9. Codici di errore
Di seguito si riportano le tabelle con i codici di errore, alcuni dettagli relativi al troubleshooting e le relative azioni che il Service Provider deve effettuare.
Tabella 9.1 Autenticazione corretta
| Error code |
1 |
|---|
| Scenario di riferimento |
Autenticazione corretta |
| Binding |
HTTP POST / HTTP Redirect |
| HTTP status code |
200 |
| SAML Status code/Sub Status/StatusMessage |
urn:oasis:names:tc:SAML:2.0:status:Success |
| Destinatario notifica |
Fornitore del servizio (SP) |
| Schermata IdP (CIE ID SERVER) |
|
| Troubleshooting utente |
|
| Troubleshooting SP |
|
| Note |
|
Tabella 9.2 Anomalie di sistema
| Error code |
2 |
3 |
|---|
| Scenario di riferimento |
Indisponibilità sistema |
Errore di sistema |
| Binding |
HTTP POST |
HTTP Redirect |
| HTTP status code |
|
500 |
| SAML Status code/Sub Status/StatusMessage |
n.a. |
n.a. |
| Destinatario notifica |
Utente |
Utente |
| Schermata IdP (CIE ID SERVER) |
Messaggio di errore generico |
Pagina di cortesia con messaggio “Sistema di autenticazione non disponibile -Riprovare più tardi” |
| Troubleshooting utente |
Ripetere l’accesso al servizio in un secondo momento |
Ripetere l’accesso al servizio in un secondo momento |
| Troubleshooting SP |
|
|
| Note |
|
|
Tabella 9.3 Anomalie di binding
| Error code |
4 |
4 |
5 |
6 |
6 |
|---|
| Scenario di riferimento |
Formato binding non corretto |
Formato binding non corretto |
Verifica della firma fallita |
Binding su metodo HTTP errato |
Binding su metodo HTTP errato |
| Binding |
HTTP Redirect |
HTTP POST |
HTTP Redirect |
HTTP Redirect |
HTTP POST |
| HTTP status code |
403 |
403 |
403 |
403 |
403 |
| SAML Status code/Sub Status/StatusMessage |
n.a. |
n.a. |
n.a. |
n.a. |
n.a. |
| Destinatario notifica |
Utente |
Utente |
Utente |
Utente |
Utente |
| Schermata IdP (CIE ID SERVER) |
Pagina di cortesia con messaggio “Formato richiesta non corretto - Contattare il gestore del servizio” |
Pagina di cortesia con messaggio “Formato richiesta non corretto - Contattare il gestore del servizio” |
Pagina di cortesia con messaggio "Impossibile stabilire l’autenticità della richiesta di autenticazione - Contattare il gestore del servizio” |
Pagina di cortesia con messaggio “Formato richiesta non ricevibile - Contattare il gestore del servizio” |
Pagina di cortesia con messaggio “Formato richiesta non ricevibile - Contattare il gestore del servizio” |
| Troubleshooting utente |
Contattare il gestore del servizio |
Contattare il gestore del servizio |
Contattare il gestore del servizio |
Contattare il gestore del servizio |
Contattare il gestore del servizio |
| Troubleshooting SP |
Verificare la conformità del formato del messaggio di richiesta. Fornire pagina di cortesia all'utente |
Verificare la conformità del formato del messaggio di richiesta. Fornire pagina di cortesia all'utente |
Verificare certificato o modalità di apposizione firma |
Verificare metadata CIE ID SERVER |
Verificare metadata CIE ID SERVER |
| Note |
Parametri obbligatori: SAMLRequest SigAlg Signature. Parametri non obbligatori: RelayState |
Parametri obbligatori: SAMLRequest. Parametri non obbligatori: RelayState |
Firma sulla richiesta non presente corrotta non conforme in uno dei parametri con certificato scaduto o con certificato non associato al corretto EntityID nei metadati registrati |
Invio richiesta in HTTP-Redirect su entrypoint HTTP-POST dell'identity |
Invio richiesta in HTTP-POST su entrypoint HTTP-Redirect dell'identity |
Tabella 9.4 Anomalie della richiesta - codici 7,8,9
| Error code |
7 |
8 |
9 |
|---|
| Scenario di riferimento |
Errore sulla verifica della firma della richiesta |
Formato della richiesta non conforme alle specifiche SAML |
Parametro version non presente - malformato o diverso da ‘2.0’ |
| Binding |
HTTP POST |
HTTP POST / HTTP Redirect |
HTTP POST / HTTP Redirect |
| HTTP status code |
403 |
n.a. |
n.a. |
| SAML Status code/Sub Status/StatusMessage |
n.a. |
urn:oasis:names:tc:SAML:2.0:status:Requester ErrorCode nr08 |
urn:oasis:names:tc:SAML:2.0:status:VersionMismatch. ErrorCode nr09 |
| Destinatario notifica |
Utente |
Fornitore del servizio (SP) |
Fornitore del servizio (SP) |
| Schermata IdP (CIE ID SERVER) |
Pagina di cortesia con messaggio “Formato richiesta non corretto - Contattare il gestore del servizio” |
|
|
| Troubleshooting utente |
