Respuestas de error de IU alojada y federación - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Respuestas de error de IU alojada y federación

Es posible que un proceso de inicio de sesión en la interfaz de usuario alojada o el inicio de sesión federado devuelva un error. A continuación, se muestran algunas condiciones que pueden provocar que la autenticación finalice con un error.

  • Un usuario realiza una operación que el grupo de usuarios no puede realizar.

  • Un desencadenador de Lambda no responde con la sintaxis esperada.

  • El proveedor de identidades (IdP) devuelve un error.

  • Amazon Cognito no pudo validar la información de atributos proporcionada por el usuario.

  • El IdP no envió reclamaciones que se asignan a los atributos obligatorios.

Cuando Amazon Cognito encuentra un error, lo comunica de una de las siguientes maneras.

  1. Amazon Cognito envía una redirección URL con el error en los parámetros de la solicitud.

  2. Amazon Cognito muestra un error en la IU alojada.

Los errores que Amazon Cognito agrega a los parámetros de la solicitud tienen el siguiente formato.

https://<Callback URL>/?error_description=error+description&error=error+name

Cuando ayude a sus usuarios a enviar información de error cuando no puedan realizar una operación, solicite que capturen el URL texto o una captura de pantalla de la página.

nota

Las descripciones de errores de Amazon Cognito no son cadenas fijas y no debe utilizar una lógica que se base en un patrón o formato fijo.

OIDCy mensajes de error del proveedor de identidad social

Es posible que el proveedor de identidades devuelva un error. Cuando un IDP OIDC o OAuth 2.0 devuelve un error que cumple con los estándares, Amazon Cognito redirige al usuario a la devolución de llamada URL y añade la respuesta de error del proveedor a los parámetros de la solicitud de error. Amazon Cognito añade el nombre del proveedor y el código de HTTP error a las cadenas de error existentes.

A continuación, URL se muestra un ejemplo de redireccionamiento desde un IdP que devolvió un error a Amazon Cognito.

https://www.amazon.com/?error_description=LoginWithAmazon+Error+-+400+invalid_request+The+request+is+missing+a+required+parameter+%3A+client_secret&error=invalid_request

Dado que Amazon Cognito solo devuelve lo que recibe de un proveedor, es posible que el usuario vea un subconjunto de esta información.

Cuando el usuario encuentra un problema con el inicio de sesión inicial a través del IdP, el IdP envía los mensajes de error directamente al usuario. Amazon Cognito transmite un mensaje de error al usuario cuando genera una solicitud al IdP para validar la sesión del usuario. Amazon Cognito retransmite y mensajes de error de OAuth OIDC IdP desde los siguientes puntos de enlace.

/token

Amazon Cognito intercambia un código de autorización de IdP por un token de acceso.

/.well-known/openid-configuration

Amazon Cognito descubre la ruta hacia los puntos de conexión del emisor.

/.well-known/jwks.json

Para verificar los JSON Web Tokens de su usuario (JWTs), Amazon Cognito descubre las JSON Web Keys (JWKs) que su IdP utiliza para firmar los tokens.

Como Amazon Cognito no inicia sesiones salientes a proveedores SAML 2.0 que puedan generar HTTP errores, los errores de los usuarios durante una sesión con un SAML IDP 2.0 no incluyen este tipo de mensaje de error del proveedor.