Les erreurs liées à OpenID

Pro Santé Connect passe par le mécanisme de retour d'erreurs d'un fournisseur d'identité openid connect tel que décrit dans la norme (https://openid.net/specs/openid-connect-core-1_0.html#AuthError)

Authentication endpoint

C’est le point d’extrémité sur lequel l’user-agent (en général un navigateur Web) de l’utilisateur final est redirigé, pour lui permettre de s’identifier et d’accorder des autorisations à l’application cliente.

Dans le cas du flux d’autorisation avec code (Authorization code flow), le contrôleur Authorize redirige l’user-agent sur le point d’extrémité Token avec un code d’autorisation.

 

Réponse

Titre de l'erreur Détail de l'erreur Explication
302 login required The user must login Le jeton d’accès n’existe pas ou n’est plus valide. Cette réponse n’apparait que si login=’none’ car, dans les autres cas, le serveur OAuthSD prend à sa charge le dialogue de connexion. Cette erreur pourra apparaître en cas d’échecs successifs.
302 interaction_required The user must grant access to your application Le serveur a déterminé que des scopes doivent être approuvés par l’utilisateur final. Il y a peu de chance que cette erreur apparaisse avec OAuthSD, car la situation est gérée au niveau du contrôleur Authorize qui prend à sa charge le formulaire d’acceptation.
400 consent_required The user denied access to your application L’utilisateur final a explicitement refusé la demande d’autorisation qui lui a été présentée.
400 invalid_client No client id supplied Le paramètre client_id n'a pas été fourni.
400 invalid_client The client id supplied is invalid Le paramètre client_id doit être identique à ce qui a été inscrit pour l’application.
400 invalid_uri The redirect URI must not contain a fragment  
400 invalid_uri No redirect URI was supplied or stored  
400 invalid_uri A redirect URI must be supplied when multiple redirect URIs are registered  
400 redirect_uri_mismatch The redirect URI provided is missing or does not match Le paramètre redirect_uri doit être identique à ce qui a été inscrit pour l’application.
400 invalid_uri The redirect URI must not contain a fragment  
400

invalid_request

invalid user

L'identifiant utilisateur renseigné est inconnu dans l'environnement appelé. 
400 invalid_request

invalid_binding_message

Le binding message envoyé ne respecte pas le format attendu
401

invalid_client

Invalid client credentials

Les informations d'authentification fournies par le FS sont erronées
401

unauthorized_client

Invalid client secret

Le secret envoyé par le FS est erroné
401 not_allowed   L’utilisateur final a fourni un identifiant (e-mail ou pseudo) mal formé.
401 malformed_identifier    
403 consent_required The user denied access to your application L’utilisateur a refusé son accord ou a abandonné l’authentification.

 

Si le serveur retourne une erreur 401, il est de la responsabilité de l’application cliente de présenter un message d’erreur. 

 

Token endpoint

Pour obtenir les jetons, une application cliente s’adresse au point d’extrémité token avec le code obtenu dans la phase d’autorisation. Dans le cadre du protocole OpenID Connect, l’appel au contrôleur Token suit la demande d’authentification.

La demande ne doit être effectuée que par la méthode POST.

Réponse Titre de l'erreur Détail de l'erreur Explication
405 invalid_request The request method must be POST when requesting an access token La méthode de la demande doit être POST lorsque vous demandez un jeton d’accès. Notez que le Header contient ’Allow : POST’
400 invalid_request The grant type was not specified in the request Le type d’autorisation n’a pas été spécifié dans la demande
400 unsupported_grant_type Grant type "X" not supported Le Type d’autorisation "X" n’est pas supporté.
400 invalid_grant

Code not valid

Le code d’autorisation n’existe pas ou est invalide pour le client ou a expiré. Cette situation peut résulter du fait que le code a déjà été utilisé pour une demande de jeton.
400

invalid_grant

Invalid Auth Req ID

Le JSON fournit en auth_req_id est erroné ou a expiré
400

authorization_pending

The authorization request is still pending as the end-user hasn't yet been authenticated

L'utilisateur n'a pas encore donné son consentement à l'authentification mobile
400 unauthorized_client The grant type is unauthorized for this client_id Le type d’autorisation n’est pas autorisé pour ce client_id
400 invalid_scope The scope requested is invalid for this request La portée d’autorisation demandée est invalide pour cette demande
400 invalid_scope The scope requested is invalid for this client La portée d’autorisation demandée est valide pour ce client
400 invalid_scope An unsupported scope was requested La portée d’autorisation demandée n’est pas supportée
400

access_denied

not authorized

Pour les connexions CIBA : l'utilisateur n'a pas donné son consentement à l'authentification mobile
404

Could not find resource for full path

  L'adresse du endpoint est erronée

 

Cette page vous a-t-elle été utile ?

Les informations recueillies dans le questionnaire sont enregistrées dans un fichier informatisé par l'ANS afin d’optimiser le site et satisfaire à vos attentes.

Les informations enregistrées sont destinées à l’usage de l’ANS et ne sont rendues accessibles qu’à ses services, personnels, prestataires externes ou partenaires habilités à en prendre connaissance.

Dans le respect de la réglementation applicable en matière de protection des données personnelles, vous disposez notamment d’un droit d’accès, de rectification et d’effacement de vos données.
Vous pouvez exercer ces droits en contactant le délégué à la protection des données de l’ANS, dans les conditions décrites sur la page dédiée Politique de protection des données personnelles du site de l’ANS.