Explanation | Exception inattendue. La cause n'est pas connue immédiatement. |
Action | Si le problème persiste, l'ID du message peut vous fournir des informations complémentaires dans la page Web de support WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support/ Page de support IBM WebSphere Application Server for z/OS : http://www.ibm.com/software/webservers/appserv/zos_os390/support/ |
Explanation | Une erreur de conversion s'est produite lors de la conversion de la chaîne IP en adresse IP |
Action | Validez la chaîne IP fournie. |
Explanation | Plage d'adresses IP incorrecte spécifiée. Il ne doit y avoir que des caractères génériques après la première plage. |
Action | Vérifiez que tous les caractères situés après la première plage spécifiée sont des caractères génériques. |
Explanation | Impossible d'obtenir l'adresse IP. |
Action | Vérifiez que la plage d'adresses IP a été spécifiée. |
Explanation | L'attribut manquant est obligatoire pour l'élément <securityConfiguration>. |
Action | Spécifiez l'attribut manquant pour l'élément <securityConfiguration>. |
Explanation | Le type d'élément de configuration spécifié doit comporter un attribut id afin d'être correctement référencé par les autres éléments dans la configuration. |
Action | Définissez un attribut id pour le type d'élément de configuration spécifié. |
Explanation | L'attribut manquant est obligatoire pour l'élément <security>. |
Action | Spécifiez l'attribut manquant pour l'élément <security>. |
Explanation | La configuration de sécurité spécifiée n'est pas définie. Le nom de l'identificateur n'est peut-être pas le bon, ou alors il fait référence à une configuration de sécurité qui n'existe pas. |
Action | Définissez une configuration de sécurité valide pour l'attribut spécifié dans l'élément <security>. |
Explanation | L'identificateur de référence spécifié n'est pas valide. Le nom de cet identificateur n'est peut-être pas le bon, ou alors il fait référence à une configuration de service qui n'existe pas. |
Action | Spécifiez un identificateur de configuration de service valide pour l'élément <securityConfiguration>. |
Explanation | Aucun service du type spécifié n'est disponible via le registre des services OSGi. |
Action | Spécifiez une fonction d'implémentation de service du type indiqué. |
Explanation | Plusieurs services du type spécifié sont disponibles via le registre des services OSGi. Or, aucune donnée de configuration n'indique explicitement lequel de ces services utiliser. |
Action | Ne spécifiez qu'une seule fonction d'implémentation de service du type indiqué, ou alors définissez explicitement le service à utiliser dans la configuration. |
Explanation | Le service de sécurité est en cours de démarrage. Cela peut prendre un certain temps si son initialisation doit avoir lieu une fois pour toutes. |
Action | Aucune action de l'utilisateur n'est requise. |
Explanation | Il s'agit d'un message d'information. |
Action | Aucune action de l'utilisateur n'est requise. |
Explanation | Il s'agit d'un message d'information. |
Action | Aucune action de l'utilisateur n'est requise. |
Explanation | Le sujet de l'appelant inclut un trop grand nombre de principaux de type WSPrincipal. Seul un principal de ce type est pris en charge. |
Action | Consultez l'application pour savoir pourquoi le sujet comporte plusieurs éléments WSPrincipal. |
Explanation | Une erreur d'authentification s'est produite lors de la recréation des sujets qui étaient présents dans le contexte de sécurité. Par conséquent, le sujet non authentifié sera utilisé à la place. |
Action | Examinez l'exception et les journaux pour déterminer la cause de l'échec de l'authentification. |
Explanation | Le contexte de sécurité n'a pas pu être désérialisé car le sujet a trop de principaux de type WSPrincipal. Seul un principal de ce type est pris en charge. |
Action | Consultez l'application pour savoir pourquoi le sujet comporte plusieurs éléments WSPrincipal. |
Explanation | La clé de mémoire cache personnalisée pour cet objet n'a pu être sérialisée lors de la sérialisation du contexte de sécurité. Bien que le contexte de sécurité ne contiendra pas de clé de mémoire cache personnalisée, ceci n'affectera pas la sérialisation du contexte de sécurité lui-même. |
Action | Consultez les journaux pour connaître les raisons de l'échec de la sérialisation de la clé de mémoire cache personnalisée. |
Explanation | L'élément <quickStartSecurity> n'inclut pas les attributs requis. |
Action | Définissez les attributs requis. |
Explanation | La configuration <quickStartSecurity> est utilisée uniquement lorsqu'aucune autre configuration de registre d'utilisateurs n'est spécifiée. |
Action | Utilisez une seule configuration de registre d'utilisateurs. |
Explanation | La configuration <quickStartSecurity> est utilisée uniquement lorsqu'aucune liaison d'autorisation pour la sécurité de gestion n'est définie. |
Action | Utilisez <quickStartSecurity> et supprimez les liaisons d'autorisation pour la sécurité de gestion explicite ou configurez un autre registre d'utilisateurs. |
Explanation | Le service d'authentification n'est pas configuré avec le service JAAS. |
Action | Aucune action de l'utilisateur n'est requise. |
Explanation | L'ID utilisateur indiqué ou le mot de passe associé ne sont pas valides. |
Action | Vérifiez que l'ID utilisateur et le mot de passe sont entrés correctement. Si le problème persiste, contactez l'administrateur du registre d'utilisateurs. |
Explanation | Le certificat de client indiqué ne correspond à aucun utilisateur dans le registre. |
Action | Assurez-vous que le client fournit un certificat mappé à une entrée d'utilisateur dans le registre. |
Explanation | Exception inattendue. La cause n'est pas connue immédiatement. |
Action | Si le problème persiste, l'ID du message peut vous fournir des informations complémentaires dans la page Web de support WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support/ Page de support IBM WebSphere Application Server for z/OS : http://www.ibm.com/software/webservers/appserv/zos_os390/support/ |
Explanation | L'authentification n'a pas réussi car il n'y a pas de fichier JAR pour le module de connexion personnalisé JAAS. |
Action | Assurez-vous qu'il existe un fichier JAR valide pour le module de connexion personnalisé. |
Explanation | L'authentification n'a pas réussi car il n'y a pas de module de connexion défini pour la référence de module de connexion. |
Action | Vérifiez que l'élément loginModuleRef dispose d'un élément jaasLoginModule configuré. |
Explanation | Une erreur interne s'est produite. |
Action | Reportez-vous aux informations de détermination des problèmes sur la page Web de support de WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support. |
Explanation | L'authentification n'a pas réussi car l'ID utilisateur spécifié n'est pas valide. |
Action | Vérifiez que l'ID utilisateur est entré correctement. Si le problème persiste, contactez l'administrateur du registre d'utilisateurs. |
Explanation | L'authentification n'a pas abouti car l'élément options de WSLoginModuleProxy est vide ou de type null. |
Action | Vérifiez que la configuration WSLoginModuleProxy inclut l'élément options. |
Explanation | L'authentification n'a pas abouti car l'élément jaasLoginModule ayant l'ID WSLoginModuleProxy ne dispose pas de l'attribut delegate dans l'élément options. |
Action | Vérifiez que l'élément jaasLoginModule ayant l'ID WSLoginModuleProxy inclut l'attribut delegate dans l'élément options. |
Explanation | L'authentification n'a pas abouti car l'option de délégation WSLoginModuleProxy n'est pas définie. |
Action | Vérifiez que la configuration WSLoginModuleProxy inclut l'option de délégation. |
Explanation | L'entrée WSLoginModuleProxy n'est pas prise en charge dans jaasLoginContextEntry system.DEFAULT. |
Action | Retirez l'entrée proxy de l'attribut loginModuleRef de jaasLoginContextEntry system.DEFAULT. |
Explanation | L'élément jassLoginContextEntry n'a aucun module de connexion spécifié dans l'attribut loginModuleRef. |
Action | Assurez-vous qu'au moins un module de connexion est spécifié dans l'attribut loginModuleRef. |
Explanation | Le filtre userIDMap LDAP n'a pas pu déterminer le nom affiché de l'utilisateur. Le nom de sécurité sera renvoyé pour le nom principal pour les appels d'API de programmation comme getUserPrincipal. |
Action | Si l'utilisateur doit avoir un nom affiché, vérifiez qu'il est créé dans LDAP pour correspondre au filtre userIdMap configuré. |
Explanation | Le même nom est défini par plusieurs éléments jassLoginContextEntry. Par conséquent, la valeur d'origine est remplacée par une autre valeur. |
Action | Assurez-vous que chaque élément jaasLoginContextEntry a un nom et un ID uniques. |
Explanation | Un plug-in d'authentification de collectivité a été activé et est maintenant disponible pour authentifier les requêtes de la collectivité. |
Action | Aucune action n'est requise. |
Explanation | Un plug-in d'authentification de collectivité a été désactivé et n'est plus disponible pour authentifier les requêtes de la collectivité. |
Action | Aucune action n'est requise. |
Explanation | Une exception MalformedURLException a été renvoyée lors de la tentative de connexion à l'URL spécifiée. |
Action | Analysez l'exception. Vérifiez l'URL spécifiée. |
Explanation | Une exception IOException a été renvoyée lors de la tentative de connexion à l'URL spécifiée. |
Action | Analysez l'exception. Vérifiez l'URL spécifiée. |
Explanation | Une exception IOException a été renvoyée lors de la tentative de connexion à l'URL spécifiée. |
Action | Analysez l'exception. Vérifiez l'URL spécifiée. |
Explanation | Un nom de configuration de connexion en double a été spécifié dans les données de configuration. |
Action | Vérifiez les données de configuration. |
Explanation | Une exceptionn IOException a été renvoyée lors de l'analyse de la configuration de l'application JAAS. |
Action | Vérifiez le fichier de configuration. Analysez l'exception. |
Explanation | Une exception ParserException a été renvoyée lors de l'analyse de la configuration de l'application JAAS. |
Action | Analysez l'exception, laquelle contient des informations sur l'erreur de syntaxe dans le fichier de configuration. |
Explanation | L'entrée jaasLoginContextEntry par défaut ne peut pas être spécifiée dans le fichier de configuration JAAS. |
Action | Vérifiez que le fichier de configuration JAAS ne contient pas d'entrée jaasLoginContextEntry par défaut. |
Explanation | Le service OSGi indiqué n'est pas disponible. |
Action | Redémarrez le serveur en utilisant l'option "clean". |
Explanation | Exception lors de l'exécution de la classe pour le nom. |
Action | Vérifiez que tous les modules de connexion JAAS personnalisée spécifiés dans le fichier de configuration JAAS existent dans le répertoire JAAS par défaut. Le répertoire JAAS par défaut pour le serveur est le suivant : ${rép.config.serveur}/resources/security/jaas, et pour le client : ${rép.config.client}/resources/security/jaas. |
Explanation | Un nom de configuration de connexion en double a été spécifié dans le fichier de configuration JAAS et dans le fichier server.xml/client.xml. |
Action | Vérifiez le fichier de configuration JAAS et le fichier server.xml/client.xml. |
Explanation | jassLoginContextEntry ne comporte pas de modules de connexion dans loginModuleRef. |
Action | Assurez-vous qu'au moins un module de connexion est spécifié dans loginModuleRef. |
Explanation | L'authentification n'a pas réussi car il n'y a pas de module de connexion défini pour la référence de module de connexion. |
Action | Assurez-vous qu'une propriété loginModule est configurée pour l'élément loginModuleRef. |
Explanation | Le même nom est défini par plusieurs noms jassLoginContextEntry. Par conséquent, la valeur d'origine est remplacée par une autre valeur. |
Action | Assurez-vous que chaque nom jaasLoginContextEntry a un ID et un nom uniques. |
Explanation | La connexion à l'application client a échoué car la classe implémentant l'interface CallbackHandler est de type null. Etant donné qu'il n'existe aucun élément CallbackHandler, il n'existe aucun moyen permettant de rassembler les données d'identification pour un utilisateur souhaitant se connecter. Vérifiez qu'une implémentation CallbackHandler valide est spécifiée dans le constructeur LoginContext ou dans le descripteur de déploiement de l'application client. |
Action | Vérifiez qu'une implémentation CallbackHandler valide est spécifiée en tant qu'argument du constructeur LoginContext ou dans le descripteur de déploiement de l'application client. |
Explanation | La connexion à l'application client a échoué car le nom d'utilisateur ou le mot de passe est null. Vérifiez que l'implémentation CallbackHandler rassemble les données d'identification nécessaires. L'élément CallbackHandler peut être spécifié dans le constructeur LoginContext ou dans le descripteur de déploiement de l'application client. |
Action | Vérifiez que l'implémentation CallbackHandler rassemble le nom d'utilisateur et le mot de passe. |
Explanation | La connexion à l'application client a échoué en raison d'une exception inattendue. Pour connaître et corriger la cause de l'exception, consultez les journaux et les entrées FFDC. |
Action | Pour connaître et corriger la cause de l'exception, consultez les journaux et les entrées FFDC. |
Explanation | Il s'agit d'un message d'information. |
Action | Aucune action de l'utilisateur n'est requise. |
Explanation | Il s'agit d'un message d'information. |
Action | Aucune action de l'utilisateur n'est requise. |
Explanation | Il s'agit d'un message d'information. |
Action | Aucune action de l'utilisateur n'est requise. |
Explanation | L'association de confiance n'a pas pu s'initialiser. |
Action | Vérifiez que les classes appropriées de la configuration d'association de confiance sont installées et que le chemin d'accès à ces classes est correct. |
Explanation | Le fichier de la classe d'intercepteur spécifié dans trustedservers.properties est introuvable. |
Action | Vérifiez que les classes appropriées de la configuration d'association de confiance sont installées et que le chemin d'accès à ces classes est correct. Vérifiez également que la classe spécifiée dans le fichier trustedservers.properties est correcte et que ce fichier est au moins accessible en lecture. |
Explanation | Une exception ClassNotFoundException s'est produite lors de la tentative de chargement de la classe indiquée. |
Action | Vérifiez que la configuration et le chemin de classes sont corrects et que les classes appropriées de la configuration d'association de confiance sont installées. |
Explanation | Les propriétés spécifiées doivent définir un nom et une valeur. |
Action | Définissez un nom et une valeur dans les propriétés de l'intercepteur. |
Explanation | L'intercepteur TAI spécifié n'a pas de bibliothèque partagée. |
Action | Vérifiez que l'intercepteur TAI a un fichier JAR valide. |
Explanation | L'alias spécifié est obligatoire. |
Action | Spécifiez un alias de données d'authentification valide pour un utilisateur existant ou configurez un nouvel alias de données d'authentification. |
Explanation | L'attribut indiqué doit être défini. |
Action | Spécifiez la valeur de l'attribut manquant. |
Explanation | L'objet WSMappingCallbackHandler utilisé pour réaliser la connexion par programmation JAAS DefaultPrincipalMapping ne contenait pas de paramètre java.util.Map. |
Action | Vérifiez que l'application effectuant la connexion par programmation JAAS DefaultPrincipalMapping crée l'objet WSMappingCallbackHandler avec une instance java.util.Map. |
Explanation | Le paramètre java.util.Map de l'objet WSMappingCallbackHandler utilisé pour réaliser la connexion par programmation JAAS DefaultPrincipalMapping ne contenait pas de valeur pour l'entrée com.ibm.wsspi.security.auth.callback.Constants.MAPPING_ALIAS. |
Action | Vérifiez que l'application effectuant la connexion par programmation JAAS DefaultPrincipalMapping JAAS crée l'objet WSMappingCallbackHandler avec une instance java.util.Map avec une valeur pour l'entrée com.ibm.wsspi.security.auth.callback.Constants.MAPPING_ALIAS. |
Explanation | Impossible d'obtenir la configuration du fournisseur oauth spécifié. |
Action | Indiquez une configuration pour le fournisseur oauth valide. |
Explanation | Le fournisseur OAuth inclut une classe de médiateur spécifiée mais l'élément libraryRef n'est pas spécifié ou la bibliothèque n'est pas activée. Il peut s'agir d'une erreur de configuration ou la bibliothèque peut avoir été activée une fois le fournisseur activé. |
Action | Vérifiez que l'élément libraryRef du fournisseur OAuth est correctement défini. |
Explanation | Le fournisseur OAuth a une classe de médiateur spécifiée et l'élément libraryRef est activé. |
Action | Aucune. |
Explanation | La configuration du fournisseur OAuth a été correctement effectuée. |
Action | Aucune. |
Explanation | La configuration des rôles OAuth a été effectuée. |
Action | Aucune. |
Explanation | La demande d'introspection doit comporter un paramètre de demande de jeton indiquant le jeton d'accès qui doit être introspecté. |
Action | Appelez de nouveau la demande avec un paramètre de jeton qui indique un jeton d'accès valide. |
Explanation | La demande indiquée doit utiliser un ID et un mot de passe utilisateur valides et l'ID client doit correspondre à l'ID client ayant créé le jeton. |
Action | Appelez à nouveau la demande avec des données d'identification du client valides. |
Explanation | Le nom de classe du gestionnaire de type d'octroi personnalisé ne peut pas être instancié. |
Action | Revérifiez le nom de classe dans la configuration. |
Explanation | La nom de classe du gestionnaire de type d'octroi personnalisé est introuvable. |
Action | Revérifiez le nom de classe dans la configuration. |
Explanation | Aucun service de noeud final n'est disponible via le registre du service OSGi. |
Action | Incluez la fonction oauth-2.0 ou openidConnectServer-1.0 dans votre configuration de serveur. |
Explanation | Le service de connexion OAuth est activé. |
Action | Aucune |
Explanation | La demande spécifie un ID client qui n'est pas le même que celui ayant créé le jeton d'accès ou la demande spécifie un ID client ou une valeur confidentielle client non valide. |
Action | Appelez à nouveau la demande avec des données d'identification du client valides. |
Explanation | L'attribut est manquant dans la demande |
Action | Inspectez le noeud final de demande dans le fichier server.xml pour vérifier que vous avez le fournisseur correct |
Explanation | Impossible de créer un OAuth20Provider pour le nom de fournisseur OAuth |
Action | Vérifiez la configuration du fournisseur |
Explanation | Toutes les portées demandées dans le paramètre de portée de la demande de noeud final de jeton doivent être définies dans la liste 'preAuthorizedScope' de la configuration client. |
Action | Assurez-vous que toutes les portées dans la demande de noeud final de jeton soient définies dans la liste 'preAuthorizedScope' de la configuration client. |
Explanation | Toutes les portées demandées dans le paramètre de portée de la demande de noeud final de jeton doivent être définies dans la liste 'preAuthorizedScope' de la configuration client. |
Action | Assurez-vous que toutes les portées spécifiées dans la demande de noeud final de jeton soient définies dans la liste 'preAuthorizedScope' de la configuration client. |
Explanation | Le client doit être défini comme autoAuthorized pour autoriser les portées de la demande http. Alternativement, les portées doivent être définies dans la liste 'preAuthorizedScope' de la configuration client. |
Action | Vérifiez que le client est défini comme autoAuthorized ou que les portées sont définies dans la liste 'preAuthorizedScope' de la configuration client. |
Explanation | Le client indiqué dans le message ne gère pas le type d'octroi vu que celui-ci n'est pas spécifié dans la liste grantType de la configuration client. |
Action | Spécifiez le type d'octroi indiqué dans la liste grantType de la configuration client. |
Explanation | La demande de noeud final ne peut qu'un seul des paramètres indiqués. Si ce n'est pas le cas, le fournisseur OpenID Connect ne peut pas la traiter. |
Action | Assurez-vous qu'un seul des paramètres indiqués figure dans la demande de noeud final de jeton. |
Explanation | La demande a un ID client qui n'est pas autorisé à introspecter les jetons. |
Action | Autorisez le client à examiner les jetons d'accès en définissant introspectTokens à true dans la configuration OAuth du client. |
Explanation | La demande a un ID client qui n'est pas autorisé à introspecter les jetons. |
Action | Autorisez le client à examiner les jetons d'accès en définissant introspectTokens à true dans la configuration OAuth du client. |
Explanation | La valeur de l'attribut indiqué est trop petite. Elle a été redéfinie à la valeur par défaut. |
Action | Affectez à l'attribut indiqué une valeur appropriée qui ne soit pas inférieure à la valeur par défaut. |
Explanation | La valeur de l'attribut indiqué est trop grande. |
Action | Affectez à l'attribut indiqué une valeur appropriée. |
Explanation | La demande contenait un ID client {0} qui est introuvable. |
Action | Relancez la demande avec un ID client valide. |
Explanation | Les clients ne peuvent être créés qu'en soumettant une demande POST à l'URI du noeud final d'enregistrement. |
Action | Consultez la documentation d'API de ce service et relancez la demande en la soumettant à l'URI du noeud final d'enregistrement. |
Explanation | Les clients ne peuvent être créés qu'en soumettant une demande POST à l'URI du noeud final d'enregistrement. |
Action | Consultez la documentation d'API de ce service et relancez la demande en la soumettant à l'URI du noeud final d'enregistrement. |
Explanation | Les opérations ne peuvent être effectuées que sur des clients enregistrés et valides. |
Action | Consultez la documentation d'API de ce service et relancez la demande avec les paramètres appropriés. |
Explanation | L'objet JSON dans le corps de la requête est incorrectement formé. |
Action | Consultez la documentation d'API de ce service et relancez la demande. |
Explanation | L''opération a échoué car l''ID client {0} existe déjà. |
Action | Consultez la documentation d'API de ce service et relancez la demande avec les paramètres appropriés. |
Explanation | La demande de mise à jour indique de préserver la valeur secrète du client, mais aucune n'a été définie dans l'enregistrement existant. |
Action | Consultez la documentation d'API de ce service et relancez la demande avec les paramètres appropriés. |
Explanation | Une demande de mise à jour pour un client public ne doit pas spécifier de valeur secrète du client. |
Action | Consultez la documentation d'API de ce service et relancez la demande avec les paramètres appropriés. |
Explanation | La requête ne peut pas être exécutée car elle spécifie une configuration non valide compte tenu de l'état actuel de l'enregistrement du client. |
Action | Consultez la documentation d'API de ce service et relancez la demande avec les paramètres appropriés. |
Explanation | Seules certaines méthodes HTTP sont prises en charge pour un service donné. |
Action | Pour plus de détails, reportez-vous à la documentation du service. |
Explanation | La demande adressée à ce service a été rejetée car il y manque le paramètre requis {0}. |
Action | Consultez la documentation d'API de ce service et relancez la demande avec les paramètres appropriés. |
Explanation | La demande adressée à ce service a été rejetée car il y manque le paramètre requis {0}. |
Action | Consultez la documentation d'API de ce service et relancez la demande avec les paramètres appropriés. |
Explanation | La demande adressée à ce service a été rejetée car elle contient des paramètres non valides. Un seul paramètre {0} peut être spécifié. |
Action | Consultez la documentation d'API de ce service et relancez la demande avec les paramètres appropriés. |
Explanation | La demande adressée à ce service a été rejetée car un type de jeton non reconnu, {0}, a été spécifié. |
Action | Consultez la documentation d'API de ce service et relancez la demande avec les paramètres appropriés. |
Explanation | Une valeur secrète du client ne peut pas être spécifiée en cas de création d'un client public. |
Action | Ne spécifiez pas de valeur secrète du client ou bien créez un client non public. |
