Amazon Cognito 故障診斷 - Amazon Cognito
自訂網域組態錯誤Invalid refresh token 錯誤聯合中的無效 SAML 回應錯誤受管登入使用者無法選取 MFA 因素無法透過電子郵件/簡訊接收密碼重設碼SECRET_HASH 錯誤Amazon Cognito 主控台會為新使用者集區選擇預設組態其他疑難排解資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Cognito 故障診斷

本章提供使用 Amazon Cognito 時可能遇到的常見問題的解決方案。Amazon Cognito 實作可能會在身分驗證流程、使用者集區組態和聯合身分設定之間面臨各種挑戰。無論您是開發新的應用程式還是維護現有的應用程式,此故障診斷指南都可協助您快速識別和解決常見問題。

自訂網域組態錯誤

在 Amazon Cognito 中設定自訂網域名稱時,您可能會收到錯誤訊息。常見的錯誤包括驗證問題、憑證問題或網域衝突。

Custom domain is not a valid subdomain

此錯誤表示父網域的 DNS 解析有問題。Amazon Cognito 不支援頂層網域,並且需要父網域具有 DNS A 記錄以進行驗證。

問題

此錯誤表示父網域的 DNS 解析有問題。Amazon Cognito 不支援頂層網域,並且需要父網域具有 DNS A 記錄以進行驗證。

解決方案

  • 為父系網域建立 A 記錄:您必須在自訂網域的父系網域的 DNS 組態中建立 A 記錄。

    • 範例:如果您的自訂網域是 auth.xyz.yourdomain.com,則父網域是 xyz.yourdomain.com。如果您想要將 xyz.yourdomain.com設定為自訂網域,父系為 yourdomain.com

    • 父網域必須解析為有效的 IP 地址。如果不指向實際 IP 地址,您可以使用虛擬 IP 地址,例如 8.8.8.8

  • 驗證 DNS 傳播 (選用但建議):若要確保您的 DNS 供應商已傳播變更,您可以執行 dig命令。

    • 如果使用 auth.xyz.yourdomain.com做為自訂網域: dig A xyz.yourdomain.com +short

    • 如果使用 xyz.yourdomain.com做為自訂網域: dig A yourdomain.com +short

    • 命令應傳回您設定的 IP 地址。如果沒有,請等待變更完全傳播。

  • 移除父系網域 A 記錄:在 Amazon Cognito 中成功建立自訂網域後,如果父系網域是虛擬網域,您可以移除為父系網域建立的記錄。

如需詳細資訊,請參閱將您自己的網域用於託管 UI

Domain already associated with another user pool

自訂網域名稱在所有 AWS 帳戶 和 區域中必須是唯一的。

問題

自訂網域名稱在所有 AWS 帳戶 和 區域中必須是唯一的。

解決方案

  • 若要使用新使用者集區的網域名稱,您必須從目前相關聯的使用者集區中刪除自訂網域。

  • 刪除後等待:自訂網域需要一些時間才能從第一個使用者集區完全刪除。在刪除後立即建立具有相同名稱的新自訂網域仍可能導致此錯誤。請等待幾分鐘,然後再試一次。

One or more of the CNAMEs that you provided are already associated with a different resource

當您建立自訂網域時,Amazon Cognito 會建立受管 AWS Amazon CloudFront 分佈。網域名稱只能與一個 Amazon CloudFront 分佈搭配使用。如果網域名稱已用作另一個 Amazon CloudFront 分佈的替代網域,則會發生此錯誤。

問題

當您建立自訂網域時,Amazon Cognito 會建立受管 AWS Amazon CloudFront 分佈。網域名稱只能與一個 Amazon CloudFront 分佈搭配使用。如果網域名稱已用作另一個 Amazon CloudFront 分佈的替代網域,則會發生此錯誤。

