説明 | OpenID Connect クライアント (リライング・パーティー、つまり RP) 構成で指定された発行者とそのトークンで指定された発行者が一致しないため、ID トークンの検証に失敗しました。 |
アクション | OpenID Connect クライアント (RP) 構成で指定された [issuerIdentifier] 属性が、使用されている OpenID Connect プロバイダー (OP) の発行者と一致するようにしてください。 |
説明 | ID トークンに署名できなかったため、その ID トークンを作成することはできません。エラーの理由は、このメッセージの後に示されます。 |
アクション | このエラーの後に表示されるメッセージのユーザー処置を参照してください。 |
説明 | ID トークンに署名できなかったため、その ID トークンを作成することはできません。エラーの理由は、このメッセージの後に示されます。 |
アクション | 非対称シグニチャーを使用する場合は、有効な秘密鍵がこのトークンへの署名に使用されることを確認してください。例えば、鍵の有効期限が切れていないかどうかを確かめてください。server.xml 内のデフォルト SSL が参照している keyStore エレメントを調べて、秘密鍵が入っている鍵ストア・ファイルに関する情報を取得してください。また、このエラーの後に表示されるメッセージのユーザー処置も参照してください。 |
説明 | ID トークン内の対象者はクライアント ID と一致するものでなければなりません。この場合は、ID トークン内の (aud) 対象者がクライアント ID と一致しなかったので、ID トークンの検証に失敗しました。 |
アクション | OpenID Connect クライアント (リライング・パーティー、つまり RP) 構成で指定された [clientId] 属性が正しいことを確認してください。値は大/小文字の区別があります。 |
説明 | ID トークン内の許可パーティーはクライアント ID と一致するものでなければなりません。この場合は、ID トークン内の (azp) 許可パーティーがクライアント ID と一致しなかったので、ID トークンの検証に失敗しました。 |
アクション | OpenID Connect クライアント (リライング・パーティー、つまり RP) 構成で指定された [clientId] 属性が正しいことを確認してください。値は大/小文字の区別があります。 |
説明 | シグニチャーを検査できなかったため、ID トークンを検証できません。エラーの理由は、このメッセージの後に示されます。 |
アクション | このエラーの後に表示されるメッセージのユーザー処置を参照してください。 |
説明 | シグニチャーを検査できなかったため、ID トークンを検証できません。エラーの理由は、このメッセージの後に示されます。 |
アクション | 非対称シグニチャーを使用する場合は、証明書内の公開鍵がデジタル・シグニチャーのために使用可能であることを確認してください。server.xml 内のデフォルト SSL 構成が参照している keyStore エレメントを調べて、その鍵が入っている鍵ストアに関する情報を取得してください。また、このエラーの後に表示されるメッセージのユーザー処置も参照してください。 |
説明 | 示された現在時刻がトークン発行時刻からトークン有効期限時刻までの範囲内でないため、ID トークンを検証できません。 |
アクション | OpenID Connect クライアント (リライング・パーティー、つまり RP) のシステム・クロックと OpenID Connect プロバイダー (OP) のシステム・クロックが同期していることを確認してください (これらが 2 つのシステム上にある場合)。 |
説明 | ID トークン内の at_hash により、OpenID Connect クライアントはトークン置換アタックを防止することができます。at_hash 値は、OpenID Connect クライアントが受け取るアクセス・トークンのハッシュの値と一致しなければなりません。 |
アクション | OpenID Connect クライアント (リライング・パーティー、つまり RP) と OpenID Connect プロバイダー (OP) 間の通信が RP の受け取るアクセス・トークンの改ざんを確実に防止するようにしてください。 |
説明 | ID トークンに署名がなかったため、その ID トークンを検証できません。OpenID Connect クライアント (リライング・パーティー、つまり RP) は署名済みトークンを予期しています。 |
アクション | OpenID Connect プロバイダーがこのトークンへの署名を可能にするようにしてください。 |
説明 | OpenID Connect クライアント (リライング・パーティー、つまり RP) と OpenID Connect プロバイダー (OP) が異なる署名アルゴリズムを使用してそのトークンに対する署名/検査を行おうとしているため、ID トークンを検証できません。 |
アクション | RP の指定する signatureAlgorithm が OP 署名アルゴリズムと一致するようにしてください。 |