Explication | La validation du jeton d'ID a échoué car l'émetteur spécifié dans la configuration du client OpenID Connect (partie utilisatrice) et l'émetteur dans le jeton ne correspondent pas. |
Action | Assurez-vous que l'attribut [issuerIdentifier] spécifié dans la configuration du client OpenID Connect (partie utilisatrice) correspond à l'émetteur pour le fournisseur OpenID Connect utilisé. |
Explication | Impossible de créer un jeton d'ID car il n'a pas pu être signé. La raison de cette erreur est présentée après le message. |
Action | Consultez l'action utilisateur concernant le message qui apparaît après cette erreur. |
Explication | Impossible de créer un jeton d'ID car il n'a pas pu être signé. La raison de cette erreur est présentée après le message. |
Action | Si vous utilisez la signature asymétrique, assurez-vous qu'une clé privée valide est employée pour la signature du jeton. Vérifiez, par exemple, si une clé est arrivée à expiration. Consultez l'élément keyStore référencé par l'élément SSL par défaut dans le fichier server.xml afin de trouver des informations sur le fichier de clés qui contient la clé privée. Consultez également l'action utilisateur pour le message qui apparaît après cette erreur. |
Explication | Le public dans l'ID de jeton doit correspondre à l'ID du client. Dans ce cas, le public (aud) dans le jeton d'ID ne correspondait pas à l'ID client, la validation du jeton d'ID a donc échoué. |
Action | Assurez-vous que l'attribut [clientId] spécifié dans la configuration du client OpenID Connect (partie utilisatrice) est correct. Cette valeur tient compte des majuscules et des minuscules. |
Explication | La partie autorisée dans l'ID de jeton doit correspondre à l'ID du client. Dans ce cas, la partie autorisée (azp) du jeton d'ID ne correspondait pas à l'ID client, la validation du jeton d'ID a donc échoué. |
Action | Assurez-vous que l'attribut [clientId] spécifié dans la configuration du client OpenID Connect (partie utilisatrice) est correct. Cette valeur tient compte des majuscules et des minuscules. |
Explication | Impossible de valider un ID de jeton car la signature n'a pas pu être vérifiée. La raison de cette erreur est présentée après le message. |
Action | Consultez l'action utilisateur concernant le message qui apparaît après cette erreur. |
Explication | Impossible de valider un ID de jeton car la signature n'a pas pu être vérifiée. La raison de cette erreur est présentée après le message. |
Action | Si vous utilisez la signature asymétrique, vérifiez que la clé publique du certificat peut être utilisé à des fins de signature numérique. Consultez l'élément keyStore référencé par la configuration SSL par défaut dans le fichier server.xml afin de trouver des informations sur le fichier de clés qui contient la clé. Consultez également l'action utilisateur concernant le message qui apparaît après cette erreur. |
Explication | Impossible de valider un jeton d'ID car l'heure actuelle affichée n'est pas comprise entre l'heure d'émission du jeton et l'heure d'expiration de ce dernier. |
Action | Assurez-vous que les horloges système du client OpenID Connect (partie utilisatrice) et celle du fournisseur OpenID Connect (OP) sont synchronisées (si elles se trouvent sur deux systèmes). |
Explication | L'élément at_hash dans le jeton d'ID permet aux clients OpenID Connect d'empêcher les attaques de substitution de jeton. La valeur at_hash doit correspondre à la valeur de hachage du jeton d'accès reçu par le client OpenID Connect. |
Action | Vérifiez que la communication entre le client OpenID Connect (partie utilisatrice) et le fournisseur OpenID Connect (OP) est sécurisée afin d'éviter la contrefaçon du jeton d'accès reçu par la partie utilisatrice. |
Explication | Impossible de valider un jeton d'ID car le jeton n'a pas été signé. Le client OpenID Connect (partie utilisatrice) attend un jeton signé. |
Action | Vérifiez que le fournisseur OpenID Connect permet la signature du jeton. |
Explication | Un jeton d'ID ne peut pas être validé car le client OpenID Connect (partie utilisatrice) et le fournisseur OpenID Connect (OP) utilisent différents algorithmes de signature pour signer/vérifier le jeton. |
Action | Vérifiez que l'élément signatureAlgorithm spécifié par la partie utilisatrice correspond à l'algorithme de signature du fournisseur OpenID Connect. |