Memecahkan Masalah Amazon Cognito

Buat Rekaman untuk Domain Induk: Anda harus membuat catatan A dalam konfigurasi DNS untuk domain induk domain kustom Anda.

Verifikasi Propagasi DNS (Opsional tetapi Disarankan): Untuk memastikan penyedia DNS Anda telah menyebarkan perubahan, Anda dapat menjalankan perintah. dig

Hapus domain induk A Record: Setelah berhasil membuat domain kustom di Amazon Cognito, Anda dapat menghapus catatan A yang Anda buat untuk domain induk jika itu adalah dummy.

Untuk menggunakan nama domain untuk kumpulan pengguna baru, Anda harus menghapus domain kustom dari kumpulan pengguna yang saat ini terkait dengannya.

Tunggu setelah penghapusan: Dibutuhkan waktu untuk domain kustom untuk sepenuhnya menghapus dari kumpulan pengguna pertama. Membuat domain kustom baru dengan nama yang sama segera setelah penghapusan mungkin masih mengakibatkan kesalahan ini. Tunggu beberapa menit sebelum mencoba lagi.

Opsi 1: Gunakan nama domain yang berbeda untuk domain khusus Amazon Cognito Anda.

Opsi 2: Jika Anda menggunakan nama domain untuk Amazon Cognito, jangan gunakan dengan distribusi Amazon CloudFront lainnya.

Pastikan Wilayah Sertifikat: Konfirmasikan sertifikat ACM ada di us-east-1 Wilayah.

Periksa Validitas Sertifikat: Pastikan sertifikat yang dipilih tidak kedaluwarsa.

Sertifikat Impor: Jika Anda mengimpor sertifikat ke ACM, pastikan:

AWS KMS Pemeriksaan Kebijakan: deny Pernyataan eksplisit dalam kebijakan AWS Key Management Service (AWS KMS) untuk pengguna IAM atau peran yang membuat domain dapat menyebabkan kesalahan ini. Secara khusus, periksa penolakan eksplisit padakms:DescribeKey,kms:CreateGrant, atau tindakan. kms:*

Pastikan ID klien aplikasi yang konsisten: Saat memanggil AdminInitiateAuth atau InitiateAuth API untuk penyegaran token, Anda harus menggunakan ID klien aplikasi yang sama persis yang digunakan selama autentikasi awal yang menghasilkan token penyegaran.

Konfirmasikan perangkat: Jika pelacakan perangkat diaktifkan di kumpulan pengguna, tetapi perangkat pengguna belum dikonfirmasi, Anda harus memanggil ConfirmDeviceAPI terlebih dahulu. Setelah pengguna mengonfirmasi perangkat mereka, Anda dapat menukar token penyegaran.

Sertakan kunci perangkat dalam permintaan penyegaran: Jika pelacakan perangkat diaktifkan, sertakan kunci perangkat unik sebagai AuthParameter saat menggunakan REFRESH_TOKEN_AUTH alur:

{
  "AuthFlow": "REFRESH_TOKEN_AUTH",
  "AuthParameters": {
    "REFRESH_TOKEN": "example_refresh_token",
    "SECRET_HASH": "example_secret_hash", // Required if your app client uses a client secret
    "DEVICE_KEY": "example_device_key" 
  }
}

Gunakan USER_SRP_AUTH untuk pelacakan perangkat: Jika Anda menggunakan pelacakan perangkat, alur otentikasi awal harusUSER_SRP_AUTH.

Periksa atribut yang diperlukan yang ditentukan dalam konfigurasi kumpulan pengguna Anda.

Menggunakan alat pengambilan jaringan di browser Anda, ambil respons SAMP. Anda mungkin perlu melakukan decoding URL dan base64. Verifikasi atribut hadir dalam pernyataan SAMP.

Masuk ke penyedia identitas Anda dan tinjau atribut yang dikirimkan ke Amazon Cognito. Verifikasi bahwa iDP dikonfigurasi untuk mengirim atribut yang diperlukan menggunakan nama yang benar.

Untuk atribut yang tidak dapat diubah, jalankan AWS CLI perintah berikut untuk mengidentifikasinya:. aws cognito-idp describe-user-pool --user-pool-id USER-POOL-ID --query 'UserPool.SchemaAttributes[?Mutable==`false`].Name'

Dalam pemetaan atribut SAMP dari IDP Anda, hapus pemetaan apa pun yang menargetkan atribut Amazon Cognito yang tidak dapat diubah. Bergantian, perbarui atribut tujuan ke atribut yang berbeda dan bisa berubah.

Di konsol manajemen untuk iDP Anda, perbarui aplikasi dengan format URL ACS yang benar, pastikan aplikasi menggunakan HTTP POST pengikatan.

Format domain default: https://cognito-idp.Region.amazonaws.com/your user pool ID/saml2/idpresponse

Format domain kustom: https://auth.example.com/saml2/idpresponse

Untuk alur yang dimulai oleh penyedia layanan (dimulai SP): Selalu mulai autentikasi di titik akhir kumpulan pengguna Anda. /oauth2/authorize Pernyataan SAMP yang tidak mengembalikan RelayState parameter dari kunjungan awal pengguna ke Amazon Cognito bukanlah permintaan yang diprakarsai SP yang valid.

Untuk alur yang dimulai oleh penyedia identitas (IDP-initiated): IDP harus menyertakan RelayState parameter dengan pernyataan SAMP ke titik akhir, menggunakan format yang diperlukan:. /saml2/idpresponse redirect_uri=REDIRECT_URI&state=STATE

Untuk aplikasi publik: Gunakan SetUserMFAPreferencedengan token akses yang valid untuk memungkinkan pengguna mengatur preferensi MFA mereka sendiri

Untuk aplikasi yang dikelola administrator: Gunakan AdminSetUserMFAPreferencedengan AWS kredensil untuk mengonfigurasi preferensi MFA pengguna

Periksa spam email pengguna dan folder sampah.

Konfirmasikan bahwa pengguna ada di kumpulan pengguna.

Verifikasi bahwa status pengguna tidakFORCE_CHANGE_PASSWORD. Jika ini masalahnya, pengguna dibuat oleh administrator dan Amazon Cognito akan meminta mereka untuk mengatur kata sandi saat mereka masuk dengan kata sandi sementara mereka.

Periksa apakah pengguna memiliki atribut email atau nomor telepon yang diverifikasi.

Periksa batas pengeluaran akun Anda untuk pesan SMS

Periksa kuota pengiriman pesan Amazon Simple Email Service (Amazon SES).

Periksa apakah SMS dan Amazon SES (jika kumpulan pengguna Anda dikonfigurasi untuk Mengirim email dengan Amazon SES) telah dipindahkan dari kotak pasir. Jika mereka tidak dipindahkan dari kotak pasir, alamat email atau nomor telepon yang belum diverifikasi oleh Amazon SES atau tidak AWS End User Messaging SMS akan dapat menerima kode reset kata sandi.

Jika pengguna memiliki faktor MFA aktif, periksa apakah mereka tidak mencoba menghasilkan pesan ke faktor yang sama. Misalnya, pengguna dengan email MFA aktif tidak dapat mengirim kode reset kata sandi melalui email.