaring	ID-kortet skal være signeret af et certifikat med type certType. Bruger ID-kort skal signeres af MOCES certifikater. System ID-kort må ikke signeres af MOCES certifikaterDet indeholdte token indeholder et ugyldigt formateret nameID.
Løsning	Signer ID-kortet med et certifikat af typen certType.	Hvis token er udstedt af Nem-id, kontaktes NSP supporten med henblik på analyse af fejlen.

Token udløbetUgyldig percistence level af MOCES3 certifikat
STS svar	faultcode = wst: FailedAuthentication InvalidRequest faultactor = dk:sosi:sts faultstring = Authentication failed: signed with unsupported certificate - persistence level of moces3 certificates must be global
Årsag	Anvender
Forklaring	Der er benyttet et MOCES3 certifikat, som ikke har global persistence level, til at signere ID-kortet.
:its faultstring = En af følgende Bootstrap token no longer valid OIOSAML token no longer valid
Årsag	Oftest anvender
Forklaring	Det indeholdte token er udløbet.
Løsning	Hent og benyt et nyt token.

Signer ID-kortet med et MOCES3 certifikat med global persistence level

Token kan ikke dekrypteres

Løsning

STS svar

faultcode =

wst:InvalidRequest eller wst:RequestFailed
faultactor =

dk:sosi:sts:*
faultstring =

En af følgende:

Unable to decrypt element
The specified request failed: Could not decrypt Assertion with any of the encryption keys in IdpConfigService.

Årsag

Anvender

Forklaring

Løsning

Validering af token

Den medsendte forespørgsel indeholder et token, som er krypteret med en nøgle som ikke er kendt af STS’en
Løsning	Kan f.eks. skyldes manglende kryptering, kryptering med forkert nøgle, eller at der er "pillet" ved data efter kryptering.

Ugyldig SAML token type

Token ikke udstedt til borger


STS svar	faultcode = wst:

InvalidRequest

RequestFailed
faultactor = dk:sosi:sts:its
faultstring =

Token not issued to a citizen

En af følgende:

BST2IDWS assertion is not allowed type. Actual type:<type>, Allowed types:<allowedTypes>
BST2SOSI assertion is not allowed type. Actual type:<type>, Allowed types:<allowedTypes>

Årsag

Anvender

Forklaring

Det indeholdte token er ikke udstedt på baggrund af en borgers certifikat. Kun borger-certifikater kan anvendes

Løsning
Den medsendte forespørgsel indeholder en token type, der ikke er gyldig for denne forespørgsel.

Anvend

Benyt et token

udstedet på baggrund af et borger certifikat (POCES).

med en af de gyldige typer (allowedTypes)

Ukendt token issuerUgyldigt nameID
STS svar	faultcode = wst:InvalidRequest eller wst:RequestFailed faultactor = dk:sosi:sts:its eller dk:sosi:sts faultstring = En af følgende: Invalid nameUnknown issuer: <nameIDissuer>Invalid Subject NameID The specified request failed: Could not find IdpConfiguration for issuer: <nameID>
Årsag	Ukendt
Forklaring	Det indeholdte token indeholder et ugyldigt formateret nameID.
Løsning	Hvis token er udstedt af Nem-id, kontaktes NSP supporten med henblik på analyse af fejlen.
issuer> The specified request failed: IdpConfig cannot be null in Bootstrap2IdwsConfig
Årsag	Anvender, STS
Forklaring	Udstederen (issuer) af det medsendte token er ikke kendt af STS'en
Løsning	Undersøg om det medsendte token har sat issuer korrekt. Hvis udstederen af tokenet er korrekt, skal NSP support kontaktes for at få STS'en konfigureret med denne udsteder.

