Erläuterung | Die Validierung des ID-Token ist fehlgeschlagen, da der in der OpenID Connect-Clientkonfiguration (Relying Party, RP) angegebene Aussteller und der Aussteller im Token nicht übereinstimmen. |
Aktion | Stellen Sie sicher, dass das in der OpenID Connect-Clientkonfiguration (RP) angegebene [issuerIdentifier]-Attribut mit dem für den OpenID Connect-Provider verwendeten Aussteller übereinstimmt. |
Erläuterung | Ein ID-Token konnte nicht erstellt werden, da es nicht signiert werden konnte. Die Ursache für den Fehler wird nach der Nachricht angezeigt. |
Aktion | Lesen Sie die empfohlene Benutzeraktion zu der Nachricht, die nach diesem Fehler angezeigt wird. |
Erläuterung | Ein ID-Token konnte nicht erstellt werden, da es nicht signiert werden konnte. Die Ursache für den Fehler wird nach der Nachricht angezeigt. |
Aktion | Wenn Sie asymmetrische Signatur verwenden, prüfen Sie, ob ein gültiger privater Schlüssel zum Signieren des Tokens verwendet wird. Prüfen Sie beispielsweise, ob der Schlüssel abgelaufen ist. Suchen Sie das vom Standard-SSL in der Datei server.xml referenzierte Element keyStore, um Informationen zur Keystoredatei zu finden, die den privaten Schlüssel enthält. Lesen Sie auch die empfohlene Benutzeraktion zu der Nachricht, die nach diesem Fehler angezeigt wird. |
Erläuterung | Die Zielgruppe im ID-Token muss mit der Client-ID übereinstimmen. In diesem Fall stimmt die Zielgruppe (aud) im ID-Token nicht mit der Client-ID überein. Daher ist die ID-Tokenvalidierung fehlgeschlagen. |
Aktion | Stellen Sie sicher, dass das in der OpenID Connect-Clientkonfiguration (Relying Party, RP) angegebene Attribut [clientId] richtig ist. Bei der Angabe des Werts muss die Groß-/Kleinschreibung beachtet werden. |
Erläuterung | Der berechtigte Teilnehmer im ID-Token muss mit der Client-ID übereinstimmen. In diesem Fall stimmt der berechtigte Teilnehmer (azp) im ID-Token nicht mit der Client-ID überein, daher ist die ID-Tokenvalidierung fehlgeschlagen. |
Aktion | Stellen Sie sicher, dass das in der OpenID Connect-Clientkonfiguration (Relying Party, RP) angegebene Attribut [clientId] richtig ist. Bei der Angabe des Werts muss die Groß-/Kleinschreibung beachtet werden. |
Erläuterung | Ein ID-Token konnte nicht validiert werden, da die Signatur nicht überprüft werden konnte. Die Ursache für den Fehler wird nach der Nachricht angezeigt. |
Aktion | Lesen Sie die empfohlene Benutzeraktion zu der Nachricht, die nach diesem Fehler angezeigt wird. |
Erläuterung | Ein ID-Token konnte nicht validiert werden, da die Signatur nicht überprüft werden konnte. Die Ursache für den Fehler wird nach der Nachricht angezeigt. |
Aktion | Wenn Sie asymmetrische Signatur verwenden, stellen Sie sicher, dass der öffentliche Schlüssel im Zertifikat für digitale Signaturzwecke verwendet werden kann. Suchen Sie das von der SSL-Standardkonfiguration in der Datei server.xml referenzierte Element keyStore, um Informationen zu dem Keystore zu finden, der den Schlüssel enthält. Lesen Sie auch die empfohlene Benutzeraktion zu der Nachricht, die nach diesem Fehler angezeigt wird. |
Erläuterung | Ein ID-Token konnte nicht validiert werden, da die angezeigte aktuelle Zeit nicht zwischen der Ausstellungszeit des Token und der Ablaufzeit des Token liegt. |
Aktion | Stellen Sie sicher, dass die Systemuhren des OpenID Connect-Client (Relying Party, RP) und des OpenID Connect-Provider (OP) synchronisiert sind (sofern Sie sich auf zwei unterschiedlichen Systemen befinden). |
Erläuterung | Der at_hash-Claim im ID-Token ermöglicht OpenID Connect-Clients, Tokenersetzungsattacken zu verhindern. Der at_hash-Wert muss mit dem Hashwert des vom OpenID Connect-Client empfangenen Zugriffstoken übereinstimmen. |
Aktion | Stellen Sie sicher, dass die Kommunikation zwischen dem OpenID Connect-Client (Relying Party, RP) und dem OpenID Connect-Provider (OP) sicher ist, um eine Manipulation des von der Relying Party empfangenen Zugriffstoken zu verhindern. |
Erläuterung | Ein ID-Token konnte nicht validiert werden, da das Token nicht signiert war. Der OpenID Connect-Client (Relying Party, RP) erwartet ein signiertes Token. |
Aktion | Stellen Sie sicher, dass der OpenID Connect-Provider das Token für die Signatur aktiviert. |
Erläuterung | Ein ID-Token konnte nicht validiert werden, da der OpenID Connect-Client (Relying Party, RP) und der OpenID Connect-Provider (OP) unterschiedliche Signaturalgorithmen für die Signatur/Überprüfung des Token verwenden. |
Aktion | Stellen Sie sicher, dass der von der Relying Party angegebene Signaturalgorithmus (signatureAlgorithm) mit dem Signaturalgorithmus des OP übereinstimmt. |