Explanation | La demande doit fournir un certificat client pendant l'établissement de liaison SSL pour l'authentification utilisateur lorsque l'attribut certAuthentication de la configuration oauthProvider est activé. |
Action | Activez la demande avec un certificat client approprié pendant l'établissement de liaison SSL pour l'authentification utilisateur et définissez l'attribut clientAuthenticationSupported dans la configuration ssl sur true, ou définissez l'attribut certAuthentication sur false afin de le désactiver. |
Explanation | La demande doit fournir un en-tête d'autorisation valide, lequel doit être un utilisateur et un mot de passe valides. |
Action | Assurez-vous que l'en-tête d'autorisation dans la demande comporte un utilisateur et un mot de passe valides, et l'utilisateur doit être enregistré auprès du fournisseur OpenId Connect. |
Explanation | Etant donné que l'attribut certAuthentication de la configuration oauthProvider est activé, la demande doit fournir un certificat client pendant l'établissement de liaison SSL avec un utilisateur valide pour l'authentification utilisateur. |
Action | Assurez-vous que le certificat client fourni pendant l'établissement de liaison SSL dans la demande comporte un utilisateur valide, et l'utilisateur doit être enregistré auprès du fournisseur OpenID Connect. |
Explanation | Cette propriété du client est limitée aux valeurs approuvées dont ne fait pas partie la valeur spécifiée. |
Action | Consultez la documentation d'API de ce service et relancez la demande avec une valeur approuvée. |
Explanation | Les valeurs spécifiées pour cette propriété contiennent des doublons, ce qui n'est pas permis. |
Action | Consultez la documentation d'API de ce service et relancez la demande avec la propriété appropriée ne contenant pas de valeurs en double. |
Explanation | La demande contient une combinaison de valeurs grant_type et response_type non valide. |
Action | Consultez la documentation de l'API et la spécification d'enregistrement client OpenID Connect pour déterminer une combinaison de valeurs grant_type et response_type valide. |
Explanation | La requête ne peut pas être réalisée car elle spécifie la valeur de propriété avec une syntaxe d'URI incorrecte. |
Action | Examinez la valeur de la propriété dans la demande et modifiez-la pour qu'elle se conforme à une syntaxe d'URI correcte. |
Explanation | La requête ne peut pas être réalisée car elle spécifie un URI non absolu alors qu'un URI absolu est requis. |
Action | Examinez la valeur de la propriété dans la demande et modifiez-la pour qu'elle se conforme à une syntaxe d'URI absolu. |
Explanation | La requête ne peut pas être réalisée car la valeur de propriété spécifiée est un paramètre de sortie non modifiable. |
Action | Supprimez la valeur de propriété de la demande étant donné que vous ne pouvez pas spécifier un paramètre de sortie pour des actions de création ou de mise à jour. |
Explanation | Un élément databaseStore a été spécifié pour le fournisseur OAuth mais l'attribut dataSourceRef n'a pas été spécifié ou la source de données n'est pas activée. Ceci peut être dû à une erreur de configuration. |
Action | Veillez à ce que l'attribut dataSourceRef de l'élément databaseStore dans le fournisseur OAuth soit correctement défini. |
Explanation | Un élément databaseStore a été spécifié pour le fournisseur OAuth mais l'attribut n'a pas été spécifié ou n'est pas valide. Ceci peut être dû à une erreur de configuration. |
Action | Veillez à ce que l'attribut de l'élément databaseStore dans le fournisseur OAuth soit correctement défini. |
Explanation | Chaque fournisseur OpenID Connect doit avoir un fournisseur OAuth unique dans le fichier server.xml. Sinon, le fournisseur OpenID Connect en double est désactivé. |
Action | Assurez-vous que chaque fournisseur OpenID Connect a un fournisseur OAuth unique dans le fichier server.xml. |
Explanation | Le fournisseur OAuth a un élément databaseStore spécifié mais l'élément dataSourceFactory pour l'élément dataSource spécifié n'est pas activé. Ceci peut être dû à une erreur de configuration avec l'élément dataSource. |
Action | Veillez à ce que l'attribut dataSourceRef de l'élément databaseStore dans le fournisseur OAuth soit correctement défini pour faire référence à un élément dataSource valide. |
Explanation | Le fournisseur TokenIntrospectProvider installé dans Liberty renvoie Null ou un format de chaîne JSON incorrect pour l'utilisateur indiqué. |
Action | Vérifiez que TokenIntrospectProvider renvoie un format de chaîne JSON valide. |
Explanation | Plusieurs fournisseurs TokenIntrospectProvider ont été configurés dans le fichier server.xml. |
Action | Aucune action utilisateur n'est requise. |
Explanation | Echec du traitement de la requête car le jeton_d'accès n'est pas valide. |
Action | Vérifiez que le jeton_d'accès est valide et n'est pas arrivé à expiration. |
Explanation | Une clé de signature n'a pas pu être trouvée ou une clé utilisant l'algorithme de signature configuré n'a pas pu être trouvée. |
Action | Vérifiez que la clé de signature et l'algorithme de signature sont correctement configurés. |
Explanation | Le fournisseur OpenID Connect ne peut pas créer un jeton. Le motif est indiqué dans le message. |
Action | Consultez l'action utilisateur à engager pour l'erreur indiquée dans le message. |
Explanation | Une clé RSA est requise pour cet algorithme de signature. |
Action | Configurez un algorithme de signature différent ou spécifiez une clé RSA à utiliser pour les signatures. |
Explanation | La version Java dans le message ne peut pas prendre en charge la fonction de SPI JWT Mediator. |
Action | Installez Java version 1.7, ou ultérieure. |
Explanation | Le cache de la base de données contient une quantité élevée de jetons arrivés à expiration, ce qui peut générer des problèmes de performance lors de la recherche de jetons. Si vous réduisez la valeur de l'attribut spécifié, la tâche de nettoyage s'exécutera plus souvent et réduira le nombre de jetons arrivés à expiration qui sont conservés dans la base de données. |
Action | Mettez à jour l'attribut spécifié dans la configuration du fournisseur OAuth en réduisant la valeur. |
Explanation | Le service de la partie utilisatrice OpenID est activé. |
Action | Aucune. |
Explanation | Le service de la partie utilisatrice OpenID est désactivé. |
Action | Aucune. |
Explanation | Le traitement de la configuration de la partie utilisatrice OpenID a abouti. |
Action | Aucune. |
Explanation | La modification de la configuration de la partie utilisatrice OpenID a abouti. |
Action | Aucune. |
Explanation | Impossible de définir maxAssociationAttempts sur zéro et allowStateless sur false. |
Action | Indiquez une configuration valide pour la partie utilisatrice OpenID pour les attributs maxAssociationAttempts et allowStateless. |
Explanation | Cette version de fournisseur OpenID n'a pas été testée. Elle ne fonctionne peut-être pas correctement. Vous l'exécutez à vos risques et périls. |
Action | Aucun. Vous l'exécutez à vos risques et périls. |
Explanation | Le fournisseur OpenID ne renvoie pas de résultat valide. Il est possible que l'authentification d'un utilisateur ait échoué ou que ce dernier ait rejeté l'autorisation. |
Action | Aucune. |
Explanation | L'attribut enforceHttps de la configuration OpenID est défini sur true alors que sslRef n'existe pas. |
Action | Assurez-vous que sslRef fait référence à une configuration SSL valide. |
Explanation | L'attribut enforceHttps de la configuration OpenID est défini sur true. Cependant, aucun service SSL n'est disponible. |
Action | Assurez-vous que les informations SSL sont correctes dans le fichier server.xml. |
Explanation | L'attribut enforceHttps de la configuration OpenID est défini sur true. L'élément keyStore est peut-être manquant ou incorrect. Il se peut que la fonction SSL ne soit pas activée. |
Action | Assurez-vous que les informations SSL sont correctes dans le fichier server.xml. |
Explanation | La partie utilisatrice requiert SSL mais le protocole URL du fournisseur openID n'est pas HTTPs. |
Action | Assurez-vous que le fournisseur openID prend en charge SSL. Si ce n'est pas le cas, définissez enforceHttps sur false. |
Explanation | Impossible d'accéder au fournisseur OpenID. |
Action | Indiquez un fournisseur OpenID valide. |
Explanation | L'identificateur de demande de la de la partie utilisatrice OpenID est null. |
Action | Aucune. |
Explanation | L'authentification OpenID a échoué pour l'identificateur. |
Action | Assure-vous que l'identificateur est valide. |
Explanation | Aucune entrée de cache n'a été détectée pour la clé unique. |
Action | Assurez-vous que la valeur maxSize du cache d'informations de reconnaissance est suffisamment élevée pour la mise en cache de toutes les demandes à tout moment. |
Explanation | OpenID ne peut pas vérifier la réponse OP pour l'identificateur réclamé. |
Action | Assurez-vous que la partie utilisatrice openID peut communiquer avec le fournisseur openID. |
Explanation | Le traitement de la configuration du fournisseur de connexion OpenID a abouti. |
Action | Aucun |
Explanation | La modification de la configuration du fournisseur OpenID Connect a abouti. |
Action | Aucune. |
Explanation | La propriété du fournisseur OpenID Connect demandée attendait une valeur, mais en a renvoyé plusieurs. |
Action | Vérifiez la propriété du fournisseur OpenID Connect dans le fichier server.xml afin de vous assurer qu'une seule valeur est configurée. |
Explanation | La propriété du fournisseur OpenID Connect demandée attendait au moins une valeur, mais n'en a renvoyé aucune. |
Action | Vérifiez la propriété du fournisseur OpenID Connect dans le fichier server.xml afin de vous assurer qu'au moins une valeur a été configurée. |
Explanation | La propriété du fournisseur OpenID Connect demandée attendait une valeur booléenne 'true' ou 'false'. |
Action | Vérifiez la propriété du fournisseur OpenID Connect dans le fichier server.xml afin de vous assurer qu'une valeur booléenne 'true' ou 'false' a été configurée. |
Explanation | Le type d'octroi spécifié n'est pas valide. |
Action | Indiquez l'un des types d'octroi disponibles. |
Explanation | Le type d'octroi spécifié est valide mais le fournisseur OpenID Connect ne peut pas le traiter. |
Action | Indiquez l'un des types d'octroi autorisés. |
Explanation | Le type de réponse spécifié n'est pas valide. |
Action | La demande d'autorisation doit être modifiée afin d'inclure l'un des types de réponse valides. |
Explanation | Le demande d'autorisation doit avoir un seul type de réponse. |
Action | La demande d'autorisation doit être modifiée afin d'inclure un type de réponse uniquement. |
Explanation | La demande OpenID Connect avec type de réponse id_token requiert openid dans sa liste de portées. |
Action | Assurez-vous que la portée openid figure dans la demande. |
Explanation | La valeur Nonce est requise pour les demandes OpenID Connect utilisant le flux implicite. |
Action | Fournissez la valeur Nonce avec les demandes OpenID Connect implicites. |
Explanation | Le jeton JWT ne comporte pas toutes les réclamations requises dans la charge. |
Action | Fournissez les réclamations requises dans la charge du jeton JWT. |
Explanation | La réclamation requise dans la charge du jeton JWT n'est pas valide. |
Action | Fournissez une réclamation correcte dans la charge du jeton JWT. |
Explanation | La réclamation dans la charge du jeton JWT n'est pas valide. |
Action | Fournissez une réclamation correcte dans la charge du jeton JWT. |
Explanation | La configuration de fournisseur de jeton JWT a défini 'maxJwtLifetimeMinutesAllowed', le jeton jwt entrant est requis pour fournir une réclamation 'iat'. |
Action | Retirez 'maxJwtLifetimeMinutesAllowed' de la configuration ou indiquez la réclamation 'iat' dans la charge du jeton JWT. |
Explanation | Un jeton JWT avec les mêmes réclamations 'iss' et 'jti' avait déjà été demandé. Cela indique une éventuelle attaque par réinsertion. |
Action | Assurez-vous que l'émetteur de jeton JWT fournit chaque jeton JWT avec une réclamation 'jti' unique. |
Explanation | Une demande userinfo a été effectuée sans jeton d'accès. Un jeton d'accès est requis. |
Action | Indiquez un jeton d'accès avec le paramètre de demande access_token ou l'en-tête de l'autorisation. |
Explanation | Une demande userinfo a été effectuée avec un jeton d'accès non reconnu. Un jeton d'accès valide est requis. |
Action | Indiquez un jeton d'accès valide avec le paramètre de demande access_token ou l'en-tête de l'autorisation. |
Explanation | Un identificateur URI de demande userinfo n'était pas valide. Un URI valide est requis. |
Action | Indiquez un URI de demande userinfo valide. |
Explanation | Une demande userinfo a été effectuée avec un jeton d'accès sans la portée 'openid'. |
Action | Indiquez un jeton d'accès créé avec la portée 'openid'. |
Explanation | Une erreur de serveur interne s'est produite lors du traitement d'une demande userinfo. |
Action | Contactez le support IBM. |
Explanation | Une erreur de serveur interne s'est produite lors du traitement d'une demande userinfo. |
Action | Contactez le support IBM. |
Explanation | Une demande userinfo a été effectuée avec un jeton d'accès dans le paramètre de demande access_token et également dans l'en-tête de l'autorisation. Un seul jeton d'accès est autorisé. |
Action | Indiquez un jeton d'accès avec le paramètre de demande access_token ou bien l'en-tête de l'autorisation, mais non pas les deux. |
Explanation | Une demande userinfo a été effectuée avec un jeton qui n'est pas un jeton d'accès. Un jeton d'accès valide est requis. |
Action | Indiquez un jeton d'accès valide avec le paramètre de demande access_token ou l'en-tête de l'autorisation. |
Explanation | Une demande userinfo a été effectuée avec un jeton d'accès ayant expiré. Un jeton d'accès valide est requis. |
Action | Indiquez un jeton d'accès valide avec le paramètre de demande access_token ou l'en-tête de l'autorisation. |
Explanation | Un identificateur URI de demande userinfo n'était pas valide. Le fournisseur contenu dans l'URI est introuvable. Un URI valide est requis. |
Action | Indiquez un URI de demande userinfo valide contenant un nom de fournisseur valide. |
Explanation | Le fournisseur OpenID Connect ne parvient pas à valider le jeton d'ID. Ceci peut être dû à une incohérence des clés de signature entre le créateur du jeton d'ID et ce fournisseur. |
Action | Vérifiez que le client OpenID Connect (RP) envoie le jeton d'ID généré par ce fournisseur. Consultez également l'action utilisateur pour l'erreur qui apparaît après cette erreur. |
Explanation | Le fournisseur OpenID Connect a détecté que l'identité de l'utilisateur de connexion actuel n'est pas cohérente avec les informations utilisateur dans le jeton ID. Ceci peut être dû à un basculement des utilisateurs de connexion par un utilisateur final. |
Action | Vérifiez que l'utilisateur final ne permute pas l'identité utilisateur du fournisseur OpenID Connect. |
Explanation | Une erreur de serveur interne s'est produite lors du traitement d'une demande userinfo. Le service de référentiel fédéré n'était pas disponible. |
Action | Contactez le support IBM. |
Explanation | Aucun service de noeud final OpenID Connect n'est disponible via le registre du service OSGi. |
Action | Incluez la fonction openidConnectServer-1.0 dans votre configuration de serveur. |
Explanation | Le service de configuration OpenID Connect n'est pas disponible pour le fournisseur. |
Action | Examinez la propriété du fournisseur OpenID Connect dans le fichier server.xml pour vérifier qu'au moins un fournisseur a été spécifié. |
Explanation | Le fournisseur OpenID Connect n'a pas de OAuthProvider |
Action | Examinez la propriété du fournisseur OpenID Connect dans le fichier server.xml pour vérifier qu'au moins un fournisseur OAuth a été spécifié. |
Explanation | Le service de noeud final OpenID Connect est activé. |
Action | Aucun |
Explanation | Le fournisseur OpenID Connect n'a pas de nom de fournisseur OAuth ou aucun fournisseur OAuth portant le nom spécifié n'existe. |
Action | Indiquez un nom de fournisseur OAuth valide pour le fournisseur OpenID Connect. |
Explanation | Une demande userinfo a été effectuée avec un paramètre non pris en charge. |
Action | Appelez le noeud final userinfo sans le paramètre non pris en charge. |
Explanation | L'attribut est manquant dans la demande |
Action | Inspectez le noeud final de demande dans le fichier server.xml pour vérifier que vous avez le fournisseur correct |
Explanation | issuerIdentifier n'a pas été configuré correctement. |
Action | Modifiez l'attribut de fournisseur OpenIDConnect, issuerIdentifier, afin d'utiliser le schéma https. |
Explanation | Le paramètre post_logout_redirect_uri que le client OpenID Connect (RP) envoie n'est pas dans la liste des URI qui est spécifiée par l'attribut postLogoutRedirectUris, ou la valeur de postLogoutRedirectUris n'est pas définie. |
Action | Assurez-vous que la valeur du paramètre post_logout_redirect_uri est dans la liste de l'attribut postLogoutRedirectUris qui existe dans le client enregistré. De plus, si l'ID client est null, ou si le paramètre id_token_hint n'est pas valide ou n'est pas défini, le paramètre id_token_hint est requis afin d'identifier l'ID client. |
Explanation | Le fournisseur UserinfoProvider installé dans Liberty renvoie la valeur NULL pour l'utilisateur donné. |
Action | Assurez-vous que UserinfoProvider renvoie un JSONObject valide. |
Explanation | Plusieurs UserinfoProvider ont été configurés dans le fichier server.xml. |
Action | Aucun |
Explanation | Le fournisseur UserinfoProvider installé dans Liberty renvoie un objet JSONObject non valide pour l'utilisateur indiqué. |
Action | Assurez-vous que UserinfoProvider renvoie un JSONObject valide. |
Explanation | La version Java dans le message ne peut pas prendre en charge la fonction de SPI Mediator du jeton d'ID. |
Action | Installez Java version 1.7, ou ultérieure. |
Explanation | La classe AuthConfigProvider JASPIC est maintenant disponible pour l'authentification des demandes Web entrantes. |
Action | Aucune action n'est requise. |
Explanation | La classe AuthConfigProvider JASPIC n'est plus disponible pour l'authentification des demandes Web entrantes. |
Action | Aucune action n'est requise. |
Explanation | L'authentification pour la demande Web a échoué pour le fournisseur JASPIC (Java Authentication SPI for Containers) défini par l'utilisateur avec le nom de classe donné. |
Action | Vérifiez que la demande Web comporte des données d'authentification valide pour le fournisseur JASPIC défini par l'utilisateur. Recherchez les messages émis par le fournisseur JASPIC et consultez votre administrateur système concernant les données d'authentification de fournisseur JASPIC requises. |
Explanation | La fonction définie par l'utilisateur implémentant un service de fournisseur JASPIC avec le nom de classe indiqué est maintenant disponible pour l'authentification des demandes Web entrantes. |
Action | Aucune action n'est requise. |
Explanation | La fonction définie par l'utilisateur implémentant un service de fournisseur JASPIC avec le nom de classe indiqué n'est plus disponible pour l'authentification des demandes Web entrantes. |
Action | Aucune action n'est requise. |
Explanation | La classe AuthConfigFactory JASPIC par défaut est utilisée car l'élément authconfigprovider.factory de la propriété de sécurité Java n'est pas défini. |
Action | Aucune action n'est requise. |
Explanation | La classe spécifiée par la propriété de sécurité Java authconfigprovider.factory est utilisée en tant que classe AuthConfigFactory JASPIC. |
Action | Aucune action n'est requise. |
Explanation | Le traitement de la configuration du client OpenID Connect (partie utilisatrice ou serveur de ressources) a abouti. |
Action | Aucun |
Explanation | La modification de la configuration du client OpenID Connect (partie utilisatrice ou serveur de ressources) a abouti. |
Action | Aucune. |
Explanation | Le client de connexion OpenID (partie utilisatrice ou RP) a détecté une erreur lors du traitement d'une demande. Il s'agit très vraisemblablement d'une erreur de codage. La raison de cette erreur est affichée après le message. |
Action | Relancez la demande avec différents attributs de configuration du client de connexion OpenID (par exemple, ID client, portée). Consultez l'action utilisateur pour plus de détails sur l'erreur qui s'affiche après cette erreur. |
Explanation | Le client OpenID Connect (partie utilisatrice ou serveur de ressources) requiert le protocole SSL (HTTPS) mais le protocole d'URL du fournisseur OpenID Connect (OP) spécifié dans la configuration du client OpenID Connect n'est pas HTTPS. |
Action | Effectuez l'une des opérations suivantes : 1) Assurez-vous que le fournisseur de connexion OpenID prend en charge SSL. 2) Si le fournisseur OpenID Connector ne prend pas en charge SSL, attribuez à enforceHTTPS la valeur 'false' dans la configuration du client OpenID Connect. |
Explanation | Le client de connexion OpenID (partie utilisatrice ou RP) a envoyé une demande à un fournisseur de connexion OpenID (OP) et ce dernier a renvoyé une réponse avec un paramètre d'état qui ne correspond pas à l'état de la partie utilisatrice au moment de l'envoi. Le client de connexion OpenID doit inclure dans la réponse le même état que celui qui a été envoyé. Cet état est utilisé de cette manière pour éviter de falsification de demande inter-sites. |
Action | Vérifiez que l'URL du fournisseur de connexion OpenID est correcte. Consultez les fichiers journaux pour vous assurer que votre fournisseur de connexion OpenID a reçu la demande. |
Explanation | Pour authentifier un ID jeton, il est nécessaire que le client de connexion OpenId (partie utilisatrice ou RP) ait un identificateur de sujet. Le jeton d'ID reçu dans la réponse du fournisseur de connexion OpenID (OP) ne contenait pas d'identificateur de sujet, de sorte que l'authentification a échoué. |
Action | Assurez-vous que le fournisseur de connexion OpenID (OP) renvoie un jeton d'ID qui inclut un identificateur de sujet. |
Explanation | Le client de connexion OpenID (partie utilisatrice ou RP) ne peut pas valider le jeton d'ID. Cela peut être dû à une défaillance dans le processus de validation des revendications requises. Certaines revendications requises du jeton d'ID incluent un émetteur, une audience et une heure d'émission. |
Action | Assurez-vous que l'horloge système du client de connexion OpenID (RP) est synchronisée avec l'horloge système du fournisseur de connexion OpenID (OP) (si elles se trouvent sur deux systèmes différents). Consultez également l'action utilisateur pour l'erreur qui apparaît après cette erreur. |
Explanation | La configuration du client OpenID Connect (partie utilisatrice ou serveur de ressources) spécifie d'utiliser le schéma HTTPS, mais une connexion HTTPS n'a pas pu être établie. Il se peut que la fonction SSL ne soit pas activée. L'élément keyStore est peut-être manquant ou incorrect. |
Action | Assurez-vous que les informations SSL sont correctes dans le fichier server.xml. Consultez l'action utilisateur pour plus de détails sur l'erreur qui s'affiche avant ce message. |
Explanation | Le client de connexion OpenID (partie utilisatrice ou RP) n'a pas pu obtenir un jeton d'ID du fournisseur de connexion OpenID (OP) car aucune connexion n'a pu être établie avec le fournisseur. Il se peut que l'OP n'ait pas été disponible au moment de la demande, que celle-ci n'ait pas été dirigée vers un noeud final valide ou qu'une non concordance de configuration existe entre l'OP et le RP. La raison de cette erreur est affichée après le message. |
Action | Vérifiez la configuration du serveur pour vous assurer que l'URL de noeud final de jeton configurée désigne une URL valide et qu'elle pointe vers le noeud final de jeton d'un fournisseur OpenID Connect actif. Consultez les actions pour cette erreur qui figurent après ce message. |
Explanation | Le client OpenID Connect (partie utilisatrice ou serveur de ressources) a reçu une réponse du fournisseur OpenID Connect (OP), mais une erreur s'est produite lors du traitement de la réponse par la partie utilisatrice ou le serveur de ressources. La raison de cette erreur est affichée après le message. |
Action | Consultez les actions pour cette erreur qui figurent après ce message. |
Explanation | L'utilisateur a refusé la demande OpenID Connect en annulant la demande dans le formulaire d'accord de portée, ou une autre erreur s'est produite qui a entraîné le refus de l'accès à la demande OpenID Connect. |
