Amazon Cognito 문제 해결

상위 도메인에 대한 레코드 생성: 사용자 지정 도메인의 상위 도메인에 대한 DNS 구성에서 A 레코드를 생성해야 합니다.

DNS 전파 확인(선택 사항이지만 권장됨): DNS 공급자가 변경 사항을 전파했는지 확인하려면 dig 명령을 실행할 수 있습니다.

상위 도메인 A 레코드 제거: Amazon Cognito에서 사용자 지정 도메인을 성공적으로 생성한 후 더미 도메인인 경우 상위 도메인에 대해 생성한 A 레코드를 제거할 수 있습니다.

새 사용자 풀에 도메인 이름을 사용하려면 현재 연결된 사용자 풀에서 사용자 지정 도메인을 삭제해야 합니다.

삭제 후 대기: 사용자 지정 도메인이 첫 번째 사용자 풀에서 완전히 삭제되는 데 시간이 걸립니다. 삭제 직후 동일한 이름으로 새 사용자 지정 도메인을 생성해도 여전히 이 오류가 발생할 수 있습니다. 몇 분 기다렸다가 다시 시도합니다.

옵션 1: Amazon Cognito 사용자 지정 도메인에 다른 도메인 이름을 사용합니다.

옵션 2: Amazon Cognito의 도메인 이름을 사용하는 경우 다른 Amazon CloudFront 배포판과 함께 사용하지 마세요.

인증서 리전 확인: ACM 인증서가 us-east-1 리전에 있는지 확인합니다.

인증서 유효성 확인: 선택한 인증서가 만료되지 않았는지 확인합니다.

가져온 인증서: 인증서를 ACM으로 가져온 경우 다음을 확인합니다.

AWS KMS 정책 확인: 도메인을 생성하는 IAM 사용자 또는 역할에 대한 AWS Key Management Service (AWS KMS) 정책의 명시적 deny 문으로 인해이 오류가 발생할 수 있습니다. 특히 kms:DescribeKey, kms:CreateGrant 또는 kms:* 작업에 대한 명시적 거부가 있는지 확인합니다.

일관된 앱 클라이언트 ID 보장: 토큰 새로 고침을 위해 AdminInitiateAuth 또는 InitiateAuth API를 호출할 때 새로 고침 토큰을 생성한 초기 인증 중에 사용된 것과 정확히 동일한 앱 클라이언트 ID를 사용해야 합니다.

디바이스 확인: 사용자 풀에서 디바이스 추적이 활성화되었지만 사용자의 디바이스가 확인되지 않은 경우 먼저 ConfirmDevice API를 호출해야 합니다. 사용자가 디바이스를 확인한 후 새로 고침 토큰을 교환할 수 있습니다.

새로 고침 요청에 디바이스 키 포함: 디바이스 추적이 활성화된 경우 REFRESH_TOKEN_AUTH 흐름을 사용할 때 고유한 디바이스 키를 AuthParameter로 포함합니다.

{
  "AuthFlow": "REFRESH_TOKEN_AUTH",
  "AuthParameters": {
    "REFRESH_TOKEN": "example_refresh_token",
    "SECRET_HASH": "example_secret_hash", // Required if your app client uses a client secret
    "DEVICE_KEY": "example_device_key" 
  }
}

디바이스 추적에 USER_SRP_AUTH 사용: 디바이스 추적을 사용하는 경우 초기 인증 흐름은 USER_SRP_AUTH여야 합니다.

사용자 풀 구성에 정의된 필수 속성을 확인합니다.

브라우저에서 네트워크 캡처 도구를 사용하여 SAML 응답을 검색합니다. URL 및 base64 디코딩을 수행해야 할 수 있습니다. 속성이 SAML 어설션에 있는지 확인합니다.

ID 제공업체에 로그인하고 Amazon Cognito로 보내는 속성을 검토합니다. IdP가 올바른 이름을 사용하여 필요한 속성을 전송하도록 구성되어 있는지 확인합니다.

변경할 수 없는 속성의 경우 AWS CLI 명령을 실행하여 식별합니다aws cognito-idp describe-user-pool --user-pool-id USER-POOL-ID --query 'UserPool.SchemaAttributes[?Mutable==`false`].Name'.

