Wie behebe ich Probleme bei der Konfiguration der Authentifizierung in meinem Application Load Balancer?

Lesedauer: 2 Minute
0

Ich erhalte eine Fehlermeldung, wenn ich die Authentifizierung in meinem Application Load Balancer konfiguriere.

Lösung

Fehlkonfigurationen des Identitätsanbieters (IDP) oder Application Load Balancers können zu Fehlern während der Konfiguration der Authentifizierung für den Application Load Balancer führen. Gehen Sie wie folgt vor, um Authentifizierungsfehler zu beheben.

redirect_mismatch

Wenn Sie Amazon Cognito verwenden, setzen Sie die Callback-URL auf https://<domain>/oauth2/idpresponse. Wenn Sie einen anderen IDP verwenden, setzen Sie die Umleitungs-URI auf https://<domain>/oauth2/idpresponse.

Hinweis: Ersetzen Sie <domain> mit der Domain, die für den Zugriff auf den Application Load Balancer verwendet wird.

HTTP 401: Unauthorized

Konfigurieren Sie Folgendes identisch auf Ihrem Application Load Balancer und IDP:

  • Emittent
  • Autorisierungsendpunkt
  • Token-Endpunkt
  • Client-ID/Client-Secret

Setzen Sie außerdem Aktion bei nicht authentifizierter Anfrage je nach Anwendungsfall entweder auf Zulassen oder Authentifizieren (Client-Neuversuch).

HTTP 500: Internal Server Error

Gehen Sie wie folgt vor, wenn Sie den Fehler „HTTP 500: Internal Server Error“ erhalten:

  • Fügen Sie eine Regel für ausgehenden Datenverkehr hinzu, um Datenverkehr zu den IDP-Endpunkten über HTTPS (Port 443) zuzulassen.
  • Konfigurieren Sie die Regeln der Netzwerk-Zugriffssteuerungsliste in jedem Application-Load-Balancer-Subnetz, um den Datenverkehr zu und von den IDP-Endpunkten zuzulassen.
    Legen Sie für Ausgangsregeln Folgendes fest: Ziel-IP – Identitätsanbieter, Zielport -443 Allow.
    Legen Sie für Eingangsregeln Folgendes fest: Quell-IP – Identitätsanbieter, Zielport 1024-65535 Allow.
  • Konfigurieren Sie die Routing-Tabelle so, dass sie eine Route für den Application Load Balancer für den Zugriff auf die IDP-Endpunkte enthält.
    Konfigurieren Sie für öffentliche Application Load Balancer und öffentliche Endpunkte eine Internet-Gateway-Route für die Routing-Tabelle.
    Konfigurieren Sie für private Application Load Balancers und private Endpunkte ein Network Address Translation (NAT)-Gateway für die Routing-Tabelle. Konfigurieren Sie alternativ eine NAT-Instance-Route für den IDP.
    Für andere Szenarien konfigurieren Sie die Routing-Tabellen der Application-Load-Balancer-Subnetze mit einem entsprechenden Routeneintrag, um die Konnektivität zu den IDP-Endpunkten weiterzuleiten.
  • Wählen Sie einen gültigen OAuth2-Grant-Typ aus. Application Load Balancers unterstützen die Vergabe eines Autorisierungscodes, um ein Zugriffstoken zu erhalten. Wenn am IDP ein falscher Grant konfiguriert ist, generiert der Application Load Balancer einen Fehler.

Zusätzliche HTTP-Fehlercodes

Informationen zur Behebung zusätzlicher HTTP-Fehlercodes, die von Application Load Balancers generiert werden, finden Sie unter Der Load Balancer generiert einen HTTP-Fehler.

Ähnliche Informationen

Vereinfachen der Anmeldung mit der integrierten Application-Load-Balancer-Authentifizierung

Authentifizieren von Benutzern mithilfe eines Application Load Balancers

Konfiguration eines Benutzerpool-App-Clients

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 10 Monaten