Action | L'utilisateur doit autoriser le fournisseur OpenID Connect à partager les portées dont le client a besoin afin que la demande OpenID puisse aboutir. Si l'utilisateur a accepté la demande, recherchez d'éventuelles autres erreurs dans les journaux. |
Explanation | L'utilisateur a refusé la demande OpenID Connect en annulant la demande dans le formulaire d'accord de portée, ou une autre erreur s'est produite qui a entraîné le refus de l'accès à la demande OpenID Connect. |
Action | L'utilisateur doit autoriser le fournisseur OpenID Connect à partager les portées dont le client a besoin afin que la demande OpenID puisse aboutir. Si l'utilisateur a accepté la demande, recherchez d'éventuelles autres erreurs dans les journaux. |
Explanation | Le client OpenID Connect (partie utilisatrice ou RP) n'a pas pu obtenir un jeton d'ID du fournisseur OpenID Connect (OP). Il se peut que l'OP n'ait pas été disponible au moment de la demande, que celle-ci n'ait pas été dirigée vers un noeud final valide ou qu'une non concordance de configuration existe entre l'OP et le RP. |
Action | Vérifiez la configuration du serveur pour vous assurer que l'URL de noeud final de jeton configurée désigne une URL valide et qu'elle pointe vers le noeud final de jeton d'un fournisseur OpenID Connect actif. Consultez également les actions concernant les erreurs rencontrées avant ce message. |
Explanation | La demande du client OpenID Connect requiert de définir une portée [openid] et si celle-ci est absente de la configuration du client OpenID Connect, la demande échouera. |
Action | Veillez à ce que la portée requise [openid] soit spécifiée dans la configuration du client OpenID Connect. |
Explanation | Les demandes au client OpenID Connect exigent que l'élément nonce soit géré correctement dans le flux de la demande afin de contrecarrer les attaques par réinsertion. L'élément nonce contenu dans le jeton ne correspond pas à celui associé à cette demande, par conséquent cette demande n'est pas valide. |
Action | Vérifiez que le fournisseur OpenID Connect génère des jetons utilisant l'élément nonce spécifié dans la demande initiale au client OpenID Connect. |
Explanation | Le service OSGi indiqué n'est pas disponible. |
Action | Redémarrez le serveur en utilisant l'option "clean". |
Explanation | Le jeton d'accès a expiré et l'environnement d'exécution ne peut pas procéder à la propagation de ce jeton. |
Action | Prenez soin de fournir un jeton d'accès valide et également de synchroniser l'horloge entre les systèmes. |
Explanation | L'instruction d'émission à l'heure spécifiée dans le jeton d'accès est postérieure à l'heure actuelle. Cette situation n'est pas autorisée. |
Action | Prenez soin de ne pas émettre le jeton d'accès à une heure postérieure et/ou synchronisez les horloges entre les systèmes. |
Explanation | Le jeton d'accès ne contient pas toutes les revendications requises. |
Action | Vérifiez que le jeton d'accès soumis contient la revendication requise. |
Explanation | La revendication nbf (pas avant) dans le jeton d'accès est postérieure à l'heure actuelle et l'environnement d'exécution ne peut pas utiliser le jeton d'accès à l'heure actuelle. |
Action | Vérifiez que le jeton d'accès ne contient pas de demande "nbf" spécifiant une heure postérieure et/ou synchronisez les horloges système ou resoumettez la requête à une heure plus tardive. |
Explanation | Le jeton d'accès soumis n'est pas actif et l'environnement d'exécution ne peut pas poursuivre la procédure d'authentification. |
Action | Vérifiez que le jeton d'accès soumis est valide et, si possible, examinez les journaux du fournisseur OpenID Connector (OP) pour plus d'informations. Vérifiez également que la méthode de validation et le noeud final d'URL spécifiés dans la configuration du client OpenID Connect sont corrects. |
Explanation | Le jeton d'accès soumis n'a pas pu être validé en raison de la réponse d'erreur du fournisseur OpenID Connect. |
Action | Vérifiez que le jeton de propagation est valide et, si possible, vérifiez les journaux du fournisseur OpenID Connect pour plus d'informations sur l'erreur. |
Explanation | Le jeton d'accès soumis ne contient pas la revendication spécifiée et l'environnement d'exécution ne peut pas poursuivre la procédure d'authentification. |
Action | Effectuez l'une des opérations suivantes. 1) Vérifiez que la configuration du client OpenID Connect spécifie le nom de revendication correct 2) Vérifiez que le fournisseur OpenID Connect (OP) émet le jeton d'accès avec la revendication spécifiée. |
Explanation | Le jeton d'accès soumis ne peut pas être vérifié en raison de l'erreur client_non_valide renvoyée par le fournisseur OpenID Connect et l'environnement d'exécution ne peut pas poursuivre la procédure d'authentification. |
Action | Vérifiez que la configuration du client OpenID Connect spécifie un ID client correspondant à celui de la configuration du fournisseur OpenID Connect et, si possible, examinez les journaux du fournisseur OpenID Connect pour plus d'informations. |
Explanation | Le jeton d'accès soumis ne peut pas être vérifié car la revendication "iss" dans le jeton d'accès ne correspond pas à l'attribut de configuration issuerIdentifier et l'environnement d'exécution ne peut pas poursuivre la procédure d'authentification. |
Action | Vérifiez que l'élément issuerIdentifier dans la configuration du client Open Connect contient la revendication "iss" dans le jeton d'accès. |
Explanation | Le jeton d'accès soumis n'a pas pu être validé car l'élément validationEndpointUrl spécifié dans la configuration du client OpenID Connect n'est pas valide et l'environnement d'exécution ne peut pas poursuivre la procédure d'authentification. |
Action | Prenez soin de spécifier une valeur valide pour l'attribut validationEndpointUrl dans la configuration du client OpenID Connect. |
Explanation | La requête doit contenir un jeton de propagation requis, tel qu'un jeton d'accès ou un jeton jwt, de sorte que le serveur de ressources puisse traiter l'authentification et la propagation du jeton. |
Action | Vérifiez que la requête comprend un jeton de propagation valide. |
Explanation | Le jeton d'accès soumis ne peut pas être validé en raison d'une erreur interne et l'environnement d'exécution ne peut pas poursuivre la procédure d'authentification. |
Action | Vérifiez dans les journaux du serveur de ressources si d'autres erreurs y ont été consignées avant celle-ci. |
Explanation | L'élément validationEndpointUrl spécifié dans la configuration du client OpenID Connect n'est pas le noeud final approprié pour la méthode de validation spécifiée. |
Action | Mettez à jour la configuration du client OpenID Connect en modifiant l'élément validationMethod ou validationEndpointUrl. |
Explanation | Le type de données de la revendication dans le jeton d'accès soumis n'est pas valide et l'environnement d'exécution ne peut pas poursuivre la procédure d'authentification. |
Action | Vérifiez que la configuration du client OpenID Connect spécifie le nom de revendication correct pour l'attribut. |
Explanation | Le jeton d'accès soumis ne contient pas la revendication spécifiée pour identifier le domaine et l'environnement d'exécution ne peut pas poursuivre la procédure d'authentification. |
Action | Effectuez l'une des opérations suivantes. 1) Vérifiez que la configuration du client OpenID Connect spécifie l'attribut realmName 2)Vérifiez que le fournisseur OpenID Connect (OP) émet le jeton d'accès avec la revendication spécifiée 3)Vérifiez si l'OP peut émettre le jeton d'accès avec la revendication "iss". |
Explanation | Le client OpenID Connect indiqué a défini inboundPropagation sur "required" mais la valeur validationEndpointUrl configurée n'était pas valide. La valeur validationEndpointUrl doit être définie par une URI valide utilisant le schéma d'URI http ou https. Le client OpenID Connect agissant en tant que serveur de ressources ne pourra traiter aucune demande. |
Action | Assurez-vous que la configuration du client OpenID Connect indique une valeur validationEndpointUrl non vide qui utilise le schéma d'URI http ou https. |
Explanation | La valeur validationEndpointUrl spécifiée dans la configuration de client OpenID Connect indiquée n'était pas valide. Une valeur validationEndpointUrl correcte est requise pour permettre la propagation entrante. La valeur validationEndpointUrl ne doit pas être vide et elle doit utiliser le schéma d'URI http ou https. Le client OpenID Connect se comportera comme si inboundPropagation avait la valeur "none". |
Action | Assurez-vous que la configuration du client OpenID Connect indique une valeur validationEndpointUrl non vide qui utilise le schéma d'URI http ou https. |
Explanation | L'attribut de configuration spécifié définit la revendication de jeton d'ID à utiliser lors de la création d'un sujet utilisateur. La revendication spécifiée est introuvable dans le jeton d'ID, ce dernier n'a donc pas pu être authentifié et aucun sujet utilisateur n'a pu être créé. |
Action | Configurez l'attribut spécifié afin qu'il fasse référence à une revendication existante dans le jeton d'ID et puisse être utilisé pour créer un sujet. |
Explanation | La configuration du client OpenID Connect spécifiant "disableIssChecking", le serveur de ressources s'attend à ce que la réponse json du noeud final de valiadtion ne contienne pas la revendication "iss". |
Action | Effectuez l'une des opérations suivantes. 1) Mettez à jour la configuration du client OpenID Connect et définissez "disableIssChecking" sur "false" 2) Faites en sorte que le noeud final de validation n'émette pas la revendication "iss". |
Explanation | Les bibliothèques open source pour traitement des jetons Web JSON ne prennent pas en charge la version Java utilisée actuellement par le serveur Liberty. |
Action | Installez une version Java au niveau mentionné dans le message, ou à un niveau supérieur. |
Explanation | Le client OpenID Connect (partie utilisatrice ou RP) ne peut pas valider le jeton Web JSON. Ceci peut être dû à un échec de la validation des revendications requises. Parmi les revendications requises pour le jeton Web JSON figurent l'émetteur, l'audience et l'heure d'émission. |
Action | Consultez l'action utilisateur à engager pour l'erreur indiquée dans le message. |
Explanation | L'attribut de configuration spécifié définit la revendication du jeton Web JSON à utiliser lors de la création d'un sujet utilisateur. La revendication spécifiée étant introuvable dans le jeton Web JSON, ce jeton n'a pas pu être authentifié et un sujet utilisateur n'a pas pu être créé. |
Action | Effectuez l'une des actions suivantes : 1) Modifiez la configuration de l'attribut spécifié en vous référant à une revendication existante dans le jeton Web JSON. 2) Modifiez le jeton Web JSON en incluant l'attribut spécifié. |
Explanation | Une clé de signature n'a pas pu être trouvée ou une clé utilisant l'algorithme de signature configuré n'a pas pu être trouvée. Ceci peut être dû à des informations manquantes, incorrectement formées ou inexactes dans la configuration client ou le jeton. |
Action | Effectuez l'une des actions suivantes : 1) Si vous utilisez JWK pour signer et valider des jetons, vérifiez que l'attribut jwkEndpointUrl est correctement configuré et que les revendications JWT et JWK sont correctes. 2) Si vous utilisez des certificats X.509 pour signer et valider des jetons, vérifiez que les attributs signatureAlgorithm, trustStoreRef et trustStoreAlias sont correctement configurés. 3) Si vous utilisez des clés partagées pour signer et valider des jetons, vérifiez que les attributs clientId et clientSecret sont correctement configurés. |
Explanation | Le jeton n'a pas pu être vérifié pour la requête de propagation entrante. Ce client continuera à tenter de s'authentifier via OpenID Connect. |
Action | Si l'échec était anticipé, aucune action n'est requise. Sinon, vérifiez que l'environnement de propagation entrante est correctement configuré. |
Explanation | Comme l'élément signatureAlgorithm est défini à "aucun", un jeton non signé est attendu, ce qui n'est pas un cas d'utilisation courant. |
Action | Si les jetons entrants ne sont pas censés être signés, aucune action n'est requise. Sinon, sélectionnez un élément signatureAlgorithm pris en charge, tel que RS256 ou HS256. |
Explanation | Un jeton JWT avec des postulations "iss" and "jti" ne peut pas être utilisé plusieurs fois. La postulation jti représente l'identificateur unique d'un jeton et ne peut pas être identique à un autre jeton du même émetteur. |
Action | Vérifiez que chaque jeton JWT provenant du même émetteur a une valeur jti unique. |
Explanation | Le client Open Connect (partie utilisatrice, également dénommée RP) a reçu une réponse d'un fournisseur OpenID Connect (OP), mais le paramètre état dans la réponse n'est pas valide. Il signale qu'elle a expiré ou a déjà été utilisée. |
Action | Vérifiez que les horloges de tous les systèmes sont synchronisées de sorte que les valeurs des états n'indiquent pas une expiration prématurée. Prenez soin de n'utiliser qu'une seule fois les valeurs d'état. |
Explanation | Le client OpenID Connect (partie utilisatrice, également dénommée RP) a reçu un cookie WASOidcCode non valide. Il se peut que sa valeur ait été modifiée. |
Action | Vérifiez que le cookie n'a pas été modifié et que le contenu décodé du cookie débute par un objet JSON correctement formaté. |
Explanation | La validation de jeton d'ID a échoué car l'émetteur spécifié dans la configuration client OpenID Connect (partie utilisatrice ou RP) et l'émetteur ne correspondent pas. |
Action | Assurez-vous que l'attribut [issuerIdentifier] indiqué dans la configuration du client OpenID Connect (RP) correspond à l'émetteur pour le fournisseur OpenID Connect (OP) utilisé. |
Explanation | Un jeton d'ID ne peut pas être créé car il n'a pas pu être signé. La raison de cette erreur est affichée après le message. |
Action | Consultez l'action utilisateur pour le message qui apparaît après cette erreur. |
Explanation | Un jeton d'ID ne peut pas être créé car il n'a pas pu être signé. La raison de cette erreur est affichée après le message. |
Action | Si vous utilisez une signature asymétrique, vérifiez qu'une clé privée valide est utilisée pour signer le jeton. Par exemple, vérifiez si la clé est arrivée à expiration. Vérifiez que l'élément de fichier de clés référencé par SSL par défaut dans server.xml pour rechercher des informations sur le fichier de magasin de clés contenant la clé privée. Consultez également l'action utilisateur pour le message qui apparaît après cette erreur. |
Explanation | L'audience du jeton d'ID doit correspondre à l'ID client. Dans ce cas, l'audience (aud) dans le jeton d'ID ne correspondait pas à l'ID client, par conséquent la validation du jeton d'ID a échoué. |
Action | Assurez-vous que l'attribut [clientId] indiqué dans la configuration du client OpenID Connect (partie utilisatrice ou RP) est correct. La valeur est sensible à la casse. |
Explanation | La partie autorisée du jeton d'ID doit correspondre à l'ID client. Dans ce cas, la partie autorisé (azp) dans le jeton d'ID ne correspondait pas à l'ID client, par conséquent la validation du jeton d'ID a échoué. |
Action | Assurez-vous que l'attribut [clientId] indiqué dans la configuration du client OpenID Connect (partie utilisatrice ou RP) est correct. La valeur est sensible à la casse. |
Explanation | Un jeton d'ID ne peut pas être validé car la signature n'a pas pu être vérifiée. Ceci peut être dû à une non concordance de l'algorithme de signature ou de la une clé partagée entre le client OpenID Connect et le fournisseur OpenID Connect. |
Action | Vérifiez dans le configuration serveur que l'algorithme de signature et la clé partagée configurés sont compatibles avec ceux du fournisseur OpenID Connect. |
Explanation | Un jeton d'ID ne peut pas être validé car la signature n'a pas pu être vérifiée. La raison de cette erreur est affichée après le message. |
Action | Si vous utilisez la signature asymétrique, vérifiez que la clé publique du certificat peut être utilisée à des fins de signature numérique. Vérifiez l'élément de fichier de clés référencé par la configuration SSL par défaut dans server.xml pour rechercher des informations sur le fichier de clés contenant la clé. Consultez également l'action utilisateur pour le message qui apparaît après cette erreur. |
Explanation | Un jeton d'ID ne peut pas être validé car l'heure en cours affichée ne se trouve pas entre l'heure du problème de jeton et l'heure d'expiration du jeton. |
Action | Assurez-vous que les horloges système du client OpenID Connect (partie utilisatrice ou RP) et du fournisseur OpenID Connect (OP) sont synchronisés (si elles se trouvent sur deux systèmes). |
Explanation | La revendication at_hash dans le jeton d'ID permet aux clients OpenID Connect d'empêcher les attaques par substitution de jeton. La valeur at_hash doit correspondre à la valeur de hachage du jeton d'accès reçu par le client OpenID Connect. |
Action | Assurez-vous que la communication entre le client OpenID Connect (partie utilisatrice ou RP) et le fournisseur OpenID Connect (OP) est sécurisée afin d'éviter la contrefaçon du jeton d'accès reçu par la RP. |
Explanation | Un jeton d'ID ne peut pas être validé car le jeton n'a pas été signé. Le client OpenID Connect (partie utilisatrice ou RP) attend un jeton signé. |
Action | Assurez-vous que le fournisseur OpenID Connect permet la signature de jeton. |
Explanation | Un jeton d'ID ne peut pas être validé car le client OpenID Connect (partie utilisatrice ou RP) et le fournisseur OpenID Connect (OP) utilisent différents algorithmes de signature pour signer/vérifier le jeton. |
Action | Assurez-vous que la RP a indiqué un algorithme de signature qui correspond l'algorithme de signature OP. |
Explanation | Impossible de vérifier le jeton JWT car le jeton n'est pas signé. Le fournisseur OpenID Connect s'attend à ce que le jeton soit signé. |
Action | Vérifiez la configuration du client OpenID Connect pour vous assurer qu'il signe le jeton JWT. |
Explanation | Impossible de vérifier le jeton JWT vu que le fournisseur et le client OpenID Connect utilisent des algorithmes de signature différents pour signer/vérifier le jeton. |
Action | Corrigez la configuration du client OpenID Connect en spécifiant un algorithme de signature correspondant à celui du fournisseur OpenID Connect. |
Explanation | Un jeton JWT n'a pas pu être créé car il ne pouvait pas être signé. La cause de cette erreur est indiquée dans le message. |
Action | Si vous utilisez une signature asymétrique, vérifiez qu'une clé privée valide est utilisée pour signer le jeton. Par exemple, vérifiez si la clé est arrivée à expiration. Examinez l'élément keyStore référencé par la configuration SSL par défaut dans le fichier server.xml pour rechercher des informations sur le fichier de clés hébergeant la clé privée. Consultez également l'action utilisateur pour le message qui apparaît après cette erreur. |
Explanation | Un jeton JWT n'est pas valide car la vérification de sa signature a échoué. |
Action | Vérifiez que le jeton est signé comme il se doit. |
Explanation | Un jeton JWT n'a pas pu être validé car sa signature n'a pas pu être vérifiée. La raison de cette erreur est affichée après le message. |
Action | Si vous utilisez une signature asymétrique, vérifiez que la clé publique du certificat peut être utilisée à des fins de signature numérique. Examinez l'élément keyStore référencé par la configuration SSL par défaut dans le fichier server.xml pour rechercher des informations sur le fichier de clés hébergeant la clé. Consultez également l'action utilisateur pour le message qui apparaît après cette erreur. |
Explanation | Un jeton JWT signé doit comporter exactement 3 segments séparés par un signe '.'. Ce jeton JWT a un nombre de segments non conforme. |
Action | Vérifiez que le jeton JWT est valide et comporte 3 segments. |
Explanation | Un jeton JWT n'a pas pu être validé en raison d'une exception IllegalStatException indiquée dans le message. |
Action | Corrigez l'erreur signalée dans le message. |
Explanation | La demande doit fournir un jeton JWT mais celui-ci est introuvable dans la demande de noeud final de jeton. |
Action | Fournissez un jeton JWT valide dans la demande de noeud final de jeton. |
Explanation | L'attribut jwkEndpointUrl n'a pas été fourni dans la configuration client OpenID Connect. |
Action | Définissez l'attribut jwkEndpointUrl sur l'URL de la clé Web JSON du fournisseur OpenID Connect. |
Explanation | Une exception s'est produite lors de l'obtention de RunAsSubject. |
Action | Vérifiez que le serveur est configuré et a démarré correctement. |
Explanation | Un jeton n'a pas pu être validé vu que l'heure actuelle affichée n'est pas comprise entre son heure d'émission et son heure d'expiration. |
Action | Assurez-vous que les horloges système du client OpenID Connect (partie utilisatrice ou RP) et du fournisseur OpenID Connect (OP) sont synchronisés (si elles se trouvent sur deux systèmes). |
Explanation | La revendication aud dans le jeton doit être spécifiée dans l'attribut audiences de la configuration du client OpenID Connect, ou toutes les audiences doivent être autorisées en spécifiant la valeur ALL_AUDIENCES dans l'attribut audiences de la configuration du client. |
Action | Assurez-vous que l'attribut audiences spécifié dans la configuration du client OpenID Connect est correct. Si vous souhaitez autoriser toutes les revendications aud, la valeur ALL_AUDIENCES doit être spécifiée pour l'attribut audiences dans la configuration du client OpenID Connect. Sinon, la revendication aud fournie dans le jeton doit être contenue dans la valeur d'attribut audiences de la configuration du client OpenID Connect. La valeur est sensible à la casse. |
Explanation | Le jeton ne peut pas être validé car la signature n'a pas pu être vérifiée. La cause de cette erreur est affichée dans le message. Ceci peut être dû à une non concordance de l'algorithme de signature ou de la une clé partagée entre le client OpenID Connect et le fournisseur OpenID Connect. |
Action | Consultez l'action utilisateur à engager pour l'erreur indiquée dans le message. Si l'erreur semble provenir d'une non concordance de clé, vérifiez la configuration du serveur pour vous assurer que l'algorithme de signature configuré et la clé partagée configurée sont compatibles avec ceux du fournisseur OpenID Connect. |
Explanation | Le jeton ne peut pas être validé car le client OpenID Connect (partie utilisatrice ou RP) et le fournisseur OpenID Connect (OP) utilisent des algorithmes de signature différents. |
Action | Assurez-vous que l'attribut signatureAlgorithm spécifié dans la configuration RP correspond à l'algorithme de signature du fournisseur OP. |
Explanation | Le jeton n'a pas pu être validé car le jeton n'est pas signé. Le paramètre d'algorithme de signature du client OpenID Connect requiert que les jetons soient signés. |
Action | Effectuez l'une des opérations suivantes : 1) Définissez l'attribut signatureAlgorithm dans la configuration du client OpenID Connect à "aucun". 2) Envoyez un jeton signé. |
Explanation | Le client OpenID Connect validant le jeton a configuré l'attribut audiences pour qu'il fasse confiance à certaines audiences. En conséquence, tous les jetons validés par ce client doivent contenir une revendication aud. La revendication aud dans le jeton doit également correspondre à l'une des audiences configurées pour être dignes de confiance par le client dans l'attribut de configuration audiences. |
Action | Vérifiez que le jeton fourni à votre client OpenID Connect contient une revendication aud. Si vous ne souhaitez pas valider les audiences de jeton, supprimez l'attribut audiences de votre configuration du client OpenID Connect. |
Explanation | La revendication nbf (pas avant) dans le jeton est postérieure à l'heure en cours et l'environnement d'exécution ne peut pas utiliser le jeton à l'heure actuelle. |
Action | Vérifiez que le jeton ne contient pas de revendication "nbf" spécifiant une heure postérieure et/ou synchronisez les horloges système ou resoumettez la requête à une heure postérieure. |
Explanation | Un ou plusieurs paramètres fournis dans la configuration des droits sont incorrects et les droits ont été ignorés. Analysez l'exception mentionnée dans le message afin de déterminer le paramètre à l'origine de l'échec. |
Action | Assurez-vous que les paramètres fournis dans le cadre de la configuration de droit d'accès sont corrects. |
