Como soluciono problemas de autenticação no meu Application Load Balancer?
Recebo um erro ao configurar a autenticação no meu Application Load Balancer.
Resolução
Configurações incorretas com o provedor de identidades (IdP) ou o Application Load Balancer podem causar erros ao configurar a autenticação para o Application Load Balancer. Para solucionar erros de autenticação, conclua as tarefas a seguir.
redirect_mismatch
Se você usar o Amazon Cognito, defina o URL de retorno de chamada como https://<domain>/oauth2/idpresponse. Se você usar um IdP diferente, defina o URI de redirecionamento como https://<domain>/oauth2/idpresponse.
Observação: substitua <domain> com o domínio usado para acessar o Application Load Balancer.
HTTP 401: Não autorizado
Para resolver o erro HTTP 401: Erros não autorizados, atualize as seguintes configurações para que todas correspondam ao seu Application Load Balancer e IdP:
- Emissor
- Endpoint de autorização
- Endpoint do token
- ID do cliente/segredo do cliente
Além disso, defina Action on unauthenticated request (Ação na solicitação não autenticada) como Allow (Permitir) ou Authenticate (client reattempt) (Autenticar (nova tentativa do cliente)), com base no seu caso de uso.
HTTP 500: Erro Interno do Servidor
O balanceador de carga deve ser capaz de se comunicar com o endpoint do token IdP (TokenEndpoint) e com o endpoint de informações do usuário do IdP (UserInfoEndpoint). Os Application Load Balancers suportam somente IPv4 quando os balanceadores de carga se comunicam com esses endpoints.
Para resolver o erro HTTP 500: Erro interno do servidor, conclua as seguintes tarefas:
- Verifique se o nome do DNS do endpoint do IdP pode ser resolvido publicamente. O atributo de autenticação não pode resolver nomes de domínio privados.
- Adicione uma regra de saída ao grupo de segurança do balanceador de carga que permita o tráfego para os endpoints do IdP pela porta HTTPS 443.
- Certifique-se de que a ACL da sub-rede do balanceador de carga permita tráfego de e para os endpoints do IdP:
Para regras de saída, você deve definir a especificação do IP de destino (endpoints de IdP) e da porta TCP de destino 443 como Permitir.
Para regras de entrada, você deve definir o IP de origem (endpoints de IdP) e o intervalo de portas TCP de destino 1024-65535 como Permitir. - Configure as tabelas de rotas da sub-rede do balanceador de carga para alcançar os endpoints do IdP:
Para balanceadores de carga voltados para a Internet, configure uma rota padrão do gateway da internet para alcançar os endpoints públicos de IdP.
Para balanceadores de carga internos ou balanceadores com um endereço IP dualstack-without-public-ipv4, configure um gateway NAT ou uma rota padrão da instância para alcançar endpoints de IdP públicos.
Para todas as outras topologias de rede, você deve ter roteamento suficiente de ponta a ponta para alcançar os endpoints do IdP. - Selecione um tipo de concessão OAuth2 válido. Os Application Load Balancers suportam a Concessão do código de autorização para obter um token de acesso. Se uma concessão incorreta for configurada no IdP, o Application Load Balancer gerará um erro.
- Certifique-se de que o token IdP ou o endpoint de informações do usuário respondam em 5 segundos.
Códigos de erro HTTP adicionais
Para solucionar problemas de códigos de erro HTTP adicionais gerados por Application Load Balancers, consulte O balanceador de carga gera um erro HTTP.
Informações relacionadas
Simplifique o logon com a autenticação integrada do Application Load Balancer
Autenticar usuários usando um Application Load Balancer
Configurações específicas da aplicação com clientes de aplicações
Conteúdo relevante
- AWS OFICIALAtualizada há 3 meses
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há 2 anos