Como soluciono problemas de configuração da autenticação no meu Application Load Balancer?

3 minuto de leitura
0

Recebo um erro ao configurar a autenticação no meu Application Load Balancer.

Resolução

Configurações incorretas com o provedor de identidade (IdP) ou o Application Load Balancer podem causar erros ao configurar a autenticação para o Application Load Balancer. Siga essas etapas para solucionar erros de autenticação.

redirect_mismatch

Se você estiver usando o Amazon Cognito, defina o URL de retorno de chamada como https://<domain>/oauth2/idpresponse. Se você estiver usando um IdP diferente, defina o URI de redirecionamento como https://<domain>/oauth2/idpresponse.

Observação: substitua <domain> com o domínio usado para acessar o Application Load Balancer.

HTTP 401: Não autorizado

Configure o seguinte de forma idêntica em seu Application Load Balancer e IdP:

  • Emissor
  • Endpoint de autorização
  • Endpoint do token
  • ID do cliente/segredo do cliente

Além disso, defina Action on unauthenticated request (Ação na solicitação não autenticada) como Allow (Permitir) ou Authenticate (client reattempt) (Autenticar (nova tentativa do cliente)), com base no seu caso de uso.

HTTP 500: Erro Interno do Servidor

Conclua as etapas a seguir se você receber um erro “HTTP 500: Erro Interno do Servidor”:

  • Adicione uma regra de saída para permitir o tráfego para os endpoints do IdP por HTTPS (porta 443).
  • Configure as regras da lista de controle de acesso à rede em cada sub-rede do Application Load Balancer para permitir o tráfego de e para os endpoints do IdP.
    Para regras de saída, especifique: IP de destino - provedor de identidade, porta de destino -443 Permitir.
    Para regras de entrada, especifique: IP de origem - Provedor de identidade, Permitir porta de destino 1024-65535.
  • Configure a tabela de rotas para incluir uma rota para que o Application Load Balancer acesse os endpoints do IdP.
    Para Application Load Balancers públicos e endpoints públicos, configure uma rota de gateway da Internet para a tabela de rotas.
    Para Application Load Balancers privados e endpoints privados, configure um gateway de conversão de endereços de rede (NAT) para a tabela de rotas. Ou configure uma rota de instância NAT para o IdP.
    Para outros cenários, configure as tabelas de rotas das sub-redes do Application Load Balancer com a entrada de rota apropriada para rotear a conectividade aos endpoints do IdP.
  • Selecione um tipo de concessão OAuth2 válido. Os Application Load Balancers suportam a Concessão do código de autorização para obter um token de acesso. Se uma concessão incorreta for configurada no IdP, o Application Load Balancer gerará um erro.

Códigos de erro HTTP adicionais

Para solucionar problemas de códigos de erro HTTP adicionais gerados por Application Load Balancers, consulte O balanceador de carga gera um erro HTTP.

Informações relacionadas

Simplifique o logon com a autenticação integrada do Application Load Balancer

Autenticar usuários usando um Application Load Balancer

Configurando um cliente de aplicação de pool de usuários

AWS OFICIAL
AWS OFICIALAtualizada há um ano