Versions Compared

Old Version 55

changes.mady.by.user Thomas Stougaard Lange

Saved on

compared with

New Version Current

changes.mady.by.user Thomas Stougaard Lange

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Ved behandling af en forespørgsel om udstedelse af ID-kort hos en STS, gennemgås en række skridt. Forløbet er skitseret forsimplet nedenfor, med de skridt der har primær relevans i forhold til diagnosticering af udstedelse. Hvert skridt kan føre til en afvisning af forespørgslen, mens succesfuld verifikation leder til signering og dermed udstedelse af et ID-kort.

Image RemovedImage Added

Verificeret forespørgsel

...

I forbindelse med fejlsøgning sammenholdes den konkrete SOAP fejl med de beskrevne STS svar ved hjælp af faultcode, faultactor og faultstring.

Validering af

...

CPR

Ugyldigt CPR nummer
STS svar

faultcode = wst:FailedAuthentication
faultactor = dk:sosi:sts:cvrridcpr eller dk:sosi:sts:uuidcpr
faultstring = En af følgende:

  • Authentication failed: cvrrid-cpr mismatch [CVR:*-RID:*,<cpr>]
  • Authentication failed: uuid-cpr mismatch [<uuid>,<cpr>]
ÅrsagAnvender, bruger
ForklaringMOCES Certifikat og CPR-nummer fra ID-kort stemmer ikke overens, og identitet kan ikke bekræftes.
Løsning
  1. Undersøg om det anvendte certifikat svarer til ID-kortet
  2. Undersøg om CPR i ID-kort er som forventet
  3. Undersøg hvilket CPR er tilknyttet certifikatet

...

Ingen bruger data for CPR
STS svarfaultcode = wst:RequestFailed
faultactor = dk:sosi:sts:bst2sosi
faultstring = Could not find userData for input CPR.
ÅrsagBruger
ForklaringDer blev ikke fundet bruger informationer for det medsendte CPR nummer.
LøsningUndersøg om det medsendte CPR nummer er korrekt.STS svarfaultcodefaultactor
faultstring		ÅrsagForklaringLøsning

Validering af rolle/autorisation

...

Bruger har ikke den forespurgte nationale rolle
STS svarfaultcode = wst:FailedAuthentication
faultactor = dk:sosi:sts:autorisation
faultstring = Authentication failed: user does not have the requested role (<role>)
ÅrsagBruger
ForklaringDen medsendte nationale rolle er ikke tilknyttet den specificerede bruger.
LøsningLav en ny forespørgsel med en rolle, som er knyttet til den specificerede bruger.
Ugyldig national rolle
STS svarfaultcode = wst:FailedAuthentication
faultactor = dk:sosi:sts:autorisation
faultstring = Authentication failed: invalid role supplied (<role>)
ÅrsagAnvender
ForklaringMedsendte rolle har formatet af en national rolle, men matcher ikke en kendt national rolle.
LøsningUndersøg om medsendte rolle er indtastet forkert.
Flere nationale roller fundet
STS svarfaultcode = wst:FailedAuthentication
faultactor = dk:sosi:sts:autorisation
faultstring = Authentication failed: multiple national roles found (<nationalRoles>)
ÅrsagAnvender
ForklaringForespørgslen indeholder ikke en national rolle eller autorisation, og der blev fundet mere end én national rolle tilknyttet CPR-nummeret for brugeren.
Løsning

Angiv i forespørgslen hvilken national rolle der skal bruges. Anvend en af de mulige roller (nationalRoles) fra fejlteksten.

Alternativt kan bruger rollen sættes til "urn:dk:healthcare:no-role" i forespørgslen for at angive at der ikke ønskes en rolle eller autorisation på ID-kortet.

Autorisation og rolle i samme forespørgsel
STS svarfaultcode = wst:FailedAuthenticationInvalidRequest
faultactor = dk:sosi:sts:autorisationbst2sosi
faultstring = Authentication failed		ÅrsagForklaringLøsning
STS svarfaultcode
faultactor
faultstring
ÅrsagForklaringLøsning
The request was invalid or malformed: Only one of UserAuthorizationCode or UserRole is allowed in request.
ÅrsagAnvender
ForklaringDet er for denne omveksling ikke tilladt at specificere både UserAuthorizationCode og UserRole i samme forespørgsel.
LøsningFjern enten UserAuthorizationCode eller UserRole fra forespørgslen.

