Я развернул сервер Apache Guacamole и пытаюсь настроить SSO с использованием SAML с Cloud IdaaS. HAproxy находится перед сервером Guacamole, обеспечивая SSL-разгрузку. Apache Guacamole был настроен в соответствии с руководством на веб-сайте Guacamole.
Когда я пытаюсь пройти аутентификацию с помощью SAML, я попадаю в цикл перенаправления. В журналах Tomcat появляется следующее сообщение:
03:45:29.364 [http-nio-8080-exec-9] WARN o.a.g.a.s.a.AssertionConsumerServiceResource - Authentication attempted with an invalid SAML response: SAML response did not pass validation: The response was received at http://my.personal.domain/guacamole/api/ext/saml/callback instead of https://my.personal.domain/guacamole/api/ext/saml/callback
Я проверил настройки в IdP и убедился, что все действительно настроено на HTTPS. Интересно, связана ли проблема с тем, что трафик между HAProxy и Guacamole является HTTP, но я не знаю, как или что сделать, чтобы это изменить. Я с удовольствием использую самоподписанный сертификат между HAProxy и Guacamole, поскольку они оба находятся в защищенной сети.
Мы будем очень признательны за любые идеи, которыми вы могли бы поделиться.
решение1
Мне удалось исправить это самостоятельно, переключив Tomcat на SSL.