Application Load Balancer での認証の設定に関する問題のトラブルシューティング方法を教えてください。

最終更新日: 2019 年 10 月 22 日

Application Load Balancer で認証を設定しようとすると、エラーが表示されます。これらの認証の問題のトラブルシューティング方法を教えてください。

解決方法

Application Load Balancer で認証機能を設定するときに、ID プロバイダー (IdP) または Application Load Balancer の設定ミスが原因でエラーが発生することがあります。以下のステップに従って、これらの一般的な認証問題のトラブルシューティングと解決を行います。

redirect_mismatch

コールバック URL (Amazon Cognito) または リダイレクト URI (他の IdP)が、 https://<domain used to access Application Load Balancer>/oauth2/idpresponse に設定されていることを確認します。

HTTP 401: Unauthorized

  • Application Load Balancer と IdP で次の値が同一に設定されていることを確認します。
    発行者
    認証エンドポイント
    トークンエンドポイント
    クライアント ID/ クライアントシークレット
  • ユースケースに応じて、 Action on unauthenticated request を [Allow] または  Authenticate(client reattempt) に設定していることを確認します。

HTTP 500: 内部サーバーエラー

  • HTTPS(ポート 443)経由で IdP エンドポイントへのトラフィックを許可するアウトバウンドルールを追加します。
  • 各 Application Load Balancer サブネットのネットワークアクセスコントロールリストのルールで、IdP エンドポイントとの間のトラフィックが許可されていることを確認します。egress ルールの場合は、 [Destination IP-Identity provider]、[Destination port-443 Allow]を指定します。進入ルールの場合は、 [Source IP-Identity provider]、[Destination port 1024-65535 Allow]を指定します。
  • ルートテーブルに Application Load Balancer が IdP エンドポイントにアクセスするためのルートが含まれていることを確認します。パブリック Application Load Balancer とパブリックエンドポイントの場合、ルートテーブルにインターネットゲートウェイのルートがあることを確認します。プライベート Application Load Balancer とプライベートエンドポイントの場合、ルートテーブルに IdP のネットワークアドレス変換 (NAT) ゲートウェイまたは NAT インスタンスルートがあることを確認します。その他のシナリオでは、Application Load Balancer サブネットのルートテーブルに、IdP エンドポイントへの接続をルーティングするための適切なルートエントリがあることを確認します。
  • 有効な OAuth2 Grant タイプが選択されていることを確認します。Application Load Balancer は、アクセストークンを取得するための 認証コード付与 をサポートしています。IdP で正しくない許可が設定されている場合、Application Load Balancer はエラーを生成します。

追加の HTTP エラーコード

Application Load Balancer によって生成された追加の HTTP エラーコードを解決するには、これらの手順を確認します 。