Apache Guacamole サーバーをデプロイし、Cloud IdaaS で SAML を使用して SSO を構成しようとしています。HAproxy は Guacamole サーバーの前にあり、SSL オフロードを提供します。Apache Guacamole は、Guacamole Web サイトのチュートリアルに従って構成されました。
SAML を使用して認証しようとすると、リダイレクト ループに陥ります。Tomcat ログに次のメッセージが表示されます。
03:45:29.364 [http-nio-8080-exec-9] WARN o.a.g.a.s.a.AssertionConsumerServiceResource - Authentication attempted with an invalid SAML response: SAML response did not pass validation: The response was received at http://my.personal.domain/guacamole/api/ext/saml/callback instead of https://my.personal.domain/guacamole/api/ext/saml/callback
IdP の設定をチェックし、すべてが確かに HTTPS 用に構成されていることを確認しました。この問題は、HAProxy と Guacamole 間のトラフィックが HTTP であることに関係しているのではないかと考えていますが、それを変更する方法や手順がわかりません。HAProxy と Guacamole はどちらも保護されたネットワーク上にあるため、両者の間で自己署名証明書を使用することに問題はありません。
共有していただけるアイデアがあれば、ぜひお知らせください。
答え1
Tomcat を SSL に切り替えることで、この問題を自分で解決できました。