Skip to content

Fehler Codes

Sowohl der CMI Server als auch der CMI STS erzeugen unter bestimmten Bedingungen Fehler-Codes, die bei Identifizierung eines Problems helfen können.

Fehlercodes können dem Benutzer angezeigt werden, in Log-Files auftauchen oder im http-Responsebody an Clients übermittelt werden.

Die Fehlercodes haben den Prefix STS. Folgende Fehlercodes werden verwendet:

Code Erzeuger Beschreibung
STS400 CMI Server Anmeldung erfolgreich.
STS401 CMI Server Ungültige Anmeldedaten oder unbekannter Benutzer.
STS402 STS403 CMI Server Ein unerwarteter Fehler ist aufgetreten.
STS404 CMI Server Der CMI STS hat eine ungültige Anfrage gesendet.
STS405 CMI Server Ein Passwort entspricht den Richtlinien.
STS406 CMI Server Ein Passwort entspricht nicht den Richtlinien.
STS407 CMI Server Ein Passwort ist abgelaufen und muss erneuert werden.
STS408 CMI Server BuiltIn-Login: Für einen Benutzer ist im CMI ein externer Benutzer hinterlegt. Die Anmeldung muss daher über einen externen Identitätsprovider erfolgen.
STS500 CMI Server Fehlerhafte Tenant Informationen im Authorize Request.
STS601 CMI STS External Login Eine ungültige Redirect-Uri wird verwendet. Dies kann auf eine fehlerhafte Konfiguration oder einen manipulierten Link rückführbar sein.
STS602 CMI STS External Login Ein erforderlicher Mandanten-Kontext oder -Parameter ist ungültig oder fehlt. Das Löschen von Cookies entfernt unvollständige Daten.
STS603 CMI STS External Login Der angeforderte IDP ist nicht gültig oder bekannt.
STS604 CMI STS External Login Das Login an einem IDP ist unvollständig oder fehlerhaft. Das Löschen von Cookies entfernt unvollständige Daten.
STS701 CMI STS Named Admins Ein Login erfolgte über den Admin-Provider, aber der Benutzer hat die ClaimRequiremens nicht erfüllt.
STS702 CMI STS Named Admins Ein Login für einen Benutzer mit Administrationsrecht wurde aufgrund einer Richtlinie abgewiesen.
STS703 CMI STS Named Admins Ein Login für den BuiltIn-Administrator wurde aufgrund einer Richtlinie abgewiesen.
STS800 CMI STS Delegation Grant Delegation erfolgreich.
STS801 CMI STS Delegation Grant Der Parameter "token" fehlt.
STS802 CMI STS Delegation Grant Das übermittelte Access-Token ist nicht gültig / die Validierung war nicht erfolgreich.
STS900 CMI STS On Behalf Of Grant Token-Austausch erfolgreich.
STS901 CMI STS On Behalf Of Grant Der Parameter "requested_token_use" ist nicht "on_behalf_of".
STS902 CMI STS On Behalf Of Grant Der Parameter "assertion" enthält kein JWT.
STS903 CMI STS On Behalf Of Grant Das im Parameter "assertion" übermittelte JWT hat keinen Issuer-Claim.
STS904 CMI STS On Behalf Of Grant Das im Parameter "assertion" übermittelte JWT enthält nicht alle benötigten Claims.
STS905 CMI STS On Behalf Of Grant Das im Parameter "assertion" übermittelte JWT stammt von einem unbekannten Issuer / IDP oder der Issuer ist derzeit nicht verfügbar.
STS906 CMI STS On Behalf Of Grant Das im Parameter "assertion" übermittelte JWT ist nicht gültig / die Validierung war nicht erfolgreich.
STS907 CMI STS On Behalf Of Grant Das im Parameter "assertion" übermittelte JWT ist gültig. Ein externer Benutzer für die Identität konnte im CMI nicht gefunden werden. Möglicherweise wurde ein benötigter Claim nicht geliefert, der zur Identifizierung verwendet wird.
STS908 CMI STS On Behalf Of Grant Das im Parameter "assertion" übermittelte JWT ist gültig. Der CMI Server akzeptiert ein Login für den externen Benutzer jedoch nicht.
STS909 CMI STS On Behalf Of Grant Das im Parameter "assertion" übermittelte JWT ist gültig. Jedoch konnte die Identität / der externe Benutzer nicht beim CMI Server überprüft werden.
STS920 CMI STS Token Exchange Grant Token-Exchange erfolgreich. Wird im error_codes-Array der Erfolgsantwort ausgegeben.
STS921 CMI STS Token Exchange Grant Der Parameter "subject_token" fehlt.
STS922 CMI STS Token Exchange Grant Der Parameter "subject_token_type" fehlt oder enthält einen nicht unterstützten Wert (z.B. SAML).
STS923 CMI STS Token Exchange Grant Der Parameter "actor_token" wurde übermittelt, aber "actor_token_type" fehlt.
