Réponses aux erreurs de connexion et de fédération gérées - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Réponses aux erreurs de connexion et de fédération gérées

Un processus de connexion dans le cadre d'une connexion gérée ou d'une connexion fédérée peut renvoyer une erreur. Les conditions suivantes peuvent avoir pour conséquence que l’authentification se termine avec une erreur.

  • Un utilisateur effectue une opération que votre groupe d’utilisateurs ne peut pas effectuer.

  • Un déclencheur Lambda ne répond pas avec la syntaxe attendue.

  • Votre fournisseur d’identité (IdP) renvoie une erreur.

  • Amazon Cognito n’a pas pu valider les informations d’attribut fournies par votre utilisateur.

  • Votre fournisseur d’identité n’a pas envoyé les champs standard correspondant aux attributs requis.

Quand Amazon Cognito rencontre une erreur, il la communique de l’une des manières suivantes.

  1. Amazon Cognito envoie une URL de redirection avec l’erreur dans les paramètres de demande.

  2. Amazon Cognito affiche une erreur lors de la connexion gérée.

Les erreurs qu’Amazon Cognito ajoute aux paramètres de demande ont le format suivant.

https://<Callback URL>/?error_description=error+description&error=error+name

Lorsque vous aidez vos utilisateurs à envoyer des informations d’erreur lorsqu’ils ne peuvent pas effectuer une opération, demandez-leur de capturer l’URL et le texte ou une capture d’écran de la page.

Note

Les descriptions d’erreurs Amazon Cognito ne sont pas des chaînes fixes et vous ne devez pas utiliser de logique basée sur un modèle ou un format fixe.

Messages d’erreur des fournisseurs d’identité sociale et OIDC

Votre fournisseur d’identité peut renvoyer une erreur. Lorsqu'un IdP OIDC ou OAuth 2.0 renvoie une erreur conforme aux normes, Amazon Cognito redirige votre utilisateur vers l'URL de rappel et ajoute la réponse d'erreur du fournisseur aux paramètres de demande d'erreur. Amazon Cognito ajoute le nom du fournisseur et le code d’erreur HTTP aux chaînes d’erreur existantes.

L’URL suivante est un exemple de redirection depuis un fournisseur d’identité qui a renvoyé une erreur à Amazon Cognito.

https://www.amazon.com/?error_description=LoginWithAmazon+Error+-+400+invalid_request+The+request+is+missing+a+required+parameter+%3A+client_secret&error=invalid_request

Comme Amazon Cognito renvoie uniquement ce qu’il reçoit d’un fournisseur, votre utilisateur peut voir un sous-ensemble de ces informations.

Quand votre utilisateur rencontre un problème avec la connexion initiale via votre fournisseur d’identité, le fournisseur d’identité remet les messages d’erreur directement à votre utilisateur. Amazon Cognito transmet un message d’erreur à votre utilisateur lorsqu’il demande à votre fournisseur d’identité de valider la session de votre utilisateur. Amazon Cognito relaie les messages d'erreur OAuth OIDC IdP depuis les points de terminaison suivants.

/token

Amazon Cognito échange un code d’autorisation du fournisseur d’identité pour obtenir un jeton d’accès.

/.well-known/openid-configuration

Amazon Cognito découvre le chemin d’accès aux points de terminaison de votre émetteur.

/.well-known/jwks.json

Pour vérifier les jetons Web JSON de votre utilisateur (JWTs), Amazon Cognito découvre les clés Web JSON (JWKs) que votre IdP utilise pour signer les jetons.

Comme Amazon Cognito ne lance pas de sessions sortantes vers des fournisseurs SAML 2.0 susceptibles de renvoyer des erreurs HTTP, les erreurs de vos utilisateurs dans le cadre d’une session avec un fournisseur d’identité SAML 2.0 n’incluent pas ce type de message d’erreur de fournisseur.