Gå direkt till innehållet.
Suomi.fi-identifikation

Snabbanvisningar för utredning av fel i begäran om autentisering och begäran om utloggning

Den här anvisningen ger råd om åtgärder i olika felsituationer.

Använd SAML tracer-tilläggsdelen för att granska SAML-trafiken.

Allmänna anvisningar

  • SAML-meddelanden ska undertecknas. Säkerställ att applikationen undertecknar alla SAML-meddelanden.
  • SAML-meddelandenas underskrift ska kontrolleras för att säkerställa meddelandets ursprung. Säkerställ att alla SAML-meddelandens underskrifter kontrolleras.
  • SHA1-baserade algoritmer stöds inte i riktning mot Suomi.fi-mobilapplikationen. Säkerställ att en algoritm på minst SHA256-nivå används för underskriften av meddelanden.
  • AES-GCM är standardalgoritmen för kryptering av returmeddelanden från Suomi.fi-identifikation. AES-CBC används tills vidare.

Autentiseringsbegäran

Begäran om autentisering besvaras med 500-seriens fel "coreidpshib" genast efter att begäran om autentisering har skickats:

  1. Kontrollera om autentiseringsbegärans (AuthnRequest) "Issuer" är densamma som har registrerats i metadata (entityID i metadata). Beakta stora och små bokstäver och andra tecken.
  2. Kontrollera att returadressen för autentiseringsbegäran (AuthnRequest) "AssertionConsumerServiceURL" (om definierad) motsvarar det värde som definierats under 'AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=...’ i metadata. Om det inte hänvisas till returadressen, kontrollera om det finns en standardadress i metadatan eller om indexnumret för returadressen för begäran om autentisering är korrekt i metadatan.
  3. Kontrollera att certifikatet i metadatan går att öppna med hjälp av certifikatverktyget OCH att certifikatet är sådant att underskriften av begäran om autentisering kan hävas.
  4. Kontrollera att autentiseringsbegäran skickas enligt POST/Redirect-profilen till rätt adress (till den som definierats i filen IDp-metadata.xml).
  5. Kontrollera att det i autentiseringsbegäran fastställda ProtocolBinding= -värdet är 'POST'.

Fel vid val av autentiseringsverktyg

Autentiseringsbegäran godkänns och användaren hänvisas till att välja autentiseringsverktyg, men därefter uppstår ett fel när autentiseringsverktyget väljs:

  1. Kontrollera kravet "exact" för identifieringsverktyg för begäran om autentisering: kravet strider mot de verktyg/nivåer som fastställts i metadata.
  2. Ta bort definitionen eller korrigera den så att den motsvarar det som definierats i metadata.

Hävning av autentiseringssvar

Om autentiseringssvaret inte kan hävas:

  1. Kontrollera att AES-GCM-algoritmen kan användas för att häva autentiseringssvaret.
  2. Kontrollera att rätt certifikat har registrerats i metadata för kryptering av autentiseringssvaret.

Utloggning

Utloggning via egen tjänst

Utloggningen lyckas inte, Suomi.fi-identifikation svarar med det gneriska felet "coreidpshib” i 500-serien.

  1. Back-channel utloggning stöds inte. Skicka begäran om utloggning med användarens webbläsare och styr användaren till utloggningssidan.
  2. Kontrollera om begäran om utloggning har undertecknats på motsvarande sätt som certifikatet i metadata.
  3. Kontrollera om begäran om utloggning innehåller uppgifterna NameID och Sessionindex i autentiseringssvaret.
  4. Kontrollera om meddelandet skickas till utloggningsadressen (SLO) som anges i filen idp-metadata.xml.

Utloggning via en annan tjänst

Utloggningen lyckas, men utloggningssidan för Suomi.fi-identifikation ”visar utloggning pågår" i den egna tjänsten.

  1. Kontrollera om statusmeddelandet "success" undertecknas.
  2. Kontrollera om webbläsarens eller serverns nätverksinställning förhindrar att statusmeddelandet skickas.
Uppdaterad: 16.1.2026

Är du nöjd med innehållet på denna sida?