Wie behebe ich Authentifizierungsprobleme in meinem Application Load Balancer?
Ich erhalte eine Fehlermeldung, wenn ich die Authentifizierung in meinem Application Load Balancer konfiguriere.
Lösung
Fehlkonfigurationen des Identitätsanbieters (IDP) oder des Application Load Balancer können zu Fehlern führen, wenn Sie die Authentifizierung für den Application Load Balancer konfigurieren. Führen Sie die folgenden Aufgaben aus, um Authentifizierungsfehler zu beheben.
redirect_mismatch
Wenn Sie Amazon Cognito verwenden, setzen Sie die Rückruf-URL auf https://<domain>/oauth2/idpresponse. Wenn Sie einen anderen IDP verwenden, setzen Sie die Umleitungs-URI auf https://<domain>/oauth2/idpresponse.
Hinweis: Ersetzen Sie <domain> mit der Domain, die für den Zugriff auf den Application Load Balancer verwendet wird.
HTTP 401: Unauthorized
So beheben Sie HTTP 401: Unauthorized-Fehler. Aktualisieren Sie die folgenden Konfigurationen, sodass alle auf Ihrem Application Load Balancer und bei Ihrem IDP übereinstimmen:
- Aussteller
- Autorisierungsendpunkt
- Token-Endpunkt
- Client-ID/Client-Secret
Setzen Sie außerdem Aktion bei nicht authentifizierter Anforderung je nach Anwendungsfall entweder auf Zulassen oder Authentifizieren (Client-Neuversuch).
HTTP 500: Internal Server Error
Der Load Balancer muss in der Lage sein, mit dem IDP-Token-Endpunkt (TokenEndpoint) und dem IDP-Benutzerinfo-Endpunkt (UserInfoEndpoint) zu kommunizieren. Application Load Balancer unterstützen nur IPv4, wenn die Load Balancer mit diesen Endpunkten kommunizieren.
So beheben Sie HTTP 500: Internal Server Error-Fehler. Führen Sie die folgenden Aufgaben aus:
- Stellen Sie sicher, dass der DNS-Name des IDP-Endpunkts öffentlich lösbar ist. Die Authentifizierungsfunktion kann private Domainnamen nicht lösen.
- Fügen Sie der Load Balancer-Sicherheitsgruppe eine ausgehende Regel hinzu, die den Datenverkehr zu den IDP-Endpunkten über den HTTPS-Port 443 zulässt.
- Stellen Sie sicher, dass die Load Balancer-Subnetz-ACL den Verkehr zu und von den IDP-Endpunkten zulässt:
Für Ausgangsregeln müssen Sie die Ziel-IP (IDP-Endpunkte) und den Ziel-TCP-Port 443 auf Zulassen festlegen.
Für Regeln für eingehenden Datenverkehr müssen Sie die Quell-IP (IDP-Endpunkte) und den Ziel-TCP-Portbereich 1024-65535 auf Zulassen setzen. - Konfigurieren Sie die Load Balancer-Subnetz-Routing-Tabellen so, dass sie die IDP-Endpunkte erreichen:
Konfigurieren Sie für Load Balancer mit Internetzugriff Internet-Gateway-Standardrouting, um die öffentlichen IDP-Endpunkte zu erreichen.
Für interne Load Balancer oder Balancer mit einer IP-Adresse dualstack-without-public-ipv4 konfigurieren Sie ein NAT-Gateway- oder ein Instance-Standardrouting, um öffentliche IDP-Endpunkte zu erreichen.
Für alle anderen Netzwerktopologien müssen Sie über ein ausreichendes Ende-zu-Ende-Routing verfügen, um die IDP-Endpunkte zu erreichen. - Wählen Sie einen gültigen OAuth2-Gewährungstyp aus. Application Load Balancers unterstützen die Vergabe eines Autorisierungscodes, um ein Zugriffstoken zu erhalten. Wenn am IDP eine falsche Gewährung konfiguriert ist, generiert der Application Load Balancer einen Fehler.
- Stellen Sie sicher, dass das IDP-Token oder der Endpunkt für Benutzerinformationen innerhalb von 5 Sekunden reagiert.
Zusätzliche HTTP-Fehlercodes
Informationen zur Behebung zusätzlicher HTTP-Fehlercodes, die von Application Load Balancern generiert werden, finden Sie unter Der Load Balancer generiert einen HTTP-Fehler.
Ähnliche Informationen
Vereinfachen der Anmeldung mit der integrierten Application-Load-Balancer-Authentifizierung
Authentifizieren von Benutzern mithilfe eines Application Load Balancer
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 9 Monaten