Fehler Codes
Sowohl der CMI Server als auch der CMI STS erzeugen unter bestimmten Bedingungen Fehler-Codes, die bei Identifizierung eines Problems helfen können.
Fehlercodes können dem Benutzer angezeigt werden, in Log-Files auftauchen oder im http-Responsebody an Clients übermittelt werden.
Die Fehlercodes haben den Prefix STS. Folgende Fehlercodes werden verwendet:
| Code | Erzeuger | Beschreibung |
|---|---|---|
| STS400 | CMI Server | Anmeldung erfolgreich. |
| STS401 | CMI Server | Ungültige Anmeldedaten oder unbekannter Benutzer. |
| STS402 STS403 | CMI Server | Ein unerwarteter Fehler ist aufgetreten. |
| STS404 | CMI Server | Der CMI STS hat eine ungültige Anfrage gesendet. |
| STS405 | CMI Server | Ein Passwort entspricht den Richtlinien. |
| STS406 | CMI Server | Ein Passwort entspricht nicht den Richtlinien. |
| STS407 | CMI Server | Ein Passwort ist abgelaufen und muss erneuert werden. |
| STS408 | CMI Server | BuiltIn-Login: Für einen Benutzer ist im CMI ein externer Benutzer hinterlegt. Die Anmeldung muss daher über einen externen Identitätsprovider erfolgen. |
| STS500 | CMI Server | Fehlerhafte Tenant Informationen im Authorize Request. |
| STS601 | CMI STS External Login | Eine ungültige Redirect-Uri wird verwendet. Dies kann auf eine fehlerhafte Konfiguration oder einen manipulierten Link rückführbar sein. |
| STS602 | CMI STS External Login | Ein erforderlicher Mandanten-Kontext oder -Parameter ist ungültig oder fehlt. Das Löschen von Cookies entfernt unvollständige Daten. |
| STS603 | CMI STS External Login | Der angeforderte IDP ist nicht gültig oder bekannt. |
| STS604 | CMI STS External Login | Das Login an einem IDP ist unvollständig oder fehlerhaft. Das Löschen von Cookies entfernt unvollständige Daten. |
| STS701 | CMI STS Named Admins | Ein Login erfolgte über den Admin-Provider, aber der Benutzer hat die ClaimRequiremens nicht erfüllt. |
| STS702 | CMI STS Named Admins | Ein Login für einen Benutzer mit Administrationsrecht wurde aufgrund einer Richtlinie abgewiesen. |
| STS703 | CMI STS Named Admins | Ein Login für den BuiltIn-Administrator wurde aufgrund einer Richtlinie abgewiesen. |
| STS800 | CMI STS Delegation Grant | Delegation erfolgreich. |
| STS801 | CMI STS Delegation Grant | Der Parameter "token" fehlt. |
| STS802 | CMI STS Delegation Grant | Das übermittelte Access-Token ist nicht gültig / die Validierung war nicht erfolgreich. |
| STS900 | CMI STS On Behalf Of Grant | Token-Austausch erfolgreich. |
| STS901 | CMI STS On Behalf Of Grant | Der Parameter "requested_token_use" ist nicht "on_behalf_of". |
| STS902 | CMI STS On Behalf Of Grant | Der Parameter "assertion" enthält kein JWT. |
| STS903 | CMI STS On Behalf Of Grant | Das im Parameter "assertion" übermittelte JWT hat keinen Issuer-Claim. |
| STS904 | CMI STS On Behalf Of Grant | Das im Parameter "assertion" übermittelte JWT enthält nicht alle benötigten Claims. |
| STS905 | CMI STS On Behalf Of Grant | Das im Parameter "assertion" übermittelte JWT stammt von einem unbekannten Issuer / IDP oder der Issuer ist derzeit nicht verfügbar. |
| STS906 | CMI STS On Behalf Of Grant | Das im Parameter "assertion" übermittelte JWT ist nicht gültig / die Validierung war nicht erfolgreich. |
| STS907 | CMI STS On Behalf Of Grant | Das im Parameter "assertion" übermittelte JWT ist gültig. Ein externer Benutzer für die Identität konnte im CMI nicht gefunden werden. Möglicherweise wurde ein benötigter Claim nicht geliefert, der zur Identifizierung verwendet wird. |
| STS908 | CMI STS On Behalf Of Grant | Das im Parameter "assertion" übermittelte JWT ist gültig. Der CMI Server akzeptiert ein Login für den externen Benutzer jedoch nicht. |
| STS909 | CMI STS On Behalf Of Grant | Das im Parameter "assertion" übermittelte JWT ist gültig. Jedoch konnte die Identität / der externe Benutzer nicht beim CMI Server überprüft werden. |
| STS920 | CMI STS Token Exchange Grant | Token-Exchange erfolgreich. Wird im error_codes-Array der Erfolgsantwort ausgegeben. |
| STS921 | CMI STS Token Exchange Grant | Der Parameter "subject_token" fehlt. |
| STS922 | CMI STS Token Exchange Grant | Der Parameter "subject_token_type" fehlt oder enthält einen nicht unterstützten Wert (z.B. SAML). |
| STS923 | CMI STS Token Exchange Grant | Der Parameter "actor_token" wurde übermittelt, aber "actor_token_type" fehlt. |
