Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро DSS
»
Ошибка при обмене токена: The identity specified by 'subject_token' parameter is invalid
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2022(UTC) Сообщений: 5  Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
Добрый день. Подскажите, в чем может быть проблема? Настроили интеграцию DSS с KeyCloak по OpenId. Получил от KeyCloak access_token-пользователя и пытаюсь сделать обмен (token-exchange) Вот запрос: Цитата:POST STS/oauth/token
Content-Type: application/x-www-form-urlencoded
Body:
grant_type: "urn:ietf:params:oauth:grant-type:token-exchange"
subject_token_type: "urn:ietf:params:oauth:token-type:jwt"
resource: "urn:cryptopro:dss:signserver:SignServer"
client_id: "client_Id..."
client_secret: "client_secret..."
subject_token: "... здесь токен (без base64url-кодирования)"
Получаю вот такую ошибку Цитата:{
"error": "invalid_request",
"error_description": "The identity specified by 'subject_token' parameter is invalid."
} при этом если вместо subject_token подставить dss-токен (выданный самим DSSом), то все ок. и доп вопрос: 2) могу ли я использовать токены от KeyCloak без обмена? логика интеграции OpenId предполагает что есть сервер-ресурсов (DSS), который доверяет серверу STS и можно использовать его токены напрямую для авторизации. Отредактировано пользователем 9 июня 2022 г. 16:48:22(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 328  Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Добрый день.
Пришлите в личку журнал администратора ЦИ, с указанием времени ошибки + токен от KeyCloak. |
|
 1 пользователь поблагодарил Андрей Солдатов за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2022(UTC) Сообщений: 5 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
Посмотрели в логи. Ошибка такого плана: Цитата:<EventData> <Data Name="instanceId">2/STS</Data> <Data Name="loggerName">TokenExchangeGrantValidator</Data> <Data Name="authType">subject_token</Data> <Data Name="identityType">http://dss.cryptopro.ru/identity/authenticationmethod/saml</Data> <Data Name="error">Учётные данные не содержат утверждения http://schemas.xmlsoap.o...claims/name</Data> <Data Name="errorDescription">unspecified</Data> <Data Name="request">ClientId=inventory ClientName=inventory Resource= GrantType=urn:ietf:params:oauth:grant-type:token-exchange Username= scope= TransactionTokenId= OperationId=</Data> </EventData> то есть не хватает определенных clam'ов. Вот что говорится в документации по этому поводу: Цитата:ЦИ КриптоПро DSS ожидает, что в маркере будет содержатся определённый набор утверждений, но во многих случаях на содержимое маркера, возврашаемого сторонним ЦИ, повлиять нельзядаже с помощью параметра Scopes. Лля решения этой проблемы можно использовать правила преобразования утверждений. Как исправить - можно почитать здесь и здесь.
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро DSS
»
Ошибка при обмене токена: The identity specified by 'subject_token' parameter is invalid
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