Validering af Validering af claims

Manglende CPR claim
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:*
faultstring = CPR claim missing
ÅrsagAnvender
ForklaringDen medsendte forespørgsel indeholder ikke et CPR claim.
LøsningFremsend en ny forespørgsel med et gyldigt CPR claim (og overvej at stramme op på klient systemets input validering).

...

Fejl i validering af OnBehalfOf claim
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:its
faultstring = Unable to get procurations
ÅrsagSTS
ForklaringSTS'en kunne ikke validere gyldigheden af den medsendte påståede fuldmagt.
LøsningKontakt NSP support for at få fejlen undersøgt nærmere.
Ugyldige claims
STS svarfaultcode =  wst:InvalidRequest
faultactor =  dk:sosi:sts:*
faultstring =  The request was invalid or malformed: Request contains invalid claims. Valid claims are: <validClaims>
ÅrsagAnvender
ForklaringForespørgslen indeholder claims som ikke kan bruges til denne type omveksling.
LøsningFjern claims fra forespørgslen, som ikke findes i listen af gyldige claims (validClaims).

Validering af audience

Angivelse af audience mangler
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:its
faultstring = Audience is missing
ÅrsagAnvender
ForklaringDen medsendte forespørgsel indeholder ikke angivelse af et audience (som det udstedte token kan benyttes til)
LøsningAnvendersystemet tilrettes til at medsende audience (dette vil ofte være https://fmk).

...

Ugyldig percistence level af MOCES3 certifikat
STS svarfaultcode = wst:FailedAuthentication
faultactor = dk:sosi:sts
faultstring = Authentication failed: signed with unsupported certificate - persistence level of moces3 certificates must be global
ÅrsagAnvender
Forklaring

Der er benyttet et MOCES3 certifikat, som ikke har global persistence level, til at signere ID-kortet.

LøsningSigner ID-kortet med et MOCES3 certifikat med global persistence level
STS svarfaultcode
faultactor
faultstring
ÅrsagForklaringLøsning

Validering af token

Token ikke udstedt til borger
Bruger id-kort signeret med VOCES/FOCES certifikat
STS svarfaultcode = wst:
InvalidRequest
BadRequest
faultactor = dk:sosi:sts
:its

faultstring =
Token not issued to a citizen
The specified RequestSecurityToken is not understood: ID-Card is a User ID-Card signed with VOCES/FOCES
ÅrsagAnvender
Forklaring
Det indeholdte token er ikke udstedt på baggrund af en borgers certifikat. Kun borger-certifikater kan anvendes
Bruger ID-kortet er signeret med et VOCES eller FOCES certifikat. STS'en tillader kun Bruger ID-kort signeret med et MOCES certifikat.
LøsningBenyt et MOCES certifikat til at signere ID-kortet
Manglende elementer i signatur
LøsningAnvend et token udstedet på baggrund af et borger certifikat (POCES).Token udløbet
Ugyldigt nameID
STS svarfaultcode = wst:InvalidRequestAuthenticationBadElements
faultactor = dk:sosi:sts:itsseal
faultstring = En af følgende:
  • Invalid name: <nameID>
  • Invalid Subject NameID: <nameID>
ÅrsagUkendt
ForklaringDet indeholdte token indeholder et ugyldigt formateret nameID.
LøsningHvis token er udstedt af Nem-id, kontaktes NSP supporten med henblik på analyse af fejlen.
Insufficient Digest Elements: *
ÅrsagAnvender
ForklaringDen medsendte forespørgsel indeholder en xml signatur med manglende elementer.
LøsningUndersøg om noget er gået galt i forbindelse med signeringen af forespørgslen.

