我在面向互联网的前端中使用 ms 应用程序代理进行工作设置,并使用 SAML 扩展为 1.3 的鳄梨酱和下面的 guacamole.properties 文件。
# Available as "Login URL" from the Azure Active Directory Console
saml-idp-metadata-url: file:///etc/guacamole/metadata.xml
# The Entity ID you assigned to this application
saml-entity-id: https://example.privatedomain.com
# The redirect URL
saml-callback-url: https://example-public.msappproxy.net/
saml-debug: true
现在,当您使用 https://example-public.msappproxy.net/ 时,它会重定向到 azure 进行身份验证,然后重定向到鳄梨酱,但在浏览器中,URI 仍为“https://example-public.msappproxy.net” /#/?responseHash=E666C2CD34669C06776889QCJKADTAOIUD8A763FD0B77F"
但是对于 SAML 1.4,此设置最终会在 ms 和鳄梨酱之间循环。
MS App 代理设置完全相同。鳄梨酱或 MS 端是否需要任何额外的配置?
注意:只是一个简短的 MS 应用程序代理,其回复 URI 设置为“https://example.privatedomain.com”和“https://example-public.msappproxy.net/”,但 MS 应用程序代理默认设置为 URI。
以下是 1.4 鳄梨酱日志中的错误
ERROR c.onelogin.saml2.authn.SamlResponse - The response was received at https://example.privatedomain.com/api/ext/saml/callback instead of https://example-public.msappproxy.net/api/ext/saml/callback
SAML 扩展知道响应是在
https://example.privatedomain.comhttps://example-public.msappproxy.net在SAML扩展中,
saml-stricttruesaml-strict: false如果您有一个鳄梨酱通过 HTTP 提供服务并使用处理 HTTPS 的负载均衡器,也会发生同样的情况,鳄梨酱服务器将在
http://guacamole.privatedomain.comhttps://guacamole.privatedomain.com您还应该考虑更改您的
saml-idp-metadata-url我也进行了搜索,通过在 Tomcat 配置(/etc/tomcat9/server.xml)连接器块中设置这些行,可以通过代理传递正确的 URL/协议:
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443"
# New lines are here :
proxyName="FQDN.guacamole.com"
proxyPort="443"
secure="true"
scheme="https"/>
瞧