Explicação | A validação do token de ID falhou porque o emissor especificado na configuração do cliente do OpenID Connect (parte confiável ou RP) e o emissor no token não correspondem. |
Ação | Certifique-se de que o atributo [issuerIdentifier] especificado na configuração do cliente do OpenID Connect (RP) corresponda ao emissor do provedor do OpenID Connect (OP) que está sendo usado. |
Explicação | Um token de ID não pode ser criado porque não pôde ser assinado. A razão para o erro é mostrada após a mensagem. |
Ação | Consulte a ação do usuário para a mensagem que aparece após este erro. |
Explicação | Um token de ID não pode ser criado porque não pôde ser assinado. A razão para o erro é mostrada após a mensagem. |
Ação | Se estiver usando assinatura assimétrica, verifique se uma chave privada válida é usada para assinar o token. Por exemplo, verifique se a chave está expirada. Verifique o elemento keyStore indicado pelo SSL padrão em server.xml para localizar informações sobre o arquivo de armazenamento de chaves que contém a chave privada. Além disso, consulte a ação do usuário para a mensagem que aparece após esse erro. |
Explicação | O público no token de ID deve corresponder ao ID do cliente. Nesse caso, o público (aud) no token de ID não correspondia ao ID do cliente, portanto, a validação do token de ID falhou. |
Ação | Certifique-se de que o atributo [clientId] especificado na configuração do cliente do OpenID Connect (parte confiável ou RP) esteja correto. O valor faz distinção entre maiúsculas e minúsculas. |
Explicação | A parte autorizada no token de ID deve corresponder ao ID do cliente. Nesse caso, a parte autorizada (azp) no token de ID não correspondia ao ID do cliente, portanto, a validação do token de ID falhou. |
Ação | Certifique-se de que o atributo [clientId] especificado na configuração do cliente do OpenID Connect (parte confiável ou RP) esteja correto. O valor faz distinção entre maiúsculas e minúsculas. |
Explicação | Um token de ID não pode ser validado porque a assinatura não pôde ser verificada. A razão para o erro é mostrada após a mensagem. |
Ação | Consulte a ação do usuário para a mensagem que aparece após este erro. |
Explicação | Um token de ID não pode ser validado porque a assinatura não pôde ser verificada. A razão para o erro é mostrada após a mensagem. |
Ação | Se estiver usando assinatura assimétrica, assegure que a chave pública no certificado possa ser usada para propósitos da assinatura digital. Verifique o elemento keyStore indicado pela configuração do SSL padrão em server.xml para localizar informações sobre o armazenamento de chaves que contém a chave. Além disso, consulte a ação do usuário para a mensagem que aparece após esse erro. |
Explicação | Um token de ID não pode ser validado porque o horário atual mostrado não está entre o horário de emissão e o prazo de expiração do token. |
Ação | Certifique-se de que os relógios do sistema do cliente do OpenID Connect (parte confiável ou RP) e do provedor do OpenID Connect (OP) estejam sincronizados (se estiverem em dois sistemas). |
Explicação | O at_hash no token de ID permite que os clientes do OpenID Connect impeçam ataques de substituição de token. O valor de at_hash deve corresponder ao valor do hash do token de acesso recebido pelo cliente do OpenID Connect. |
Ação | Assegure que a comunicação entre o cliente do OpenID Connect (parte confiável ou RP) e o provedor do OpenID Connect (OP) seja segura para evitar a violação do token de acesso recebido pela RP. |
Explicação | Um token de ID não pode ser validado porque o token não foi assinado. O cliente do OpenID Connect (parte confiável ou RP) está esperando um token assinado. |
Ação | Assegure que o provedor do OpenID Connect permita que o token seja assinado. |
Explicação | Um token de ID não pode ser validado porque o cliente do OpenID Connect (parte confiável ou RP) e o provedor do OpenID Connect (OP) estão usando diferentes algoritmos de assinatura para assinar/verificar o token. |
Ação | Assegure que o signatureAlgorithm especificado pela RP corresponda ao algoritmo de assinatura do OP. |