Ugyldig SAML token type

Manglende STS token scope
Token udløbet
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = En af følgende Bootstrap token no longer valid OIOSAML token no longer valid
Årsag	Oftest anvender
Forklaring	Det indeholdte token er udløbet.
Løsning	Hent og benyt et nyt token.
Token kan ikke dekrypteres
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring* = Unable to decrypt elementIncoming JSON webtoken not scoped for this sts: <scope>
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder et token, som er krypteret med en nøgle som ikke er kendt af STS’en
Løsning	Kan f.eks. skyldes manglende kryptering, kryptering med forkert nøgle, eller at der er "pillet" ved data efter kryptering.
Listen af scopes i det medsendte token indeholder ikke det krævede STS scope for denne type forespørgsel.
Løsning	Kontakt NSP support, hvis det krævede scope ikke kendes. Udsted et nyt token hvor det krævede scope er indeholdt.

Manglende jwt scope konfiguration for audience
STS svar	faultcode = wst:

RequestFailed

InvalidRequest faultactor = dk:sosi:sts:its faultstring = JWT scope not configured for audience <audience>
Årsag	STS
Forklaring	Det medsendte audience er ikke konfigureret med et krævet jwt scope
Løsning	Kontakt NSP support med henblik på at rette konfigurationen for dette audience.

En af følgende:

BST2IDWS assertion is not allowed type. Actual type:<type>, Allowed types:<allowedTypes>
BST2SOSI assertion is not allowed type. Actual type:<type>, Allowed types:<allowedTypes>

Manglende audience token scope
Årsag	Anvender
Forklaring	Den medsendte forespørgsel indeholder en token type, der ikke er gyldig for denne forespørgsel.
Løsning	Benyt et token med en af de gyldige typer (allowedTypes)
Ukendt token issuer
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = Unknown issuer: <issuer>Incoming JSON webtoken not scoped for audience (<audience>)
Årsag	Anvender, STS
Forklaring	Listen af scopes i Udstederen (issuer) af det medsendte token er ikke kendt af STS'enindeholder ikke det krævede scope for dette audience.
Løsning	Undersøg om det medsendte token har sat issuer korrekt. Hvis udstederen af tokenet er korrekt, skal NSP support kontaktes for at få STS'en konfigureret med denne udsteder.	Kontakt NSP support, hvis det krævede scope ikke kendes. Udsted et nyt token hvor det krævede scope er indeholdt.

Kontakt NSP support, hvis det krævede scope ikke kendes.

Manglende certsubdn på jwt tokenManglende STS token scope
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = Incoming JSON webtoken not scoped for this sts: <scope>JWT claim missing: certsubdn
Årsag	Anvender
Forklaring	Listen af scopes i det medsendte token indeholder ikke det krævede STS scope for denne type forespørgsel.	Løsning	Medsendte jwt token mangler feltet "certsubdn"
Løsning	Udsted et nyt jwt token hvor det krævede scope er indeholdt, hvor feltet "certsubdn" er inkluderet.

Manglende

jwt scope konfiguration for audience

IT System
STS svar	faultcode = wst:InvalidRequest faultactor =

dk:sosi:sts:its
faultstring = JWT scope not configured for audience <audience>ÅrsagSTSForklaringDet medsendte audience er ikke konfigureret med et krævet jwt scope

dk:sosi:sts:nbo eller dk:sosi:sts:bst2sosi faultstring = En af følgende: The request was invalid or malformed: IT System must be specified. The request was invalid or malformed: ITSystemName is required in request.
Årsag	Anvender
Forklaring	Feltet "ITSystemName" er påkrævet for denne type forespørgsel.
Løsning	Lav en ny forespørgsel, hvor "ITSystemName" er specificeret.

Ugyldig basic privileges

Løsning

Kontakt NSP support med henblik på at rette konfigurationen for dette audience.