Validering af token

Token ikke udstedt til borger
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:its
faultstring =
En af følgende
  • Bootstrap token no longer valid
  • OIOSAML token no longer valid
ÅrsagOftest anvender
Token not issued to a citizen
ÅrsagAnvender
ForklaringDet
indeholdte token er udløbet.
indeholdte token er ikke udstedt på baggrund af en borgers certifikat. Kun borger-certifikater kan anvendes
Løsning
Hent og benyt
Anvend et token udstedet på baggrund af et borger certifikat (POCES).
nyt token.
Ugyldigt nameIDToken kan ikke dekrypteres
STS svar

faultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:

*

its
faultstring =

Unable to decrypt element

En af følgende:

  • Invalid name: <nameID>
  • Invalid Subject NameID: <nameID>
ÅrsagAnvenderUkendt
ForklaringDen medsendte forespørgsel Det indeholdte token indeholder et ugyldigt formateret nameID.
LøsningHvis token , som er krypteret med en nøgle som ikke er kendt af STS’ener udstedt af Nem-id, kontaktes NSP supporten med henblik på analyse af fejlen.
Token udløbet
STS svar

faultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:its
faultstring = En af følgende

  • Bootstrap token no longer valid
  • OIOSAML token no longer valid
ÅrsagOftest anvender
ForklaringDet indeholdte token er udløbet.
LøsningHent og benyt et nyt token.
Token kan ikke dekrypteres
LøsningKan f.eks. skyldes manglende kryptering, kryptering med forkert nøgle, eller at der er "pillet" ved data efter kryptering.
Ugyldig SAML token type
STS svar

faultcode = wst:InvalidRequest eller wst:RequestFailed
faultactor = dk:sosi:sts:its*
faultstring = En af følgende:

  • BST2IDWS assertion is not allowed type. Actual type:<type>, Allowed types:<allowedTypes>
  • BST2SOSI assertion is not allowed type. Actual type:<type>, Allowed types:<allowedTypes>

  • Unable to decrypt element
  • The specified request failed: Could not decrypt Assertion with any of the encryption keys in IdpConfigService.
ÅrsagAnvender
ForklaringDen medsendte forespørgsel indeholder en et token type, der ikke er gyldig for denne forespørgsel., som er krypteret med en nøgle som ikke er kendt af STS’en
LøsningKan f.eks. skyldes manglende kryptering, kryptering med forkert nøgle, eller at der er "pillet" ved data efter kryptering.
Ugyldig SAML token type
LøsningBenyt et token med en af de gyldige typer (allowedTypes)
Ukendt token issuer
STS svar

faultcode = wst:

InvalidRequest

RequestFailed
faultactor = dk:sosi:sts:its
faultstring =

Unknown issuer: <issuer

En af følgende:

  • BST2IDWS assertion is not allowed type. Actual type:<type>, Allowed types:<allowedTypes>
  • BST2SOSI assertion is not allowed type. Actual type:<type>, Allowed types:<allowedTypes>
ÅrsagAnvender, STS
ForklaringUdstederen (issuer) af det medsendte token er ikke kendt af STS'enDen medsendte forespørgsel indeholder en token type, der ikke er gyldig for denne forespørgsel.
LøsningBenyt et token med en af de gyldige typer (allowedTypes)
Ukendt token issuer
Løsning

Undersøg om det medsendte token har sat issuer korrekt.

Hvis udstederen af tokenet er korrekt, skal NSP support kontaktes for at få STS'en konfigureret med denne udsteder.

Manglende STS token scope
STS svar

faultcode = wst:InvalidRequest eller wst:RequestFailed
faultactor = dk:sosi:sts:its eller dk:sosi:sts
faultstring =

Incoming JSON webtoken not scoped for this sts: <scope>
ÅrsagAnvender
ForklaringListen af scopes i det medsendte token indeholder ikke det krævede STS scope for denne type forespørgsel.
Løsning
  1. Kontakt NSP support, hvis det krævede scope ikke kendes.
  2. Udsted et nyt token hvor det krævede scope er indeholdt.