Explanation | Ce message est fourni à titre d'information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Ce message est fourni à titre d'information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Une exception inattendue s'est produite lors de l'opération de déchiffrement à l'aide du service de chiffrement de mot de passe personnalisé. |
Action | Pour plus d'informations sur la cause de l'exception, examinez les journaux du service de chiffrement et du serveur. |
Explanation | Une exception inattendue s'est produite lors de l'opération de chiffrement à l'aide du service de chiffrement de mot de passe personnalisé. |
Action | Pour plus d'informations sur la cause de l'exception, examinez les journaux du service de chiffrement et du serveur. |
Explanation | Le mot de passe chiffré personnalisé n'a pas pu être traité car le service de mot de passe personnalisé n'est pas disponible. |
Action | Vérifiez que la fonction utilisateur de mot de passe personnalisé qui implémente l'interface com.ibm.wsspi.security.crypto.CustomPasswordEncryption est configurée et démarrée. |
Explanation | Le mot de passe n'a pas été chiffré ou déchiffré vu que le nom d'algorithme de mot de passe soumis n'est pas pris en charge. |
Action | Prenez soin d'utiliser l'un des algorithmes pris en charge. |
Explanation | L'algorithme spécifié n'est pas pris en charge. |
Action | Examinez le journal du serveur et, si le chiffrement de mot de passe personnalisé est utilisé, vérifiez les journaux de chiffrement de mot de passe personnalisé pour plus d'informations. |
Explanation | Le mot de passe n'a pas été chiffré ou déchiffré car l'exception a été renvoyée lors du traitement du mot de passe. |
Action | Examinez le journal du serveur et, si le chiffrement de mot de passe personnalisé est utilisé, vérifiez les journaux de chiffrement de mot de passe personnalisé pour plus d'informations. |
Explanation | Le mot de passe n'a pas été chiffré ou déchiffré car l'exception a été renvoyée lors du traitement du mot de passe. |
Action | Examinez le journal du serveur et, si le chiffrement de mot de passe personnalisé est utilisé, vérifiez les journaux de chiffrement de mot de passe personnalisé pour plus d'informations. |
Explanation | Le mot de passe chiffré n'a pas été codé correctement. |
Action | Vérifiez que le mot de passe chiffré n'a pas été tronqué et codé en utilisant le codage Base64. |
Explanation | Il existe plusieurs ressources ayant le même nom et la règle d'autorisation correcte ne peut pas être déterminée. Les noms de ressource doivent être uniques. |
Action | Changez le nom d'une des ressources afin que toutes les ressources soient uniques. |
Explanation | La syntaxe à utiliser pour la définition d''un rôle est <{1} name="..." />. |
Action | Modifiez la définition de rôle dans la configuration. |
Explanation | Une seule définition est autorisée par rôle. |
Action | Supprimez les définitions de rôle en double dans la configuration. |
Explanation | Une seule définition d'un membre est autorisée par rôle. |
Action | Supprimez les définitions en double du membre du rôle en double. |
Explanation | L'application n'ayant pas de table d'autorisations définie, le nom de rôle requis pour accéder à la ressource sera traité pour la vérification d'accès comme étant le nom du groupe. Par exemple, si le nom de rôle requis pour accéder à la ressource est Gestionnaire et que l'utilisateur appartient au groupe Gestionnaire, l'accès lui sera autorisé. |
Action | La vérification d'autorisation implicite peut être désactivée en affectant à l'attribut useGroupToRoleName de l'élément d'autorisation la valeur 'false' dans le fichier server.xml. |
Explanation | La demande de noeud final de jeton a plusieurs jetons JWT. Ceci n'est pas autorisé. |
Action | Vérifiez que la demande de noeud final de jeton ne comporte qu'un seul jeton JWT. |
Explanation | La demande de noeud final de jeton n'a pas de jeton JWT. Elle ne peut pas être traitée. |
Action | Assurez-vous que la demande de noeud final de jeton ait un jeton JWT. |
Explanation | Le fournisseur OpenID Connect a rencontré une exception inattendue. |
Action | Contactez IBM. |
Explanation | La demande JWT ne suit pas le format attendu d'entier de temps universel. |
Action | Assurez-vous que la demande dans le jeton JWT suive le format correct. Le temps universel coordonné doit être au format numérique. |
Explanation | La demande de noeud final de jeton a échoué. Impossible de vérifier la demande 'sub' du jeton JWT. Une exception inattendue s'est produite lors de la vérification. |
Action | Assurez-vous que la demande 'sub' dans le jeton JWT corresponde à un utilisateur valide du fournisseur OpenID Connect. |
Explanation | Le fournisseur OpenID Connect doit figurer dans la liste d'audience du jeton JWT. L'ID du fournisseur OpenID Connect est issuerIdentifier dans la configuration ou son URL de noeud final de jeton. |
Action | Assurez-vous que la demande 'aud' dans le jeton JWT inclue le fournisseur OpenID Connect ciblé. Vérifiez l'élément issuerIdentifier dans la configuration du fournisseur OpenID Connect ou son URL de noeud final de jeton. |
Explanation | Impossible de traiter la demande de noeud final de jeton car il manque dans le jeton JWT une demande obligatoire. |
Action | Ajoutez la demande obligatoire dans le jeton JWT. |
Explanation | La demande émetteur dans le jeton JWT doit correspondre à l'URI de redirection du client ou au clientId enregistré dans le fournisseur OpenID Connect. |
Action | Assurez-vous que la demande émetteur corresponde à l'URI de redirection du client ou à son clientId. Vérifiez l'élément clientId ou l'URI de redirection dans la configuration du fournisseur OpenID Connect. |
Explanation | Le jeton JWT n'est pas valide car sa demande de sujet est introuvable dans le registre utilisateurs du fournisseur OpenID Connect. |
Action | Assurez-vous que la demande sujet dans le jeton JWT corresponde à un utilisateur dans le registre utilisateurs du fournisseur OpenID Connect. |
Explanation | Le jeton JWT a expiré. Sa date/heure d'expiration est indiquée dans le message d'erreur. |
Action | Assurez-vous que le jeton JWT n'a pas expiré, synchronisez l'horloge des systèmes ou augmentez le délai d'expiration. |
Explanation | La valeur de date/heure d'émission dans le jeton JWT est postérieure à la date/heure actuelle. Elle n'est pas valide au moment du traitement. |
Action | Synchronisez l'horloge des systèmes et assurez-vous que la valeur 'iat' est valide ou soumettez le jeton JWT plus tard. |
Explanation | Le jeton JWT émis dépasse la durée de vie maximale de jeton JWT (tokenMaxLifetime value) définie dans la configuration du fournisseur OpenID Connect. |
Action | Assure-vous que le jeton JWT soit émis en respectant la durée de vie maximale de jeton JWT ou augmentez la valeur de tokenMaxLifetime dans la configuration du serveur. |
Explanation | Le fournisseur OpenID Connect a défini 'iatRequired' à true. Dans ce cas, la demande 'iat' dans le jeton JWT est obligatoire. La demande 'iat' manquante entraîne un échec. |
Action | Soumettez une demande 'iat' dans le jeton JWT ou définissez 'iatRequired' à false dans le fournisseur OpenID Connect. |
Explanation | Le jeton JWT est assorti d'une demande 'pas avant', mais l'heure de la demande précède l'heure nbf (pas avant). |
Action | Assurez-vous qu'un jeton JWT soit soumis après sa demande 'nbf' (pas avant). |
Explanation | Un jeton JWT émanant du même émetteur ne peut pas être soumis deux fois. La valeur jti est l'ID unique d'un jeton. |
Action | Assurez-vous que chaque jeton JWT émanant d'un même émetteur ait un ID jti unique. |
Explanation | Le jeton JWT ne contient pas toutes les demandes obligatoires. |
Action | Soumettez les demandes obligatoires dans le jeton JWT. |
Explanation | La demande n'est pas valide car il y manque le jeton JWT requis. |
Action | Veillez à ce que la demande contienne un jeton JWT. |
Explanation | Le serveur a rencontré une exception inattendue. |
Action | Vérifiez que la configuration dans le fichier server.xml est correcte. Si ceci se reproduit systématiquement, contactez IBM. |
Explanation | Le jeton JWT n'est pas valide. Il est présenté avant sa demande 'nbf' (pas avant l'heure). |
Action | Assurez-vous que le jeton JWT dans la demande soit présenté après son heure 'nbf' (pas avant l'heure). Synchronisez l'horloge entre le client et le fournisseur OpenID Connect ou augmentez le décalage d'horloge dans la configuration du fournisseur OpenID Connect. |
Explanation | La demande 'iat' dans le jeton JWT indique que le jeton est émis dans le futur. Elle n'est pas valide pour l'heure actuelle dans le fournisseur OpenID Connect. |
Action | Assurez-vous que l'horloge du client et du fournisseur OpenID Connect sont synchronisées et ne soumettez pas de jeton JWT dont la valeur 'iat' est située dans le futur. |
Explanation | La valeur 'exp' du jeton JWT a atteint l'heure actuelle plus décalage d'horloge. Il n'est plus valide. |
Action | Assurez-vous que le jeton JWT n'expire pas ou synchronisez l'horloge du client et du fournisseur OpenID Connect. |
Explanation | La demande 'iss' dans le jeton JWT doit correspondre à l'ID du client ou à une URI de redirection du client. |
Action | Assurez-vous que la demande 'iss' dans le jeton JWT corresponde à l'ID du client ou à une URI de redirection du client. |
Explanation | La demande 'aud' dans le jeton JWT doit correspondre à l'identificateur de l'émetteur ou au noeud final de jeton du fournisseur OpenID Connect. |
Action | Assurez-vous que la demande 'aud' dans le jeton JWT corresponde à l'identificateur de l'émetteur ou au noeud final de jeton du fournisseur OpenID Connect. |
Explanation | La demande 'aud' dans le jeton JWT doit correspondre à l'identificateur de l'émetteur spécifié explicitement dans la configuration. |
Action | Assurez-vous que la demande 'aud' dans le jeton JWT corresponde à l'identificateur de l'émetteur défini dans la configuration. |
Explanation | Une exception inattendue s'est produite lors de la vérification de la demande 'sub' dans le registre utilisateurs du fournisseur OpenID Connect. |
Action | Vérifiez que le registre utilisateurs dans le fournisseur OpenID Connect fonctionne correctement et que la valeur sub(utilisateur) correspond à un utilisateur valide dans le registre. |
Explanation | L'algorithme de signature indiqué pour le jeton JWT nécessite une clé publique pour vérifier le jeton JWT entrant, mais n'a pas pu l'obtenir. |
Action | Vérifiez que jwtGrantType et keyStore ont été configurés correctement et que l'emplacement et le mot de passe du fichier de clés certifiées sont corrects. |
Explanation | Le fournisseur OpenID Connect ne peut pas obtenir un fichier de clés certifiées pour vérifier le jeton JWT. La configuration openidConnectProvider doit être corrigée. |
Action | Vérifiez que jwtGrantType et trustStoreRef ont été correctement configurés dans le fournisseur openidConnectProvider et que l'emplacement et le mot de passe du fichier de clés sont corrects. |
Explanation | Le fournisseur OpenID Connect a rencontré une erreur inattendue. |
Action | Vérifiez que la configuration est correcte. Si le problème persiste, contactez IBM. |
Explanation | Le jeton JWT signé avec l'algorithme de signature RS256 n'est pas pris en charge dans le noeud final de jeton OAuth. |
Action | Pour utiliser le jeton JWT avec l'algorithme de signature RS256, vous devez définir une configuration openidConnectProvider appropriée et également envoyer la demande via le noeud final de jeton OpenID Connect. |
Explanation | Ce message est fourni à titre d'information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Ce message est fourni à titre d'information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Ce message est fourni à titre d'information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Le service JACC n'a pas pu démarrer. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | Le fournisseur JACC ne peut pas être initialisé car le nom de la classe de règle n'est pas défini. |
Action | Assurez-vous que la propriété(javax.security.jacc.policy.provider) de la fonction utilisateur JACC définit le nom de classe approprié. |
Explanation | Le fournisseur JACC ne peut pas être initialisé car le nom de la classe PolicyConfigurationFactory n'est pas défini. |
Action | Assurez-vous que la propriété (javax.security.jacc.PolicyConfigurationFactory.provider) de la fonction utilisateur JACC définit le nom de classe approprié. |
Explanation | Le nom de classe de la règle qui est spécifié par la propriété système JVM n'est pas identique au nom de classe de règle qui est spécifié par la propriété bundle de la classe de fournisseur JACC. La valeur de la propriété système est ignorée et la valeur de la propriété bundle est utilisée. |
Action | La propriété système JVM n'est pas requise. Retirez la propriété système JVM et redémarrez le serveur. |
Explanation | Le nom de classe PolicyConfigurationFactory qui est spécifié par la propriété système JVM n'est pas identique au nom de classe PolicyConfigurationFactory qui est spécifié par la propriété bundle de la classe de fournisseur JACC. La valeur de la propriété système est ignorée et la valeur de la propriété bundle est utilisée. |
Action | La propriété système JVM n'est pas requise. Retirez la propriété système JVM et redémarrez le serveur. |
Explanation | Le servicd JACC ne peut pas charger la classe PolicyConfigurationFactory spécifiée. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | Le service JACC ne peut pas définir la classe de fournisseur de règle en raison de l'exception. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | Le service JACC ne peut pas obtenir l'objet PolicyConfiguration du fournisseur JACC. Il peut s'agir d'une erreur grave dans le fournisseur JACC. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | Le service JACC ne peut pas propager les contraintes de sécurité Web au fournisseur JACC en raison d'une exception inattendue. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | L'autorisation pour la ressource spécifiée a échoué. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | Le service JACC ne peut pas traiter les rôles de sécurité EJB car le module requis n'est pas disponible. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | Le service JACC ne peut pas traiter les rôles de sécurité Web car le module requis n'est pas disponible. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | Le service JACC ne peut pas obtenir l'objet PolicyConfiguration du fournisseur JACC. Il peut s'agir d'une erreur grave dans le fournisseur JACC. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | Le service JACC ne peut pas propager les contraintes de sécurité Web au fournisseur JACC en raison d'une exception inattendue. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | L'autorisation pour la ressource Web spécifiée a échoué. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | Le service JACC ne peut pas terminer la demande car l'objet du paramètre n'est pas valide. Il s'agit d'une erreur interne. |
Action | Il s'agit d'une erreur interne. Si l'incident persiste, consultez les informations d'identification des incidents sur la page Web du support technique de WebSphere Application Server, à l'adresse http://www.ibm.com/software/webservers/appserv/was/support/. |
Explanation | Le service JACC ne peut pas obtenir l'objet PolicyConfiguration du fournisseur JACC. Il peut s'agir d'une erreur grave dans le fournisseur JACC. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | L'autorisation pour la ressource spécifiée a échoué. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | Le service JACC ne peut pas propager les rôles de sécurité EJB au fournisseur JACC en raison d'une exception inattendue. |
Action | Passez en revue les journaux du fournisseur JACC et les journaux du serveur pour plus d'informations. |
Explanation | Le service JACC ne peut pas terminer la demande car l'objet du paramètre n'est pas valide. Il s'agit d'une erreur interne. |
Action | Il s'agit d'une erreur interne. Si l'incident persiste, consultez les informations d'identification des incidents sur la page Web du support technique de WebSphere Application Server, à l'adresse http://www.ibm.com/software/webservers/appserv/was/support/. |
Explanation | RACF n'est pas installé. |
Action | Contactez l'administrateur système. |
Explanation | Une erreur de liste de paramètres s'est produite durant le traitement RACF. |
Action | Contactez l'administrateur système. |
Explanation | Une erreur interne est survenue lors du traitement RACF. |
Action | Si le problème persiste, contactez l'administrateur système. |
Explanation | L'environnement de récupération SAF n'a pas pu être établi. |
Action | Si le problème persiste, contactez l'administrateur système. |
Explanation | L'utilisateur spécifié n'a pas été trouvé dans le registre SAF. |
Action | Vérifiez que l'ID utilisateur est valide. Si l'utilisateur est valide, utilisez les codes retour et raison fournis par SAF pour obtenir plus d'informations sur la cause de l'échec. |
Explanation | L'ID utilisateur spécifié (ou son accès au groupe) a été révoqué par le registre SAF. |
Action | Vérifiez que l'utilisateur est valide. Si l'utilisateur est valide, utilisez les codes retour et raison fournis par SAF pour obtenir plus d'informations sur la cause de l'échec. |
Explanation | L'utilisateur spécifié n'a pas de droits d'accès RACF suffisants pour l'APPL-ID indiqué. |
Action | Vérifiez que l'utilisateur a des droits RACF suffisants pour accéder au profil APPL-ID indiqué dans la classe APPL. |
Explanation | L'utilisateur SAF représentant l'utilisateur non authentifié n'a pas l'attribut RESTRICTED activé. Le rôle de cet attribut est d'éviter que l'utilisateur non authentifié n'hérite d'un accès à des ressources auxquelles il n'a pas explicitement droit. |
Action | Il est recommandé d'activer l'attribut RESTRICTED pour l'utilisateur non authentifié SAF. |
Explanation | Le serveur a tenté de créer un justificatif (credential) ou d'effectuer un contrôle d'autorisation avec une ressource APPL-ID, SAF CLASS ou SAF EJBROLE PROFILE à laquelle il n'est pas autorisé à accéder. Le jeu de ressources SAF (notamment les APPL-IDs, CLASSes et EJBROLE PROFILEs) auxquelles le serveur est autorisé à accéder est défini par le domaine WZSSAD (WLP z/OS System Security Access Domain). Le serveur a tenté d'accéder à une ressource en dehors de ce domaine. |
Action | Vérifiez que le serveur a besoin d'accéder à ces ressources SAF. Dans l'affirmative, éditez le jeu de ressources SAF auxquelles le serveur est autorisé à accéder. Consultez le centre de documentation pour plus d'informations sur le domaine WZSSAD. |
Explanation | Le service SAF spécifié n'a pas réussi. |
Action | Utilisez les codes retour et raison fournis par SAF pour obtenir plus d'informations sur la cause de l'échec. |
Explanation | Le profil de ressource SAF spécifié n'existe pas dans la classe indiquée, ou alors s'il existe, il n'est pas protégé par RACF. |
Action | Vérifiez que le profil de ressource SAF existe dans la classe indiquée. Utilisez les codes retour et raison fournis par SAF pour obtenir plus d'informations sur la cause de l'échec. |
Explanation | Le serveur a tenté d'utiliser des services SAF autorisés pour effectuer l'authentification. La tentative a toutefois échoué car le serveur ne dispose pas des droits permettant d'accéder à la ressource APPL-ID indiquée, en fonction du domaine WZSSAD (WLP z/OS System Security Access Domain). Le serveur utilise à nouveau les services SAF non autorisés fournis par les service USS (Unix System Services) pour effectuer l'authentification. |
Action | Si l'utilisation des services SAF autorisés est souhaitée, accordez à l'utilisateur associé au serveur le droit d'accès approprié à la ressource APPL-ID dans le domaine WZSSAD (WLP z/OS System Security Access Domain). Consultez le centre de documentation pour plus d'informations sur le domaine WZSSAD. Si l'utilisation des services SAF autorisés n'est pas souhaitée, configurez le serveur afin qu'il utilise le registre SAF non autorisé et non le registre SAF autorisé. Pour plus de détails, consultez le centre de documentation. |
Explanation | Une tentative d'authentification précédente a échoué car le serveur n'a pas été autorisé à accéder à la ressource indiquée (voir message CWWKS2930W). Le serveur est toutefois maintenant autorisé à accéder à la ressource APPL-ID. Des tentatives d'authentification supplémentaires utilisant les services SAF autorisés auront lieu. |
Action | Aucune. |
Explanation | Le message indique la version du registre d'utilisateurs SAF qui est utilisée. Il existe deux versions :(1) la version non autorisée, qui utilise des services Unix System non autorisés tels que __passwd; (2) la version autorisée, qui utilise des services SAF autorisés, tels que initACEE. |
Action | Le serveur doit avoir accès aux ressources autorisées SAFCRED et au domaine WZSSAD (WLP z/OS System Security Access Domain) pour pouvoir utiliser la version autorisée du registre SAF. |
Explanation | Le serveur ne peut pas créer le justificatif (credential) par défaut qui représente l'utilisateur non authentifié SAF. L'utilisateur non authentifié SAF est spécifié par l'attribut unauthenticatedUser dans la configuration du serveur. Le serveur ne peut pas effectuer de contrôles d'autorisation pour les utilisateurs non authentifiés ; par conséquent, toutes les tentatives d'autorisation pour cette catégorie d'utilisateurs échoueront. |
Action | Traitez l'erreur décrite dans le message. |
Explanation | Le serveur n'a pas pu lire la zone APPLDATA à partir du profil SAF EJBROLE fourni. La zone APPLDATA contient l'utilisateur RunAs pour la délégation SAF. |
Action | Le message d'erreur inclut des codes retour SAF et des codes raison identifient la cause de l'incident. |
Explanation | L'élément de configuration userRegistry fait référence à des instances UserRegistry spécifiques par leurs valeurs d'ID. |
Action | Indiquez un paramètre refId valide dans la configuration userRegistry. |
Explanation | Chaque configuration UserRegistry indique un paramètre d'ID. |
Action | Indiquez le paramètre d'ID pour un élément configuré, ou créez la configuration requise. |
Explanation | Chaque bundle d'implémentation UserRegistry spécifie son type fourni. |
Action | Indiquez un type pris en charge ou installez le bundle qui fournit l'instance UserRegistry du type demandé. |
Explanation | La configuration pour le type de registre ne définit pas un ID. |
Action | Définissez un ID pour la configuration du type de registre. |
Explanation | Le service ne définit pas la propriété com.ibm.ws.security.registry.type. |
Action | Définissez la propriété com.ibm.ws.security.registry.type pour le service. |
Explanation | Aucune implémentation UserRegistry n'est disponible via le registre du service OSGi. |
Action | Indiquez une fonction d'implémentation UserRegistry. |
Explanation | Plusieurs implémentations UserRegistry sont disponibles via le registre du service OSGi. |
Action | Indiquez une seule fonction d'implémentation UserRegistry. Si vous sélectionnez plusieurs éléments userRegistries, vous devez inclure la fonction de fédération pour fédération des registres d'utilisateurs. |
Explanation | Plusieurs configurations de registre définissent le même ID. Ce cas de figure n'est pas pris en charge. |
Action | Modifiez l'ID de l'une des configurations de registre en conflit de sorte qu'elle soit unique. |
Explanation | La fédération de registre d'utilisateurs est activée et le registre d'utilisateurs configuré est fédéré. |
Action | Si la fédération de référentiel n'est pas obligatoire, mettez à jour la configuration dans le fichier server.xml afin de désactiver la fédération |
Explanation | La fédération de registre d'utilisateurs est activée et le registre d'utilisateurs configuré qui a été préalablement fédéré est retiré de la fédération. |
Action | Si la fédération de référentiel n'est pas obligatoire, mettez à jour la configuration dans le fichier server.xml afin de désactiver la fédération |
Explanation | Une tentative de fédération des registres d'utilisateurs a été effectuée, mais a échoué. |
Action | Reportez-vous aux informations d'identification de problème sur la page Web de support de WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support. |
Explanation | La syntaxe de définition d'un utilisateur est de la forme <user name="..." password="..." />. |
Action | Corrigez la définition d'utilisateur dans la configuration. |
Explanation | La syntaxe de définition d'un groupe est de la forme <group name="...">. |
Action | Corrigez la définition de groupe dans la configuration. |
