Risposte gestite agli errori di accesso e federazione - Amazon Cognito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risposte gestite agli errori di accesso e federazione

Una procedura di accesso in accesso gestito o accesso federato potrebbe restituire un errore. Di seguito sono riportate alcune condizioni che possono determinare un errore di autenticazione.

  • Un utente esegue un'operazione che il pool di utenti non è in grado di eseguire.

  • Un trigger Lambda non risponde con la sintassi prevista.

  • Il gestore dell'identità digitale restituisce un errore.

  • Amazon Cognito non è riuscito a convalidare le informazioni sugli attributi fornite dall'utente.

  • L'IdP non ha inviato richieste che corrispondono agli attributi richiesti.

Quando Amazon Cognito rileva un errore, lo comunica in uno dei seguenti modi.

  1. Amazon Cognito invia un URL di reindirizzamento con l'errore nei parametri della richiesta.

  2. Amazon Cognito mostra un errore nell'accesso gestito.

Gli errori aggiunti da Amazon Cognito ai parametri della richiesta hanno il seguente formato.

https://<Callback URL>/?error_description=error+description&error=error+name

Quando fornisci assistenza agli utenti per inviare informazioni sugli errori quando non è possibile eseguire un'operazione, richiedi che acquisiscano l'URL e il testo o uno screenshot della pagina.

Nota

Le descrizioni degli errori di Amazon Cognito non sono stringhe fisse e non devi usare una logica basata su un modello o un formato fisso.

Messaggi di errore del provider di identità OIDC e social

Il provider di identità potrebbe restituire un errore. Quando un OAuth IdP OIDC o 2.0 restituisce un errore conforme agli standard, Amazon Cognito reindirizza l'utente all'URL di callback e aggiunge la risposta di errore del provider ai parametri della richiesta di errore. Amazon Cognito aggiunge il nome del provider e il codice di errore HTTP alle stringhe di errore esistenti.

L'URL seguente è un reindirizzamento di esempio da un IdP che ha restituito un errore ad Amazon Cognito.

https://www.amazon.com/?error_description=LoginWithAmazon+Error+-+400+invalid_request+The+request+is+missing+a+required+parameter+%3A+client_secret&error=invalid_request

Poiché Amazon Cognito restituisce solo ciò che riceve da un provider, l'utente potrebbe visualizzare un sottoinsieme di queste informazioni.

Quando l'utente rileva un problema con l'accesso iniziale tramite l'IdP, questo invia eventuali messaggi di errore direttamente all'utente. Amazon Cognito inoltra un messaggio di errore all'utente quando genera una richiesta all'IdP per convalidare la sessione dell'utente. Relay Amazon Cognito e messaggi di errore OAuth OIDC IdP dai seguenti endpoint.

/token

Amazon Cognito scambia un codice di autorizzazione IdP per un token di accesso.

/.well-known/openid-configuration

Amazon Cognito rileva il percorso agli endpoint dell'emittente.

/.well-known/jwks.json

Per verificare i token Web JSON (JWTs) dell'utente, Amazon Cognito rileva le chiavi Web JSON (JWKs) utilizzate dal tuo IdP per firmare i token.

Poiché Amazon Cognito non avvia sessioni in uscita verso i provider SAML 2.0 che potrebbero restituire errori HTTP, gli errori degli utenti durante una sessione con un IdP SAML 2.0 non includono questa forma di messaggio di errore del provider.