En af følgende:

  • Unknown issuer: <issuer>
  • The specified request failed: Could not find IdpConfiguration for issuer: <issuer>
  • The specified request failed: IdpConfig cannot be null in Bootstrap2IdwsConfig
ÅrsagAnvender, STS
ForklaringUdstederen (issuer) af det medsendte token er ikke kendt af STS'en
Løsning

Undersøg om det medsendte token har sat issuer korrekt.

Hvis udstederen af tokenet er korrekt, skal NSP support kontaktes for at få STS'en konfigureret med denne udsteder.

Manglende STS
Manglende jwt scope konfiguration for audienceSTS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:its
faultstring = JWT scope not configured for audience <audience>ÅrsagSTSForklaringDet medsendte audience er ikke konfigureret med et krævet jwt scopeLøsning

Kontakt NSP support med henblik på at rette konfigurationen for dette audience.

Manglende audience token scope
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:its
faultstring = Incoming JSON webtoken not scoped for audience (<audience>)this sts: <scope>
ÅrsagAnvender
ForklaringListen af scopes i det medsendte token indeholder ikke det krævede STS scope for dette audiencedenne type forespørgsel.
Løsning
  1. Kontakt NSP support, hvis det krævede scope ikke kendes.
  2. Udsted et nyt token hvor det krævede scope er indeholdt.
Manglende
certsubdn på jwt token
jwt scope konfiguration for audience
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:its
faultstring = JWT
claim missing: certsubdn
scope not configured for audience <audience>
Årsag
Anvender
STS
ForklaringDet medsendte audience er ikke konfigureret med et krævet jwt scope
Løsning

Kontakt NSP support med henblik på at rette konfigurationen for dette audience.

Manglende audience token scope
Medsendte jwt token mangler feltet "certsubdn"
LøsningUdsted et nyt jwt token, hvor feltet "certsubdn" er inkluderet.
Manglende IT System på token
STS svarfaultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:nboits
faultstring = The request was invalid or malformed: IT System must be specified.Incoming JSON webtoken not scoped for audience (<audience>)
ÅrsagAnvender
ForklaringFeltet "ITSystemName" er påkrævet på Listen af scopes i det medsendte token , på denne type forespørgselindeholder ikke det krævede scope for dette audience.
LøsningLav en ny forespørgsel, hvor "ITSystemName" er specificeret på tokenet.
  1. Kontakt NSP support, hvis det krævede scope ikke kendes.
  2. Udsted et nyt token hvor det krævede scope er indeholdt.
Manglende certsubdn på jwt tokenUgyldig basic privileges
STS svarfaultcode = wst:RequestFailedInvalidRequest
faultactor = dk:sosi:sts:bst2sosiits
faultstring = BST2SOSI assertion contains an invalid basic privilege profileJWT claim missing: certsubdn
ÅrsagAnvender
ForklaringMedsendte jwt token mangler feltet "privileges" på det medsendte bootstrap token har et ugyldigt format og kunne ikke læses af STS'en.
LøsningFjern "privileges" feltet eller ret det til et gyldigt format.
certsubdn"
LøsningUdsted et nyt jwt token, hvor feltet "certsubdn" er inkluderet.
Manglende IT SystemManglende RID eller UUID på bootstrap token
STS svar

faultcode = wst:InvalidRequest
faultactor = dk:sosi:sts:nbo eller dk:sosi:sts:bst2sosi
faultstring =

BST2SOSI assertion must contain one of the attributes: '<ridAttribute>' or '<uuidAttribute>'
ÅrsagAnvender
ForklaringFor den medsendte token type, kræves enten et RID nummer eller et UUID
LøsningTilføj RID nummer eller UUID til medsendte token

En af følgende:

  • The request was invalid or malformed: IT System must be specified.
  • The request was invalid or malformed: ITSystemName is required in request.
ÅrsagAnvender
ForklaringFeltet "ITSystemName" er påkrævet for denne type forespørgsel.
LøsningLav en ny forespørgsel, hvor "ITSystemName" er specificeret.
Ugyldig basic privilegesManglende UUID på bootstrap token
STS svarfaultcode = wst:InvalidRequestRequestFailed
faultactor = dk:sosi:sts:bst2sosi
faultstring = BST2SOSI assertion must contain the attribute '<uuidAttribute>'contains an invalid basic privilege profile
ÅrsagAnvender
ForklaringFor den medsendte token type, kræves et UUID"privileges" på det medsendte bootstrap token har et ugyldigt format og kunne ikke læses af STS'en.
LøsningFjern "privileges" feltet eller ret det til et gyldigt format.
Tilføj UUID til medsendte
Manglende RID eller UUID på bootstrap Løsning token
STS svarfaultcode =  
faultactor
faultstring		ÅrsagForklaringLøsning

