Risoluzione dei problemi relativi ad Amazon Cognito

Crea un record A per il dominio principale: devi creare un record A nella configurazione DNS per il dominio principale del tuo dominio personalizzato.

Verifica della propagazione DNS (facoltativa ma consigliata): per assicurarti che il tuo provider DNS abbia propagato la modifica, puoi eseguire un comando. dig

Rimuovi il record A del dominio principale: dopo aver creato correttamente il dominio personalizzato in Amazon Cognito, puoi rimuovere il record A che hai creato per il dominio principale se si trattava di un record fittizio.

Per utilizzare il nome di dominio per un nuovo pool di utenti, è necessario eliminare il dominio personalizzato dal pool di utenti a cui è attualmente associato.

Attendi dopo l'eliminazione: è necessario del tempo prima che il dominio personalizzato venga eliminato completamente dal primo pool di utenti. La creazione di un nuovo dominio personalizzato con lo stesso nome subito dopo l'eliminazione potrebbe comunque causare questo errore. Attendi qualche minuto prima di riprovare.

Opzione 1: usa un nome di dominio diverso per il tuo dominio personalizzato Amazon Cognito.

Opzione 2: se utilizzi il nome di dominio per Amazon Cognito, non utilizzarlo con un'altra distribuzione Amazon CloudFront .

Verifica la regione del certificato: conferma che il certificato ACM si trova nella regione. us-east-1

Verifica la validità del certificato: assicurati che il certificato selezionato non sia scaduto.

Certificati importati: se hai importato il certificato in ACM, assicurati che:

AWS KMS Controllo delle politiche: un'denyistruzione esplicita in una policy AWS Key Management Service (AWS KMS) per l'utente o il ruolo IAM che crea il dominio può causare questo errore. In particolare, verifica la presenza di negazioni o azioni esplicite. kms:DescribeKey kms:CreateGrant kms:*

Garantisci un ID client dell'app coerente: quando chiami l'InitiateAuthAPI AdminInitiateAuth o l'API per l'aggiornamento del token, devi utilizzare esattamente lo stesso ID client dell'app utilizzato durante l'autenticazione iniziale che ha generato il token di aggiornamento.

Conferma il dispositivo: se hai abilitato il tracciamento dei dispositivi nel tuo pool di utenti, ma il dispositivo dell'utente non è stato confermato, devi prima chiamare l'ConfirmDeviceAPI. Dopo che l'utente ha confermato il dispositivo, puoi scambiare il token di aggiornamento.

Includi la chiave del dispositivo nella richiesta di aggiornamento: se il tracciamento del dispositivo è abilitato, includi la chiave univoca del dispositivo come elemento AuthParameter durante l'utilizzo del REFRESH_TOKEN_AUTH flusso:

{
  "AuthFlow": "REFRESH_TOKEN_AUTH",
  "AuthParameters": {
    "REFRESH_TOKEN": "example_refresh_token",
    "SECRET_HASH": "example_secret_hash", // Required if your app client uses a client secret
    "DEVICE_KEY": "example_device_key" 
  }
}

Utilizzo USER_SRP_AUTH per il tracciamento dei dispositivi: se utilizzi il tracciamento dei dispositivi, il flusso di autenticazione iniziale deve essereUSER_SRP_AUTH.

Controlla gli attributi obbligatori definiti nella configurazione del tuo pool di utenti.

Utilizzando gli strumenti di acquisizione di rete nel browser, recupera la risposta SAML. Potrebbe essere necessario eseguire la decodifica di URL e base64. Verifica che l'attributo sia presente nell'asserzione SAML.

Accedi al tuo provider di identità e controlla gli attributi che sta inviando ad Amazon Cognito. Verifica che l'IdP sia configurato per inviare l'attributo richiesto utilizzando il nome corretto.

