Comment résoudre les problèmes de configuration de l’authentification dans mon Application Load Balancer ?

Lecture de 3 minute(s)
0

Je reçois un message d’erreur lorsque je configure l’authentification dans mon Application Load Balancer.

Résolution

Des erreurs de configuration liées au fournisseur d’identité (IdP) ou à l’Application Load Balancer peuvent provoquer des erreurs lors de la configuration de l’authentification pour l’Application Load Balancer. Procédez comme suit pour résoudre les erreurs d’authentification.

redirect_mismatch

Si vous utilisez Amazon Cognito, définissez l’URL de rappel sur https ://<domain>/oauth2/idpresponse. Si vous utilisez un autre IdP, définissez l’URI de redirection sur https ://<domain>/oauth2/idpresponse.

Remarque : remplacez <domain> par le domaine utilisé pour accéder à l’Application Load Balancer.

HTTP 401 : Non autorisé

Configurez les éléments suivants de manière identique sur votre Application Load Balancer et votre IdP :

  • Émetteur
  • Point de terminaison d’autorisation
  • Point de terminaison du jeton
  • ID du client/Secret du client

Définissez également l’option Action sur une demande non authentifiée sur Autoriser ou Authentifier (nouvelle tentative du client), en fonction de votre cas d’utilisation.

HTTP 500 : Erreur interne du serveur

Procédez comme suit si vous recevez une erreur « HTTP 500 : Erreur interne du serveur » :

  • Ajoutez une règle sortante pour autoriser le trafic vers les points de terminaison IdP via HTTPS (port 443).
  • Configurez les règles de la liste de contrôle d’accès réseau sur chaque sous-réseau Application Load Balancer pour autoriser le trafic à destination et en provenance des points de terminaison IdP.
    Pour les règles de sortie, spécifiez : IP de destination - Fournisseur d’identité, Port de destination 443 Autoriser.
    Pour les règles d’entrée, spécifiez : IP source - Fournisseur d’identité, Port de destination 1024-65535 Autoriser.
  • Configurez la table de routage pour inclure une route permettant à l’Application Load Balancer d’accéder aux points de terminaison IdP.
    Pour les Application Load Balancers et les points de terminaison publics, configurez une route de passerelle Internet pour la table de routage.
    Pour les Application Load Balancers et les points de terminaison privés, configurez une passerelle de traduction d’adresses réseau (NAT) pour la table de routage. Vous pouvez également configurer une route d’instance NAT pour l’IdP.
    Dans les autres cas, configurez les tables de routage des sous-réseaux Application Load Balancer avec une entrée de route appropriée pour acheminer la connectivité vers les points de terminaison de l’IdP.
  • Sélectionnez un type de licence OAuth2 valide. Les Application Load Balancers prennent en charge l’octroi de code d’autorisation pour obtenir un jeton d’accès. Si un octroi incorrect est configuré sur l’IdP, l’Application Load Balancer génère une erreur.

Codes d’erreur HTTP supplémentaires

Pour résoudre les problèmes liés à d’autres codes d’erreur HTTP générés par les Application Load Balancers, consultez la page L’équilibreur de charge génère une erreur HTTP.

Informations connexes

Simplifier la connexion grâce à l’authentification intégrée de l’Application Load Balancer

Authentifier les utilisateurs à l’aide d’un Application Load Balancer

Configuration d’un client d’application pour groupe d’utilisateurs

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 9 mois