解決方案

  • 選項 1:為您的 Amazon Cognito 自訂網域使用不同的網域名稱。

  • 選項 2:如果您使用 Amazon Cognito 的網域名稱,請勿將其與另一個 Amazon CloudFront 分佈搭配使用。

The specified SSL certificate doesn't exist

Amazon Cognito 使用 Amazon CloudFront,無論使用者集區的區域為何 AWS 區域,都需要 AWS Certificate Manager (ACM) 憑證位於 us-east-1(維吉尼亞北部)。

問題

Amazon Cognito 使用 Amazon CloudFront,無論使用者集區的區域為何 AWS 區域,都需要 AWS Certificate Manager (ACM) 憑證位於 us-east-1(維吉尼亞北部)。

解決方案

  • 確保憑證區域:確認 ACM 憑證位於 us-east-1區域。

  • 檢查憑證有效性:確定選取的憑證未過期。

  • 匯入的憑證:如果您將憑證匯入 ACM,請確保:

    • 它由公有憑證授權單位發行。

    • 它包含正確的憑證鏈。

  • AWS KMS 政策檢查:建立網域的 IAM 使用者或角色的 AWS Key Management Service (AWS KMS) 政策中的明確deny陳述式可能會導致此錯誤。具體而言,請檢查 kms:DescribeKeykms:CreateGrantkms:*動作是否有明確拒絕。

Invalid refresh token 錯誤

問題

嘗試使用重新整理權杖從 Amazon Cognito 使用者集區使用 AdminInitiateAuthInitiateAuth API 操作取得新的存取和 ID 權杖時,您會收到Invalid refresh token錯誤。

解決方案

根據您的使用者集區組態和 API 用量實作下列疑難排解步驟:

  • 確保一致的應用程式用戶端 ID:呼叫 AdminInitiateAuthInitiateAuth API 進行權杖重新整理時,您必須使用與產生重新整理權杖的初始身分驗證期間所使用的完全相同的應用程式用戶端 ID。

  • 確認裝置:如果您已在使用者集區上啟用裝置追蹤,但尚未確認使用者的裝置,您必須先呼叫 ConfirmDevice API。使用者確認其裝置後,您可以交換重新整理字符。

  • 重新整理請求中包含裝置金鑰:如果已啟用裝置追蹤,請在使用REFRESH_TOKEN_AUTH流程AuthParameter時將唯一裝置金鑰納入為 :

    {
  "AuthFlow": "REFRESH_TOKEN_AUTH",
  "AuthParameters": {
    "REFRESH_TOKEN": "example_refresh_token",
    "SECRET_HASH": "example_secret_hash", // Required if your app client uses a client secret
    "DEVICE_KEY": "example_device_key" 
  }
}

  • USER_SRP_AUTH 用於裝置追蹤:如果您使用裝置追蹤,初始身分驗證流程必須為 USER_SRP_AUTH

如需詳細資訊,請參閱在使用者集區中使用使用者裝置

聯合中的無效 SAML 回應錯誤

嘗試使用 SAML 2.0 聯合到 Amazon Cognito 時,使用者會收到各種Invalid SAML response和類似的錯誤。這些錯誤可能是因為屬性映射問題、憑證問題或組態不相符而發生。

Invalid user attributes: Required attribute

問題

使用者缺少使用者集區中所需的屬性值,或 IdP 正在嘗試移除或更新不可變屬性。

解決方案

  • 檢查您的使用者集區組態中定義的必要屬性

  • 在瀏覽器中使用網路擷取工具,擷取 SAML 回應。您可能需要執行 URL 和 base64 解碼。驗證屬性是否存在於 SAML 聲明中。

  • 登入您的身分提供者,並檢閱其傳送至 Amazon Cognito 的屬性。確認 IdP 已設定為使用正確的名稱傳送所需的屬性。

  • 對於不可變屬性,請執行下列 AWS CLI 命令來識別它們:aws cognito-idp describe-user-pool --user-pool-id USER-POOL-ID --query 'UserPool.SchemaAttributes[?Mutable==`false`].Name'