Manglende audience token scope
STS svar	faultcode = wst:InvalidRequestRequestFailed faultactor = dk:sosi:sts:itsbst2sosi faultstring = Incoming JSON webtoken not scoped for audience (<audience>)BST2SOSI assertion contains an invalid basic privilege profile
Årsag	Anvender
Forklaring	Listen af scopes i "privileges" på det medsendte token indeholder ikke det krævede scope for dette audiencebootstrap token har et ugyldigt format og kunne ikke læses af STS'en.
Løsning	Kontakt NSP support, hvis det krævede scope ikke kendes. Udsted et nyt token hvor det krævede scope er indeholdt.	Fjern "privileges" feltet eller ret det til et gyldigt format.

Manglende RID eller UUID på bootstrap Manglende certsubdn på jwt token
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:itsbst2sosi faultstring = JWT claim missing: certsubdnBST2SOSI assertion must contain one of the attributes: '<ridAttribute>' or '<uuidAttribute>'
Årsag	Anvender
Forklaring	Medsendte jwt token mangler feltet "certsubdn"
Løsning	Udsted et nyt jwt token, hvor feltet "certsubdn" er inkluderet.
For den medsendte token type, kræves enten et RID nummer eller et UUID
Løsning	Tilføj RID nummer eller UUID til medsendte token

Manglende UUID på bootstrap Manglende IT System på token
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:nbobst2sosi faultstring = The request was invalid or malformed: IT System must be specified.BST2SOSI assertion must contain the attribute '<uuidAttribute>'
Årsag	Anvender
Forklaring	For den	Forklaring	Feltet "ITSystemName" er påkrævet på det medsendte token , på denne type forespørgsel.
Løsning	Lav en ny forespørgsel, hvor "ITSystemName" er specificeret på tokenet.
type, kræves et UUID
Løsning	Tilføj UUID til medsendte token

Fjern "privileges" feltet eller ret det til et gyldigt format.

Manglende token i forespørgsel
Ugyldig basic privileges
STS svar	faultcode = wst:RequestFailed faultactor = dk:sosi:sts:bst2sosi faultstring = BST2SOSI assertion contains an invalid basic privilege profileThe specified request failed: No assertion element found on request.
Årsag	Anvender
Forklaring	"privileges" på det medsendte bootstrap token har et ugyldigt format og kunne ikke læses af STS'en.	Løsning	Forespørgslen mangler et bootstrap token (assertion)
Løsning	Undersøg hvorfor forespørgslen er blevet lavet uden et bootstrap token

Manglende token attribut
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:* faultstring =	Årsag	Forklaring	Løsning

...

The request was invalid or malformed: Mandatory '<attributeID>' SAML attribute (<attributeName>) is missing
Årsag	Anvender
Forklaring	En påkrævet attribut manger i det medsendte token.
Løsning	Lav en ny forespørgsel hvor den påkrævede attribut er inkluderet i tokenet.

Validering af Assurance/Authentication Level

Ugyldig assurance level type
STS svar	faultcode = wst:RequestFailed faultactor = dk:sosi:sts:its faultstring = En af følgende: BST2IDWS assertion do not have a valid type of AssuranceLevel. Type:<type> BST2SOSI assertion do not have a valid type of AssuranceLevel. Type:<type>
Årsag	Anvender
Forklaring	Det medsendte token har en assurance level type, der ikke kan benyttes på et token af denne type. Der findes to assurance level typer: NIST (1, 2, 3, 4, 5) NSIS (Low, Substantial, High)
Løsning	Lav en ny forespørgsel hvor assurance level typen er skiftet til den anden type.