STS924 CMI STS Token Exchange Grant Unbekannter oder nicht unterstützter Token-Type-Identifier (ausserhalb der Whitelist).
STS925 CMI STS Token Exchange Grant Das übermittelte Subject- oder Actor-JWT verletzt das JWT-Profil: Signatur, iss, sub, exp oder iat ungültig bzw. fehlend, aud abweichend (sofern die Trust-Quelle eine Audience vorgibt, z.B. Partner-STS) oder das Token ist grösser als 16 KB.
STS926 CMI STS Token Exchange Grant Subject-Token gültig, aber die externe Identität konnte nicht auf einen CMI-Benutzer abgebildet werden.
STS927 CMI STS Token Exchange Grant Während der Identity-Auflösung trat ein Fehler in der CMI-Server-API auf.
STS928 CMI STS Token Exchange Grant Der CMI Server lehnt den Grant ab (z.B. Benutzer inaktiv).
STS929 CMI STS Token Exchange Grant Der Quell-Mandant oder Quell-Issuer ist nicht in den Client-Allow-Listen für den Token-Exchange.
STS930 CMI STS Token Exchange Grant Die Ziel-Audience fehlt oder ist nicht (vollständig) in der Audience-Allow-Liste des Clients (invalid_target, all-or-nothing).
STS931 CMI STS Token Exchange Grant Der Parameter "requested_token_type" hat einen nicht unterstützten Wert (v1 erlaubt nur :access_token).
STS932 CMI STS Token Exchange Grant Validierung des Actor-Tokens fehlgeschlagen (analog zu STS925 für den Actor-Slot).
STS933 CMI STS Token Exchange Grant Delegation ist für diesen Client nicht freigegeben (TokenExchange.AllowDelegation=false), es wurde aber ein "actor_token" mitgeliefert (unauthorized_client).
STS934 CMI STS Token Exchange Grant may_act.sub oder may_act.iss im Subject-Token stimmt nicht mit den Werten im Actor-Token überein.
STS935 CMI STS Token Exchange Grant Cross-Tenant-Anfrage: der external_idp-Wert hat keinen Eintrag in der ProviderKeyMapping des Ziel-Mandanten (Default-Deny). Mapping ergänzen.
STS936 CMI STS Token Exchange Grant Das Subject- oder Actor-Token ist opak (kein JWT); v1 verlangt eine JWT-Repräsentation für :access_token.
STS937 CMI STS Token Exchange Grant Der Parameter "resource" wird in v1 nicht unterstützt; das Ziel ist über "audience" anzugeben.
STS938 CMI STS Token Exchange Grant Der Parameter "actor_token_type" wurde übermittelt, aber "actor_token" fehlt.
STS939 CMI STS Token Exchange Grant Cross-Tenant-Anfrage: die Pflicht-Claims external_idp und/oder external_sub fehlen im Subject-Token.
STS940 CMI STS Token Exchange Grant Der Actor-Issuer ist nicht in der TokenExchange.AllowedActorIssuers-Allow-Liste des Clients.
STS941 CMI STS Token Exchange Grant Der Subject-Token enthält einen may_act-Claim, es wurde aber kein "actor_token" mitgeliefert.
STS942 CMI STS Token Exchange Grant Die Scope-Schnittmenge aus requested ∩ Client.AllowedScopes ∩ subject_scopes ist leer (invalid_scope).
STS944 CMI STS Token Exchange Grant Der iat-Claim des Subject- oder Actor-Tokens liegt in der Zukunft (jenseits der erlaubten Uhrendrift).
STS945 CMI STS Token Exchange Grant Die berechnete Output-Lifetime des Token-Exchange-Tokens liegt unter der 60-Sekunden-Untergrenze.
STS946 CMI STS Token Exchange Grant Eine Pflicht-Claim-Anforderung aus RequiredClaimRequirements wurde im Subject- oder Actor-Token verletzt.
STS947 CMI STS Token Exchange Grant Die act-Delegationskette des Subject-Tokens erreicht die maximale Tiefe (10); das Einbetten eines weiteren Akteurs würde sie überschreiten.
STS948 CMI STS Token Exchange Grant Ein einwertiger Request-Parameter (z. B. subject_token, scope) wurde mehrfach übermittelt; ein Duplikat würde sonst still zu einem Wert kommagejoint (invalid_request).
STS950 CMI STS Token Exchange Grant Das Subject-Token aus einer OIDC-IdP-Quelle trägt kein aud, das in TokenExchange.AllowedSubjectAudiences des Clients enthalten ist (Default-Deny, invalid_request). Schützt vor Confused-Deputy, da ein OIDC-Issuer Tokens für viele Relying Parties ausstellt.
STS951 CMI STS Token Exchange Grant Das Actor-Token aus einer OIDC-IdP-Quelle trägt kein aud, das in TokenExchange.AllowedActorAudiences des Clients enthalten ist (Default-Deny, invalid_request). Actor-Pendant zu STS950 (Confused-Deputy-Schutz für den Delegations-Akteur).