Comment puis-je résoudre les problèmes d'authentification dans mon Application Load Balancer ?

Résolution

Des erreurs de configuration liées au fournisseur d’identité (IdP) ou à l’Application Load Balancer peuvent provoquer des erreurs lorsque vous configurez l’authentification pour l’Application Load Balancer. Pour résoudre les erreurs d'authentification, effectuez les tâches suivantes.

redirect_mismatch

Si vous utilisez Amazon Cognito, définissez l’URL de rappel sur https://<domain>/oauth2/idpresponse. Si vous utilisez un autre IdP, définissez l’URI de redirection sur https ://<domain>/oauth2/idpresponse.
Remarque : remplacez <domain> par le domaine utilisé pour accéder à l’Application Load Balancer.

HTTP 401 : Unauthorized

Pour résoudre les erreurs HTTP 401: Unauthorized, mettez à jour les configurations suivantes afin qu'elles correspondent à votre Application Load Balancer et votre IdP :

• Émetteur
• Point de terminaison d’autorisation
• Point de terminaison de jeton
• ID de client/Secret client

Définissez également l’option Action sur une requête non authentifiée sur Autoriser ou sur Authentifier (nouvelle tentative du client), en fonction de votre cas d’utilisation.

HTTP 500 : Internal Server Error

L'équilibreur de charge doit être capable de communiquer avec le point de terminaison de jeton IdP (TokenEndpoint) et le point de terminaison des informations utilisateur IdP (UserInfoEndpoint). Les Application Load Balancers ne prennent en charge que le protocole IPv4 lorsque les équilibreurs de charge communiquent avec ces points de terminaison.

Pour résoudre les erreurs HTTP 500: Internal Server Error, effectuez les tâches suivantes :

• Vérifiez que le nom DNS du point de terminaison IdP peut être résolu publiquement. La fonction d'authentification ne permet pas de résoudre les noms de domaine privés.
• Ajoutez une règle sortante au groupe de sécurité de l'équilibreur de charge qui autorise le trafic vers les points de terminaison IdP via le port HTTPS 443.
• Assurez-vous que l'ACL du sous-réseau de l'équilibreur de charge autorise le trafic à destination et en provenance des points de terminaison IdP :
  Pour les règles de sortie, vous devez définir l'adresse IP de destination (points de terminaison IdP) et le port TCP de destination 443 sur Autoriser.
  Pour les règles d'entrée, vous devez définir l'adresse IP source (points de terminaison IdP) et la plage de ports TCP de destination 1024 à 65535 sur Autoriser.
• Configurez les tables de routage des sous-réseaux de l'équilibreur de charge pour atteindre les points de terminaison IdP :
  Pour les équilibreurs de charge exposés à Internet, configurez un itinéraire par défaut de passerelle Internet pour atteindre les points de terminaison IdP publics.
  Pour les équilibreurs de charge internes ou les équilibreurs dotés d'une adresse IP dualstack-without-public-ipv4, configurez une passerelle NAT ou un itinéraire d’instance par défaut pour atteindre les points de terminaison IdP publics.
  Pour toutes les autres topologies de réseau, vous devez disposer d'un routage suffisant de bout en bout pour atteindre les points de terminaison IdP.
• Sélectionnez un type d’octroi OAuth2 valide. Les Application Load Balancers prennent en charge l’octroi de code d’autorisation pour obtenir un jeton d’accès. Si un octroi incorrect est configuré sur l’IdP, l’Application Load Balancer génère une erreur.
• Assurez-vous que le jeton IdP ou le point de terminaison des informations utilisateur répondent dans les 5 secondes.

Codes d’erreur HTTP supplémentaires

Pour résoudre les problèmes liés à d’autres codes d’erreur HTTP générés par les Application Load Balancers, consultez la page L’équilibreur de charge génère une erreur HTTP.

Informations connexes

Simplifier la connexion grâce à l’authentification intégrée de l’Application Load Balancer

Authentifier les utilisateurs à l’aide d’un Application Load Balancer

Paramètres spécifiques à l'application avec les clients d’application