Ugyldig assurance level
STS svar	faultcode = wst:RequestFailed faultactor = dk:sosi:sts:its faultstring = En af følgende: BST2IDWS assertion do not have a valid AssuranceLevel <assuranceLevel>. AssuranceLevel * or * required. BST2SOSIassertion do not have a valid AssuranceLevel <assuranceLevel>. AssuranceLevel * or * required.
Årsag	Anvender
Forklaring	Det medsendte token har en assurance level, der er ugyldig for denne type forespørgsel.
Løsning	Lav en ny forespørgsel, hvor det medsendte token har en af de foreslåede assurance levels.
Ugyldig assurance level
STS svar	faultcode = wst:AssuranceLevel faultactor = dk:sosi:sts:nbo faultstring = Assurance level other than 3 or 4 is not accepted * or * required.
Årsag	Anvender
Forklaring	Det medsendte token har en assurance level, der er ugyldig for denne type forespørgsel. Der accepteres kun assurance level 3 og 4
Løsning	Lav en ny forespørgsel, hvor det medsendte token har assurance level 3 eller 4.
STS svar	faultcode = faultactor = faultstring =
Årsag	Forklaring	Løsning

Validering af ID-kort

en af de foreslåede assurance levels.

Ugyldig assurance levelUgyldig ID-kort version
STS svar	faultcode = wst:RequestFailedAssuranceLevel faultactor = dk:sosi:sts:sealnbo faultstring = The specified request failed IDCard version ’*’ not supported. Supported versions are: [1.0.1,1.0]Assurance level other than 3 or 4 is not accepted
Årsag	Anvender
Forklaring	Forespørgslen indeholder et ID-kort med en version der ikke understøttes af STS (se DGWS for detaljer).
Løsning	Klienten rettes, så kun understøttede ID-kort versioner anvendes. Nyere versioner af både Seal.Java og Seal.NET producerer ID-kort med korrekt version.
Det medsendte token har en assurance level, der er ugyldig for denne type forespørgsel. Der accepteres kun assurance level 3 og 4
Løsning	Lav en ny forespørgsel, hvor det medsendte token har assurance level 3 eller 4.

Ugyldig authentication level

Ugyldigt tidsinterval på ID-kort


STS svar	faultcode = wst:

InvalidTimeRange

RequestFailed
faultactor = dk:sosi:sts
faultstring = The

requested time range is invalid or unsupported: IDCard have maximum validity of 24 hours + [*]

specified RequestSecurityToken is not understood: Authentication level not supported (*)
Årsag	Anvender
Forklaring	Forespørgslen

anmoder om

indeholder et ID-kort med

gyldighed mere end 24 timer, hvilket ikke understøttes

et authentication level der ikke er understøttet, dvs. forskelligt fra level 3 eller 4 (se DGWS for detaljer).
Løsning	Klienten rettes, så kun

ID-kort med gyldighed på 24 timer eller mindre forsøges udstedt

understøttede authentication level versioner anvendes.

Ugyldigt

tidsinterval på ID

id-kort med authentication level 3
STS svar	faultcode = wst:

InvalidTimeRange eller wst:FailedAuthentication

BadRequest
faultactor = dk:sosi:sts

eller dk:sosi:sts:its

faultstring =

En af følgende:

The requested time range is invalid or unsupported: IDCard is created after or expires before current system time

Authentication failed: ID card is not valid in time.

The specified RequestSecurityToken is not understood: ID-Card is not a System ID-Card
Årsag	Anvender

, STS


Forklaring	Det medsendte ID-kort har authentication level 3, men er ikke et System ID-kort.
Løsning	Ret ID-kortet så det matcher et System ID-kort

Ugyldigt id-kort med authentication level 4

ID-kortet er udstedt på et system, der ikke er tidssynkroniseret med STS. Hvis tiden afviger signifikant (der tillades nogen tidsdrift), kan ID-kortet ikke udstedes.LøsningSåfremt STS tiden ikke er korrekt vil der generelt være problemer med udstedelsen af ID-kort. Fejlen vil derfor overvejende skulle fejlsøges hos anvenderen:

Undersøg om anvenderens IT-system anvender korrekt tid
Check om NTP anvendes, evt. hyppighed og NTP server
Synkroniser tid

