AWS Application Load Balancer с OneLogin выдает ошибку аутентификации 561

Question

Я пытаюсь интегрироваться с OneLogin с помощью AWS Application Load Balancer. Я выполнил инструкции здесь . Я могу go через процесс адаптации, но когда я заканчиваю sh вводить свою информацию, на странице отображается 561 Authentication Error.

Информация о балансировщике нагрузки

Это настроена с группой безопасности, которая:

• Разрешает весь входящий трафик c из Inte rnet по HTTP и HTTPS.
• Разрешает исходящий трафик c из любого места по HTTPS .

Он прослушивает HTTPS: 443 с действующим сертификатом SSL. У этого слушателя есть правило для аутентификации OID C, которое настроено следующим образом:

Authenticate using OIDC
Issuer: https://openid-connect.onelogin.com/oidc
Token endpoint: https://openid-connect.onelogin.com/oidc/token
User info endpoint: https://openid-connect.onelogin.com/oidc/me
Authorization endpoint: https://openid-connect.onelogin.com/oidc/auth
Session cookie: AWSELBAuthSessionCookie
Session timeout: 604800
On unauthenticated: authenticate
Scope: openid profile

(идентификатор клиента и секрет клиента опущены)

После этого он указывает на целевую группу, которая направляется к экземпляр ECS. Без этого шага аутентификации экземпляр ECS работает должным образом, и приложение появляется.

Ответная информация

Заголовки запроса после входа в систему (идентифицирующая информация опущена):

:authority: ***
:method: GET
:path: /oauth2/idpresponse?code=***&state=***
:scheme: https
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9,fr-FR;q=0.8,fr;q=0.7
cache-control: max-age=0
referer: https://***.onelogin.com/login2/?return=***
sec-fetch-dest: document
sec-fetch-mode: navigate
sec-fetch-site: cross-site
sec-fetch-user: ?1
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

Заголовки ответов:

content-length: 558
content-type: text/html
date: Thu, 09 Jul 2020 17:08:10 GMT
server: awselb/2.0
status: 561

Я просто не понимаю, в какой части потока что-то идет не так. В документации для AWS ELB указывается примерно 561 код ошибки:

HTTP 561: Unauthorized Вы настроили правило прослушивателя для аутентификации пользователей, но IdP вернул код ошибки при аутентификации пользователя.

Итак, я полагаю, что с частью OneLogin что-то не так. Любые идеи были бы хорошы. Спасибо!

Answer 1

Я получил доступ к конфигурации приложения и обнаружил, что конечная точка токена была установлена ​​на Интернет, а не на POST. Обновление правильно решило проблему. Спасибо!