Validering af Assurance Level

wst:InvalidRequest
Ugyldig assurance level type
STS svarfaultcode = wst:RequestFailed
faultactor = dk:sosi:sts:itsbst2sosi
faultstring = En af følgende:
  • BST2IDWS assertion do not have a valid type of AssuranceLevel. Type:<type>
    • BST2SOSI assertion do not have a valid type of AssuranceLevel. Type:<type>BST2SOSI assertion must contain one of the attributes: '<ridAttribute>' or '<uuidAttribute>'
    ÅrsagAnvender
    ForklaringDet For den medsendte token har en assurance level type, der ikke kan benyttes på et token af denne type. Der findes to assurance level typer:
    • NIST (1, 2, 3, 4, 5)

    • NSIS (Low, Substantial, High)

    LøsningLav en ny forespørgsel hvor assurance level typen er skiftet til den anden type.
    Ugyldig assurance level
    kræves enten et RID nummer eller et UUID
    LøsningTilføj RID nummer eller UUID til medsendte token
    Manglende UUID på bootstrap token
    STS STS svarfaultcode = wst:RequestFailedInvalidRequest
    faultactor = dk:sosi:sts:itsbst2sosi
    faultstring = En af følgende:
  • BST2IDWS assertion do not have a valid AssuranceLevel <assuranceLevel>. AssuranceLevel * or * required.
    • BST2SOSIassertion do not have a valid AssuranceLevel <assuranceLevel>. AssuranceLevel * or * required.BST2SOSI assertion must contain the attribute '<uuidAttribute>'
    ÅrsagAnvender
    ForklaringDet medsendte token har en assurance level, der er ugyldig for denne type forespørgsel.
    LøsningLav en ny forespørgsel, hvor det medsendte token har en af de foreslåede assurance levels.
    For den medsendte token type, kræves et UUID
    LøsningTilføj UUID til medsendte token
    Manglende token i forespørgselUgyldig assurance level
    STS svarfaultcode = wst:AssuranceLevelRequestFailed
    faultactor = dk:sosi:sts:nbo
    faultstring = Assurance level other than 3 or 4 is not acceptedThe specified request failed: No assertion element found on request.
    ÅrsagAnvender
    ForklaringForespørgslen mangler et bootstrap token (assertion)
    LøsningUndersøg hvorfor forespørgslen er blevet lavet uden et bootstrap token
    Lav en ny forespørgsel, hvor det medsendte token har assurance level 3 eller 4.
    Manglende token attributDet medsendte token har en assurance level, der er ugyldig for denne type forespørgsel. Der accepteres kun assurance level 3 og 4Løsning
    STS svarfaultcode
    faultactor =  
    faultstring    		ÅrsagForklaringLøsning

    Validering af ID-kort

    Ugyldig ID-kort version
    STS svarfaultcode = wst:RequestFailedInvalidRequest
    faultactor = dk:sosi:sts:seal*
    faultstring = The specified request failed IDCard version ’*’ not supported. Supported versions are: [1.0.1,1.0]request was invalid or malformed: Mandatory '<attributeID>' SAML attribute (<attributeName>) is missing
    ÅrsagAnvender
    ForklaringForespørgslen indeholder et ID-kort med en version der ikke understøttes af STS (se DGWS for detaljer).
    LøsningKlienten rettes, så kun understøttede ID-kort versioner anvendes. Nyere versioner af både Seal.Java og Seal.NET producerer ID-kort med korrekt version.
    Ugyldigt tidsinterval på ID-kort
    En påkrævet attribut manger i det medsendte token.
    LøsningLav en ny forespørgsel hvor den påkrævede attribut er inkluderet i tokenet.