IdP의 SAML 속성 매핑에서 변경 불가능한 Amazon Cognito 속성을 대상으로 하는 매핑을 삭제합니다. 또는 대상 속성을 변경 가능한 다른 속성으로 업데이트합니다.

IdP의 관리 콘솔에서 올바른 ACS URL 형식으로 애플리케이션을 업데이트하여 HTTP POST 바인딩을 사용하는지 확인합니다.

기본 도메인 형식: https://cognito-idp.Region.amazonaws.com/your user pool ID/saml2/idpresponse

사용자 지정 도메인 형식: https://auth.example.com/saml2/idpresponse

서비스 공급자 시작(SP 시작) 흐름의 경우: 항상 사용자 풀 /oauth2/authorize 엔드포인트에서 인증을 시작합니다. 사용자가 Amazon Cognito를 처음 방문할 때 RelayState 파라미터를 반환하지 않는 SAML 어설션은 유효한 SP 시작 요청이 아닙니다.

ID 제공업체 시작(IdP 시작) 흐름의 경우: IdP에는 필수 형식 redirect_uri=REDIRECT_URI&state=STATE를 사용하여 /saml2/idpresponse 엔드포인트에 대한 SAML 어설션과 함께 RelayState 파라미터가 포함되어야 합니다.

퍼블릭 애플리케이션의 경우: 유효한 액세스 토큰과 함께 SetUserMFAPreference를 사용하여 사용자가 자신의 MFA 기본 설정을 설정하도록 허용

관리자 관리형 애플리케이션의 경우: 자격 AWS 증명과 함께 AdminSetUserMFAPreference를 사용하여 사용자 MFA 기본 설정을 구성합니다.

사용자의 이메일 스팸 및 정크 폴더를 확인합니다.

사용자가 사용자 풀에 있는지 확인합니다.

사용자의 상태가 FORCE_CHANGE_PASSWORD가 아닌지 확인합니다. 이 경우 관리자가 사용자를 생성했으며 Amazon Cognito는 임시 암호로 로그인할 때 암호를 설정하라는 메시지를 표시합니다.

사용자에게 확인된 이메일 또는 전화 번호 속성이 있는지 확인합니다.

SMS 메시징에 대한 계정 사용 한도 확인

Amazon Simple Email Service(Amazon SES) 메시지 전송 할당량을 확인합니다.

SMS와 Amazon SES(사용자 풀이 Amazon SES로 이메일을 전송하도록 구성된 경우)가 모두 샌드박스에서 이동되었는지 확인하세요. 샌드박스에서 이동하지 않은 경우 Amazon SES에서 확인되지 않았거나 암호 재설정 코드를 수신할 수 없는 이메일 주소 또는 전화번호 AWS 최종 사용자 메시징 SMS 입니다.

사용자에게 활성 MFA 요소가 있는 경우 동일한 요소로 메시지를 생성하려고 하지 않는지 확인합니다. 예를 들어 이메일 MFA가 활성화된 사용자는 이메일로 암호 재설정 코드를 전송할 수 없습니다.

복구 설정 확인: 사용자 풀에서 로그인 > 사용자 계정 복구로 이동합니다. 셀프 서비스 계정 복구가 활성화되어 있는지 확인하고 복구 메시지 전송 방법 설정을 검토합니다.

사용자 속성 확인: 사용자에게 복구 방법 구성과 일치하는 확인된 이메일 주소 또는 전화번호가 있는지 확인합니다. 콘솔에서 사용자 프로필로 이동하여 사용자 속성 > 편집을 선택하고 적절한 속성을 확인된 것으로 표시합니다.

MFA 충돌 해결: 선호하는 MFA 메서드가 이메일인 사용자는 이메일로 암호 재설정 코드를 수신할 수 없으며 SMS MFA 사용자는 SMS로 코드를 수신할 수 없습니다. 복구 메시지 전송 방법을 업데이트하여 사용 가능한 경우 SMS, 사용 가능한 경우 이메일 또는 이메일, 사용 가능한 경우 SMS와 같은 대체 옵션을 제공합니다.

관리 확인: API 작업 AdminUpdateUserAttributes를 사용하여 콘솔 액세스를 사용할 수 없는 경우 사용자 속성을 프로그래밍 방식으로 확인합니다.