Explanation | La syntaxe de définition d'un membre est de la forme <member name="...">. |
Action | Corrigez la définition de membre dans la configuration. |
Explanation | Aucun utilisateur n'est défini pour la configuration. Peut-être est-ce intentionnel ? Sinon, il y a vraisemblablement une erreur de configuration. |
Action | Si nécessaire, définissez au moins un utilisateur dans la configuration. |
Explanation | Les noms d'utilisateur doivent être uniques. |
Action | Définissez un seul utilisateur avec le nom indiqué. |
Explanation | Les noms de groupe doivent être uniques. |
Action | Définissez un seul groupe avec le nom indiqué. |
Explanation | Pour un groupe donné, un nom d'utilisateur particulier ne peut apparaître que dans une seule entrée de membre (member). |
Action | Définissez une seule entrée 'member' pour l'utilisateur dans le groupe indiqué. |
Explanation | Le nom spécifié pour l'entrée member ne correspond pas à un utilisateur défini. |
Action | Vérifiez l'orthographe du nom du membre et assurez-vous qu'il correspond à un utilisateur défini dans le registre. |
Explanation | Chaque bundle d'implémentation de TokenService spécifie son type fourni. |
Action | Spécifiez un type pris en charge ou installez le bundle qui fournit l'instance de TokenService du type demandé. |
Explanation | Le jeton ne peut pas être recréé par les services de jeton actuellement configurés. |
Action | Vérifiez qu'au moins une fonction inclue un service de jeton correctement configuré pour recréer le jeton. |
Explanation | Le jeton ne peut pas être recréé par les services de jeton actuellement configurés. |
Action | Vérifiez qu'au moins une fonction inclue un service de jeton correctement configuré pour recréer le jeton. |
Explanation | Les interfaces de programmation de la délégation contrainte (S4U2self et S4U2proxy) requièrent au minimum l'environnement d'exécution Java d'IBM JavaSE 1.8. |
Action | Assurez-vous d'utiliser un environnement d'exécution Java d'IBM JavaSE 1.8. |
Explanation | Le service OSGi indiqué n'est pas disponible. |
Action | Assurez-vous que la fonction de délégation contrainte est activée que vous utilisez un environnement d'exécution d'IBM JavaSE 1.8. Passez en revue les journaux du serveur pour plus d'informations. |
Explanation | La fabrique de jeton n'a pas été initialisée. |
Action | Contrôlez la validité de la configuration de gestionnaire de jeton dans le fichier server.xml ou de toute autre ressource spécifiée par la configuration. |
Explanation | Le paramètre unique_id est Null ou n'a pas été spécifié dans les données du jeton. |
Action | Vérifiez que l'utilisateur a un ID unique. En cas d'utilisation d'un registre d'utilisateurs personnalisé, vérifiez que les données du jeton contiennent une valeur pour le paramètre unique_id. |
Explanation | La clé spécifiée est manquante, de sorte que le jeton LTPA ne peut pas être créé. |
Action | Examinez le fichier de propriétés dans lequel sont stockées les informations de clés LTPA et vérifiez qu'elles incluent une clé secrète, une clé privée et une clé publique. |
Explanation | Les clés LTPA n'existent pas et sont donc générées automatiquement. Les services nécessitant LTPA ne démarreront que lorsque les clés LTPA auront été générées et que la configuration sera prête. |
Action | Aucune action n'est requise. |
Explanation | Ce message est fourni pour information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Ce message est fourni pour information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Les clés LTPA n'ont pas pu être lues ou créées à l'endroit spécifié. |
Action | Assurez-vous que l'emplacement indiqué dans le message est accessible au processus du serveur. Les éventuelles données FFDC (diagnostic de premier niveau) générées peuvent révéler qu'une erreur fatale s'est produite lors de la génération ou du chargement des clés. |
Explanation | Les clés LTPA doivent être rechargées car le fichier de clés LTPA ou la configuration ont été modifiés. |
Action | Vérifiez que tous les serveurs participant à la connexion unique utilisent les mêmes clés et mot de passe LTPA. |
Explanation | La clé LTPA ne peut pas être créée. |
Action | Les éventuelles données FFDC (diagnostic de premier niveau) générées peuvent révéler qu'une erreur fatale s'est produite lors de la génération des clés. |
Explanation | Le traitement de la configuration SPNEGO a abouti. |
Action | Aucun |
Explanation | La modification de la configuration SPNEGO a abouti. |
Action | Aucune. |
Explanation | La configuration Kerberos n'est pas spécifiée dans le fichier server.xml. Le nom et le chemin du fichier de configuration Kerberos par défaut seront utilisés. Consultez JDK pour connaître le nom et le chemin du fichier de configuration Kerberos par défaut. |
Action | Si l'utilisateur souhaite utiliser un autre nom et chemin de fichier de configuration Kerberos qualifié, vous devez indiquer ce nom et ce chemin, lesquels peuvent aussi inclure une variable prise en charge, dans le fichier server.xml. |
Explanation | Le fichier de configuration Kerberos spécifié dans le fichier server.xml est introuvable. |
Action | Vérifiez le nom et le chemin de fichier de configuration Kerberos qualifié, lesquels peuvent aussi inclure une variable prise en charge, afin de vous assurer qu'ils correspondent aux informations fournies dans le fichier server.xml. |
Explanation | Le nom et le chemin du fichier keytab Kerberos par défaut sont utilisés si aucun fichier keytab Kerberos n'est spécifié dans le fichier server.xml. Consultez le document JDK pour connaître le nom et le chemin du fichier keytab Kerberos par défaut. |
Action | Si l'utilisateur souhaite utiliser un autre nom et chemin de fichier keytab Kerberos qualifié, vous devez indiquer ce nom et ce chemin, lesquels peuvent aussi inclure une variable prise en charge, dans le fichier server.xml. |
Explanation | Le fichier keytab Kerberos spécifié dans le fichier server.xml est introuvable. Consultez le document JDK pour connaître le nom et le chemin du fichier keytab Kerberos par défaut. |
Action | Vérifiez le nom et le chemin de fichier keytab Kerberos qualifié, lesquels peuvent aussi inclure une variable prise en charge, afin de vous assurer qu'ils correspondent aux informations fournies dans le fichier server.xml. |
Explanation | L'authentification SPNEGO n'est pas prise en charge pour ce navigateur client. |
Action | Configurez le navigateur du client afin d'effectuer une authentification SPNEGO. |
Explanation | La configuration de votre navigateur est correcte, mais vous n'êtes pas connecté à un domaine Windows pris en charge. Ou bien la configuration SPNEGO n'est pas correcte de sorte que le navigateur client n'envoie pas le jeton SPNEGO. |
Action | Vérifiez que vous vous connectez bien au domaine Windows pris en charge et vérifiez également la configuration SPNEGO sur le serveur et le domaine Windows. |
Explanation | Impossible de créer un élément GSSCredential pour le nom de principal du service. L'authentification SPNEGO ne sera pas utilisée pour ce service SPN. |
Action | Vérifiez le format du nom du principal de service et assurez-vous qu'il existe sur le domaine Windows et que le fichier keytab Kerberos contient le nom de principal du service. |
Explanation | Impossible de créer un élément GSSCredential pour aucun nom de principal du service. L'authentification SPNEGO ne sera pas utilisée. |
Action | Vérifiez le format du nom du principal de service et assurez-vous qu'il existe sur le domaine Windows et que le fichier keytab Kerberos contient le nom de principal du service. |
Explanation | Les données GSSCredentials déléguées par le client sont introuvables, le sujet client n'aura donc pas les données GSSCredentials client. |
Action | Si les données GSSCredentials déléguées par le client sont nécessaires dans le sujet, configurez SPN afin qu'il soit digne de confiance pour les services Kerberos dans le domaine Windows. |
Explanation | Erreur lors de l'obtention de l'élément getWriter de HttpServletResponse ; impossible d'écrire la page d'erreur dans la réponse HttpServletResponse. |
Action | Pour plus de détails, consultez les informations sur l'exception. |
Explanation | Le fichier de configuration Kerberos n'est pas spécifié dans le fichier server.xml et le fichier de configuration Kerberos par défaut est introuvable. |
Action | Vérifiez le nom et le chemin du fichier de configuration Kerberos par défaut, ou mettez à jour le fichier server.xml avec le fichier de configuration que vous souhaitez utiliser. |
Explanation | Le fichier Kerberos keytab par défaut est introuvable. |
Action | Le fichier keytab Kerberos n'a pas été spécifié dans le fichier server.xml et le fichier par défaut est introuvable. Vérifiez le nom et le chemin du fichier keytab Kerberos par défaut, ou mettez à jour le fichier server.xml avec le fichier keytab Kerberos que vous souhaitez utiliser. |
Explanation | Les noms de principal du service (servicePrincipalNames) n'ont pas été spécifiés dans le fichier server.xml, la valeur par défaut sera utilisée. |
Action | Indiquez une valeur pour l'attribut servicePrincipalNames si la valeur par défaut ne doit pas être utilisée. |
Explanation | Impossible de trouver un élément GSSCredential pour le nom de principal du service. |
Action | Vérifiez les noms de principal du service et assurez-vous qu'ils ont été définis dans le domaine Windows et dans le fichier keytab de Kerberos. |
Explanation | Les éléments servicePrincipalNames ont plusieurs SPN (noms de principal du service) pour le même nom d'hôte. Le premier sera utilisé et les autres seront ignorés. |
Action | Vérifiez l'élément servicePrincipalNames pour vous assurer qu'un seul nom de principal du service (SPN) par nom d'hôte d'hôte est défini. |
Explanation | La page d'erreur personnalisée ne peut pas être chargée car une URL incorrectement formée est spécifiée. |
Action | Examinez la page d'erreur personnalisée et modifiez-la afin qu'elle soit conforme à une syntaxe d'URL correctement formée. |
Explanation | La page d'erreur personnalisée ne peut pas être chargée en raison de l'exception. La page par défaut sera utilisée. |
Action | Examinez la page d'erreur personnalisée et assurez-vous qu'elle existe, puis vérifiez le type de contenu et le codage de contenu. |
Explanation | La page d'erreur personnalisée ne peut pas être chargée en raison de l'exception lors de l'obtention du type de contenu. |
Action | Examinez le type de contenu de la page d'erreur personnalisée afin de vous assurer qu'il est valide. |
Explanation | Le jeton SPNEGO utilisé pour authentifier la demande n'est pas valide. |
Action | Si aucun message d'erreur supplémentaire ne s'affiche, activez le débogage JGSS et KRB5. Consultez la documentation JDK pour plus de détails sur l'activation du débogage JGSS et KRB5. Vérifiez la configuration SPNEGO et assurez-vous que le client, les fichiers keytab SPN et Kerberos utilisent le même type de chiffrement que celui spécifié dans le fichier configuration Kerberos. |
Explanation | Impossible d'obtenir le SPN du service délégué à partir des données GSSCredential. Les données GSSCredential du client pour le proxy ne figureront pas dans le sujet. |
Action | Vérifiez le format du nom du principal de service et assurez-vous qu'il existe sur le domaine Windows et que le fichier keytab Kerberos contient le nom de principal du service. |
Explanation | Authentification impossible auprès de Key Distribution Center (KDC). |
Action | Vérifiez le format du nom du principal de service et assurez-vous qu'il existe sur le domaine Windows et que le fichier keytab Kerberos contient le nom de principal du service. |
Explanation | Impossible de simuler les droits d'accès de l'utilisateur en raison d'une exception inattendue. |
Action | Assurez-vous que le nom principal de service délégué est activé pour le délégué et consultez les journaux serveur pour plus d'informations. |
Explanation | Impossible de simuler les droits d'accès de l'utilisateur en raison d'une exception inattendue. |
Action | Assurez-vous que l'attribut S4U2proxy est défini sur true dans la configuration d'élément SPNEGO, que le SPN de service délégué est activé pour le délégué dans Key Distribution Center (KDC), que le ticket de service client a un indicateur acheminable défini sur true, et les tickets de service de délégué ont un indicateur acheminable défini sur true. Passez en revue les journaux du serveur pour plus d'informations. |
Explanation | Impossible de traiter la méthode car la délégation contrainte S4U2self n'est pas activée. |
Action | Assurez-vous que la fonction de délégation contrainte est activé et que l'attribut S4U2self est défini sur true dans la configuration de délégation contrainte dans le fichier server.xml. Passez en revue les journaux du serveur pour plus d'informations. |
Explanation | Impossible de traiter la méthode car la délégation contrainte n'est pas activée. |
Action | Assurez-vous que la fonction de délégation contrainte est activé et que l'attribut S4U2proxy est défini sur true dans la configuration de délégation contrainte dans le fichier server.xml. Passez en revue les journaux du serveur pour plus d'informations. |
Explanation | Une chaîne nulle a été spécifiée pour le filtre d'authentification dans le fichier server.xml. |
Action | Corrigez la règle de filtrage d'authentification. |
Explanation | La condition de filtre est incorrectement formée, elle ne peut pas comporter plusieurs valeurs. |
Action | Vérifiez la valeur de filtre dans le fichier server.xml. |
Explanation | Le type de correspondance du filtre doit être l'un des suivants : ==, !=, %=, > ou <. |
Action | Vérifiez le type de correspondance du filtre dans le fichier server.xml. |
Explanation | Le type de correspondance du filtre doit être l'un des suivants : equals, notContain, contains, greaterThan ou lessThan. |
Action | Vérifiez le type de correspondance du filtre dans le fichier server.xml. |
Explanation | Une plage d'adresses IP incorrecte a été spécifiée. La plage d'adresses IP doit contenir uniquement des caractères génériques après la première plage. |
Action | Vérifiez que tous les caractères situés après la première plage spécifiée sont des caractères génériques. |
Explanation | Un nom d’hôte n'a pas pu être obtenu pour l'adresse IP spécifiée. |
Action | Validez la plage d'adresses IP spécifiée. |
Explanation | Une erreur de conversion s'est produite lors de la conversion de la valeur d'attribut IP en adresse IP. |
Action | Validez l'attribut IP spécifié dans le fichier server.xml. |
Explanation | L'élément authFilter n'est pas spécifié dans le fichier server.xml. |
Action | Assurez-vous que l'élément authFilter est spécifié dans le fichier server.xml. |
Explanation | La configuration du filtre d'authentification a été correctement effectuée. |
Action | Aucune action n'est requise. |
Explanation | La modification du filtre d'authentification a été correctement effectuée. |
Action | Aucune action n'est requise. |
Explanation | L'attribut d'ID obligatoire est manquant dans l'élément authFilter spécifié dans le fichier server.xml ; cet élément authFilter ne sera pas utilisé. |
Action | Assurez-vous que l'élément authFilter spécifié dans le fichier server.xml comporte l'attribut d'ID. |
Explanation | Le traitement de la configuration SAML Web SSO version 2.0 a abouti. |
Action | Aucune action n'est requise. |
Explanation | Le traitement de la configuration SAML Web SSO version 2.0 a abouti. |
Action | Aucune action n'est requise. |
Explanation | Le service de noeud final SAML Web SSO version 2.0 est activé. |
Action | Aucune action n'est requise. |
Explanation | Le service de noeud final SAML Web SSO version 2.0 est activé. |
Action | Aucune action requise. |
Explanation | L'URL indiquée n'est pas un noeud final de fournisseur de services valide. Une mauvaise configuration du fournisseur de services peut être à l'origine de cette situation. |
Action | Vérifiez la configuration du fournisseur de services. |
Explanation | L'URL indiquée n'est pas un noeud final de fournisseur de services valide. Une mauvaise configuration du fournisseur de services peut être à l'origine de cette situation. |
Action | Vérifiez la configuration du fournisseur de services. |
Explanation | L'ID de fournisseur de services indiqué n'est pas configuré dans le fichier server.xml ou il n'est pas activé. |
Action | Vérifiez dans le fichier server.xml si l'ID du fournisseur est configuré et si tous les paramètres sont corrects. |
Explanation | Une demande SAML de connexion unique Web (Web SSO) a été reçue par le serveur, mais la fonction samlWeb-2.0 n'est pas activée dans le fichier server.xml ou n'est pas disponible. |
Action | Vérifiez que la fonction samlWeb-2.0 et ses dépendances sont configurées dans la commande featureManager du fichier server.xml. |
Explanation | L'attribut d'ID pour les fournisseurs de services SAML Web SSO identifie de manière unique chaque fournisseur de services. L'attribut d'ID est utilisé pour la création des informations de construction requises pour une opération correcte de SAML Web SSO, comme la génération d'URL de fournisseur de service valides. |
Action | Consultez le fichier server.xml afin de vous assurer que tous les fournisseurs de services SAML Web SSO sont configurés avec une valeur d'attribut d'ID non vide. |
Explanation | Une erreur interne du serveur s'est produite lors du traitement d'une demande SAML Web SSO. |
Action | Recherchez les erreurs dans les fichiers journaux du serveur et vérifiez que votre configuration est correcte. Si le problème persiste, consultez les informations de détermination des problèmes sur la page Web de support de WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support. |
Explanation | Le fournisseur d'identité semble avoir un problème pour émettre une réponse SAML. La raison du problème figure dans le message. |
Action | Vérifiez le code d'état et les messages facultatifs et vérifiez que le fournisseur d'identité et ce fournisseur de services sont correctement configurés. |
Explanation | La réponse SAML émise par le fournisseur d'identité indiqué doit contenir une assertion. La réponse SAML reçue du fournisseur d'identité ne contient pas d'assertion. Cette condition n'est pas autorisée. |
Action | Vérifiez que le fournisseur d'identité est configuré correctement et que l'utilisateur s'est correctement connecté à celui-ci. |
Explanation | La réponse SAML contient une version d'assertion qui n'est pas prise en charge par le fournisseur de services. La version prise en charge est indiquée dans le message. |
Action | Vérifiez que le fournisseur d'identité est configuré pour l'assertion version 2.0. |
Explanation | La réponse SAML est émise en dehors d'une période acceptable. Une raison possible de cette erreur est que l'horloge du destinataire est désynchronisée par rapport à celle du créateur de l'assertion. |
Action | Vérifiez que la date et l'heure sur le fournisseur d'identité sont synchronisées avec ce fournisseur de services SAML de connexion unique Web (Web SSO) ou augmentez le décalage de l'horloge. |
Explanation | La destination de la réponse SAML doit correspondre à l'URL du fournisseur de services. |
Action | Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré correctement. |
Explanation | Une assertion SAML valide doit être définie pour l'en-tête indiqué dans la demande HTTP. |
Action | Vérifiez que la configuration rsSaml spécifie un nom d'en-tête correct et qu'une assertion SAML valide a été définie pour cet en-tête dans la demande HTTP. |
Explanation | La désactivation de la configuration SAML Web SSO version 2.0 a abouti. |
Action | Aucune action n'est requise. |
Explanation | Le fournisseur de services ne peut ni décoder, ni analyser le message de réponse SAML. Les causes possibles sont un codage invalide par le fournisseur d'identité, un schéma erroné ou un problème de communication. |
Action | Contactez l'administrateur du fournisseur d'identité SAML. |
Explanation | Les métadonnées indiquées n'existent pas dans la configuration. L'assertion SAML ne peut pas être validée sans les métadonnées. |
Action | Vérifiez que le fichier de métadonnées du fournisseur d'accès contient l'instance de l'émetteur indiqué. |
Explanation | Le fichier de métadonnées indiqué n'a pas pu être traité. La raison de l'erreur figure dans le message. |
Action | Vérifiez que le format XML et l'espace de nom du fichier de métadonnées sont valides. Par ailleurs, reportez-vous à l'action utilisateur correspondant à la cause indiquée dans le message. |
Explanation | Le fichier de métadonnées du fournisseur d'identité indiqué n'existe pas ou n'est pas accessible. |
Action | Vérifiez que le fichier de métadonnées du fournisseur d'identité existe et est accessible. |
Explanation | Le fournisseur d'identité doit répondre avec un message de réponse SAML. |
Action | Vérifiez que le fournisseur d'identité est correctement configuré. |
Explanation | L'une des situations suivantes a pu se produire : 1) La réponse SAML a été utilisée plusieurs fois. 2) La réponse du fournisseur d'identité a pris trop longtemps et l'état du relais a été supprimé du fournisseur de services. 3) Le fournisseur d'identité a modifié l'état du relais qui lui a été envoyé. |
Action | Vérifiez que le fournisseur d'identité n'envoie les réponses qu'une seule fois, que celles-ci sont envoyées dans un délai raisonnable et que le fournisseur d'accès ne modifie pas l'état du relais. |
Explanation | La ressource protégée est inaccessible en raison d'une erreur interne. Les données du cache ont peut-être déjà accédées et supprimées. |
Action | Pour en savoir plus, consultez les journaux du serveur. |
Explanation | Le fichier indiqué n'existe pas ou est inaccessible. La raison de l'erreur figure dans le message. |
Action | Vérifiez que le fichier existe et que l'application peut y accéder. Par ailleurs, reportez-vous à l'action utilisateur correspondant à la cause de l'erreur. |
Explanation | Le fichier de métadonnées du fournisseur d'identité a été mis à jour avec les nouvelles données de configuration pour ce fournisseur. Le fournisseur de services va recharger le fichier. |
Action | Aucune action n'est requise. |
Explanation | La réponse SAML non sollicitée contient un attribut InResponseTo. Cette condition n'est pas autorisée. |
Action | Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré correctement. |
Explanation | RelayState est un paramètre du protocole SAML utilisé pour identifier la ressource à laquelle l'utilisateur ou l'agent utilisateur accédera après sa connexion. Si ces informations sont manquantes, le fournisseur de services ne sait pas où rediriger l'utilisateur ou l'agent utilisateur. |
Action | Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré de manière à inclure RelayState dans la réponse SAML. |
Explanation | L'assertion SAML a un élément Issuer avec un attribut Format qui n'est pas pris en charge. L'attribut Format doit être omis ou défini sur une valeur prise en charge. |
Action | Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré correctement. |
Explanation | L'assertion SAML doit contenir un élément Issuer correspond à l'émetteur défini dans le fichier de métadonnées du fournisseur d'identité. L'émetteur de l'assertion SAML ne correspond pas à celui qui figure dans le fichier de métadonnées. |
Action | Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré correctement. |
Explanation | Le message de réponse SAML contient une signature, mais l'environnement d'exécution ne peut pas la vérifier à cause d'une erreur interne. |
Action | Vérifiez que les métadonnées du fournisseur d'identité sont à jour. |
Explanation | L'assertion SAML contient une signature, mais l'environnement d'exécution ne peut pas la vérifier à cause d'une erreur interne. |
Action | Vérifiez que les métadonnées du fournisseur d'identité sont à jour. |
Explanation | L'assertion SAML contient une signature qui n'est pas valide, ou elle est signée avec un certificat de signataire qui n'est pas digne de confiance. La raison de l'erreur figure dans le message. |
Action | Il peut s'agir d'une erreur de configuration. Vérifiez que les métadonnées du fournisseur d'identité sont à jour et correctement configurées. Par ailleurs, reportez-vous à l'action utilisateur correspondant à l'erreur indiquée dans le message. |
Explanation | L'assertion SAML ne contient pas l'élément requis par le module d'exécution. |
Action | L'élément requis doit être ajouté à l'assertion SAML. Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré correctement. |
