Spiegazione | La convalida del token ID ha avuto esito negativo poiché l'emittente specificato nella configurazione del client OpenID Connect (RP-relying party) e l'emittente nel token non corrispondono. |
Azione | Assicurarsi che l'attributo [issuerIdentifier] specificato nella configurazione del client OpenID Connect (RP) corrisponda all'emittente per il provider di OpenID Connect (OP) utilizzato. |
Spiegazione | Non è stato possibile creare un token ID poiché non è stato possibile firmarlo.Il motivo dell'errore è indicato dopo il messaggio. |
Azione | Vedere l'azione utente per il messaggio visualizzato dopo questo errore. |
Spiegazione | Non è stato possibile creare un token ID poiché non è stato possibile firmarlo.Il motivo dell'errore è indicato dopo il messaggio. |
Azione | Se si utilizza la firma asimmetrica, assicurarsi di utilizzare una chiave privata valida per firmare il token. Ad esempio, controllare se una chiave è scaduta. Controllare l'elemento keyStore cui fa riferimento l'SSL predefinito in server.xml per trovare informazioni sul file keystore che contiene la chiave privata. Inoltre, vedere l'azione utente per il messaggio visualizzato dopo questo errore. |
Spiegazione | L'audience nel token ID deve corrispondere all'ID client. In questo caso, l'audience (aud) nel token ID non corrisponde all'ID client, quindi la convalida del token ID ha avuto esito negativo. |
Azione | Assicurarsi che l'attributo [clientId] specificato nella configurazione del client OpenID Connect (RP-relying party) sia corretto. Il valore è sensibile al maiuscolo/minuscolo. |
Spiegazione | La parte autorizzata nel token ID deve corrispondere all'ID client. In questo caso, la parte autorizzata (azp) nel token ID non corrisponde all'ID client, quindi la convalida del token ID ha avuto esito negativo. |
Azione | Assicurarsi che l'attributo [clientId] specificato nella configurazione del client OpenID Connect (RP-relying party) sia corretto. Il valore è sensibile al maiuscolo/minuscolo. |
Spiegazione | Non è stato possibile convalidare un token ID poiché non è stato possibile verificare la firma. Il motivo dell'errore è indicato dopo il messaggio. |
Azione | Vedere l'azione utente per il messaggio visualizzato dopo questo errore. |
Spiegazione | Non è stato possibile convalidare un token ID poiché non è stato possibile verificare la firma. Il motivo dell'errore è indicato dopo il messaggio. |
Azione | Se si utilizza la firma asimmetrica, assicurarsi che la chiave pubblica nel certificato possa essere utilizzata come firma digitale. Controllare l'elemento keyStore cui fa riferimento la configurazione SSL predefinita in server.xml per trovare informazioni sul keystore che contiene la chiave. Inoltre, vedere l'azione utente per il messaggio visualizzato dopo questo errore. |
Spiegazione | Non è stato possibile convalidare un token ID poiché l'ora corrente indicata non rientra tra l'ora di emissione del token e quella di scadenza. |
Azione | Assicurarsi che gli orologi di sistema del client OpenID Connect (RP-relying party) e del provider OpenID Connect (OP) siano sincronizzati (se si trovano su due sistemi). |
Spiegazione | L'elemento at_hash nel token ID consente ai client OpenID Connect di evitare attacchi che mirano alla sostituzione del token. Il valore at_hash deve corrispondere con quello dell'hash del token di accesso ricevuto dal client OpenID Connect. |
Azione | Assicurarsi che la comunicazione tra il client OpenID Connect (RP-relying party) e il provider OpenID Connect (OP) sia sicura, per evitare minacce al token di accesso ricevuto dall'RP. |
Spiegazione | Non è stato possibile convalidare un token ID poiché non era firmato. È previsto che il client OpenID Connect (RP-relying party) riceva un token firmato. |
Azione | Assicurarsi che il provider OpenID Connect consenta al token di essere firmato. |
Spiegazione | Non è possibile convalidare un token ID poiché il client OpenID Connect (RP-relying party) e il provider OpenID Connect (OP) utilizzano algoritmi di firma differenti per firmare/verificare il token. |
Azione | Verificare che l'algoritmo di firma specificato dall'RP corrisponda a quello dell'OP. |