Explicación | La validación de la señal de ID ha fallado porque el emisor especificado en la configuración del cliente de OpenID Connect (parte dependiente o RP) y el emisor en la señal no coinciden. |
Acción | Asegúrese de que el atributo [issuerIdentifier] especificado en la configuración del cliente de OpenID Connect (RP) coincide con el emisor del proveedor de OpenID Connect (OP) que se está utilizando. |
Explicación | No se puede crear una señal de ID porque no se ha podido firmar. La razón del error se muestra después del mensaje. |
Acción | Consulte la acción del usuario para el mensaje que aparece después de este error. |
Explicación | No se puede crear una señal de ID porque no se ha podido firmar. La razón del error se muestra después del mensaje. |
Acción | Si utiliza firma asimétrica, compruebe que se utiliza una clave privada válida para firmar la señal. Por ejemplo, compruebe si la clave ha caducado. Compruebe el elemento keyStore referenciado por el SSL predeterminado en server.xml para encontrar información sobre el archivo de almacén de claves que contiene la clave privada. Además, consulte la acción del usuario para el mensaje que aparece después de este error. |
Explicación | La audiencia en la señal de ID debe coincidir con el ID de cliente. En este caso, la audiencia (aud) en la señal de ID no coincide con el ID de cliente, por lo que ha fallado la validación de la señal de ID. |
Acción | Asegúrese de que el atributo [clientId] especificado en la configuración del cliente de OpenID Connect (parte dependiente o RP) es correcto. El valor es sensible a las mayúsculas y minúsculas. |
Explicación | La parte autorizada en la señal de ID debe coincidir con el ID de cliente. En este caso, la parte autorizada (azp) en la señal de ID no coincide con el ID de cliente, por lo que ha fallado la validación de la señal de ID. |
Acción | Asegúrese de que el atributo [clientId] especificado en la configuración del cliente de OpenID Connect (parte dependiente o RP) es correcto. El valor es sensible a las mayúsculas y minúsculas. |
Explicación | No se puede validar una señal de ID porque no se ha podido verificar la forma. La razón del error se muestra después del mensaje. |
Acción | Consulte la acción del usuario para el mensaje que aparece después de este error. |
Explicación | No se puede validar una señal de ID porque no se ha podido verificar la forma. La razón del error se muestra después del mensaje. |
Acción | Si utiliza firma asimétrica, asegúrese de que la clave pública del certificado puede utilizarse para firmas digitales. Compruebe el elemento keyStore referenciado por la configuración SSL predeterminada en server.xml para encontrar información sobre el almacén de claves que contiene la clave. Además, consulte la acción del usuario para el mensaje que aparece después de este error. |
Explicación | No se puede validar una señal de ID porque la hora actual mostrada no está entre las horas de emisión y caducidad de la señal. |
Acción | Asegúrese de que los relojes del sistema del cliente de OpenID Connect (parte dependiente o RP) y del proveedor de OpenID Connect (OP) estén sincronizados (si están en dos sistemas separados). |
Explicación | En la señal de ID, at_hash permite a los clientes de OpenID Connect evitar ataques de sustitución de señal. El valor de at_hash deberá coincidir con el valor de hash de la señal de acceso recibida por el cliente de OpenID Connect. |
Acción | Asegúrese de que la comunicación entre el cliente de OpenID Connect (parte dependiente o RP) y el proveedor de OpenID Connect (OP) es segura para evitar la manipulación de la señal de acceso recibida por la RP. |
Explicación | No se puede validar una señal de ID porque la señal no estaba firmada. El cliente de OpenID Connect (parte dependiente o RP) espera una señal firmada. |
Acción | Asegúrese de que el proveedor de OpenID Connect permite firmar la señal. |
Explicación | No se puede validar una señal de ID porque el cliente de OpenID Connect (parte dependiente o RP) y el proveedor de OpenID Connect (OP) están utilizando algoritmos de firma diferentes para firmar/verificar la señal. |
Acción | Asegúrese de que el signatureAlgorithm especificado de la RP coincide con el algoritmo de firma del OP. |