Explanation | L'élément SubjectConfirmationData de l'assertion SAML ne doit pas contenir l'attribut NotBefore. |
Action | Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré correctement. |
Explanation | Un attribut requis par le module d'exécution est manquant dans un élément de l'assertion SAML. |
Action | L'attribut requis doit être ajouté à l'assertion SAML. Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré correctement. |
Explanation | L'assertion SAML a été reçue à un moment correspondant ou ultérieur au paramètre NotOnOrAfter de l'élément SubjectConfirmationData de l'assertion. Cette condition n'est pas autorisée. Une raison possible de cette erreur est que l'horloge du destinataire est désynchronisée par rapport à celle du créateur de l'assertion. |
Action | Synchronisez les horloges du fournisseur de services SAML et du fournisseur d'identité, ou augmentez le paramètre de décalage d'horloge. |
Explanation | L'attribut Recipient de l'élément SubjectConfirmationData doit être défini dans l'URL ACS. |
Action | Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré correctement. |
Explanation | L'assertion SAML a été reçue à un moment qui est antérieur au paramètre NotBefore de l'assertion. Cette condition n'est pas autorisée. Une raison possible de cette erreur est que l'horloge du destinataire est désynchronisée par rapport à celle du créateur de l'assertion. |
Action | Synchronisez les horloges du fournisseur de services SAML et du fournisseur d'identité, ou augmentez le paramètre de décalage d'horloge. |
Explanation | L'assertion SAML a été reçue à un moment correspondant ou ultérieur au paramètre NotOnOrAfter de l'assertion. Cette condition n'est pas autorisée. Les raisons possibles de cette erreur sont que l'horloge du destinataire est désynchronisée par rapport à celle du créateur de l'assertion ou que l'assertion a été obtenue et renvoyée par une application non autorisée. |
Action | Synchronisez les horloges du fournisseur de services SAML et du fournisseur d'identité, ou augmentez le paramètre de décalage d'horloge. |
Explanation | L'élément Conditions de l'assertion SAML contient un attribut qui n'est pas pris en charge par l'environnement d'exécution. Cette condition n'est pas autorisée. |
Action | Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré correctement. |
Explanation | La valeur de l’élément Audience doit être définie sur l'ID d'entité du fournisseur de services. |
Action | Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré correctement. |
Explanation | L'assertion SAML a été reçue à un moment correspondant ou ultérieur au paramètre SessionNotOnOrAfter de l'élément AuthnStatement de l'assertion. Cette condition n'est pas autorisée. Les raisons possibles de cette erreur sont que l'horloge du destinataire est désynchronisée par rapport à celle du créateur de l'assertion ou que l'assertion a été obtenue et renvoyée par une application non autorisée. |
Action | Synchronisez les horloges du fournisseur de services SAML et du fournisseur d'identité, ou augmentez le paramètre de décalage d'horloge. |
Explanation | Le processus d'authentification n'a pas abouti car une autre erreur s'est produite avant ce message. |
Action | Consultez l'action utilisateur pour plus de détails sur l'erreur qui s'affiche avant ce message. |
Explanation | La réponse SAML indiquée contient une valeur d'attribut InResponseTo non valide. |
Action | Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré de manière à pouvoir omettre une valeur valide pour l'attribut InResponseTo. |
Explanation | L'assertion SAML ne contient pas l'attribut requis par le module d'exécution. |
Action | L'attribut requis doit être ajouté à l'assertion SAML. Contactez l'administrateur du fournisseur d'identité pour vérifier que celui-ci est configuré correctement ou configurez le fournisseur de services ou l'intercepteur de relations de confiance afin de définir une valeur pour l'attribut. |
Explanation | L'utilisateur indiqué n'est pas dans le registre d'utilisateurs, ou la configuration est erronée. |
Action | Vérifiez que l'utilisateur est configuré dans le registre d'utilisateurs, et que le fournisseur d'identité et le fournisseur de services sont configurés correctement. |
Explanation | Le magasin de clés spécifié ne comporte pas la clé privée requise. |
Action | Assurez-vous que le magasin de clés configuré comporte les clés requises ou modifiez la configuration afin d'indiquer un autre magasin de clés. |
Explanation | Le magasin de clés spécifié ne comporte pas le certificat de signature requis. |
Action | Assurez-vous que le magasin de clés configuré comporte le certificat requis ou modifiez la configuration afin d'indiquer un autre magasin de clés. |
Explanation | Le filtre authFilter spécifié par l'élément authFilterRef dans la configuration SAML WebSSO n'existe pas. |
Action | Assurez-vous que la configuration authFilter requise existe sur le serveur ou retirez l'élément authFilterRef de la configuration SAML WebSSO. |
Explanation | Le service UserCredentialResolver fourni par la fonction utilisateur n'arrive pas à mapper correctement l'assertion SAML et génère une exception UserIdentityException. |
Action | Vérifiez que le service UserCredentialResolver est correctement configuré si l'exception UserIdentityException n'est pas attendue. |
Explanation | La demande ne doit pas répondre aux critères de filtrage de plusieurs éléments authFilter. Elle doit respecter les conditions d'un seul élément authFilter, de sorte que l'exécution puisse choisir le fournisseur de services approprié pour le traitement. |
Action | Consultez la configuration de serveur et ajustez les éléments authnFilter, de sorte que les conditions d'un élément authFilter soient remplies et la demande sera traitée par le fournisseur de services qui référence l'élément authFilter. |
Explanation | Le service OSGi indiqué n'est pas disponible. |
Action | Redémarrez le serveur en utilisant l'option "clean". |
Explanation | Le fichier de métadonnées du fournisseur d'identité ne comporte pas les informations d'URL. |
Action | Assurez-vous que le fichier de métadonnées du fournisseur d'identité ne comporte pas d'erreur. |
Explanation | Le fournisseur de services n'a aucune information concernant les métadonnées du fournisseur d'identité. Les raisons possibles sont les suivantes : 1) L'attribut idpMetadata n'est pas correctement défini 2) Le fichier spécifié par l'attribut n'existe pas. |
Action | Vérifiez si l'attribut idpMetadata est défini que le fichier référencé par l'attribut existe. |
Explanation | Le fournisseur d'identité n'a peut-être pas traité la demande SAML dans les temps. Consultez les journaux du fournisseur d'identité afin de vous assurer que celui est opérationnel. |
Action | Soumettez de nouveau la demande et augmentez la valeur de l'attribut authnRequestTime afin de vous assurer que le fournisseur d'identité dispose de suffisamment de temps pour traiter la demande SAML. |
Explanation | La réponse SAML du fournisseur d'identité contient une assertion SAML qui a déjà été incluse dans une réponse SAML précédente. |
Action | Assurez-vous que le fournisseur d'identité ne génère as d'ID d'assertion SAML en double ou qu'il envoie la même assertion SAML plusieurs fois. |
Explanation | Le fournisseur de services WebSSO SAML requiert la demande WebSSO SAML pour l'utilisation de HTTPS, or HTTP a été utilisé dans l'URL de demande. |
Action | Effectuez l'une des opérations suivantes : 1) Assurez-vous que le fournisseur de services WebSSO SAML prend en charge SSL. 2) Si le fournisseur de services WebSSO SAML ne prend pas en charge SSL, définissez httpsRequired dans la configuration de fournisseur de services WebSSO SAML sur false. |
Explanation | Le fournisseur de services WebSSO SAML requiert la communication SSL, or HTTP a été utilisé dans l'URL du fournisseur d'identité. |
Action | Effectuez l'une des opérations suivantes : 1) Assurez-vous que le fournisseur d'identité WebSSO SAML prend en charge SSL. 2) Si le fournisseur d'identité WebSSO SAML ne prend pas en charge SSL, définissez httpsRequired dans la configuration de fournisseur de services WebSSO SAML sur false. |
Explanation | Seule l'assertion SAML est prise en charge pour le contenu de l'en-tête indiqué dans la demande HTTP. |
Action | Assurez-vous que l'assertion SAML est dans le contenu de l'en-tête indiqué. |
Explanation | Une erreur interne du serveur s'est produite lors du traitement d'une demande de propagation interne SSO SAML Web. |
Action | Recherchez les erreurs dans les fichiers journaux du serveur et vérifiez que votre configuration est correcte. Si le problème persiste, consultez les informations de détermination des problèmes sur la page Web de support de WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support. |
Explanation | La liste trustedIssuers dans pkixTrustEngine est uniquement utilisée par le mécanisme de connexion unique (SSO) SAML Web. Elle est ignorée dans le mécanisme de connexion unique (SSO) SAML Web pour la fonction de propagation entrante. |
Action | Supprimez la liste trustedIssuers de pkixTrustEngine. |
Explanation | La configuration samlWebSso20 est définie afin de traiter la propagation interne de jeton SAML ou le mécanisme de connexion unique (SSO) SAML Web, mais non pas les deux. Les attributs répertoriés seront ignorés dans les traitements indiqués. |
Action | Aucune action n'est requise. |
Explanation | L'assertion SAML, qui est contenue dans l'en-tête de la demande HTTP, n'est pas valide et ne peut pas être analysée correctement. |
Action | Vérifiez qu'une assertion SAML valide est générée correctement. |
Explanation | Une erreur s'est produite lors de l'extraction du jeton SAML du sujet ou un élément SAML n'a pas été trouvé dans le sujet en cours. |
Action | Si vous créez le sujet run-as, assurez-vous que le jeton SAML est ajouté au sujet. Sinon, vérifiez que votre configuration de serveur prend en charge l'ajout du jeton SAML au sujet en vérifiant l'attribut includeTokenInSubject dans votre configuration SAML. |
Explanation | Une exception est survenue lors de l'extraction du jeton SAML à partir du sujet. |
Action | Vérifiez si les journaux du serveur contiennent plus d'informations sur l'erreur. |
Explanation | La configuration Social Login indiquée a été traitée correctement. |
Action | Aucune action n'est requise. |
Explanation | La configuration Social Login indiquée a été traitée correctement. |
Action | Aucune action n'est requise. |
Explanation | La configuration Social Login indiquée a été désactivée correctement. |
Action | Aucune action n'est requise. |
Explanation | Une erreur de serveur interne s'est produite lors du traitement d'une demande de Social Login. |
Action | Recherchez les erreurs dans les fichiers journaux du serveur et vérifiez que votre configuration est correcte. Si le problème persiste, consultez les informations de détermination des problèmes sur la page Web de support de WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support. |
Explanation | Le processus d'authentification a échoué car d'autres erreurs se sont produites avant ce message. |
Action | Consultez l'action utilisateur pour plus de détails sur l'erreur qui s'affiche avant ce message. |
Explanation | L'ID du service Social Login indiqué n'est pas configuré dans le fichier server.xml. |
Action | Vérifiez le fichier server.xml pour voir si le service Social Login avec l'ID indiqué est configuré et assurez-vous que tous les paramètres sont corrects. |
Explanation | L'URL indiquée n'est pas un noeud final Social Login valide. Ceci peut être dû à une configuration incorrecte dans le serveur Social Login. |
Action | Vérifiez que Social Login est configuré correctement. |
Explanation | Le service de noeud final de Social Login Version 2.0 est activé. |
Action | Aucune action n'est requise. |
Explanation | Une demande de Social Login a été reçue par le serveur mais la fonction socialLogin-1.0 n'est pas activée dans le fichier server.xml ou n'est pas disponible. |
Action | Assurez-vous que la fonction ssocialLogin-1.0 et ses dépendances sont configurées dans le paramètre featureManager du fichier server.xml. |
Explanation | Les demande Twitter autorisées doivent être signées à l'aide de l'algorithme de signature HMAC-SHA1. Un problème est apparu lors de l'obtention de l'algorithme de signature requis, ou la clé fournie n'a pas pu être utilisée pour initialiser l'algorithme de signature. |
Action | Vérifiez que votre système prend en charge l'algorithme de signature HMAC-SHA1. Vérifiez la valeur confidentielle du consommateur et les valeurs confidentielles du jeton de demande. Ces deux valeurs sont utilisées en tant que partie de la clé pour l'algorithme de signature. Si l'une de ces valeurs est incorrectement formée ou si elle contient des caractères qui ne peuvent pas être codés conformément à la norme RFC 3986, vous devrez peut-être obtenir une nouvelle valeur. |
Explanation | La réponse du noeud final était probablement nulle ou vide. La demande initiale a peut-être été dirigée vers le mauvais noeud final. Les réponses des noeuds finaux Twitter doivent être une chaîne de paires clé et valeur. La clé et la valeur doivent être normalement séparées par un caractère de signe égal ("="), et plusieurs paires clé et valeur doivent normalement être séparées par un caractère perluète ("&"). |
Action | Vérifiez que la demande a été dirigée vers le noeud final Twitter correct. Vérifiez que tous les paramètres requis ont été inclus dans la demande initiale et que la demande a été autorisée par l'inclusion d'un en-tête d'autorisation valide. Un en-tête d'autorisation valide est créé en utilisant la clé de consommateur de l'application Twitter en plus d'une URL de rappel ou d'un jeton de demande OAuth. Vérifiez votre configuration de serveur afin de vous assurer que la clé de consommateur et l'URL de rappel configurées sont correctes. |
Explanation | Les réponses de chaque noeud final Twitter retournent leur propre jeu de paramètres. La réponse Twitter reçue ne contenait pas les paramètres requis qui sont répertoriés dans le message. La demande initiale a peut-être été dirigée vers le mauvais noeud final. |
Action | Vérifiez que la demande a été dirigée vers le noeud final Twitter correct. Vérifiez que tous les paramètres requis ont été inclus dans la demande initiale et que la demande a été autorisée par l'inclusion d'un en-tête d'autorisation valide. Un en-tête d'autorisation valide est créé en utilisant la clé de consommateur de l'application Twitter en plus d'une URL de rappel ou d'un jeton de demande OAuth. Vérifiez votre configuration de serveur afin de vous assurer que la clé de consommateur et l'URL de rappel configurées sont correctes. |
Explanation | Le paramètre qui est spécifié dans le message doit avoir une valeur qui correspond à la valeur attendue. Il s'agit là d'un scénario improbable dans lequel Twitter a traité avec succès une demande mais a retourné une valeur inattendue pour le paramètre. |
Action | Vérifiez la configuration de votre serveur afin de vous assurer que l'URL de rappel configurée pour cette application pointe sur une URL valide vers laquelle Twitter peut rediriger un utilisateur une fois une autorisation accordée. |
Explanation | La réponse du noeud final Twitter contenait le paramètre spécifié dans le message mais ne fournissait pas une valeur pour le paramètre. |
Action | Vérifiez que la réponse du noeud final Twitter contenait tous les paramètres attendus et les valeurs pour ces paramètre. Vérifiez que tous les paramètres requis ont été inclus dans la demande initiale et que la demande a été autorisée par l'inclusion d'un en-tête d'autorisation valide. Un en-tête d'autorisation valide est créé en utilisant la clé de consommateur de l'application Twitter en plus d'une URL de rappel ou d'un jeton de demande OAuth. Vérifiez votre configuration de serveur afin de vous assurer que la clé de consommateur et l'URL de rappel configurées sont correctes. |
Explanation | La demande initiale a peut-être été dirigée vers le mauvais noeud final Twitter, ou une erreur s'est produite lors du traitement de la réponse du noeud final. |
Action | Consultez d'éventuels messages dans les journaux serveur qui pourraient indiquer une défaillance. Vérifiez que la demande initiale a été dirigée vers le noeud final approprié. |
Explanation | La demande initiale contenait probablement des données d'autorisation incorrectes ou il lui était interdit d'exécuter l'opération demandée. Les noeuds finaux Twitter qui ont besoin d'une autorisation doivent comporter un en-tête d'autorisation qui respecte un format spécifique. Pour les demandes autorisées, il est probable qu'un élément de données utilisé pour créer l'en-tête d'autorisation, comme la signature ou le jeton OAuth, était incorrectement formé ou incorrect. Le code d'état fourni dans le message doit indiquer une raison plus spécifique pour laquelle la demande a échoué. |
Action | Si la demande n'a pas été autorisée, vérifiez qu'elle contenait un en-tête d'autorisation avec des données d'autorisation précises. Si les données d'autorisation incluent un jeton OAuth, vérifiez que ce jeton est encore valide ou envisagez d'obtenir un nouveau jeton. Vérifiez que la demande n'est pas identique à une demande précédente en comparant les signatures dans les en-têtes d'autorisation des demandes. Si la demande a été interdite, vérifiez que l'application Twitter autorise l'opération demandée. |
Explanation | La chaîne spécifiée dans le message n'a pas pu être interprétée en tant qu'URL valide. Ceci est probablement dû à un protocole inconnu spécifié dans l'URL. |
Action | Vérifiez que la chaîne spécifiée est une URL valide. Vérifiez que la chaîne n'est pas nulle et que le protocole utilisé dans l'URL est un protocole valide, comme http ou https. |
Explanation | La chaîne spécifiée dans le message n'est peut-être pas une URI valide, ou le système n'est peut-être pas autorisé à exécuter l'action d'initialisation d'une URI. |
Action | Vérifiez que la chaîne spécifiée est une URL valide. Vérifiez que la chaîne n'est pas nulle et que le protocole utilisé dans l'URL est un protocole valide, comme http ou https. Assurez-vous que la base de code dispose des droits appropriés pour initialiser un objet d'URI. |
Explanation | L'une des situations suivantes s'est probablement produite : 1. Une erreur s'est produite lors de l'ouverture d'une connexion au noeud final spécifié. 2. La méthode de demande utilisée pour la demande n'était pas un protocole connu comme GET ou POST. 3. Une erreur s'est produite lors de l'écriture des donnés POST pour la connexion. 4. Une erreur s'est produite lors de la lecture de la réponse du noeud final Twitter. |
Action | Consultez le texte d'erreur dans le message pour plus d'informations sur l'incident. Vérifiez que le système a maintenu une connectivité pendant la demande. Vérifiez qu'une méthode de demande connue, comme GET ou POST, a été utilisée pour la demande. |
Explanation | Aucun résultat n'a été retourné ou un résultat vide a été retourné par la demande spécifiée. Une erreur s'est peut-être produite lors de la soumission ou du traitement de la demande. |
Action | Consultez dans les journaux serveur d'éventuels messages d'erreur supplémentaires indiquant l'endroit où s'est produit l'incident. |
Explanation | L'URL vers laquelle la réponse a été redirigée n'était peut-être pas valide ou elle n'a pas pu traiter la demande. |
Action | Vérifiez que la cible de redirection est disponible et capable de traiter la demande. Consultez le message d'erreur pour plus d'informations sur l'incident. |
Explanation | La demande entrante doit inclure une valeur de jeton de demande OAuth qui est identique au jeton de demande OAuth obtenu à la première étape du processus d'autorisation. Les valeurs doivent correspondre pour confirmer que la demande entrante correspond à la demande initiale qui a commencé le processus d'autorisation. |
Action | Vérifiez que la demande entrante correspond à une demande antérieure d'un jeton de demande OAuth. Envisagez de recommencer le flux d'autorisation afin d'obtenir un nouveau jeton de demande OAuth. |
Explanation | La demande doit contenir l'ensemble des paramètres indiqués dans le message. La demande ne contenait aucun des paramètres indiqués dans le message. |
Action | Vérifiez que la demande inclut tous les paramètres requis. |
Explanation | Une zone d'état de réponse est attendue pour déterminer le résultat de la demande d'autorisation. |
Action | Consultez dans les journaux serveur d'éventuels messages d'erreur supplémentaires indiquant l'endroit où s'est produite une autre erreur. |
Explanation | L'état de la réponse inclus dans le résultat n'indiquait un résultat de réussite. Un incident s'est peut-être produit lors de la soumission ou du traitement de la demande. |
Action | Si le message contient un autre message d'erreur, consultez les actions utilisateur de ce message. Sinon, consultez dans les journaux serveur d'éventuels messages d'erreur supplémentaires indiquant l'endroit où s'est produite une autre erreur. |
Explanation | Lorsque plus d'un service Social Login est qualifié, il n'est pas possible de sélectionner celui qui traitera la demande. |
Action | Assurez-vous qu'un seul service Social Login est configuré dans le fichier server.xml pour traiter la demande. |
Explanation | Il se peut que le noeud final spécifié ne fonctionne pas comme prévu ou que son comportement ait été modifié pour renvoyer des réponses sous un format différent. Certaines données peuvent avoir été omises lors de la lecture de la réponse. |
Action | Vérifiez que le serveur lit bien la réponse complète depuis le noeud final spécifié. Vérifiez que la demande a bien été adressée au noeud final Twitter correct et que la réponse respecte le format attendu. |
Explanation | Un problème est survenu lors du traitement ou de l'affichage de la page de connexion par défaut aux médias sociaux. Les journaux du serveur comportent un message spécifique décrivant ce problème. |
Action | Recherchez dans les journaux du serveur un message d'erreur spécifique décrivant la cause du problème. |
Explanation | Un problème a été rencontré lors du traitement de la demande de connexion auprès d'un média social spécifique. Les journaux du serveur comportent un message spécifique décrivant ce problème. |
Action | Recherchez dans les journaux du serveur un message d'erreur spécifique décrivant la cause du problème. |
Explanation | Une erreur s'est produite lors du traitement de la page de connexion par défaut. Le message inclut une explication spécifique indiquant pourquoi la page de connexion ne peut pas être affichée. |
Action | Consultez l'action utilisateur à engager pour l'erreur affichée dans le message. Recherchez dans les journaux du serveur d'éventuels messages d'erreur supplémentaires. |
Explanation | Une erreur s'est produite lors du traitement de la sélection de connexion aux médias sociaux. Le message inclut une explication spécifique indiquant pourquoi la demande ne peut pas être traitée. |
Action | Consultez l'action utilisateur à engager pour l'erreur affichée dans le message. Recherchez dans les journaux du serveur d'éventuels messages d'erreur supplémentaires. |
Explanation | Le service de configuration de connexion aux médias sociaux doit être activé pour déterminer quels services de médias sociaux ont été configurés et peuvent être utilisés pour se connecter. |
Action | Vérifiez que la fonctionnalité socialLogin-1.0 a été configurée et a bien démarré. |
Explanation | La demande doit inclure le paramètre qui est spécifié dans le message afin de déterminer le média social requis pour se connecter. |
Action | Prenez soin d'inclure dans le message le paramètre spécifié dans le message. Vérifiez que la valeur du paramètre correspond à l'attribut 'id' d'un élément de connexion à un média social configuré. |
Explanation | Le paramètre spécifié était bien inclus dans la demande, mais sans qu'une valeur n'ait été indiquée. Une valeur est requise pour déterminer la configuration de connexion appropriée à utiliser pour la connexion au réseau social. |
Action | Prenez soin d'indiquer une valeur pour le paramètre spécifié dans le message. Cette valeur doit correspondre à l'attribut 'id' d'un élément de connexion aux médias sociaux configuré. |
Explanation | L'ID spécifié ne correspond à aucun attribut 'id' d'une configuration de connexion à des médias sociaux. |
Action | Vérifiez qu'une configuration de connexion aux médias sociaux existe avec la valeur de l'attribut 'id' spécifié. |
