Come posso risolvere gli errori MFA nel mio pool di utenti Amazon Cognito?

6 minuti di lettura
0

Ho degli errori di autenticazione a più fattori (MFA) che devo risolvere nel mio pool di utenti Amazon Cognito.

Breve descrizione

Quando configuri l'autenticazione a più fattori per il tuo pool di utenti Amazon Cognito, potresti riscontrare diversi tipi di errori. Se configuri i messaggi SMS (Short Message Service) per l’autenticazione a più fattori, consulta le seguenti sezioni: Prima di configurare gli SMS per gli errori MFA e SMS MFA. Se configuri password monouso (TOTP) temporizzate per l'autenticazione a più fattori, consulta le seguenti sezioni: Prima di configurare TOTP per l’autenticazione a più fattori ** e per gli ** errori TOTP MFA.

Risoluzione

Prima di configurare gli SMS per l'autenticazione a più fattori

Prima di configurare gli SMS come fattore MFA, è necessario eseguire ulteriori passaggi per inviare messaggi SMS per la prima volta. Per ulteriori informazioni, vedi Configurare la messaggistica SMS per la prima volta nei pool di utenti Amazon Cognito.

Quando attivi l'autenticazione a più fattori e scegli SMS come secondo fattore, Amazon Cognito può inviare messaggi SMS a numeri di telefono non verificati. Dopo che gli utenti hanno completato la verifica MFA tramite SMS, Amazon Cognito imposta l'attributo phone\ _number\ _verified su** true**.

Errori SMS MFA

Eccezione SMSRoleAccessPolicy non valida

Il ruolo AWS Identity and Access Management (IAM) per la configurazione del SMS non dispone dell'autorizzazione a utilizzare Amazon Simple Notification Service (Amazon SNS) per la pubblicazione.

Per risolvere questo errore, assicurati di allegare l'autorizzazione** SNS:Publish** al ruolo IAM. Inoltre, assicurati che le policy di controllo dei servizi (SCP) non blocchino l'azione** SNS:Publish**.

Eccezione SmsRoleTrustRelationship non valida

Questo errore si verifica quando il ruolo IAM non ha una rapporto valido di fiducia che consenta ad Amazon Cognito di assumere il ruolo. Ciò accade quando** cognito-idp.amazonaws.com** non è affidabile o l'ID esterno nella politica dei ruoli non corrisponde a quello contenuto nella configurazione SMS del pool di utenti.

Per risolvere questo errore, assicurati di aver configurato correttamente la politica di attendibilità per il ruolo IAM. Per ulteriori informazioni, vedi Configurare la messaggistica SMS per la prima volta nei pool di utenti Amazon Cognito.

Eccezione di parametro non valido

Questo errore si verifica quando Amazon Cognito rileva un parametro non valido.

Per risolvere questo errore, occorre assicurarsi che tutti i valori richiesti vengano passati al parametroSMSMfaConfig dell’API SetUserPoolMFAConfig quando si configura SMS per MFA.

Prima di configurare TOTP per MFA

Quando si configura il token software TOTP MFA nel proprio pool di utenti Amazon Cognito, occorre aggiungere MFA al pool di utenti prima di configurare il token TOTP.

A meno che un utente non sia già autenticato, non puoi associare dei token TOTP a un utente finché l'utente non tenta di accedere alla tua applicazione.

L'autenticazione a più fattori non supporta gli utenti federati in un pool di utenti.

Errori TOTP MFA

Eccezione non autorizzata: Il token di accesso non ha gli ambiti richiesti

Questo errore si verifica quando il token di accesso non include l'ambito** aws.cognito.signin.user.admin** richiesto. L'ambito** aws.cognito.signin.user.admin** è obbligatorio quando si richiama l'API AssociateSoftwareToken. Quando un utente accede con l'API InitiateAuth, l'ambito è automaticamente presente nel token di accesso. Tuttavia, quando un utente utilizza un'interfaccia utente in hosting per accedere, assicurati che l'ambito** aws.cognito.signin.user.admin** sia presente nel token di accesso.

Eccezione non autorizzata: Sessione non valida per l'utente, la sessione può essere utilizzata una sola volta

Questo errore si verifica quando un utente utilizza la stessa sessione più di una volta. Se un utente riceve questo errore durante un flusso, l'applicazione deve riavviare il flusso dall'inizio. Se l'utente utilizza una stringa di sessione quando chiama un'API, non può riutilizzare la sessione.

Eccezione non autorizzata: Sessione non valida per l'utente, sessione scaduta

Questo errore si verifica quando scade il tempo di validità della sessione. Il tempo di validità della sessione è di 3 minuti per impostazione predefinita. Per risolvere questo errore, modifica l'impostazione della durata della sessione del flusso di autenticazione del client dell'app per aumentare il tempo di validità della sessione a 15 minuti.

Eccezione CodeMismatch: Codice o stato di autenticazione non validi per l'utente

Questo errore si verifica quando il codice TOTP dell'utente non è valido o lo stato di un utente non è compatibile con la chiamata all'API. Ad esempio, se un utente chiama l'API RespondToAuthChallenge con una richiesta denominata** MFA\ _SETUP**, ma non hai configurato TOTP MFA, si verifica l'errore** CodeMismatchException**. Per risolvere questo errore, assicurati che le chiamate API vengano eseguite nella sequenza corretta quando configuri l'autenticazione a più fattori.

Questo errore si verifica anche quando il codice TOTP dell'utente è troppo vecchio per essere accettato da Amazon Cognito. Per risolvere questo errore, assicurati che i dispositivi degli utenti siano sincronizzati con l'ora effettiva.

Eccezione di parametro non valido: L'utente non ha impostato la configurazione di consegna per attivare SOFTWARE\ _TOKEN\ _MFA

Questo errore si verifica quando non hai configurato TOTP MFA e chiami le API per provare a far rispettare l'MFA TOTP. Per risolvere questo errore, prima di applicare TOTP agli utenti che utilizzano l'API SetUserMFAReference o l’API AdminSetUserMFAReference, configura TOTP MFA per gli utenti.

Eccezione non autorizzata: Sessione non valida per l'utente

Questo errore si verifica quando un utente chiama un'API e fornisce una stringa di sessione che non è la stringa di sessione prevista. Questo errore si verifica anche quando gli utenti non effettuano chiamate API nella sequenza corretta. Per risolvere questo errore, configura le chiamate API nell'ordine appropriato. Ad esempio, per ricevere la stringa di sessione nella risposta, l'utente chiama prima l’API InitiateAuth. Per evitare un errore, verifica che la prossima chiamata API utilizzi la stringa di sessione restituita nel parametro di richiesta.

Eccezione EnableSoftwareTokenMFA: Mancata corrispondenza del codice

Questo errore si verifica quando un utente non fornisce il codice TOTP previsto da Amazon Cognito durante la configurazione TOTP MFA. Per risolvere questo errore, trova il codice segreto fornito da Amazon Cognito nell'API AssociateSoftwareToken e salvalo nell'applicazione di autenticazione. L'utente deve inoltre fornire un codice TOTP aggiornato dall'applicazione di autenticazione.

Eccezione SoftwareTokenMFANotFound: Il token software MFA non è stato abilitato dal pool di utenti

Questo errore si verifica quando non hai attivato TOTP MFA per il tuo pool di utenti. Per risolvere questo errore, configura TOTP MFA prima di provare a applicarlo in Amazon Cognito.

Informazioni correlate

Aggiungere MFA a un pool di utenti

SMS messaggio di testo MFA

Configurazione dell'MFA per un utente nell'API nativa di Amazon Cognito

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa