Objaśnienie | Nie powiodło się sprawdzenie poprawności znacznika identyfikatora, ponieważ wystawca określony w konfiguracji klienta OpenID Connect, strona zależna (relying party - RP), i wystawca w znaczniku nie są zgodni. |
Działanie | Podejmij odpowiednie działania, aby atrybut [issuerIdentifier] określony w konfiguracji klienta OpenID Connect (RP) był zgodny z wystawcą dla używanego dostawcy OpenID Connect (OpenID provider - OP). |
Objaśnienie | Nie można utworzyć znacznika identyfikatora, ponieważ nie można go podpisać. Przyczyna błędu zostanie wyświetlona po tym komunikacie. |
Działanie | Zapoznaj się z czynnością użytkownika dla komunikatu, który zostanie wyświetlony po tym błędzie. |
Objaśnienie | Nie można utworzyć znacznika identyfikatora, ponieważ nie można go podpisać. Przyczyna błędu zostanie wyświetlona po tym komunikacie. |
Działanie | W przypadku używania podpisu asymetrycznego sprawdź, czy do podpisania znacznika został użyty poprawny klucz prywatny. Na przykład sprawdź, czy klucz nie utracił ważności. Sprawdź element keyStore przywoływany przez domyślny protokół SSL w pliku server.xml, aby znaleźć informacje na temat pliku kluczy, który zawiera klucz prywatny. Zapoznaj się również z czynnością użytkownika dla komunikatu, który zostanie wyświetlony po tym błędzie. |
Objaśnienie | Odbiorca w znaczniku identyfikatora musi być zgodny z identyfikatorem klienta. Sprawdzenie poprawności znacznika identyfikatora nie powiodło się, ponieważ odbiorca (aud) w znaczniku identyfikatora nie jest zgodny z identyfikatorem klienta. |
Działanie | Sprawdź, czy atrybut [clientId] określony w konfiguracji klienta OpenID Connect, strona zależna (relying party - RP), jest poprawny. W wartości jest rozróżniana wielkość liter. |
Objaśnienie | Autoryzowana strona w znaczniku identyfikatora musi być zgodna z identyfikatorem klienta. Sprawdzenie poprawności znacznika identyfikatora nie powiodło się, ponieważ autoryzowana strona (azp) w znaczniku identyfikatora nie jest zgodna z identyfikatorem klienta. |
Działanie | Sprawdź, czy atrybut [clientId] określony w konfiguracji klienta OpenID Connect, strona zależna (relying party - RP), jest poprawny. W wartości jest rozróżniana wielkość liter. |
Objaśnienie | Nie można sprawdzić poprawności znacznika identyfikatora, ponieważ nie można zweryfikować podpisu. Przyczyna błędu zostanie wyświetlona po tym komunikacie. |
Działanie | Zapoznaj się z czynnością użytkownika dla komunikatu, który zostanie wyświetlony po tym błędzie. |
Objaśnienie | Nie można sprawdzić poprawności znacznika identyfikatora, ponieważ nie można zweryfikować podpisu. Przyczyna błędu zostanie wyświetlona po tym komunikacie. |
Działanie | W przypadku używania podpisu asymetrycznego sprawdź, czy klucz publiczny w certyfikacie może być używany na potrzeby podpisu cyfrowego. Sprawdź element keyStore przywoływany przez domyślną konfigurację protokołu SSL w pliku server.xml, aby znaleźć informacje na temat magazynu kluczy, który zawiera klucz. Zapoznaj się również z czynnością użytkownika dla komunikatu, który zostanie wyświetlony po tym błędzie. |
Objaśnienie | Nie można sprawdzić poprawności znacznika identyfikatora, ponieważ wyświetlony bieżący czas nie zawiera się między czasem wystawienia znacznika i czasem ważności znacznika. |
Działanie | Sprawdź, czy zegary systemowe klienta OpenID Connect, strona zależna (relying party - RP), i dostawcy OpenID Connect (OpenID provider - OP) są zsynchronizowane (jeśli znajdują się w różnych systemach). |
Objaśnienie | Dzięki wartości at_hash w znaczniku identyfikatora klienty OpenID Connect mogą zapobiegać atakom przez podstawienie znacznika. Wartość at_hash musi być zgodna z wynikiem mieszania znacznika dostępu odebranego przez klient OpenID Connect. |
Działanie | Upewnij się, że komunikacja między klientem OpenID Connect, strona zależna (relying party - RP), i dostawcą OpenID Connect (OpenID provider - OP) jest bezpieczna, aby zapobiec manipulowaniu znacznikiem dostępu odebranym przez stronę zależną. |
Objaśnienie | Nie można sprawdzić poprawności znacznika identyfikatora, ponieważ nie został on podpisany. Klient OpenID Connect, strona zależna (relying party - RP), oczekuje podpisanego znacznika. |
Działanie | Upewnij się, że dostawca OpenID Connect umożliwia podpisanie znacznika. |
Objaśnienie | Nie można sprawdzić poprawności znacznika identyfikatora, ponieważ klient OpenID Connect, strona zależna (relying party - RP), i dostawca OpenID Connect (OpenID provider - OP) używają różnych algorytmów podpisywania do podpisania/zweryfikowania znacznika. |
Działanie | Upewnij się, że algorytm signatureAlgorithm strony RP jest zgodny z algorytmem podpisywania dostawcy OP. |