Explanation | Un composant du serveur d'applications n'a pas pu effectuer une opération sur une ressource nécessaire. |
Action | Vérifiez que le nom de fichier spécifié est valide. Vérifiez que l'environnement d'exécution du serveur d'applications est autorisé à accéder en écriture au répertoire pour la ressource et que le disque n'est pas saturé. Si cela ne suffit pas à résoudre le problème, consultez les informations de détermination des problèmes sur la page Web de support de WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support. |
Explanation | Une tentative d'ouverture de la ressource spécifiée a échoué. L'exception indique la cause première de l'échec. |
Action | Examinez l'exception pour déterminer la cause première de l'échec. Vérifiez que le nom de fichier spécifié est valide. Vérifiez que l'environnement d'exécution du serveur d'applications est autorisé à accéder en écriture au répertoire pour la ressource et que le disque n'est pas saturé. Si cela ne suffit pas à résoudre le problème, consultez les informations de détermination des problèmes sur la page Web de support de WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support. |
Explanation | Un composant du serveur d'applications n'a pas pu effectuer une opération sur une ressource nécessaire. |
Action | Vérifiez que le nom de fichier spécifié est valide. Vérifiez que l'environnement d'exécution du serveur d'applications est autorisé à accéder en écriture au répertoire pour la ressource et que le disque n'est pas saturé. Si cela ne suffit pas à résoudre le problème, consultez les informations de détermination des problèmes sur la page Web de support de WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support. |
Explanation | Une tentative de fermeture de la ressource spécifiée a échoué. L'exception indique la cause première de l'échec. |
Action | Examinez l'exception pour déterminer la cause première de l'échec. Vérifiez que l'environnement d'exécution du serveur d'applications est autorisé à accéder en écriture au répertoire pour la ressource. Si cela ne suffit pas à résoudre le problème, consultez les informations de détermination des problèmes sur la page Web de support de WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support. |
Explanation | Le service gestionnaire du fichier d'audit est en cours de démarrage. Cela peut prendre plusieurs minutes si son initialisation doit avoir lieu une fois pour toutes. |
Action | Aucune action n'est requise. |
Explanation | Ce message est fourni à titre d'information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Ce message est fourni à titre d'information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Le service d'audit est en cours de démarrage. Cela peut prendre plusieurs minutes si son initialisation doit avoir lieu une fois pour toutes. |
Action | Aucune action n'est requise. |
Explanation | Ce message est fourni à titre d'information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Ce message est fourni à titre d'information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Le nom d'événement d'audit indiqué dans la configuration d'événement est incorrect et le serveur d'audit va être arrêté. Analysez l'exception mentionnée dans le message et spécifiez un nom d'événement d'audit valide. |
Action | Assurez-vous que le nom d'événement d'audit fourni dans le cadre de la configuration d'événement est correct. |
Explanation | Le nom de résultat d'audit indiqué dans la configuration d'événement est incorrect et le serveur d'audit va être arrêté. Analysez l'exception mentionnée dans le message et spécifiez un nom de résultat d'audit valide. |
Action | Assurez-vous que le nom de résultat d'audit fourni dans le cadre de la configuration d'événement est correct. |
Explanation | Le nom d'événement d'audit qui est spécifié dans la configuration d'événement n'est pas valide et le service d'audit va être arrêté. Analysez l'exception mentionnée dans le message et spécifiez un nom d'événement d'audit valide. |
Action | Assurez-vous qu'un nom d'événement valide est spécifié avec le type de résultat approprié. |
Explanation | La configuration de JWT (générateur JSON Web Token) a été traitée correctement. |
Action | Aucune |
Explanation | La configuration de JWT (générateur JSON Web Token) a été modifiée correctement. |
Action | Aucune. |
Explanation | Ce message est fourni à titre d'information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Le service JWT (JSON Web Token) n'est pas disponible via le registre du service OSGi. |
Action | Incluez la fonction jwt-1.0 dans votre configuration de serveur. |
Explanation | L'URL spécifiée ne correspondait pas au masque d'URL attendu pour une demande devant être servie par ce filtre. |
Action | Vérifiez que le chemin de l'URL pointe vers le noeud final attendu et qu'il correspond à un noeud final fourni par la fonction jwt-1.0. |
Explanation | Le fournisseur spécifié dans le message n'existe pas dans la configuration de serveur ou bien la configuration pour ce fournisseur n'a pas été traitée par le service de configuration. |
Action | Inspectez la configuration de serveur pour vous assurer que le fournisseur spécifié est configuré. |
Explanation | La demande n'a peut-être pas été traitée par le filtre approprié avant d'être traitée. Le filtre de demande créera l'attribut spécifié en se basant sur les informations données dans la demande. Le filtre transmet ensuite cette demande pour qu'elle soit traitée. |
Action | Vérifiez que la demande a été dirigée vers le noeud final attendu. |
Explanation | Une clé de signature ou une clé utilisant l'algorithme de signature configuré est introuvable. Cette erreur peut être due à une information manquante ou incorrecte dans la configuration de JWT. |
Action | Effectuez l'une des actions suivantes : 1) Si vous utilisez JWK (JSON Web Key) pour signer, vérifiez que RS256 est configuré sur l'attribut signatureAlgorithm. 2) Si vous utilisez des certificats X.509 pour signer, vérifiez que les attributs signatureAlgorithm, KeyStoreRef et KeyStoreAlias sont configurés correctement. 3) Si vous utilisez des clés partagées pour signer, vérifiez que les attributs signatureAlgorithm et sharedKey sont configurés correctement. |
Explanation | Aucun générateur JWT (JSON Web Token) n'existe avec l'ID spécifié dans la configuration du serveur. |
Action | Dans le fichier server.xml, configurez un élément jwtBuilder avec l'ID spécifié. |
Explanation | La valeur spécifiée dans la revendication JWT (JSON Web Token) ne correspond pas à la spécification JWT. |
Action | Indiquez une valeur valide pour la revendication spécifiée. Pour plus d'informations, voir la spécification JWT. |
Explanation | L'API du générateur JWT (JSON Web Token) n'a pas pu créer d'objet de générateur valide car le service du générateur n'est pas disponible. |
Action | Vérifiez que la fonction jwt-1.0 a été configurée. |
Explanation | Le générateur JWT (JSON Web Token) n'a pas modifié les revendications existantes car la mappe de revendications fournie indique une valeur nulle pour le nom de la revendication ou pour la valeur de la revendication. |
Action | Assurez-vous de transmettre une mappe de revendications valide. |
Explanation | Ce message est fourni à titre d'information uniquement. |
Action | Aucune action n'est requise. |
Explanation | Le service consommateur JWT doit être activé avant de pouvoir être utilisé. Le service n'a pas encore démarré ou a été désactivé lors de la suppression de la fonction jwt-1.0. |
Action | Vérifiez que la fonction jwt-1.0 est configurée et que le service consommateur JWT est prêt à être utilisé. |
Explanation | Un consommateur JWT ne peut pas être créé avec un ID de configuration nul. Un ID valide doit être spécifié pour traiter la configuration de consommateur JWT appropriée. |
Action | Spécifiez un ID non nul correspondant à l'ID d'un consommateur JWT existant dans votre configuration de serveur. |
Explanation | L'API du générateur JWT (JSON Web Token) ne peut pas continuer son traitement car la revendication spécifiée est vide ou nulle. |
Action | Vérifiez qu'un nom de revendication valide est transmis. |
Explanation | Une clé de signature ou une clé utilisant l'algorithme de signature configuré est introuvable. Cette erreur peut être due à une information manquante ou incorrecte dans la configuration de JWT. |
Action | Effectuez l'une des actions suivantes : 1) Si vous utilisez JWK (JSON Web Key) pour signer, vérifiez que RS256 est configuré sur l'attribut signatureAlgorithm. 2) Si JWK n'est pas utilisée, vérifiez que les attributs KeyStoreRef et KeyStoreAlias sont configurés correctement pour RS256. 3) Si vous utilisez des clés partagées pour signer, vérifiez que les attributs signatureAlgorithm et sharedKey sont configurés correctement. |
Explanation | L'API du générateur JWT (JSON Web Token) ne peut pas continuer son traitement car le contenu du jeton spécifié n'est pas valide. |
Action | Assurez-vous qu'un contenu valide est transmis pour le jeton. Pour plus d'informations, voir la documentation de l'API. |
Explanation | L'API du générateur JWT (JSON Web Token) ne peut pas continuer son traitement car la valeur de revendication spécifiée n'est pas valide. |
Action | Assurez-vous que la valeur de la revendication spécifiée est un nombre positif différent de zéro. |
Explanation | L'API du générateur JWT (JSON Web Token) ne peut pas continuer son traitement car la valeur de revendication spécifiée n'est pas valide pour la revendication spécifiée. |
Action | Assurez-vous que le type de données de la valeur de revendication est correct. Pour plus d'informations, voir la documentation de l'API. |
Explanation | L'API du générateur JWT (JSON Web Token) a rencontré une erreur qui empêche la création du jeton JWT. |
Action | Consultez l'action utilisateur pour plus de détails sur l'erreur qui s'affiche avant ce message. |
Explanation | L'API du générateur JWT (JSON Web Token) ne peut pas continuer son traitement car les revendications fournies ne sont pas valides. |
Action | Assurez-vous que l'ensemble de revendications fourni est correct. Pour plus d'informations, voir la documentation de l'API. |
Explanation | La configuration du serveur spécifie quels émetteurs sont dignes de confiance lors de la validation des jetons JWT. Le jeton fourni ne peut pas être validé car il ne provient pas d'un émetteur digne de confiance. |
Action | Obtenez un nouveau jeton de l'un des émetteurs dignes de confiance spécifiés dans votre configuration de JWT ou ajoutez l'émetteur spécifié dans le message comme émetteur digne de confiance dans votre configuration de JWT. |
Explanation | La configuration du serveur indique quelles audiences sont dignes de confiance lors de la validation des jetons JWT. Le jeton fourni n'est pas prévu pour une audience digne de confiance et il ne peut donc pas être validé. |
Action | Obtenez un nouveau jeton prévu pour l'une des audiences dignes de confiances spécifiées dans votre configuration de JWT ou ajoutez l'audience spécifiée dans le message comme audience digne de confiance dans votre configuration de JWT. |
Explanation | Le jeton JWT n'est pas valide car il a été généré après sa propre date d'expiration. |
Action | Obtenez un nouveau jeton avec une revendication 'iat' valide spécifiant une heure antérieure à l'heure spécifiée par la revendication 'exp'. |
Explanation | Les jetons arrivés à expiration ou ne spécifiant pas de revendication 'exp' ne sont pas valides. |
Action | Obtenez un nouveau jeton contenant une revendication 'exp' et n'ayant pas expiré. Synchronisez l'heure d'horloge de l'émetteur et du consommateur du jeton ou augmentez le décalage d'horloge dans votre configuration de JWT. |
Explanation | Le jeton JWT a une revendication 'nbf' (pas avant) qui spécifie une heure à laquelle le jeton devient valide. L'heure en cours est antérieure à l'heure 'nbf', par conséquent le jeton n'est pas encore valide. |
Action | Attendez que l'heure spécifiée par la revendication 'nbf' arrive à échéance avant d'utiliser ce jeton ou obtenez un nouveau jeton avec une revendication 'nbf' définie sur une heure antérieure à l'heure en cours. Synchronisez l'heure d'horloge de l'émetteur et du consommateur du jeton ou augmentez le décalage d'horloge dans votre configuration de JWT. |
Explanation | Le jeton est formé incorrectement, n'est pas signé ou ne contient pas de données de signature. Les jetons doivent impérativement être signés par l'algorithme spécifié. |
Action | Obtenez un nouveau jeton signé avec l'algorithme spécifié. |
Explanation | Les jetons doivent impérativement être signés par l'algorithme spécifié dans le message. Les jetons signés avec un autre algorithme de signature ne peuvent pas être validés. |
Action | Obtenez un nouveau jeton signé à l'aide de l'algorithme requis spécifié dans le message ou mettez à jour votre configuration de JWT afin d'autoriser les jetons signés avec l'autre algorithme de signature. |
Explanation | Si l'algorithme de signature HS256 est utilisé, il est possible qu'aucune clé partagée ne soit spécifiée dans votre configuration de consommateur JWT ou qu'une valeur vide soit spécifiée. Si vous utilisez l'algorithme de signature RS256, il est possible que le service de magasin de clés ne soit pas disponible ou que le magasin de clés ne contienne aucune clé correspondant à l'alias de confiance spécifié par la configuration de consommateur JWT. |
Action | Vérifiez dans les journaux du serveur si un message additionnel explique pourquoi une clé n'a pas été trouvée. Si l'algorithme de signature HS256 est utilisé, vérifiez qu'une clé partagée est spécifiée dans votre configuration de consommateur JWT. Si vous utilisez l'algorithme de signature RS256, vérifiez que le magasin de clés certifiées et l'alias de confiance de votre configuration de consommateur sont configurés correctement. |
Explanation | La configuration de consommateur JWT avec l'identificateur spécifié est introuvable dans la configuration du serveur. |
Action | Vérifiez qu'un élément jwtConsumer est configuré avec l'ID spécifié dans la configuration du serveur. |
Explanation | Une erreur a empêché le consommateur de traiter correctement la chaîne du jeton. |
Action | Consultez l'action utilisateur à engager pour l'erreur spécifiée dans le message. |
Explanation | La clé partagée n'a pas pu être extraite en raison d'une erreur. |
Action | Consultez l'action utilisateur à engager pour l'erreur spécifiée dans le message. Vérifiez qu'une clé partagée est configurée dans la configuration de consommateur JWT. |
Explanation | Cette erreur peut être due à un problème lors de l'obtention du magasin de clés certifiées ou lors de la recherche d'une clé correspondant à l'alias spécifié dans le message. |
Action | Consultez l'action utilisateur à engager pour l'erreur spécifiée dans le message. Vérifiez que l'alias de confiance et le magasin de clés certifiées appropriés sont configurés dans la configuration de consommateur JWT (JSON Web Token). |
Explanation | L'attribut sharedKey de la configuration de consommateur JWT était manquant ou sans valeur. |
Action | Vérifiez qu'une valeur sharedKey non vide est configurée dans votre configuration de consommateur JWT. |
Explanation | Aucun magasin de clés certifiées n'a été configuré ou bien celui configuré n'a pas été traité par le service de configuration. |
Action | Vérifiez qu'une référence au magasin de clés certifiées a été spécifiée dans votre configuration de consommateur JWT. |
Explanation | Si vous utilisez l'algorithme de signature HS256algorithm, la clé partagée était soit de type Null, soit une chaîne vide. Si vous utilisez l'algorithme de signature RS256algorithm, la clé était de type Null ou ne représentait pas une instance de java.security.interfaces.RSAPrivateKey. |
Action | Si vous utilisez l'algorithme de signature HS256, prenez soin de fournir comme clé de signature une chaîne non Null et non vide. Si vous utilisez l'algorithme de signature RS256, prenez soin de fournir comme clé de signature une instance d'une classe implémentant l'interface java.security.interfaces.RSAPrivateKey. |
Explanation | L'algorithme de signature fourni est Null, vide ou ne correspond pas au jeu d'algorithmes requis spécifié dans le message. |
Action | Vérifiez que l'algorithme de signature fourni est conforme au jeu d'algorithmes valide. |
Explanation | La prise en charge de JWK doit être activée pour pouvoir utiliser le noeud final de validation JWK. Il se peut que l'attribut jwkEnabled n'ait pas été configuré dans la configuration du générateur JWT spécifié ou que la valeur false lui ait été attribuée. |
Action | Vérifiez que la valeur true a été affectée à l'attribut jwkEnabled pour la configuration du générateur JWT spécifié. |
Explanation | La fonctionnalité JWK requiert d'utiliser l'algorithme de signature spécifié dans le message. La configuration de générateur JWT spécifiée n'utilise pas l'algorithme de signature prescrit. |
Action | Modifiez la configuration de votre générateur JWT afin d'utiliser l'algorithme de signature requis. |
Explanation | Pour créer un objet JWT, vous devez soumettre une chaîne de jeton codé correspondante. |
Action | Spécifiez une chaîne JWT codée correctement. La chaîne doit respecter le format décrit sur https://tools.ietf.org/html/rfc7519#section-3, dans lequel la chaîne est une séquence codée en Base64 d'éléments d'URL sécurisée séparés par des points ('.'). |
Explanation | Une erreur s'est produite lors du traitement de la chaîne JWT soumise. |
Action | Consultez l'action utilisateur à engager pour l'erreur spécifiée dans le message. Vérifiez que le jeton JWT a été signé avec l'algorithme de signature et la clé corrects. |
Explanation | La date/heure d'expiration du jeton JWT (JSON Web Token) doit correspondre à la date/heure actuelle ou à une date/heure future. La date/heure spécifiée est située dans le passé. |
Action | Définissez la date/heure d'expiration du jeton à la date/heure actuelle ou à une date/heure dans le futur. |
Explanation | La valeur de la revendication spécifiée est formatée incorrectement ou n'est pas du type attendu. |
Action | Consultez l'action utilisateur à engager pour l'erreur spécifiée dans le message. Assurez-vous que la valeur de la revendication spécifiée est du type approprié. |
Explanation | Un jeton n'est valide que si sa revendication 'iat' spécifie une date/heure située dans le passé. La revendication 'iat' du jeton soumis indique une date/heure située dans le futur, de sorte que le jeton n'est pas encore valide. |
Action | Patientez jusqu’à la date/heure spécifiée dans la revendication 'iat' avant d'utiliser ce jeton ou procurez-vous un nouveau jeton avec une valeur 'iat' spécifiant une date/heure située dans le passé. |
Explanation | Le jeton fournit inclut une revendication 'jti' qui identifie de manière unique le jeton. Un autre jeton avec les mêmes valeurs 'iss' et 'jti' a été reçu et traité auparavant. Les revendications en double peuvent indiquer la possibilité d'une attaque par réinsertion. |
Action | Assurez-vous que l'émetteur du jeton fournisse un nouveau jeton avec une revendication 'jti' unique. |
Explanation | Le magasin de clés certifiées spécifié par la configuration de consommateur JWT ne contient aucun certificat de signataire. Un certificat de signataire est requis pour valider le jeton JWT. |
Action | Vérifiez que le magasin de clés certifiées utilisé par la configuration de consommateur JWT contient au moins un certificat de signataire. Le magasin de clés certifiées peut être configuré à l'aide de l'attribut 'trustStoreRef' dans la configuration de consommateur JWT ou bien dans le cadre de la configuration SSL globale du serveur. |
Explanation | Plusieurs certificats de signataire ont été détectés dans le magasin de clés certifiées. Lorsque plusieurs certificats sont présents dans le magasin de clés certifiées, l'attribut 'trustedAlias' doit être spécifié dans la configuration de consommateur JWT pour déterminer le certificat à utiliser. |
Action | Spécifiez l'attribut 'trustedAlias' dans la configuration de consommateur JWT en utilisant l'alias du certificat de signataire approprié. |
Explanation | L'entrée <role-link> est indispensable à l'élément <security-role-ref> pour associer le nom de rôle (<role-name>) à un véritable rôle de sécurité. |
Action | Définissez l'entrée <role-link> manquante dans l'élément <security-role-ref>. |
Explanation | L'entrée <role-link> est indispensable à l'élément <security-role-ref> pour associer le nom de rôle (<role-name>) à un véritable rôle de sécurité. |
Action | Deux solutions : soit vous créez un élément <security-role> avec un nom de rôle correspondant à celui qui est référencé par l'entrée <role-link>, soit vous changez l'entrée <role-link> afin qu'elle désigne un nom de rôle déclaré par un élément <security-role> existant. |
Explanation | L'entrée <url-pattern> dans l'élément <servlet-mapping> sert à mapper un <servlet-name> précis au masque (pattern) spécifié. L'utilisation d'un même masque crée un mappage ambigu. |
Action | Changez l'entrée <url-pattern> de manière à la rendre unique. |
Explanation | La table d'autorisations d'une application n'a pas pu être créée et, par conséquent, aucun utilisateur ne sera autorisé. |
Action | Examinez les journaux pour déterminer la raison pour laquelle la table d'autorisations n'a pas pu être créée. |
Explanation | L'utilisateur ne possède pas les droits nécessaires pour accéder à la ressource. |
Action | Si cette situation est inattendue, adressez-vous à l'administrateur de la sécurité. Si l'utilisateur a besoin d'accéder à la ressource protégée, il doit être associé à l'un des rôles qui protègent cette ressource. |
Explanation | Une erreur interne s'est produite. Le port SSL n'a pas pu être déterminé. |
Action | Aucune action ne peut être entreprise. |
Explanation | Lorsque LTPA est le mécanisme d'authentification utilisé, SSO (authentification unique) doit être activé si des applications Web utilisent la connexion par formulaire (FormLogin). |
Action | Activez SSO dans les paramètres de sécurité, puis redémarrez le serveur d'applications. |
Explanation | Lorsque l'intercepteur approprié est trouvé pour une demande donnée, cet intercepteur valide ensuite sa relation de confiance avec le serveur proxy inversé. Ce message d'erreur laisse supposer que la validation a échoué et que, par conséquent, le proxy inversé n'est pas digne de confiance. Par exemple, un mot de passe incorrect ou arrivé à expiration a peut-être été fourni. |
Action | Dans un environnement de production, il peut être demandé à l'utilisateur de vérifier s'il existe un intrus dans le système. Dans un environnement de développement, lorsque le système est en phase d'essai, vérifiez que les entrées attendues du serveur proxy inversé sont transmises correctement à l'intercepteur. La nature de ces entrées dépend de la manière dont l'association de confiance est établie. Par exemple, la méthode la plus simple est de transmettre une combinaison nom d'utilisateur/mot de passe via l'en-tête d'authentification de base (Basic Authentication). |
Explanation | Les paramètres POST sont Null ou dépassent la taille maximale configurée pour l'authentification des applications Web (option postParamCookieSize). |
Action | Si les paramètres POST occupent trop de place, augmentez la valeur de l'option postParamCookieSize. |
Explanation | Un intercepteur renvoie le nom d'utilisateur pour l'authentification. Aucun nom d'utilisateur authentifié n'a été renvoyé. |
Action | Vérifiez que le serveur proxy inversé insère le bon nom d'utilisateur dans la demande HTTP avant d'envoyer cette demande au serveur d'applications. |
Explanation | Ce message concerne toutes les exceptions autres que WebTrustAssociationFailedException et WebTrustAssociationUserException qui peuvent être lancées par un intercepteur lorsqu'il valide sa relation de confiance avec le proxy inversé et lorsqu'il obtient de celui-ci le nom d'utilisateur authentifié. |
Action | Déboguez le problème en vous aidant de la trace de pile qui accompagne ce message d'erreur. Vous pouvez également activer la trace de débogage pour obtenir plus d'informations sur la nature de l'exception. |
Explanation | Les noms d'application doivent être uniques pour que la règle d'autorisation de sécurité soit appliquée. |
Action | Vérifiez dans la configuration si les applications ont des noms unique et redémarrez l'application. |
Explanation | Les noms d'application doivent être uniques pour que la règle d'autorisation de sécurité soit appliquée. |
