如何排查在我的应用程序负载均衡器中配置身份验证时出现的问题？

1 分钟阅读

我在应用程序负载均衡器中配置身份验证时收到错误。

解决方法

在为应用程序负载均衡器配置身份验证时，身份提供者 (IdP, Identity Provider) 或应用程序负载均衡器配置错误可能会导致错误。请按照下面的步骤来排查身份验证错误。

如果您使用 Amazon Cognito，请将回拨 URL 设置为 https://<domain>/oauth2/idpresponse。如果您使用不同的 IdP，请将重定向 URI 设置为 https://<domain>/oauth2/idpresponse。

**注意：**请将 <domain> 替换为用于访问应用程序负载均衡器的域。

在应用程序负载均衡器和 IdP 上以相同方式配置以下内容：

此外，根据您的用例，将对未经身份验证的请求执行操作设置为允许或验证（客户端再次尝试）。

如果您收到“HTTP 500：内部服务器错误”错误，请完成以下步骤：

添加出站规则，允许流量通过 HTTPS（端口 443）流向 IdP 端点。
在每个应用程序负载均衡器子网上配置网络访问控制列表规则，以允许进出 IdP 端点的流量。
对于出口规则，请指定： 目标 IP - 身份提供者，目标端口 - 443 允许。
对于入口规则，请指定： 源 IP - 身份提供者，目标端口 1024-65535 允许。
将路由表配置为包括应用程序负载均衡器用于访问 IdP 端点的路由。
对于公共应用程序负载均衡器和公共端点，请为路由表配置互联网网关路由。
对于私有应用程序负载均衡器和私有端点，请为路由表配置网络地址转换 (NAT, Network Address Translation) 网关。或者，为 IdP 配置 NAT 实例路由。
对于其他场景，请使用适当的路由条目配置应用程序负载均衡器子网的路由表，以将连接路由到 IdP 端点。
选择有效的 OAuth2 授权类型。应用程序负载均衡器支持授权码授予，以获取访问令牌。如果在 IdP 配置了错误的授权，则应用程序负载均衡器会生成错误。

要排查应用程序负载均衡器生成的其他 HTTP 错误代码，请参阅负载均衡器生成 HTTP 错误。