Application Load Balancer での認証の設定に関する問題のトラブルシューティング方法を教えてください。

解決方法

Application Load Balancer で認証機能を設定するときに、ID プロバイダー (IdP) または Application Load Balancer の設定ミスが原因でエラーが発生することがあります。以下のステップに従って、これらの一般的な認証問題のトラブルシューティングと解決を行います。

redirect_mismatch

コールバック URL(Amazon Cognito) または リダイレクト URI（他の IdP）が、 https://<domain used to access Application Load Balancer>/oauth2/idpresponse に設定されていることを確認します。

HTTP 401: Unauthorized

• Application Load Balancer と IdP で次の値が同一に設定されていることを確認します。
  発行者
  認証エンドポイント
  トークンエンドポイント
  クライアント ID/ クライアントシークレット
• ユースケースに応じて、 Action on unauthenticated requestを [Allow] または Authenticate(client reattempt) に設定していることを確認します。

HTTP 500: 内部サーバーエラー

• HTTPS（ポート 443）経由で IdP エンドポイントへのトラフィックを許可するアウトバウンドルールを追加します。
• 各 Application Load Balancer サブネットのネットワークアクセスコントロールリストのルールで、IdP エンドポイントとの間のトラフィックが許可されていることを確認します。egress ルールの場合は、 **[Destination IP-Identity provider]、[Destination port-443 Allow]**を指定します。進入ルールの場合は、 **[Source IP-Identity provider]、[Destination port 1024-65535 Allow]**を指定します。
• ルートテーブルに Application Load Balancer が IdP エンドポイントにアクセスするためのルートが含まれていることを確認します。パブリック Application Load Balancer とパブリックエンドポイントの場合、ルートテーブルにインターネットゲートウェイのルートがあることを確認します。プライベート Application Load Balancer とプライベートエンドポイントの場合、ルートテーブルに IdP のネットワークアドレス変換 (NAT) ゲートウェイまたは NAT インスタンスルートがあることを確認します。その他のシナリオでは、Application Load Balancer サブネットのルートテーブルに、IdP エンドポイントへの接続をルーティングするための適切なルートエントリがあることを確認します。
• 有効な OAuth2 Grant タイプが選択されていることを確認します。Application Load Balancer は、アクセストークンを取得するための 認証コード付与をサポートしています。IdP で正しくない許可が設定されている場合、Application Load Balancer はエラーを生成します。

追加の HTTP エラーコード

Application Load Balancer によって生成された追加の HTTP エラーコードを解決するには、これらの手順を確認します 。

---

関連情報

Application Load Balancer の組み込み認証を使用したログインの簡素化

Application Load Balancer を使用したユーザーの認証

アプリクライアント設定の構成