翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ホストされた UI とフェデレーションエラーレスポンス
ホスト UI のサインインプロセスまたはフェデレーションログインでエラーが返されることがあります。認証がエラーで終了する原因となる条件は次のとおりです。
-
ユーザープールでは実行できない操作を、ユーザーが実行する。
-
Lambda トリガーが想定どおりの構文で応答しない。
-
ID プロバイダー (IdP) がエラーを返す。
-
Amazon Cognito は、ユーザーが提供した属性情報を検証できませんでした。
-
IdP は、必須の属性に対応するクレームを送信しませんでした。
Amazon Cognito はエラーを検出すると、以下のいずれかの方法でエラーを通知します。
-
Amazon Cognito は、リクエストパラメータのエラーURLを含むリダイレクトを送信します。
-
Amazon Cognito はホストされた UI にエラーを表示します。
Amazon Cognito がリクエストパラメータに追加するエラーの形式は次のとおりです。
https://
<Callback URL>
/?error_description=error+description
&error=error+name
ユーザーが操作を実行できない場合にエラー情報を送信するのを手伝うときは、 URLとページのテキストまたはスクリーンショットをキャプチャするようにリクエストします。
注記
Amazon Cognito エラーの説明は固定文字列ではないため、固定のパターンや形式に依存するロジックは使用しないでください。
OIDC およびソーシャル ID プロバイダーのエラーメッセージ
ID プロバイダー (IdP) は、エラーを返すことがあります。OIDC または OAuth2.0 IdP が標準に準拠するエラーを返すと、Amazon Cognito はユーザーをコールバックにリダイレクトURLし、プロバイダーエラーレスポンスをエラーリクエストパラメータに追加します。Amazon Cognito は、プロバイダー名とHTTPエラーコードを既存のエラー文字列に追加します。
以下は、Amazon Cognito にエラーを返した IdP からのリダイレクトの例URLです。
https://
www.amazon.com
/?error_description=LoginWithAmazon
+Error+-+400
+invalid_request+The+request+is+missing+a+required+parameter+%3A+client_secret
&error=invalid_request
Amazon Cognito はプロバイダーから受け取ったもののみを返すため、ユーザーにはこの情報のサブセットが表示される場合があります。
IdP による初回ログインで問題が発生すると、IdP はすべてのエラーメッセージをユーザーに直接配信します。Amazon Cognito は、ユーザーセッションを検証するリクエストを IdP に生成すると、エラーメッセージをユーザーに中継します。次のエンドポイントからの Amazon Cognito リレーOAuthと OIDC IdP エラーメッセージ。
/token
-
Amazon Cognito が IdP の認可コードをアクセストークンと交換します。
/.well-known/openid-configuration
-
Amazon Cognito は発行者のエンドポイントへのパスを検出します。
/.well-known/jwks.json
-
ユーザーのJSONウェブトークン (JWTs) を検証するため、Amazon Cognito は IdP がトークンの署名に使用するJSONウェブキー (JWKs) を検出します。
Amazon Cognito はHTTPエラーを返す可能性のある 2.0 SAML プロバイダーへのアウトバウンドセッションを開始しないため、SAML2.0 IdP のセッション中のユーザーのエラーには、この形式のプロバイダーエラーメッセージは含まれません。