Réponses aux erreurs de l’interface utilisateur hébergée et de fédération - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Réponses aux erreurs de l’interface utilisateur hébergée et de fédération

Un processus de connexion dans l’interface utilisateur hébergée ou dans la connexion fédérée peut renvoyer une erreur. Les conditions suivantes peuvent avoir pour conséquence que l’authentification se termine avec une erreur.

  • Un utilisateur effectue une opération que votre groupe d’utilisateurs ne peut pas effectuer.

  • Un déclencheur Lambda ne répond pas avec la syntaxe attendue.

  • Votre fournisseur d’identité (IdP) renvoie une erreur.

  • Amazon Cognito n’a pas pu valider les informations d’attribut fournies par votre utilisateur.

  • Votre fournisseur d’identité n’a pas envoyé les champs standard correspondant aux attributs requis.

Quand Amazon Cognito rencontre une erreur, il la communique de l’une des manières suivantes.

  1. Amazon Cognito envoie une redirection URL avec l'erreur dans les paramètres de la demande.

  2. Amazon Cognito affiche une erreur dans l’interface utilisateur hébergée.

Les erreurs qu’Amazon Cognito ajoute aux paramètres de demande ont le format suivant.

https://<Callback URL>/?error_description=error+description&error=error+name

Lorsque vous aidez vos utilisateurs à envoyer des informations d'erreur lorsqu'ils ne peuvent pas effectuer une opération, demandez-leur de capturer le URL texte ou une capture d'écran de la page.

Note

Les descriptions d’erreurs Amazon Cognito ne sont pas des chaînes fixes et vous ne devez pas utiliser de logique basée sur un modèle ou un format fixe.

OIDCet messages d'erreur du fournisseur d'identité sociale

Votre fournisseur d’identité peut renvoyer une erreur. Lorsqu'un IdP OIDC ou OAuth 2.0 renvoie une erreur conforme aux normes, Amazon Cognito redirige votre utilisateur vers le rappel URL et ajoute la réponse d'erreur du fournisseur aux paramètres de demande d'erreur. Amazon Cognito ajoute le nom du fournisseur et le code HTTP d'erreur aux chaînes d'erreur existantes.

URLVoici un exemple de redirection depuis un IdP qui a renvoyé une erreur à Amazon Cognito.

https://www.amazon.com/?error_description=LoginWithAmazon+Error+-+400+invalid_request+The+request+is+missing+a+required+parameter+%3A+client_secret&error=invalid_request

Comme Amazon Cognito renvoie uniquement ce qu’il reçoit d’un fournisseur, votre utilisateur peut voir un sous-ensemble de ces informations.

Quand votre utilisateur rencontre un problème avec la connexion initiale via votre fournisseur d’identité, le fournisseur d’identité remet les messages d’erreur directement à votre utilisateur. Amazon Cognito transmet un message d’erreur à votre utilisateur lorsqu’il demande à votre fournisseur d’identité de valider la session de votre utilisateur. Amazon Cognito transmet les messages d'erreur et les messages d'erreur OAuth OIDC IdP provenant des points de terminaison suivants.

/token

Amazon Cognito échange un code d’autorisation du fournisseur d’identité pour obtenir un jeton d’accès.

/.well-known/openid-configuration

Amazon Cognito découvre le chemin d’accès aux points de terminaison de votre émetteur.

/.well-known/jwks.json

Pour vérifier les jetons JSON Web de votre utilisateur (JWTs), Amazon Cognito découvre les clés JSON Web (JWKs) que votre IdP utilise pour signer les jetons.

Amazon Cognito n'initie pas de sessions sortantes vers des fournisseurs SAML 2.0 susceptibles de renvoyer des erreurs. Par conséquent, HTTP les erreurs de vos utilisateurs lors d'une session avec un SAML IdP 2.0 n'incluent pas ce type de message d'erreur du fournisseur.