  • 在 IdP 的 SAML 屬性映射中,刪除任何以不可變 Amazon Cognito 屬性為目標的映射。或者,將目的地屬性更新為不同的可變屬性。

Invalid SAML response received: SAML Response signature is invalid

問題

您的 IdP 已更新其 SAML 簽署憑證,導致 SAML 回應中的憑證與存放在 Amazon Cognito 中的中繼資料檔案不相符。

解決方案

  1. 從 IdP 下載最新的中繼資料檔案。

  2. 在 Amazon Cognito 主控台中,導覽至使用者集區的社交和外部提供者、編輯 SAML 供應商,並將現有的中繼資料檔案取代為新下載的檔案。

Audience restrictionApplication with identifier not found

問題

您的 IdP 中設定了不正確的實體 ID,或者宣告使用另一個使用者的集區統一資源名稱 (URN)。

解決方案

  1. 從 主控台的概觀區段取得您的 Amazon Cognito 使用者集區 ID。

  2. 在 IdP 的管理主控台中,更新使用者集區的 SAML 應用程式中的實體 ID。設定實體 ID 以符合格式 urn:amazon:cognito:sp:USER_POOL_ID。將 取代USER_POOL_ID為上一個步驟中的使用者集區 ID。

An error was encountered with the requested page

問題

向 IdP 註冊的聲明消費者服務 (ACS) URL 設定不正確,或者 IdP 未使用必要的 POST 繫結傳送 SAML 回應。

解決方案

  • 在 IdP 的管理主控台中,使用正確的 ACS URL 格式更新應用程式,確保它使用HTTP POST繫結。

  • 預設網域格式: https://cognito-idp.Region.amazonaws.com/your user pool ID/saml2/idpresponse

  • 自訂網域格式: https://auth.example.com/saml2/idpresponse

Invalid relayState from identity provider

問題

RelayState 參數遺失或無效,或 IdP 和 Amazon Cognito 之間的 URL 不相符。

解決方案

  • 對於服務供應商啟動 (SP 啟動) 流程:一律在您的使用者集區/oauth2/authorize端點啟動身分驗證。不會從使用者初次造訪 Amazon Cognito 傳回RelayState參數的 SAML 聲明不是有效的 SP 起始請求。

  • 對於身分提供者起始 (IdP 起始) 流程:IdP 必須使用所需的格式,將具有 SAML 聲明的 RelayState 參數包含到/saml2/idpresponse端點:redirect_uri=REDIRECT_URI&state=STATE

如需詳細資訊,請參閱搭配使用者集區使用 SAML 身分提供者

受管登入使用者無法選取 MFA 因素

問題

透過受管登入登入時,使用者無法選擇偏好的 MFA 方法,或者不會提示您使用預期的 MFA 方法。

解決方案

Amazon Cognito 遵循特定邏輯,根據使用者集區設定、使用者屬性和帳戶復原組態,判斷哪些 MFA 因素可供使用者使用。例如,如果電子郵件設定為其主要帳戶復原方法,則使用者無法使用電子郵件 MFA。

若要覆寫預設 MFA 因素選擇,您可以實作下列其中一種方法:

  • 對於公有應用程式:使用 SetUserMFAPreference 搭配有效的存取字符,讓使用者設定自己的 MFA 偏好設定

  • 對於管理員管理的應用程式:使用 AdminSetUserMFAPreference 搭配 AWS 登入資料來設定使用者 MFA 偏好設定

這兩種操作都可讓您為個別使用者啟用或停用 SMS、電子郵件和 TOTP MFA 方法,並將一種方法設為偏好。

如需詳細資訊,請參閱將 MFA 新增到使用者集區

無密碼和通行金鑰使用者無法使用 MFA

問題

使用無密碼身分驗證方法或通行金鑰登入的使用者無法新增或使用多重要素身分驗證。

解決方案

這是預期的限制。您可以設定使用者集區,讓使用者擁有 MFA 或使用無密碼因素登入,但不能同時設定兩者。MFA 僅適用於密碼型身分驗證流程。

如需詳細資訊,請參閱使用使用者集區進行身分驗證

無法透過電子郵件/簡訊接收密碼重設碼

問題

在忘記密碼工作流程期間,使用者無法透過電子郵件或簡訊接收驗證碼。

解決方案

可能無法接收驗證碼的原因有很多。請依照此檢查清單對問題進行疑難排解:

