Application Load Balancer での認証設定に関する問題のトラブルシューティング方法を教えてください。

所要時間1分
0

Application Load Balancer で認証を設定すると、エラーが表示されます。

解決策

ID プロバイダー (IdP) またはアプリケーションロードバランサーの設定に誤りがあると、アプリケーションロードバランサーの認証を設定する際にエラーが発生する可能性があります。認証エラーのトラブルシューティングを行うには、以下の手順に従ってください。

redirect_mismatch

Amazon Cognito を使用している場合は、コールバック URL を https://<domain>/oauth2/idpresponse に設定します。別の IdP を使用している場合は、リダイレクト URIhttps://<domain>/oauth2/idpresponse に設定します。

**注:置換<domain>**Application Load Balancer へのアクセスに使用されるドメインを使用します。

HTTP 401: 無許可

Application Load Balancer と IdP で以下を同じように設定します。

  • 発行者
  • 認証エンドポイント
  • トークンエンドポイント
  • クライアント ID/クライアントシークレット

また、ユースケースに応じて、****認証されていないリクエストに対するアクションを [許可] または [認証 (クライアントの再試行)] に設定します。

HTTP 500: 内部サーバーエラー

以下を受け取った場合は、次の手順を実行してください。"HTTP 500: Internal Server Error" error:

  • HTTPS (ポート 443) 経由の IdP エンドポイントへのトラフィックを許可するアウトバウンドルールを追加します。
  • IdP エンドポイントとの間で送受信されるトラフィックを許可するように、各 Application Load Balancer サブネットでネットワークアクセス制御リストのルールを設定します。
    エグレスルールには、次のように指定します。 宛先 IP-ID プロバイダー、宛先ポート -443 許可
    イングレスルールには、次のように指定します。 送信元 IP-アイデンティティプロバイダー、宛先ポート 1024-65535 許可
  • Application Load Balancer が IdP エンドポイントにアクセスするためのルートを含むようにルートテーブルを設定します。
    パブリック Application Load Balancer とパブリックエンドポイントの場合は、ルートテーブルのインターネットゲートウェイルートを設定します。
    プライベート Application Load Balancer とプライベートエンドポイントの場合は、ルートテーブルのネットワークアドレス変換 (NAT) ゲートウェイを設定します。または、IdP の NAT インスタンスルートを設定します。
    他のシナリオでは、Application Load Balancer サブネットのルートテーブルに適切なルートエントリを設定して、接続を IdP エンドポイントにルーティングします。
  • 有効な OAuth2 グラントタイプを選択してください。Application Load Balancer は、アクセストークンを取得するための認証コードグラントをサポートしています。IdP で誤ったグラントが設定された場合、Application Load Balancer はエラーを生成します。

その他の HTTP エラーコード

Application Load Balancer によって生成されるその他の HTTP エラーコードのトラブルシューティングについては、「ロードバランサーが HTTP エラーを生成する」を参照してください。

関連情報

Application Load Balancer の組み込み認証でログインを簡素化

Application Load Balancer を使用してユーザーを認証する

ユーザープールアプリクライアントの設定

AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