Я пытаюсь выполнить интеграцию с OneLogin с помощью балансировщика нагрузки приложений AWS. Я выполнил инструкции, приведенные здесь. Я могу пройти процесс адаптации, но когда я закончу вводить свою информацию, на странице появится 561 Authentication Error.
Информация о балансировщике нагрузки
Он настроен с группой безопасности, которая:
- Разрешает весь входящий трафик из Интернета по HTTP и HTTPS.
- Разрешает исходящий трафик из любого места по HTTPS.
Он прослушивает HTTPS: 443 с действующим сертификатом SSL. У этого слушателя есть правило для аутентификации OIDC, которое настроено следующим образом:
Authenticate using OIDC
Issuer: https://openid-connect.onelogin.com/oidc
Token endpoint: https://openid-connect.onelogin.com/oidc/token
User info endpoint: https://openid-connect.onelogin.com/oidc/me
Authorization endpoint: https://openid-connect.onelogin.com/oidc/auth
Session cookie: AWSELBAuthSessionCookie
Session timeout: 604800
On unauthenticated: authenticate
Scope: openid profile
(идентификатор клиента и секрет клиента опущены)
После этого он указывает на целевую группу, которая направляется к экземпляру ECS. Без этого шага аутентификации экземпляр ECS работает должным образом, и приложение появляется.
Информация об ответе
Заголовки запроса после входа в систему (идентифицирующая информация опущена):
:authority: ***
:method: GET
:path: /oauth2/idpresponse?code=***&state=***
:scheme: https
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9,fr-FR;q=0.8,fr;q=0.7
cache-control: max-age=0
referer: https://***.onelogin.com/login2/?return=***
sec-fetch-dest: document
sec-fetch-mode: navigate
sec-fetch-site: cross-site
sec-fetch-user: ?1
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Заголовки ответа:
content-length: 558
content-type: text/html
date: Thu, 09 Jul 2020 17:08:10 GMT
server: awselb/2.0
status: 561
Я просто не понимаю, в какой части потока что-то идет не так. В документации для AWS ELB указано примерно 561 код ошибки:
HTTP 561: Unauthorized Вы настроили правило прослушивателя для аутентификации пользователей, но IdP вернул код ошибки при аутентификации пользователя.
Итак, я полагаю, что с частью OneLogin что-то не так. Любые идеи поощряются. Спасибо!