  • 檢查使用者的電子郵件垃圾郵件和垃圾郵件資料夾。

  • 確認使用者存在於使用者集區中。

  • 確認使用者的狀態不是 FORCE_CHANGE_PASSWORD。如果是這種情況,使用者是由管理員建立,Amazon Cognito 會在他們使用臨時密碼登入時提示他們設定密碼。

  • 檢查使用者是否具有已驗證的電子郵件或電話號碼屬性。

  • 檢查您的帳戶的簡訊支出限制

  • 檢查您的 Amazon Simple Email Service (Amazon SES) 訊息傳送配額。

  • 檢查 SMS 和 Amazon SES (如果您的使用者集區設定為使用 Amazon SES 傳送電子郵件) 是否已移出沙盒。如果未從沙盒移出,Amazon SES 尚未驗證或 AWS End User Messaging SMS 無法接收密碼重設代碼的電子郵件地址或電話號碼。

  • 如果使用者具有作用中的 MFA 因素,請檢查他們是否未嘗試產生相同因素的訊息。例如,電子郵件 MFA 作用中的使用者無法透過電子郵件傳送密碼重設代碼。

如需詳細資訊,請參閱Amazon Cognito 使用者集區的電子郵件設定Amazon Cognito 使用者集區的簡訊設定

SECRET_HASH 錯誤

問題

對具有用戶端秘密的應用程式用戶端提出的身分驗證 API 請求會傳回錯誤,例如 An error occurred (NotAuthorizedException) when calling the ForgotPassword operation: Client 1example23456789 is configured with secret but SECRET_HASH was not received.

解決方案

您的應用程式必須計算目前使用者、應用程式用戶端和用戶端秘密SECRET_HASH的 。計算方法是:

Base64 ( HMAC_SHA256 ( "client secret", "Username" + "Client Id" ) )

若要取得用戶端秘密,您可以:

  1. 開啟 Amazon Cognito 主控台,並從應用程式用戶端選單導覽至您的應用程式用戶端。在應用程式用戶端資訊區段中,尋找用戶端秘密。選取顯示用戶端秘密,您的應用程式用戶端秘密隨即出現。

  2. 產生 DescribeUserPoolClient 請求。用戶端秘密包含在回應中。

如需詳細資訊,請參閱運算私密雜湊值

Amazon Cognito 主控台會為新使用者集區選擇預設組態

問題

當您在主控台中設定新的使用者集區時,Amazon Cognito 會為您選擇數個預設設定。使用者集區建立後,就無法變更某些設定。如何做出明智的選擇,並了解 Amazon Cognito 自動選取的項目?

解決方案

Amazon Cognito 主控台中的新使用者集區設定專為快速測試和原型設計。主控台只會為您提供最重要的組態選擇,也就是使用者集區建立後無法變更的選項。Amazon Cognito 自動設定的所有其他設定都可以稍後修改。

建議採取下列作法:

  1. 在您精簡實作時,使用 主控台建立測試使用者集區。

  2. 確定生產組態之後,將這些設定套用到您的測試使用者集區。

  3. 使用 DescribeUserPoolDescribeUserPoolClient API 操作來產生已測試組態的 JSON 範本。

  4. 使用這些範本搭配部署工具,例如 AWS SDKs、CDK、REST API 或 CloudFormation 來建立您的生產資源。

如需詳細資訊,請參閱使用者集區入門

其他疑難排解資源

如需其他疑難排解指引和社群貢獻的解決方案,您也可以探索下列外部資源: