Ricevo un errore quando configuro l'autenticazione nel mio Application Load Balancer.
Risoluzione
Le configurazioni errate del gestore dell'identità digitale o dell'Application Load Balancer possono causare errori durante la configurazione dell'autenticazione per l'Application Load Balancer. Per risolvere gli errori di autenticazione, completa le attività seguenti.
redirect_mismatch
Se usi Amazon Cognito, imposta l'URL di callback su https://<domain>/oauth2/idpresponse. Se usi un IdP diverso, imposta l'URI di reindirizzamento su https://<domain>/oauth2/idpresponse.
Nota: sostituisci <domain> con il dominio utilizzato per accedere all'Application Load Balancer.
HTTP 401: Unauthorized
Per risolvere gli errori HTTP 401: Unauthorized, aggiorna le configurazioni seguenti su tutte le corrispondenze nell'Application Load Balancer e nell'IdP:
- Emittente
- Endpoint di autorizzazione
- Endpoint token
- ID client/Segreto del client
Inoltre, imposta Operazione su richiesta non autenticata su Abilita o Autentica (nuovo tentativo del client), in base al tuo caso d'uso.
HTTP 500: Internal Server Error
Il bilanciatore del carico deve essere in grado di comunicare con l'endpoint del token dell'IdP (TokenEndpoint) e con l'endpoint delle informazioni utente dell'IdP (UserInfoEndpoint). Gli Application Load Balancer supportano solo IPv4 quando comunicano con questi endpoint.
Per risolvere gli errori HTTP 500: Internal Server Error, completa le attività seguenti:
- Verifica che il nome DNS dell'endpoint IdP sia risolvibile pubblicamente. La funzione di autenticazione non può risolvere i nomi di dominio privati.
- Aggiungi al gruppo di sicurezza del bilanciatore del carico una regola in uscita che consenta il traffico verso gli endpoint IdP tramite la porta HTTPS 443.
- Assicurati che l'ACL della sottorete del bilanciatore del carico consenta il traffico da e verso gli endpoint IdP:
Per le regole in uscita, devi impostare la porta 443 dell'IP di destinazione (endpoint IdP) e del TCP di destinazione su Abilita.
Per le regole in ingresso, devi impostare l'intervallo di porte 1024-65535 dell'IP di origine (endpoint IdP) e del TCP di destinazione su Abilita.
- Configura le tabelle di routing della sottorete del bilanciatore del carico per raggiungere gli endpoint IdP:
Per i bilanciatori del carico con connessione Internet, configura una route predefinita del gateway Internet per raggiungere gli endpoint IdP pubblici.
Per i bilanciatori del carico interni o con un indirizzo IP dualstack-without-public-ipv4, configura una route predefinita del gateway NAT o dell'istanza per raggiungere gli endpoint IdP pubblici.
Per tutte le altre topologie di rete, devi avere predisposto un routing sufficiente end-to-end per raggiungere gli endpoint IdP.
- Seleziona un tipo di concessione OAuth2 valido. Gli Application Load Balancer supportano la concessione del codice di autorizzazione per ottenere un token di accesso. Se viene configurata una concessione errata nell'IdP, l'Application Load Balancer genererà un errore.
- Assicurati che l'endpoint del token o delle informazioni utente dell'IdP risponda entro 5 secondi.
Codici di errore HTTP aggiuntivi
Per la risoluzione dei codici di errore HTTP aggiuntivi generati dagli Application Load Balancer, consulta The load balancer generates an HTTP error.
Informazioni correlate
Semplifica l'accesso con l'autenticazione integrata di Application Load Balancer
Authenticate users using an Application Load Balancer
Application-specific settings with app clients