Respuestas de error de IU alojada y federación

Es posible que un proceso de inicio de sesión en la interfaz de usuario alojada o el inicio de sesión federado devuelva un error. A continuación, se muestran algunas condiciones que pueden provocar que la autenticación finalice con un error.

Un usuario realiza una operación que el grupo de usuarios no puede realizar.
Un desencadenador de Lambda no responde con la sintaxis esperada.
El proveedor de identidades (IdP) devuelve un error.
Amazon Cognito no pudo validar la información de atributos proporcionada por el usuario.
El IdP no envió reclamaciones que se asignan a los atributos obligatorios.

Cuando Amazon Cognito encuentra un error, lo comunica de una de las siguientes maneras.

Amazon Cognito envía una URL de redireccionamiento con el error en los parámetros de la solicitud.
Amazon Cognito muestra un error en la IU alojada.

Los errores que Amazon Cognito agrega a los parámetros de la solicitud tienen el siguiente formato.


https://<Callback URL>/?error_description=error+description&error=error+name

Cuando ayude a los usuarios a enviar información de error cuando no puedan realizar una operación, pídales que capturen la URL y el texto o una captura de pantalla de la página.

nota

Las descripciones de errores de Amazon Cognito no son cadenas fijas y no debe utilizar una lógica que se base en un patrón o formato fijo.

Mensajes de error de OIDC y del proveedor de identidad social

Es posible que el proveedor de identidades devuelva un error. Cuando un IdP de OIDC u OAuth 2.0 devuelve un error que cumple con los estándares, Amazon Cognito redirige al usuario a la URL de devolución de llamada y agrega la respuesta de error del proveedor a los parámetros de la solicitud de error. Amazon Cognito agrega el nombre del proveedor y el código de error HTTP a las cadenas de error existentes.

La siguiente URL es un ejemplo de redireccionamiento desde un IdP que devolvió un error a Amazon Cognito.


https://www.amazon.com/?error_description=LoginWithAmazon+Error+-+400+invalid_request+The+request+is+missing+a+required+parameter+%3A+client_secret&error=invalid_request

Dado que Amazon Cognito solo devuelve lo que recibe de un proveedor, es posible que el usuario vea un subconjunto de esta información.

Cuando el usuario encuentra un problema con el inicio de sesión inicial a través del IdP, el IdP envía los mensajes de error directamente al usuario. Amazon Cognito transmite un mensaje de error al usuario cuando genera una solicitud al IdP para validar la sesión del usuario. Amazon Cognito transmite los mensajes de error del IdP de OAuth y OIDC desde los siguientes puntos de conexión.

/token: Amazon Cognito intercambia un código de autorización de IdP por un token de acceso.
/.well-known/openid-configuration: Amazon Cognito descubre la ruta hacia los puntos de conexión del emisor.
/.well-known/jwks.json: Para verificar los JSON Web Tokens (JWT) de los usuarios, Amazon Cognito descubre las claves web JSON (JWK) que el IdP utiliza para firmar los tokens.

Dado que Amazon Cognito no inicia sesiones salientes con proveedores de SAML 2.0 que es posible que devuelvan errores HTTP, los errores de los usuarios durante una sesión con un IdP SAML 2.0 no incluyen este tipo de mensaje de error del proveedor.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de la PKCE

Grupos de identidades de Amazon Cognito