Contattare il gestore del servizio |
|
|
| Troubleshooting SP |
Verificare certificato o modalità di apposizione firma |
Verificare la conformità del formato del messaggio di richiesta. Fornire pagina di cortesia all'utente |
Verificare la conformità del formato del messaggio di richiesta. Fornire pagina di cortesia all'utente |
| Note |
Firma sulla richiesta non presente - corrotta - non conforme in uno dei parametri - con certificato scaduto o con certificato non associato al corretto EntityID nei metadati registrati |
Non conforme alle specifiche SAML - Il controllo deve essere operato successivamente alla verifica positiva della firma |
|
Tabella 9.5 Anomalie della richiesta - codici 10,11,12
| Error code |
10 |
11 |
12 |
|---|
| Scenario di riferimento |
Issuer non presente - malformato o non corrispondete all'entità che sottoscrive la richiesta |
ID (Identificatore richiesta) non presente malformato o non conforme |
RequestAuthnContext non presente malformato o non previsto da scenario eID CIE |
| Binding |
HTTP POST / HTTP Redirect |
HTTP POST / HTTP Redirect |
HTTP POST / HTTP Redirect |
| HTTP status code |
403 |
n.a. |
n.a. |
| SAML Status code/Sub Status/StatusMessage |
n.a. |
urn:oasis:names:tc:SAML:2.0:status:Requester. ErrorCode nr11 |
urn:oasis:names:tc:SAML:2.0:status:Requester urn:oasis:names:tc:SAML:2.0:statuss:NoAuthnContext. ErrorCode nr12 |
| Destinatario notifica |
Utente |
Fornitore del servizio (SP) |
Fornitore del servizio (SP) |
| Schermata IdP (CIE ID SERVER) |
Pagina di cortesia con messaggio “Formato richiesta non corretto - Contattare il gestore del servizio” |
|
Pagina temporanea con messaggio di errore: “Tipologia di autenticazione non supportata” |
| Troubleshooting utente |
Contattare il gestore del servizio |
|
|
| Troubleshooting SP |
Verificare la conformità del formato del messaggio di richiesta. |
Verificare la conformità del formato del messaggio di richiesta. |
Informare l’utente |
| Note |
|
|
Identificatore necessario per la correlazione con la risposta. L’eventuale presenza dell’anomalia va verificata e segnalata solo a seguito di una positiva verifica della firma. |
Tabella 9.8 Anomalie utente
| Error code |
21 |
22 |
23 |
25 |
|---|
| Scenario di riferimento |
Timeout durante l’autenticazione utente |
Utente nega il consenso all’invio di dati al SP in caso di sessione vigente |
Utente con CIE scaduta/revocata |
Processo di autenticazione annullato dall’utente |
| Binding |
HTTP POST / HTTP Redirect |
HTTP POST / HTTP Redirect |
HTTP POST / HTTP Redirect |
HTTP POST / HTTP Redirect |
| HTTP status code |
n.a. |
n.a. |
n.a. |
n.a. |
| SAML Status code/Sub Status/StatusMessage |
urn:oasis:names:tc:SAML:2.0:status:Responder urn:oasis:names:tc:SAML:2.0:status:AuthnFailed ErrorCode nr21 |
urn:oasis:names:tc:SAML:2.0:status:Responder urn:oasis:names:tc:SAML:2.0:status:AuthnFailed ErrorCode nr22 |
urn:oasis:names:tc:SAML:2.0:status:Responder urn:oasis:names:tc:SAML:2.0:status:AuthnFailed ErrorCode nr23 |
urn:oasis:names:tc:SAML:2.0:status:Responder urn:oasis:names:tc:SAML:2.0:status:AuthnFailed ErrorCode nr25 |
| Destinatario notifica |
Fornitore del servizio (SP) |
Utente e Fornitore del servizio (SP) |
Utente e Fornitore del servizio (SP) |
Utente e Fornitore del servizio (SP) |
| Schermata IdP (CIE ID SERVER) |
|
|
Viene notificato all’utente una finestra - nel system tray di Windows - che avverte che la CIE potrebbe essere scaduta o revocata |
|
| Troubleshooting utente |
L’operazione di autenticazione deve essere completata entro un determinato periodo di tempo |
Necessario il consenso per la fruizione del servizio |
Verificare che la CIE non sia scaduta. Verificare che non sia stata revocata. Eventualmente contattare l'assistenza CIE a cie.cittadini@interno.it |
|
| Troubleshooting SP |
Fornire una pagina di cortesia che ricorda al cittadino di completare la richiesta di autenticazione entro un determinato periodo di tempo |
Fornire una pagina di cortesia notificando all'utente che il diniego al consenso ha determinato il mancato accesso al servizio richiesto |
Notificare all'utente le ragioni che hanno determinato il mancato accesso al servizio richiesto |
Fornire una pagina di cortesia notificando all'utente le ragioni che hanno determinato il mancato accesso al servizio richiesto |
| Note |
|
|
|
|
Nota
I codici 19, 20 e 24 sono riservati.