Implantei um servidor Apache Guacamole e tentei configurar o SSO usando SAML com Cloud IdaaS. O HAproxy está na frente do servidor Guacamole, fornecendo descarregamento SSL. O Apache Guacamole foi configurado seguindo o tutorial no site do Guacamole.
Quando tento autenticar usando SAML, estou em um loop de redirecionamento. A seguinte mensagem está aparecendo nos logs do Tomcat:
03:45:29.364 [http-nio-8080-exec-9] WARN o.a.g.a.s.a.AssertionConsumerServiceResource - Authentication attempted with an invalid SAML response: SAML response did not pass validation: The response was received at http://my.personal.domain/guacamole/api/ext/saml/callback instead of https://my.personal.domain/guacamole/api/ext/saml/callback
Verifiquei a configuração no IdP e confirmei que tudo está realmente configurado para HTTPS. Gostaria de saber se o problema tem a ver com o tráfego entre HAProxy e Guacamole ser HTTP, mas não sei como ou o que fazer para mudar isso. Fico feliz em usar um certificado autoassinado entre HAProxy e Guacamole, pois ambos estão em uma rede protegida.
Qualquer idéia que você possa compartilhar será muito apreciada.
Responder1
Consegui consertar isso sozinho mudando o Tomcat para SSL.