Объяснение | Проверка ключа идентификации не выполнена, так как компания, выдавшая сертификат, которая указана в конфигурации клиента (зависимой стороны) OpenID Connect, не совпадает с компанией в ключе. |
Действие | Убедитесь, что атрибут [issuerIdentifier], указанный в конфигурации клиента (зависимой стороны) OpenID Connect, совпадает с компанией, выдавшей сертификат, для используемого провайдера OpenID Connect. |
Объяснение | Невозможно создать ключ идентификации, так как его не удалось подписать. Причина ошибки показана после этого сообщения. |
Действие | Просмотрите описание действия пользователя в сообщении, которое выдается после этой ошибки. |
Объяснение | Невозможно создать ключ идентификации, так как его не удалось подписать. Причина ошибки показана после этого сообщения. |
Действие | Если используется асимметричная подпись, убедитесь в том, что для подписи ключа применяется допустимый личный ключ. Например проверьте, не истек ли срок действия личного ключа. Проверьте элемент keyStore, указанный в конфигурации SSL по умолчанию в файле server.xml для поиска информации о файле хранилища ключей, содержащем личный ключ. Кроме того, просмотрите описание действия пользователя в сообщении, которое выдается после этой ошибки. |
Объяснение | Аудитория в ключе идентификации должна совпадать с ИД клиента. В данном случае аудитория (aud) в ключе идентификации не совпадает с ИД клиента, поэтому проверка ключа идентификации не выполнена. |
Действие | Проверьте правильность атрибута [clientId], указанного в конфигурации клиента (зависимой стороны) OpenID Connect. В значении учитывается регистр символов. |
Объяснение | Авторизованная сторона в ключе идентификации должна совпадать с ИД клиента. В данном случае авторизованная сторона (azp) в ключе идентификации не совпадает с ИД клиента, поэтому проверка ключа идентификации не выполнена. |
Действие | Проверьте правильность атрибута [clientId], указанного в конфигурации клиента (зависимой стороны) OpenID Connect. В значении учитывается регистр символов. |
Объяснение | Невозможно проверить ключ идентификации, так как не удалось проверить подпись. Причина ошибки показана после этого сообщения. |
Действие | Просмотрите описание действия пользователя в сообщении, которое выдается после этой ошибки. |
Объяснение | Невозможно проверить ключ идентификации, так как не удалось проверить подпись. Причина ошибки показана после этого сообщения. |
Действие | Если используется асимметричная подпись, убедитесь в том, что для цифровой подписи можно использовать открытый ключ из сертификата. Проверьте элемент keyStore, указанный в конфигурации SSL по умолчанию в файле server.xml для поиска информации о хранилище ключей, содержащем этот ключ. Кроме того, просмотрите описание действия пользователя в сообщении, которое выдается после этой ошибки. |
Объяснение | Невозможно проверить ключ идентификации, так как показанное текущее время не находится в интервале между моментом выдачи ключа и окончанием срока его действия. |
Действие | Убедитесь в том, что системные часы клиента (зависимой стороны) OpenID Connect и провайдера OpenID Connect синхронизированы (если они находятся в двух системах). |
Объяснение | at_hash в ключе идентификации позволяет клиентам OpenID Connect предотвращать атаки, основанные на подмене ключей. Значение at_hash должно совпадать со значением хэша маркера доступа, полученного клиентом OpenID Connect. |
Действие | Убедитесь в безопасности соединения между клиентом (зависимой стороной) OpenID Connect и провайдером OpenID Connect, чтобы избежать повреждения маркера доступа, полученного зависимой стороной. |
Объяснение | Невозможно проверить ключ идентификации, так как он не подписан. Клиент (зависимая сторона) OpenID Connect ожидает подписанный ключ. |
Действие | Убедитесь в том, что провайдер OpenID Connect разрешает подписывать ключ. |
Объяснение | Невозможно проверить ключ идентификации, так как клиент (зависимая сторона) OpenID Connect и провайдер OpenID Connect используют разные алгоритмы подписи для подписания и проверки ключа. |
Действие | Убедитесь в том, что алгоритм подписи, указанный зависимой стороной, совпадает с алгоритмом подписи провайдера. |