| STS924 | CMI STS Token Exchange Grant | Unbekannter oder nicht unterstützter Token-Type-Identifier (ausserhalb der Whitelist). |
| STS925 | CMI STS Token Exchange Grant | Das übermittelte Subject- oder Actor-JWT verletzt das JWT-Profil: Signatur, iss, sub, exp oder iat ungültig bzw. fehlend, aud abweichend (sofern die Trust-Quelle eine Audience vorgibt, z.B. Partner-STS) oder das Token ist grösser als 16 KB. |
| STS926 | CMI STS Token Exchange Grant | Subject-Token gültig, aber die externe Identität konnte nicht auf einen CMI-Benutzer abgebildet werden. |
| STS927 | CMI STS Token Exchange Grant | Während der Identity-Auflösung trat ein Fehler in der CMI-Server-API auf. |
| STS928 | CMI STS Token Exchange Grant | Der CMI Server lehnt den Grant ab (z.B. Benutzer inaktiv). |
| STS929 | CMI STS Token Exchange Grant | Der Quell-Mandant oder Quell-Issuer ist nicht in den Client-Allow-Listen für den Token-Exchange. |
| STS930 | CMI STS Token Exchange Grant | Die Ziel-Audience fehlt oder ist nicht (vollständig) in der Audience-Allow-Liste des Clients (invalid_target, all-or-nothing). |
| STS931 | CMI STS Token Exchange Grant | Der Parameter "requested_token_type" hat einen nicht unterstützten Wert (v1 erlaubt nur :access_token). |
| STS932 | CMI STS Token Exchange Grant | Validierung des Actor-Tokens fehlgeschlagen (analog zu STS925 für den Actor-Slot). |
| STS933 | CMI STS Token Exchange Grant | Delegation ist für diesen Client nicht freigegeben (TokenExchange.AllowDelegation=false), es wurde aber ein "actor_token" mitgeliefert (unauthorized_client). |
| STS934 | CMI STS Token Exchange Grant | may_act.sub oder may_act.iss im Subject-Token stimmt nicht mit den Werten im Actor-Token überein. |
| STS935 | CMI STS Token Exchange Grant | Cross-Tenant-Anfrage: der external_idp-Wert hat keinen Eintrag in der ProviderKeyMapping des Ziel-Mandanten (Default-Deny). Mapping ergänzen. |
| STS936 | CMI STS Token Exchange Grant | Das Subject- oder Actor-Token ist opak (kein JWT); v1 verlangt eine JWT-Repräsentation für :access_token. |
| STS937 | CMI STS Token Exchange Grant | Der Parameter "resource" wird in v1 nicht unterstützt; das Ziel ist über "audience" anzugeben. |
| STS938 | CMI STS Token Exchange Grant | Der Parameter "actor_token_type" wurde übermittelt, aber "actor_token" fehlt. |
| STS939 | CMI STS Token Exchange Grant | Cross-Tenant-Anfrage: die Pflicht-Claims external_idp und/oder external_sub fehlen im Subject-Token. |
| STS940 | CMI STS Token Exchange Grant | Der Actor-Issuer ist nicht in der TokenExchange.AllowedActorIssuers-Allow-Liste des Clients. |
| STS941 | CMI STS Token Exchange Grant | Der Subject-Token enthält einen may_act-Claim, es wurde aber kein "actor_token" mitgeliefert. |
| STS942 | CMI STS Token Exchange Grant | Die Scope-Schnittmenge aus requested ∩ Client.AllowedScopes ∩ subject_scopes ist leer (invalid_scope). |
| STS944 | CMI STS Token Exchange Grant | Der iat-Claim des Subject- oder Actor-Tokens liegt in der Zukunft (jenseits der erlaubten Uhrendrift). |
| STS945 | CMI STS Token Exchange Grant | Die berechnete Output-Lifetime des Token-Exchange-Tokens liegt unter der 60-Sekunden-Untergrenze. |
| STS946 | CMI STS Token Exchange Grant | Eine Pflicht-Claim-Anforderung aus RequiredClaimRequirements wurde im Subject- oder Actor-Token verletzt. |
| STS947 | CMI STS Token Exchange Grant | Die act-Delegationskette des Subject-Tokens erreicht die maximale Tiefe (10); das Einbetten eines weiteren Akteurs würde sie überschreiten. |
| STS948 | CMI STS Token Exchange Grant | Ein einwertiger Request-Parameter (z. B. subject_token, scope) wurde mehrfach übermittelt; ein Duplikat würde sonst still zu einem Wert kommagejoint (invalid_request). |
| STS950 | CMI STS Token Exchange Grant | Das Subject-Token aus einer OIDC-IdP-Quelle trägt kein aud, das in TokenExchange.AllowedSubjectAudiences des Clients enthalten ist (Default-Deny, invalid_request). Schützt vor Confused-Deputy, da ein OIDC-Issuer Tokens für viele Relying Parties ausstellt. |
| STS951 | CMI STS Token Exchange Grant | Das Actor-Token aus einer OIDC-IdP-Quelle trägt kein aud, das in TokenExchange.AllowedActorAudiences des Clients enthalten ist (Default-Deny, invalid_request). Actor-Pendant zu STS950 (Confused-Deputy-Schutz für den Delegations-Akteur). |