ID-kort for gammelt til denne modtager
STS svar	faultcode = wst:InvalidTimeRange eller wst:FailedAuthenticationBadRequest faultactor = dk:sosi:sts eller dk:sosi:sts:its faultstring = En af følgende: The requested time range is invalid or unsupported: IDCard is too old for this audience: * [>] The requested time range is invalid or unsupported: ID card is not valid in time due to maximal age restriction for this audience.
Årsag	Anvender
Forklaring	Ved billetomveksling kan der være lagt begrænsninger på hvor gammelt det id-kort som søges vekslet må være. Dette vil typisk være 24 timer, men kan for visse modtagere være mindre.
Løsning	Forny ID-kortet og få det signeret af STS.
The specified RequestSecurityToken is not understood: ID-Card is not a User ID-Card
Årsag	Anvender
Forklaring	Det medsendte ID-kort har authentication level 4, men er ikke et Bruger ID-kort.
Løsning	Hvis der ønskes et Bruger ID-kort: Ret ID-kortet så det matcher et Bruger ID-kort Hvis der ønskes et System ID-kort: Ret authentication level til 3

Validering af ID-kort

Ugyldig ID-kort versionUgyldigt nameId
STS svar	faultcode = wst:BadRequestRequestFailed faultactor = dk:sosi:sts:seal faultstring = The specified RequestSecurityToken is not understood: IDCard nameId must match information from certificate.request failed IDCard version ’*’ not supported. Supported versions are: [1.0.1,1.0]
Årsag	Anvender
Forklaring	nameId på ID-kortet indeholder certifikat informationer, som ikke matcher certifikatet der har signeret ID-kortet
Løsning	Undersøg om det anvendte certifikat svarer til ID-kortet Undersøg om nameId på ID-kortet er angivet korrekt
CVR uoverensstemmelse
Forespørgslen indeholder et ID-kort med en version der ikke understøttes af STS (se DGWS for detaljer).
Løsning	Klienten rettes, så kun understøttede ID-kort versioner anvendes. Nyere versioner af både Seal.Java og Seal.NET producerer ID-kort med korrekt version.

Ugyldigt tidsinterval på ID-kort
STS svar	faultcode = wst:

FailedAuthentication

InvalidTimeRange
faultactor = dk:sosi:sts
faultstring =

Authentication failed: cvr mismatch

Forklaring
The requested time range is invalid or unsupported: IDCard have maximum validity of 24 hours + [*]
Årsag	Anvender

CVR i ID-kortet svarer ikke til CVR i certifikatets subject serial number.Løsning

Verificer CVR nummer i STS forespørgsel
Find CVR i certifikatet

Ugyldig authentication level

Forespørgslen anmoder om et ID-kort med gyldighed mere end 24 timer, hvilket ikke understøttes (se DGWS for detaljer).
Løsning	Klienten rettes, så kun ID-kort med gyldighed på 24 timer eller mindre forsøges udstedt.

Ugyldigt tidsinterval på ID-kort
STS svar	faultcode = wst:

RequestFailed

InvalidTimeRange eller wst:FailedAuthentication
faultactor = dk:sosi:sts eller dk:sosi:sts:its
faultstring =

The specified RequestSecurityToken is not understood: Authentication level not supported (*)

En af følgende:

The requested time range is invalid or unsupported: IDCard is created after or expires before current system time
Authentication failed: ID card is not valid in time.

Årsag

Anvender, STS

Forklaring

Forespørgslen indeholder et

ID-

kort med et authentication level

kortet er udstedt på et system, der ikke er tidssynkroniseret med STS. Hvis tiden afviger signifikant (der tillades nogen tidsdrift), kan ID-kortet ikke udstedes.
Løsning	Såfremt STS tiden ikke er korrekt vil der generelt være problemer med udstedelsen af ID-kort. Fejlen vil derfor overvejende skulle fejlsøges hos anvenderen: Undersøg om anvenderens IT-system anvender korrekt tid Check om NTP anvendes, evt. hyppighed og NTP server Synkroniser tid

understøttet, dvs. forskelligt fra level 3 eller 4 (se DGWS for detaljer).

ID-kort for gammelt til denne modtager
Løsning	Klienten rettes, så kun understøttede authentication level versioner anvendes.
Ugyldigt id-kort med authentication level 3
STS svar	faultcode = wst:InvalidTimeRange eller wst: BadRequest FailedAuthentication faultactor = dk:sosi:sts faultstring = The specified RequestSecurityToken is not understood: ID-Card is not a System ID-Card dk:sosi:sts eller dk:sosi:sts:its faultstring = En af følgende: The requested time range is invalid or unsupported: IDCard is too old for this audience: * [>] The requested time range is invalid or unsupported: ID card is not valid in time due to maximal age restriction for this audience.
Årsag	Anvender
Forklaring	Det medsendte ID-kort har authentication level 3, men er ikke et System ID-kort.
Løsning	Ret ID-kortet så det matcher et System ID-kort
Ved billetomveksling kan der være lagt begrænsninger på hvor gammelt det id-kort som søges vekslet må være. Dette vil typisk være 24 timer, men kan for visse modtagere være mindre.
Løsning	Forny ID-kortet og få det signeret af STS.

Ugyldigt nameIdUgyldigt id-kort med authentication level 4
STS svar	faultcode = wst:BadRequest faultactor = dk:sosi:sts faultstring = The specified RequestSecurityToken is not understood: ID-Card is not a User ID-CardIDCard nameId must match information from certificate.
Årsag	Anvender
Forklaring	Det medsendte nameId på ID-kort har authentication level 4, men er ikke et Bruger ID-kort.
Løsning	Hvis der ønskes et Bruger ID-kort: Ret ID-kortet så det matcher et Bruger ID-kort Hvis der ønskes et System ID-kort: Ret authentication level til 3
kortet indeholder certifikat informationer, som ikke matcher certifikatet der har signeret ID-kortet
Løsning	Undersøg om det anvendte certifikat svarer til ID-kortet Undersøg om nameId på ID-kortet er angivet korrekt

CVR uoverensstemmelseBruger id-kort signeret med VOCES/FOCES certifikat
STS svar	faultcode = wst:BadRequestFailedAuthentication faultactor = dk:sosi:sts faultstring = The specified RequestSecurityToken is not understood: ID-Card is a User ID-Card signed with VOCES/FOCESAuthentication failed: cvr mismatch
Årsag	Anvender
Forklaring	Bruger ID-kortet er signeret med et VOCES eller FOCES certifikat. STS'en tillader kun Bruger ID-kort signeret med et MOCES certifikat.
Forklaring	CVR i ID-kortet svarer ikke til CVR i certifikatets subject serial number.
Løsning	Verificer CVR nummer i STS forespørgsel Find CVR i certifikatet	Løsning	Benyt et MOCES certifikat til at signere ID-kortet

Løsning

Ugyldigt ID-kort i Identity Token Request
STS svar	faultcode = wst:InvalidRequest faultactor = dk:sosi:sts:its faultstring = The request was invalid or malformed: identity token service only support user card.
Årsag	Anvender
Forklaring	Identity Token Request indeholder en ID-kort, som ikke er et gyldigt Bruger ID-kort.
Løsning	Undersøg ID-kortet i forespørgslen for fejl. Undersøg f.eks. om ID-kortet indeholder UserInfo.
STS svar	faultcode = faultactor = faultstring =
Årsag	Forklaring	Løsning
STS svar	faultcode = faultactor = faultstring =
Årsag	Forklaring

Content

Space Tools

Versions Compared

Old Version 45

New Version Current

Key

Verificeret forespørgsel

Validering af

CPR

Validering af rolle/autorisation

Validering af claims

Validering af claims

Validering af audience

Validering af signatur

Validering af audience

Validering af signatur

Validering af token

Validering af token

Validering af Assurance/Authentication Level

Validering af ID-kort

Validering af ID-kort