Comment résoudre les problèmes de configuration de l'authentification dans mon équilibreur de charge d'application ?

Date de la dernière mise à jour : 22/10/2019

Je reçois une erreur lorsque j'essaie de configurer l'authentification dans mon équilibreur de charge d'application. Comment résoudre ces problèmes d'authentification ?

Solution

Lors de la configuration de la fonction d'authentification dans votre équilibreur de charge d'application, des erreurs de configuration dans le fournisseur d'identité (IdP) ou l'équilibreur de charge d'application peuvent entraîner des erreurs. Suivez les étapes ci-dessous pour résoudre ces problèmes d'authentification courants.

redirect_mismatch

Vérifiez que vous avez défini l'URL de rappel (Amazon Cognito) ou l'URL de redirection (tout autre IdP) sur https://<domain used to access Application Load Balancer>/oauth2/idpresponse.

HTTP 401 : Non autorisé

  • Vérifiez que les valeurs suivantes sont configurées de manière identique sur votre équilibreur de charge d'application et votre IdP :
    Émetteur
    Point de terminaison d'autorisation
    Point de terminaison du jeton
    ID client/secret client
  • Vérifiez que vous avez défini Action sur demande non authentifiée sur Autoriser ou Authentifier (nouvelle tentative du client), selon votre cas d'utilisation.

HTTP 500 : Erreur interne du serveur

  • Ajoutez une règle sortante pour autoriser le trafic vers les points de terminaison de l'IdP via HTTPS (port 443).
  • Vérifiez que les règles de liste de contrôle d'accès réseau de chacun des sous-réseaux de l'équilibreur de charge d'application autorisent le trafic vers et depuis les points de terminaison de l'IdP. Pour les règles sortantes, spécifiez : IP de destination – fournisseur d'identité, port de destination -443 Autorisation. Pour les règles entrantes, spécifiez : IP de source IP – fournisseur d'identité, port de destination 1024-65535 Autorisation.
  • Vérifiez que les tables de routage incluent une route permettant à l'équilibreur de charge d'application d'accéder aux points de terminaison de l'IdP. Pour les équilibreurs de charge d'application publics et les points de terminaison publics, vérifiez que la table de routage possède une route vers la passerelle Internet. Pour les équilibreurs de charge d'application privés et les points de terminaison privés, vérifiez que la table de routage dispose d'une passerelle de traduction d'adresses réseau (NAT – Network Address Translation) ou d'une route d'instance NAT pour l'IdP. Pour les autres scénarios, vérifiez que les tables de routage des sous-réseaux de l'équilibreur de charge d'application disposent d'une entrée de routage appropriée pour acheminer la connectivité vers les points de terminaison de l'IdP.
  • Vérifiez qu'un type d'octroi OAuth2 valide est sélectionné. Les équilibreurs de charge d'application prennent en charge l'octroi de code d'autorisation pour obtenir un jeton d'accès. Si un octroi incorrect est configuré dans l'IdP, l'équilibreur de charge d'application génère une erreur.

Codes d'erreur HTTP supplémentaires

Passez en revue ces instructions pour résoudre les codes d'erreur HTTP supplémentaires générés par les équilibreurs de charge d'application.