...

• ERRORURL_TS - tid då felet inträffade (sekunder sedan 1970)

• ERRORURL_RP - entityID för tjänsten

• ERRORURL_TID - ett transaktionsid i tjänsten (för användning i kommunikation i tjänsten om det uppkomna felet, för den specifika användaren)

• ERRORURL_CTX - kontext för felet (vilka attribut som saknas, vilken behörighet som saknas osveller något annat som underlättar felsökandet för eventuell support hos identitetsutgivutfärdaren)

Dessa ytterligare attribut kan användas i en dynamisk implementation av errorURL för att ytterligare förbättra informationen till användare som får problem vid inloggning i tjänster. En mer dynamisk errorURL för en identitetsutfärdare skulle kunna vara

...

Där kan då identitetsutfärdaren beskriva för användaren hur den bekräftar kan bekräfta sin identitet, exempelvis med besöksadress till en helpdesk eller hänvisning till online-identifiering av användarekonton hos identitetsutfärdaren.

...

Vid utelämnande av strängen ERRORURL_CODE i en errorURL så finns ingen sträng att ersätta för tjänster. På så vis hänvisas användare vid alla kategorier av fel till samma sida.

...

https://saml-error.example.com/errorurl.html

Detta kan vara det enda alternativet för tjänsteleverantörer som inte kan välja namn på webbwebbsidor.

Fem statiska sidor

Då det finns fyra felkategorier så räcker det med fem statiska sidor webbsidor för att tillhandahålla sidor information för de fyra felkategorierna. Den femte sidan är då en omodifierad errorURL där tjänten tjänsten inte bytt ut strängen ERRORURL_CODE mot någon felkategori, och bör innehålla information om alla kategorier av fel eller länkar till respektive felsida.

Exempel:

https://saml-error.example.com/ERRORURL_CODE.html

...

https://saml-error.example.com/?errorurl_code=ERRORURL_CODE&errorurl_ts=ERRORURL_TS&errorurl_rp=ERRORURL_RP&errorurl_tid=ERRORURL_TID&errorurl_ctx=ERRORURL_CTX

En

...

federationscentral tjänst för errorURL

En Om en identitetsutfärdare inte har möjlighet till en egen errorURL så kan federationen tillhandahålla en gemensam central tjänst som flera identitetsutfärdare kan använda som errorURL. Möjlighet till egen anpassning av för identitetsutfärdare blir då mindre.

...

För att läsa ut errorURL för en användares identitetsutfärdare i Shibboleth SP Service Provider så behöver tillägget Metawdata Metadata Attribute Extraction aktiveras i konfigurationen. Se Instruktioner finns under rubriken Activate Metadata Attribute Extraction for Identity Provider metadata på 3.3 Configure Shibboleth SP - Check for Identity Assurance or REFEDS SIRTFI.

När detta är gjort så finns errorURL:en (i förekommande fall) tillgänglig i HTTP-headern/environmentvariabeln miljövariabeln Meta-errorURL.

Länka till identitetsutfärdarens errorURL vid fel

...

Informationen i den centrala tjänsten är generell och ingen möjlighet till egen anpassning finns. Det enda som skiljer mellan olika identitetsutfärdares errorURL i den centrala tjänsten är att namn på identitetsutfärdare och e-postadress för supportkontakt som hämtas ur identitetsutfärdarens metadata.

SWAMIDs centrala errorURL går att testa på https://error.swamid.se/test/. Där finns även en länk till aktuell errorURL för respektive IdP i SWAMID. IdP:er som inte har någon egen errorURL får har där en länk till den centrala errorURL:en på testsidan, anpassad för den specifika identitetstutfärdaren.

Kompletterad användning av ERRORURL_CTX

För att ytterligare förbättra möjligheten till relevant information till användare vid olika fel så använder vi används en konvension kring ERRORURL_CTX i SWAMID. Tjänster rekommenderas att lägga till dessa strängar kontext till eventuell annan ERRORURL_CTX vid respektive fel, och identitetsutfärdare rekommenderas att hantera dessa speciellt:

...