Per gli attributi immutabili, esegui il seguente AWS CLI comando per identificarli:. aws cognito-idp describe-user-pool --user-pool-id USER-POOL-ID --query 'UserPool.SchemaAttributes[?Mutable==`false`].Name'

Nelle mappature degli attributi SAML del tuo IdP, elimina qualsiasi mappatura che abbia come target un attributo Amazon Cognito immutabile. In alternativa, aggiorna l'attributo di destinazione con un altro attributo mutabile.

Nella console di gestione del tuo IdP, aggiorna l'applicazione con il formato URL ACS corretto, assicurandoti che utilizzi l'associazione. HTTP POST

Formato di dominio predefinito: https://cognito-idp.Region.amazonaws.com/your user pool ID/saml2/idpresponse

Formato di dominio personalizzato: https://auth.example.com/saml2/idpresponse

Per i flussi avviati dal fornitore di servizi (avviati da SP): avvia sempre l'autenticazione sull'endpoint del pool di utenti. /oauth2/authorize Le asserzioni SAML che non restituiscono RelayState i parametri della visita iniziale dell'utente ad Amazon Cognito non sono richieste avviate da SP valide.

Per i flussi avviati dal provider di identità (iniziati dall'IdP): l'IdP deve includere il RelayState parametro con l'asserzione SAML all'endpoint, utilizzando il /saml2/idpresponse formato richiesto:. redirect_uri=REDIRECT_URI&state=STATE

Per le applicazioni pubbliche: utilizzare SetUserMFAPreferencecon un token di accesso valido per consentire agli utenti di impostare le proprie preferenze MFA

Per le applicazioni gestite dall'amministratore: utilizzare AdminSetUserMFAPreferencecon le AWS credenziali per configurare le preferenze MFA dell'utente

Controlla le cartelle di posta indesiderata e posta indesiderata dell'utente.

Verifica che l'utente esista nel pool di utenti.

Verifica che lo stato dell'utente non lo siaFORCE_CHANGE_PASSWORD. In tal caso, l'utente è stato creato da un amministratore e Amazon Cognito gli chiederà di impostare una password quando accede con la password temporanea.

Verifica che l'utente disponga di un attributo e-mail o numero di telefono verificato.

Verifica il limite di spesa del tuo account per gli SMS

Controlla la quota di invio di messaggi di Amazon Simple Email Service (Amazon SES).

Verifica se sia SMS che Amazon SES (se il tuo pool di utenti è configurato per Inviare e-mail con Amazon SES) sono stati spostati fuori dalla sandbox. Se non sono stati rimossi dalla sandbox, indirizzi e-mail o numeri di telefono che non sono stati verificati da Amazon SES o che non AWS End User Messaging SMS saranno in grado di ricevere codici di reimpostazione della password.

Se l'utente ha un fattore MFA attivo, verifica che non stia cercando di generare un messaggio sullo stesso fattore. Ad esempio, gli utenti con MFA e-mail attivo non possono inviare codici di reimpostazione della password tramite e-mail.

Verifica le impostazioni di ripristino: nel tuo pool di utenti, vai su Accedi > Ripristino dell'account utente. Assicurati che il ripristino dell'account self-service sia abilitato e controlla l'impostazione del metodo di recapito dei messaggi di ripristino.

Verifica la verifica degli attributi utente: verifica che l'utente abbia un indirizzo email o un numero di telefono verificato che corrisponda alla configurazione del metodo di ripristino. Nella console, vai al profilo dell'utente, seleziona Attributi utente > Modifica e contrassegna l'attributo appropriato come verificato.

Risolvi i conflitti MFA: gli utenti il cui metodo MFA preferito è l'e-mail non possono ricevere codici di reimpostazione della password tramite e-mail e gli utenti con MFA SMS non possono ricevere codici tramite SMS. Aggiorna il metodo di recapito dei messaggi di ripristino per fornire opzioni alternative come SMS se disponibili, altrimenti e-mail o e-mail se disponibile, altrimenti SMS.

Verifica amministrativa: utilizza l'operazione API per verificare AdminUpdateUserAttributesa livello di codice gli attributi utente quando l'accesso alla console non è disponibile.