    Validering af Assurance/Authentication Level

    Ugyldig assurance level type
    STS svar

    faultcode = wst:

    InvalidTimeRange

    RequestFailed
    faultactor = dk:sosi:sts:its
    faultstring = En af følgende:

    • BST2IDWS assertion do not have a valid type of AssuranceLevel. Type:<type>
    • BST2SOSI assertion do not have a valid type of AssuranceLevel. Type:<type>
    ÅrsagAnvender
    Forklaring

    Det medsendte token har en assurance level type, der ikke kan benyttes på et token af denne type. Der findes to assurance level typer:

    • NIST (1, 2, 3, 4, 5)

    • NSIS (Low, Substantial, High)

    LøsningLav en ny forespørgsel hvor assurance level typen er skiftet til den anden type.
    Ugyldig assurance level
    STS svar

    faultcode = wst:RequestFailed
    faultactor = dk:sosi:sts:its
    faultstring = En af følgende:

    • BST2IDWS assertion do not have a valid AssuranceLevel <assuranceLevel>. AssuranceLevel * or * required.
    • BST2SOSIassertion do not have a valid AssuranceLevel <assuranceLevel>. AssuranceLevel * or * required.
    ÅrsagAnvender
    ForklaringDet medsendte token har en assurance level, der er ugyldig for denne type forespørgsel.
    LøsningLav en ny forespørgsel, hvor det medsendte token har en af de foreslåede assurance levels.
    Ugyldig assurance level
    STS svarfaultcode = wst:AssuranceLevel
    faultactor = dk:sosi:sts:nbo
    faultstring = Assurance level other than 3 or 4 is not accepted
    ÅrsagAnvender
    ForklaringDet medsendte token har en assurance level, der er ugyldig for denne type forespørgsel. Der accepteres kun assurance level 3 og 4
    LøsningLav en ny forespørgsel, hvor det medsendte token har assurance level 3 eller 4.
    Ugyldig authentication level
    STS svarfaultcode = wst:RequestFailed
    faultactor = dk:sosi:sts
    faultstring = The specified RequestSecurityToken is not understood: Authentication level not supported (*)
    ÅrsagAnvender
    ForklaringForespørgslen indeholder et ID-kort med et authentication level der ikke er understøttet, dvs. forskelligt fra level 3 eller 4
    The requested time range is invalid or unsupported: IDCard have maximum validity of 24 hours + [*]ÅrsagAnvenderForklaringForespørgslen anmoder om et ID-kort med gyldighed mere end 24 timer, hvilket ikke understøttes
    (se DGWS for detaljer).
    LøsningKlienten rettes, så kun
    ID-kort med gyldighed på 24 timer eller mindre forsøges udstedt
    understøttede authentication level versioner anvendes.
    Ugyldigt
    tidsinterval på ID
    id-kort med authentication level 3
    STS svarfaultcode = wst:
    InvalidTimeRange eller wst:FailedAuthentication
    BadRequest
    faultactor =
    dk:sosi:sts eller
    dk:sosi:sts
    :its

    faultstring =
    En af følgende:
    • The requested time range is invalid or unsupported: IDCard is created after or expires before current system time
    • Authentication failed: ID card is not valid in time.
    ÅrsagAnvender, STSForklaringID-kortet er udstedt på et system, der ikke er tidssynkroniseret med STS. Hvis tiden afviger signifikant (der tillades nogen tidsdrift), kan ID-kortet ikke udstedes.LøsningSåfremt STS tiden ikke er korrekt vil der generelt være problemer med udstedelsen af ID-kort. Fejlen vil derfor overvejende skulle fejlsøges hos anvenderen:
    1. Undersøg om anvenderens IT-system anvender korrekt tid
    2. Check om NTP anvendes, evt. hyppighed og NTP server
    3. Synkroniser tid
    The specified RequestSecurityToken is not understood: ID-Card is not a System ID-Card
    ÅrsagAnvender
    ForklaringDet medsendte ID-kort har authentication level 3, men er ikke et System ID-kort. 
    Løsning

