¿Cómo soluciono los problemas de autenticación en mi equilibrador de carga de aplicación?

4 minutos de lectura
0

Recibo un error al configurar la autenticación en mi equilibrador de carga de aplicación.

Resolución

Los errores al configurar la autenticación del equilibrador de carga de aplicación pueden deberse a una configuración incorrecta con el proveedor de identidades (IdP) o el equilibrador de carga de aplicación. Para solucionar los errores de autenticación, complete las siguientes tareas.

redirect_mismatch

Si utiliza Amazon Cognito, establezca la URL de devolución de llamada en https://<domain>/oauth2/idpresponse. Si utiliza un IdP diferente, establezca la URI de redireccionamiento en https://<domain>/oauth2/idpresponse.
Nota: Sustituya <domain> por el dominio utilizado para acceder al equilibrador de carga de aplicación.

HTTP 401: Unauthorized

Para resolver errores de tipo HTTP 401: Unauthorized, actualice las siguientes configuraciones para que coincidan con su IdP y el equilibrador de carga de aplicación:

  • Emisor
  • Punto de enlace de autorización
  • Punto de enlace de token
  • ID de cliente/Secreto de cliente

Además, defina Acción en solicitud sin autenticar en Permitir o Autenticar (reintento del cliente), según su caso de uso.

HTTP 500: Internal Server Error

El equilibrador de carga debe ser capaz de comunicarse con el punto de enlace del token de IdP (TokenEndpoint) y el punto de enlace de la información de usuario de IdP (UserInfoEndpoint). Los equilibradores de carga de aplicación solo admiten IPv4 cuando los equilibradores de carga se comunican con estos puntos de enlace.

Para resolver errores de tipo HTTP 500: Internal Server Error, complete las siguientes tareas:

  • Compruebe que el nombre DNS del punto de enlace del IdP se pueda resolver públicamente. La característica de autenticación no puede resolver los nombres de dominio privados.
  • Añada una regla de salida al grupo de seguridad del equilibrador de carga que permita el tráfico a los puntos de enlace del IdP a través del puerto HTTPS 443.
  • Asegúrese de que la ACL de subred del equilibrador de carga permita el tráfico hacia y desde los puntos de enlace del IdP:
    Para las reglas de salida, debe configurar la especificación de la IP de destino (puntos de enlace del IdP) y del puerto TCP de destino 443 en Permitir.
    Para las reglas de entrada, debe establecer la IP de origen (puntos finales de ** IdP**) y el rango de puertos TCP de destino 1024-65535 en Permitir.
  • Configure las tablas de enrutamiento de subred del equilibrador de carga para llegar a los puntos de enlace del IdP:
    En el caso de que haya equilibrador de carga conectados a Internet, configure una ruta predeterminada de la puerta de enlace de Internet para conectar con los puntos de enlace públicos del IdP.
    En el caso de los equilibradores de carga internos o los equilibradores con una dirección IP de tipo dualstack-without-public-ipv4, configure una puerta de enlace NAT o una ruta predeterminada de la instancia para conectar con los puntos de enlace de IdP públicos.
    Para el resto de topologías de red, debe tener suficiente enrutamiento de extremo a extremo para llegar a los puntos de enlace del IdP.
  • Seleccione un tipo de concesión de OAuth2 válido. Los equilibradores de carga de aplicación admiten la concesión de códigos de autorización para obtener un token de acceso. Si se configura una concesión incorrecta en el IdP, el equilibrador de carga de aplicación genera un error.
  • Asegúrese de que el token del IdP o el punto de enlace de información de usuario respondan en un plazo de 5 segundos.

Otros códigos de error HTTP

Para solucionar otros códigos de error HTTP adicionales que hayan generado los equilibradores de carga de aplicación, consulte El equilibrador de carga genera un error HTTP.

Información relacionada

Simplify login with Application Load Balancer built-in authentication

Autenticación de usuarios mediante un equilibrador de carga de aplicación

Ajustes específicos de la aplicación con clientes de aplicaciones

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 3 meses