Action | Changez les applications afin que les noms soient uniques et redémarrez l'application. |
Explanation | L'objet utilisé pour créer la table d'autorisations doit être une instance de la classe SecurityRoles. |
Action | Assurez-vous que l'objet passé à l'API pour la création de la table d'autorisations est une instance de la classe SecurityRoles. |
Explanation | La table d'autorisation relative à une application n'a pas été créée et les utilisateurs ne sont pas autorisés à accéder aux ressources protégées. |
Action | Vérifiez la configuration des autorisations afin de déterminer la raison pour laquelle la table d'autorisation n'a pas été créée. |
Explanation | Les paramètre de sécurité d'application Web ont été modifiés. La valeur des propriétés dans le message sont les nouvelles valeurs. |
Action | Aucune action n'est requise. |
Explanation | La configuration run-as pour le nom security-role n'est pas valide pour l'application. Vérifiez que la configuration de run-as et assurez-vous que l'ID utilisateur et le mot de passe sont configurés correctement. |
Action | Consultez la configuration run-as de l'application pour le nom security-role afin de vous assurer que l'ID utilisateur et le mot de passe sont configurés correctement. |
Explanation | Le port SSL n'a pas pu être déterminé, ce qui a empêché la demande HTTP entrante d'être redirigée vers le port HTTPS. Cela peut se produire si une erreur de configuration est présente dans l'élément keyStore ou si la fonction SSL est manquante. |
Action | Assurez-vous que les informations SSL sont correctes dans le fichier server.xml. |
Explanation | L'URL de demande de servlet n'est pas correcte, ce qui empêche la redirection de la demande HTTP entrante vers le port HTTPS. |
Action | Vérifiez que l'URL de demande de servlet est correcte. |
Explanation | Une réponse de servlet indique qu'une erreur de serveur interne est survenue. |
Action | Passez en revue les journaux du serveur pour plus d'informations. Si le problème persiste, consultez les informations de détermination des problèmes sur la page Web de support WebSphere Application Server, http://www.ibm.com/software/webservers/appserv/was/support/. |
Explanation | Le processus de connexion n'a pas abouti suite à une erreur interne. |
Action | Passez en revue les journaux du serveur pour plus d'informations. Si le problème persiste, consultez les informations de détermination des problèmes sur la page Web de support WebSphere Application Server, http://www.ibm.com/software/webservers/appserv/was/support/. |
Explanation | Le traitement d'une méthode demandée est interdite. |
Action | Si l'erreur est inattendue, vérifiez que l'application autorise les méthodes que le client demande. |
Explanation | Exception inattendue. La cause n'est pas connue immédiatement. |
Action | Si le problème persiste, l'ID du message peut vous fournir des informations complémentaires dans la page Web de support WebSphere Application Server : http://www.ibm.com/software/webservers/appserv/was/support/ Page de support IBM WebSphere Application Server for z/OS : http://www.ibm.com/software/webservers/appserv/zos_os390/support/ |
Explanation | La déconnexion de l'utilisateur n'a pas pu être effectuée car une exception inattendue s'est produite lors de la suppression des cookies de l'utilisateur de la mémoire cache d'authentification. |
Action | Pour plus d'informations, reportez-vous aux journaux de serveur et déconnectez à nouveau l'utilisateur si possible. Si le problème persiste, consultez les informations de détermination des problèmes sur la page Web de support WebSphere Application Server, http://www.ibm.com/software/webservers/appserv/was/support/. |
Explanation | Le traitement du mappage de rôle d'autorisation a été effectué. |
Action | Aucune action n'est requise. |
Explanation | Il manque dans la configuration de la connexion par formulaire la page de connexion, la page d'erreur, ou les deux. |
Action | Assurez-vous que la configuration de la connexion par formulaire inclut les définitions de la page de connexion et de la page d'erreur. |
Explanation | L'attribut ID est obligatoire afin de traiter l'élément <authorization-roles>. |
Action | Définissez la valeur appropriée pour l'attribut ID de l'élément <authorization-roles>. |
Explanation | Le service OSGi indiqué n'est pas disponible. |
Action | Redémarrez le serveur en utilisant l'option "clean". |
Explanation | L'élément deny-uncovered-http-methods n'a pas été spécifié dans le fichier web.xml du servlet, et certaines méthodes HTTP pour canevas d'URL ne sont pas protégées. Ces méthodes non protégées seront accessibles. |
Action | Assurez-vous que toutes les méthodes HTTP sur les schémas d'URL avec contraintes disposent des protections de sécurité prévues. |
Explanation | L'élément deny-uncovered-http-methods a été spécifié dans le fichier web.xml du servlet, et certaines méthodes HTTP pour canevas d'URL ne sont pas protégées. Ces méthodes non protégées ne seront pas accessibles. |
Action | Assurez-vous que toutes les méthodes HTTP sur les schémas d'URL avec contraintes disposent des protections de sécurité prévues. |
Explanation | L'utilisateur ne possède pas les droits nécessaires pour accéder à la ressource. Cette décision d'autorisation a été effectuée par le fournisseur JACC (Java Authorization Contract for Containers) défini par l'utilisateur. |
Action | Si cette situation est inattendue, adressez-vous à l'administrateur de la sécurité. Si l'utilisateur a besoin d'accéder à la ressource protégée, il doit être associé à l'un des rôles qui protègent cette ressource. Vous pouvez configurer cette autorisation à l'aide du fournisseur JACC (Java Authorization Contract for Containers) défini par l'utilisateur. |
Explanation | Le service de déconnexion par formulaire n'a pas pu effectuer un réacheminement vers la page spécifiée au paramètre de servlet logoutExitPage. Soit le format de l'URL spécifiée est incorrect, soit le nom d'hôte n'est pas indiqué dans la propriété com.ibm.websphere.security.logoutExitPageDomainList. |
Action | Corrigez l'URL spécifiée pour le paramètre logoutExitPage. |
Explanation | L'utilisateur ne possède pas les droits nécessaires pour accéder à la ressource. |
Action | Vérifiez que l'utilisateur est mappé sur un des rôles protégeant la ressource si l'accès à la ressource protégée est requis. |
Explanation | L'accès est refusé car il n'y a aucun rôle indiqué pour accéder à la ressource protégée. |
Action | Vérifiez qu'il existe au moins un rôle protégeant la ressource. |
Explanation | L'utilisateur ne dispose pas de droits lui permettant d' accéder à la ressource car le descripteur de déploiement ou les annotations indiquent explicitement qu'aucun rôle de sécurité n'est autorisé à appeler la méthode. |
Action | Modifiez les métadonnées de sécurité de la méthode dans le descripteur de déploiement ou dans les annotations si l'accès à la ressource protégée est requis. |
Explanation | L'utilisateur n'est pas autorisé à accéder à la ressource car le service d'autorisation n'est pas fonctionnel. |
Action | Vérifiez la configuration de sécurité et les messages CWWKS dans les journaux pour vous assurer que le service d'autorisation est enregistré et démarré. |
Explanation | Les paramètres du collaborateur de sécurité EJB du fichier server.xml ont été modifiés. La valeur des propriétés dans le message sont les nouvelles valeurs. |
Action | Ce message est fourni à titre d'information uniquement. Aucune action n'est requise. |
Explanation | Le mode d'exécution SYSTEM_IDENTITY n'est pas pris en charge. La spécification SYSTEM_IDENTITY dans le fichier ibm-ejb-jar-ext.xml de l'application donnée doit être retirée ou remplacée. |
Action | Modifiez les métadonnées de sécurité dans le fichier ibm-ejb-jar-ext.xml pour l'application en retirant ou en remplaçant la spécification du mode d'exécution SYSTEM_IDENTITY car ce dernier n'est pas pris en charge. Les spécifications de mode d'exécution prises en charge sont CALLER_IDENTITY et SPECIFIED_IDENTITY. |
Explanation | L'utilisateur ne possède pas les droits nécessaires pour accéder à la ressource. |
Action | Vérifiez que l'utilisateur est mappé sur un des rôles protégeant la ressource par le fournisseur JACC si l'accès à la ressource protégée est requis. |
Explanation | Il existe des incompatibilités entre les règles de sécurité serveur et client CSIv2 spécifiées. |
Action | Vérifiez que les règles de sécurité serveur et client CSIv2 sont compatibles. |
Explanation | Il existe des incompatibilités dans les couches de transport, d'authentification et/ou d'attributs entre la règle de sécurité Supported (client) CSIv2 spécifiée et la règle de sécurité Required (serveur) dans le fichier server.xml de l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour les couches de transport, d'authentification et/ou d'attributs a des règles de sécurité Supported et Required (serveur) compatibles. |
Explanation | Il existe des incompatibilités dans les couches de transport et/ou d'attributs entre la règle de sécurité Supported (client) CSIv2 spécifiée et la règle de sécurité Required (serveur) dans le fichier server.xml de l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour les couches de transport et/ou d'attributs a des règles de sécurité Supported et Required (serveur) compatibles. |
Explanation | Il existe des incompatibilités dans les couches de transport, d'authentification et/ou d'attributs entre la règle de sécurité Required (client) CSIv2 spécifiée et la règle de sécurité Supported (serveur) dans le fichier server.xml de l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour les couches de transport, d'authentification et/ou d'attributs a des règles de sécurité Required et Supported (serveur) compatibles. |
Explanation | Il existe des incompatibilités dans les couches de transport et/ou d'attributs entre la règle de sécurité Required (client) CSIv2 spécifiée et la règle de sécurité Supported (serveur) dans le fichier server.xml de l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour les couches de transport et/ou d'attributs a des règles de sécurité Required et Supported (serveur) compatibles. |
Explanation | Il existe des incompatibilités dans les couches de transport et/ou d'attributs entre la règle de sécurité Supported (client) CSIv2 spécifiée et la règle de sécurité Required (serveur) dans le fichier server.xml de l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour la couche de transport a des règles de sécurité Supported et Required (serveur) compatibles. |
Explanation | Il existe des incompatibilités dans la couche de transport entre la règle de sécurité Supported client CSIv2 spécifiée et la règle de sécurité Required (serveur) dans le fichier server.xml de l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour la couche de transport a des règles de sécurité Required (serveur) et Supported (client) compatibles. |
Explanation | Il existe des incompatibilités dans la couche de transport entre la règle de sécurité Required (client) CSIv2 spécifiée et la règle de sécurité Supported (serveur) dans le fichier server.xml de l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour la couche de transport a des règles de sécurité Required et Supported (serveur) compatibles. |
Explanation | Il existe des incompatibilités dans la couche de transport entre la règle de sécurité Required (client) CSIv2 spécifiée et la règle de sécurité Supported (serveur) dans le fichier server.xml de l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour la couche de transport a des règles de sécurité Required et Supported (serveur) compatibles. |
Explanation | Il existe des incompatibilités dans la couche d'attributs entre la règle de sécurité Supported (client) CSIv2 spécifiée et la règle de sécurité Required (serveur) dans le fichier server.xml dans l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour la couche de transport a des règles de sécurité Supported et Required (serveur) compatibles. |
Explanation | Il existe des incompatibilités dans la couche d'attributs entre la règle de sécurité Supported (client) CSIv2 spécifiée et la règle de sécurité Required (serveur) dans le fichier server.xml dans l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour la couche d'attributs a des règles de sécurité Supported et Required (serveur) compatibles. |
Explanation | Il existe des incompatibilités dans la couche d'attributs entre la règle de sécurité Required (client) CSIv2 spécifiée et la règle de sécurité Supported (serveur) dans le fichier server.xml de l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour la couche d'attributs a des règles de sécurité Required et Supported (serveur) compatibles. |
Explanation | Il existe des incompatibilités dans la couche d'attributs entre la règle de sécurité Required (client) CSIv2 spécifiée et la règle de sécurité Supported (serveur) dans le fichier server.xml dans l'environnement du serveur d'applications ou dans le fichier client.xml de l'environnement client de l'application. |
Action | Vérifiez que la sécurité client CSIv2 pour la couche d'attributs a des règles de sécurité Required et Supported (serveur) compatibles. |
Explanation | Il existe des incompatibilités dans la vérification d'identité de la couche d'attributs entre les règles de sécurité client et serveur dans le fichier server.xml de l'environnement de serveur d'applications ou dans le fichier client.xml de l'environnement de client d'application. |
Action | Vérifiez que la sécurité client CSIv2 pour la couche d'attributs a un type de vérification d'identité compatible. |
Explanation | Il existe des incompatibilités dans la vérification d'identité de la couche d'attributs entre les règles de sécurité client et serveur dans le fichier server.xml de l'environnement de serveur d'applications ou dans le fichier client.xml de l'environnement de client d'application. |
Action | Vérifiez que la règle de sécurité client CSIv2 pour la couche d'attributs a un type de vérification d'identité compatible. |
Explanation | Il existe des incompatibilités dans le mécanisme de couche d'authentification entre les règles de sécurité client et serveur dans le fichier server.xml de l'environnement de serveur d'applications ou dans le fichier client.xml de l'environnement de client d'application. |
Action | Vérifiez que la règle de sécurité client CSIv2 pour la couche d'authentification a un mécanisme compatible. |
Explanation | Il existe des incompatibilités dans le mécanisme de couche d'authentification entre les règles de sécurité client et serveur dans le fichier server.xml de l'environnement de serveur d'applications ou dans le fichier client.xml de l'environnement de client d'application. |
Action | Vérifiez que la règle de sécurité client CSIv2 pour la couche d'authentification a un mécanisme compatible. |
Explanation | Il existe des incompatibilités dans le mécanisme de couche d'authentification entre les règles de sécurité client et serveur dans le fichier server.xml de l'environnement de serveur d'applications ou dans le fichier client.xml de l'environnement de client d'application. |
Action | Vérifiez que la règle de sécurité client CSIv2 pour la couche d'authentification a un mécanisme compatible. |
Explanation | La règle de sécurité client CSIv2 n'est pas définie dans le fichier de configuration. |
Action | Il peut être nécessaire que l'utilisateur définisse la règle de sécurité client. |
Explanation | Le client a envoyé un message CSIv2 que seul un serveur doit envoyer en tant que réponse. |
Action | Aucune action n'est requise. |
Explanation | La règle de sécurité du serveur CSIv2 n'est pas définie dans le fichier de configuration. |
Action | Il peut être nécessaire de définir la configuration de sécurité du serveur. |
Explanation | L'utilisateur n'a défini aucun contexte de sécurité dans le serveur ou dans le client. |
Action | Il peut être nécessaire que l'utilisateur définisse le contexte de sécurité à la fois dans le serveur et dans le client. |
Explanation | Une exception inattendue est survenue lors de la tentative d'envoi d'une demande CSIv2 sortante. |
Action | Pour plus d'informations sur la cause de l'exception, consultez les journaux. |
Explanation | Le serveur n'est pas supposé recevoir de message CompleteEstablishContext. |
Action | Aucune action n'est requise. |
Explanation | Une exception inattendue est survenue lors de la réception d'une demande CSIv2 entrante. |
Action | Pour plus d'informations sur la cause de l'exception, consultez les journaux. |
Explanation | La couche d'attribut de règle de sécurité ne prend pas en charge la vérification d'identité avec ITTAnonymous dans le fichier server.xml. |
Action | Assurez-vous que la couche d'attribut de règle de sécurité de serveur distant dans le fichier server.xml prend en charge ITTAnonymous. |
Explanation | La couche d'attribut de règle de sécurité du client ne prend pas en charge la vérification d'identité avec ITTAnonymous dans le fichier server.xml. |
Action | Assurez-vous que la couche d'attribut de règle de sécurité du client dans le fichier server.xml prend en charge ITTAnonymous. |
Explanation | La couche d'attribut de règle de sécurité du client prend en charge la vérification d'identité avec ITTAnonymous dans le fichier server.xml et l'utilisateur authentifié ne peut pas être vérifié avec ce type de jeton. |
Action | Assurez-vous que la couche d'attribut de règle de sécurité du client dans le fichier server.xml prend en charge un autre type de vérification d'identité en plus de ITTAnonymous lors de la vérification d'identité d'un utilisateur authentifié. |
Explanation | La couche d'attribut de règle de sécurité du serveur ne prend pas en charge la vérification d'identité avec les types indiqués. |
Action | Assurez-vous que la couche d'attribut de règle de sécurité de serveur dans le fichier server.xml prend en charge au moins l'un des types de vérification d'identité indiqués. |
Explanation | L'authentification avec le jeton GSSUP ne peut pas s'effectuer car celui-ci ne peut pas être décodé. |
Action | Assurez-vous que l'application client effectue une connexion par programmation avec la configuration JAAS WSLogin afin de créer un sujet d'authentification de base. |
Explanation | Une exception inattendue est survenue lors de l'ouverture d'un socket de serveur. |
Action | Pour plus d'informations sur la cause de l'exception, consultez les journaux. |
Explanation | Chaque élément de couche de transport configuré avec un attribut sslRef doit correspondre à un ou plusieurs des éléments iiopsOptions. Les éléments iiopsOptions doivent être configurés avec le même attribut sslRef que l'élément de couche de transport et doivent être dans un élément iiopEndpoint référencé par cet élément orb. |
Action | Configurez un ou plusieurs éléments iiopsOptions avec la même valeur d'attribut sslRef que celle utilisée dans la couche de transport. |
Explanation | Les applications n'ont pas démarré car au moins un élément ssl référencé par un attribut sslRef de l'élément orb donné n'a pas été résolu après un intervalle de temps défini. Cet échec peut être dû à une configuration SSL non valide. Par exemple, il peut manquer un élément keyStore ou le certificat SSL n'a pas été créé dans le délai donné. Une fois l'erreur de configuration corrigée, les applications démarreront. |
Action | Assurez-vous d'avoir configuré un élément keyStore et vérifiez que chaque attribut sslRef pointe vers un élément ssl valide et configuré correctement. Si le sslRef est defaultSSLConfig, ajoutez un élément keyStore avec l'ID defaultKeyStore et un mot de passe. Si le certificat SSL n'a pas été créé, utilisez la tâche createSSLCertificate de la commande securityUtility pour créer le certificat SSL manuellement. |
Explanation | La suite de chiffrement peut ne pas correspondre aux options d'association placées dans l'IOR ou utilisées pour correspondre à l'IOR. |
Action | Vérifiez que la suite de chiffrement demandée correspond aux options d'association spécifiées ou retirez-la. |
Explanation | Impossible d'obtenir l'élément de configuration SSL nécessaire en raison d'une erreur dans la configuration. |
Action | Vérifiez que l'élément de configuration SSL existe avec des références à des éléments de magasin de clés et de magasin de clés certifiées valides. |
Explanation | Les mécanismes d'authentification de sécurité client ne sont pas pris en charge. |
Action | Vérifiez que les mécanismes d'authentification de la sécurité client spécifiés sont GSSUP ou LTPA ou GSSUP, LTPA. |
Explanation | Les mécanismes de couche d'authentification pour la sécurité client spécifiés sont de type null. |
Action | Vérifiez que le mécanisme de couche d'authentification de la sécurité client spécifié est GSSUP ou LTPA ou GSSUP, LTPA. |
Explanation | Les mécanismes de couche d'authentification pour la règle de sécurité serveur spécifiés ne sont pas pris en charge. |
Action | Vérifiez que le mécanisme de couche d'authentification pour la règle de sécurité du serveur est GSSUP ou LTPA ou GSSUP, LTPA. |
Explanation | Les mécanismes de couche d'authentification spécifiés pour la sécurité client sont de type null. |
Action | Vérifiez que le mécanisme spécifié de couche d'authentification de la sécurité client est GSSUP ou LTPA ou GSSUP, LTPA. |
Explanation | La couche transport CSIv2 entrante utilise une configuration SSL mais le noeud final IIOP n'utilise pas la même. |
Action | Assurez-vous que la configuration SSL dans la couche transport CSIv2 entrante dans le fichier server.xml est l'une des configurations SSL utilisées par le noeud final IIOP. |
Explanation | Le noeud final IIOP ne comporte pas au moins l'un des éléments iiopsOptions avec une configuration SSL auquel la couche de transport CSIv2 entrante pourrait faire référence. |
Action | Assurez-vous que le noeud final IIOP comporte au moins un élément iiopsOptions avec la même configuration SSL que celle utilisée par la couche de transport CSIv2 entrante. |
Explanation | Le sujet de l'utilisateur en cours de vérification ne contient pas un nom distinctif valide et la vérification d'identité ne peut pas être effectuée. |
Action | Consultez le message d'exception, vérifiez que le registre d'utilisateurs configuré dans le fichier server.xml prend en charge les noms distinctifs, et authentifiez de nouveau l'utilisateur. |
Explanation | Le sujet de l'utilisateur en cours de vérification ne contient pas un certificat valide et la vérification d'identité ne peut pas être effectuée. |
Action | Consultez le message d'exception et assurez-vous que le magasin de clés, SSL, et la couche transport de la politique de serveur sont correctement configurés dans le fichier server.xml et authentifiez de nouveau l'utilisateur. |
Explanation | Le sujet de l'utilisateur en cours de vérification ne contient pas un certificat valide et la vérification d'identité ne peut pas être effectuée. |
Action | Assurez-vous que le magasin de clés, SSL, et la couche transport de la politique de serveur sont correctement configurés dans le fichier server.xml et authentifiez de nouveau l'utilisateur. |
Explanation | Aucune application n'a démarré car une fonction ORB (Object Request Broker) sécurisée sur un serveur a besoin d'un registre d'utilisateurs, mais aucun n'a été trouvé. Les applications démarreront lorsqu'un registre d'utilisateurs aura été configuré. |
Action | Vérifiez que vous avez configuré un registre d'utilisateurs adéquat pour votre environnement. |
Explanation | Lorsque establishTrustInClient a la valeur Never, la couche d'authentification CSIv2 est désactivée. |
Action | Pour activer la couche d'authentification CSIv2, attribuez la valeur Supported ou Required à establishTrustInClient. |
Explanation | Les mécanismes d'authentification de sécurité client ne sont pas pris en charge. |
Action | Vérifiez que le mécanisme de couche d'authentification de la sécurité client spécifié est GSSUP. |
Explanation | Les mécanismes de couche d'authentification pour la sécurité client spécifiés sont de type null. |
Action | Vérifiez que le mécanisme de couche d'authentification de la sécurité client spécifié est GSSUP. |
Explanation | Il manque un attribut dans le mécanisme de couche d'authentification de règle client IIOP spécifié. |
Action | Vérifiez que les attributs requis sont définis ou que la connexion par programmation est utilisée pour fournir les valeurs. |
Explanation | Lorsque establishTrustInClient a la valeur Never, la couche d'authentification CSIv2 est désactivée. |
Action | Pour activer la couche d'authentification CSIv2, attribuez la valeur Supported ou Required à establishTrustInClient. |