    Ret ID-kortet så det matcher et System ID-kort

    Ugyldigt id-kort med authentication level 4ID-kort for gammelt til denne modtager
    STS svarfaultcode = wst:InvalidTimeRange eller wst:FailedAuthenticationBadRequest
    faultactor = dk:sosi:sts eller dk:sosi:sts:its
    faultstring = En af følgende:
    • The requested time range is invalid or unsupported: IDCard is too old for this audience: * [*>*]
    • The requested time range is invalid or unsupported: ID card is not valid in time due to maximal age restriction for this audience.
    ÅrsagAnvender
    ForklaringVed billetomveksling kan der være lagt begrænsninger på hvor gammelt det id-kort som søges vekslet må være. Dette vil typisk være 24 timer, men kan for visse modtagere være mindre.
    LøsningForny ID-kortet og få det signeret af STS.
    The specified RequestSecurityToken is not understood: ID-Card is not a User ID-Card
    ÅrsagAnvender
    ForklaringDet medsendte ID-kort har authentication level 4, men er ikke et Bruger ID-kort. 
    Løsning

    Hvis der ønskes et Bruger ID-kort: Ret ID-kortet så det matcher et Bruger ID-kort

    Hvis der ønskes et System ID-kort: Ret authentication level til 3

    Validering af ID-kort

    CVR uoverensstemmelse
    Ugyldig ID-kort versionUgyldigt nameId
    STS svarfaultcode = wst:BadRequestRequestFailed
    faultactor = dk:sosi:sts:seal
    faultstring = The specified RequestSecurityToken is not understood: IDCard nameId must match information from certificate.request failed IDCard version ’*’ not supported. Supported versions are: [1.0.1,1.0]
    ÅrsagAnvender
    ForklaringnameId på ID-kortet indeholder certifikat informationer, som ikke matcher certifikatet der har signeret ID-kortet
    Løsning
    1. Undersøg om det anvendte certifikat svarer til ID-kortet
    2. Undersøg om nameId på ID-kortet er angivet korrekt
    Forespørgslen indeholder et ID-kort med en version der ikke understøttes af STS (se DGWS for detaljer).
    LøsningKlienten rettes, så kun understøttede ID-kort versioner anvendes. Nyere versioner af både Seal.Java og Seal.NET producerer ID-kort med korrekt version.
    Ugyldigt tidsinterval på ID-kort
    STS svarfaultcode = wst:
    FailedAuthentication
    InvalidTimeRange
    faultactor = dk:sosi:sts
    faultstring =
    Authentication failed: cvr mismatch
    The requested time range is invalid or unsupported: IDCard have maximum validity of 24 hours + [*]
    ÅrsagAnvender
    ForklaringForespørgslen anmoder om et ID-kort med gyldighed mere end 24 timer, hvilket ikke understøttes (se DGWS for detaljer).
    LøsningKlienten rettes, så kun ID-kort med gyldighed på 24 timer eller mindre forsøges udstedt.
    CVR i ID-kortet svarer ikke til CVR i certifikatets subject serial number.Løsning
    1. Verificer CVR nummer i STS forespørgsel
    2. Find CVR i certifikatet
    Ugyldig authentication level
    Ugyldigt tidsinterval på ID-kort
    STS svar

    faultcode = wst:

    RequestFailed

    InvalidTimeRange eller wst:FailedAuthentication
    faultactor = dk:sosi

    :sts
    faultstring = The specified RequestSecurityToken is not understood: Authentication level not supported (*)

    :sts eller dk:sosi:sts:its
    faultstring = En af følgende:

