本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 受管登入和聯合錯誤回應
<a name="federation-endpoint-idp-responses"></a>

受管登入或聯合登入中的登入程序可能會傳回錯誤。下列是一些可能導致以錯誤結束驗證的情況。
+ 使用者執行使用者集區無法完成的操作。
+ Lambda 觸發程序沒有以預期的語法回應。
+ 您的身分提供者 (IdP) 傳回錯誤。
+ Amazon Cognito 無法驗證您的使用者所提供的屬性資訊。
+ 您的 IdP 沒有向映射的屬性傳送所需的宣告。

當 Amazon Cognito 發生錯誤時，會以下列其中一種方式進行通訊。

1. Amazon Cognito 傳送的請求參數中包含錯誤的重新導向 URL。

1. Amazon Cognito 會在受管登入中顯示錯誤。

Amazon Cognito 附加到請求參數的錯誤具有下列格式。

```
https://<Callback URL>/?error_description=error+description&error=error+name
```

當您協助使用者在無法執行操作而提交錯誤資訊時，請要求使用者擷取 URL 以及頁面的文字或是螢幕擷取畫面。

**注意**  
Amazon Cognito 錯誤說明並非固定字串，因此您不應使用依賴固定模式或格式的邏輯。

**OIDC 和社交身分提供者錯誤訊息**  
您的身分提供者可能會傳回錯誤訊息。當 OIDC 或 OAuth 2.0 IdP 傳回符合標準的錯誤時，Amazon Cognito 會將您的使用者重新導向至回呼 URL，並將提供者錯誤回應新增至錯誤請求參數。Amazon Cognito 會將提供者名稱和 HTTP 錯誤代碼新增至現有的錯誤字串。

下列 URL 是從 IdP 傳回錯誤至 Amazon Cognito 的重新導向範例。

```
https://www.amazon.com/?error_description=LoginWithAmazon+Error+-+400+invalid_request+The+request+is+missing+a+required+parameter+%3A+client_secret&error=invalid_request
```

由於 Amazon Cognito 只會傳回從提供者收到的資訊，因此您的使用者可能會看到此資訊的子集。

當您的使用者透過 IdP 進行初始登入遇到問題時，IdP 會直接向您的使用者傳送任何錯誤訊息。當 Amazon Cognito 向您的 IdP 產生請求以驗證使用者的工作階段時，會向您的使用者轉送錯誤訊息。Amazon Cognito 從下列端點轉送 OAuth 和 OIDC IdP 錯誤訊息。

`/token`  
Amazon Cognito 會與 IdP 交換授權碼以取得存取權杖。

`/.well-known/openid-configuration`  
Amazon Cognito 會探索發布者端點的路徑。

`/.well-known/jwks.json`  
為了驗證使用者的 JSON 網頁權杖 (JWT)，Amazon Cognito 會探索您的 IdP 用來簽署權杖的 JSON 網頁金鑰 (JWK)。

由於 Amazon Cognito 不會啟用可能會回傳 HTTP 錯誤的 SAML 2.0 提供者傳出工作階段，因此，SAML 2.0 IdP 工作階段期間的使用者錯誤，不會包括在此提供者錯誤訊息格式之內。