    • The requested time range is invalid or unsupported: IDCard is created after or expires before current system time
    • Authentication failed: ID card is not valid in time.
    ÅrsagAnvender, STS
    Forklaring
    Forespørgslen indeholder et
    ID-
    kort med et authentication level
    kortet er udstedt på et system, der ikke er tidssynkroniseret med STS. Hvis tiden afviger signifikant (der tillades nogen tidsdrift), kan ID-kortet ikke udstedes.
    LøsningSåfremt STS tiden ikke er korrekt vil der generelt være problemer med udstedelsen af ID-kort. Fejlen vil derfor overvejende skulle fejlsøges hos anvenderen:
    1. Undersøg om anvenderens IT-system anvender korrekt tid
    2. Check om NTP anvendes, evt. hyppighed og NTP server
    3. Synkroniser tid
    understøttet, dvs. forskelligt fra level 3 eller 4 (se DGWS for detaljer).
    ID-kort for gammelt til denne modtager
    LøsningKlienten rettes, så kun understøttede authentication level versioner anvendes.
    Ugyldigt id-kort med authentication level 3
    STS svar

    faultcode = wst:InvalidTimeRange eller wst

    :BadRequest
    faultactor = dk:sosi:sts
    faultstring = The specified RequestSecurityToken is not understood: ID-Card is not a System ID-Card

    :FailedAuthentication
    faultactor = dk:sosi:sts eller dk:sosi:sts:its
    faultstring = En af følgende:

    • The requested time range is invalid or unsupported: IDCard is too old for this audience: * [*>*]
    • The requested time range is invalid or unsupported: ID card is not valid in time due to maximal age restriction for this audience.
    ÅrsagAnvender
    ForklaringDet medsendte ID-kort har authentication level 3, men er ikke et System ID-kort. 
    Løsning

    Ret ID-kortet så det matcher et System ID-kort

    Ved billetomveksling kan der være lagt begrænsninger på hvor gammelt det id-kort som søges vekslet må være. Dette vil typisk være 24 timer, men kan for visse modtagere være mindre.
    LøsningForny ID-kortet og få det signeret af STS.
    Ugyldigt nameIdUgyldigt id-kort med authentication level 4
    STS svarfaultcode = wst:BadRequest
    faultactor = dk:sosi:sts
    faultstring = The specified RequestSecurityToken is not understood: ID-Card is not a User ID-CardIDCard nameId must match information from certificate.
    ÅrsagAnvender
    ForklaringDet medsendte nameId på ID-kort har authentication level 4, men er ikke et Bruger ID-kort. 
    Løsning

    Hvis der ønskes et Bruger ID-kort: Ret ID-kortet så det matcher et Bruger ID-kort

    Hvis der ønskes et System ID-kort: Ret authentication level til 3

    kortet indeholder certifikat informationer, som ikke matcher certifikatet der har signeret ID-kortet
    Løsning
    1. Undersøg om det anvendte certifikat svarer til ID-kortet
    2. Undersøg om nameId på ID-kortet er angivet korrekt
    CVR uoverensstemmelseBruger id-kort signeret med VOCES/FOCES certifikat
    STS svarfaultcode = wst:BadRequestFailedAuthentication
    faultactor = dk:sosi:sts
    faultstring = The specified RequestSecurityToken is not understood: ID-Card is a User ID-Card signed with VOCES/FOCES
    ÅrsagAnvender
    ForklaringBruger ID-kortet er signeret med et VOCES eller FOCES certifikat. STS'en tillader kun Bruger ID-kort signeret med et MOCES certifikat.
    Authentication failed: cvr mismatch
    ÅrsagAnvender
    ForklaringCVR i ID-kortet svarer ikke til CVR i certifikatets subject serial number.
    Løsning
    1. Verificer CVR nummer i STS forespørgsel
    2. Find CVR i certifikatet
    		LøsningBenyt et MOCES certifikat til at signere ID-kortet
    Løsning
    Ugyldigt ID-kort i Identity Token Request
    STS svarfaultcode = wst:InvalidRequest
    faultactor = dk:sosi:sts:its
    faultstring = The request was invalid or malformed: identity token service only support user card.
    ÅrsagAnvender
    ForklaringIdentity Token Request indeholder en ID-kort, som ikke er et gyldigt Bruger ID-kort.
    Løsning

    Undersøg ID-kortet i forespørgslen for fejl.

    Undersøg f.eks. om ID-kortet indeholder UserInfo.

    STS svarfaultcode
    faultactor
    faultstring
    ÅrsagForklaringLøsning
    STS svarfaultcode
    faultactor
    faultstring
    ÅrsagForklaring