Integración Sistema de expedientes de prueba y Mapuche de prueba

Buen día.
Estamos intentando integrar una instalación de Mapuche de test con un sistema de Expediente Electrónico Integrado desplegado según la documentación para la instancia Demo. Mapuche funciona correctamente y el sistema de expedientes aparentemente también. No se ha modificado el dominio, se está empleando uunn.local lo cual esta configurado en los archivos host de todos los equipos involucrados para que apunten a la ip donde corre expedientes.

Se sigue la guía según se indica en: https://expedientes.siu.edu.ar/docs/mapuche/

Al finalizar los pasos indicados mapuche comienza a mostrar el error: - Error interno

Revisando los logs se advierte:

Thu Jul 29 09:27:43.754334 2021] [php7:notice] [pid 17] [client 10.1.1.244:53146] toba_error_seguridad: Error Interno La configuracion de seguridad requiere la existencia de archivos certificado y clave privada para el SP\n[TRAZA]\n\t\n\ttoba_autenticacion_saml_onelogin->__construct \nArchivo: /usr/local/siu/mapuche/vendor/siu-toba/framework/php/nucleo/lib/autenticacion/toba_autenticacion_saml_onelogin.php, lInea 46 \n\t\n\ttoba_manejador_sesiones->get_autenticacion \nArchivo: /usr/local/siu/mapuche/php/comunes/login/ci_login.php, lInea 42 \n\t\n\tci_login->ini \nArchivo: /usr/local/siu/mapuche/vendor/siu-toba/framework/php/nucleo/componentes/interface/toba_ci.php, lInea 94 \n\t\n\ttoba_ci->inicializar \nArchivo: /usr/local/siu/mapuche/vendor/siu-toba/framework/php/nucleo/toba_solicitud_web.php, lInea 132 \n\t\n\ttoba_solicitud_web->procesar_eventos \nArchivo: /usr/local/siu/mapuche/vendor/siu-toba/framework/php/nucleo/toba_solicitud_web.php, lInea 55 \n\t\n\ttoba_solicitud_web->procesar \nArchivo: /usr/local/siu/mapuche/vendor/siu-toba/framework/php/nucleo/toba_nucleo.php, lInea 96 \n\t\n\ttoba_nucleo->acceso_we…SIGUE…

El archivo instalacion/i__produccion/p__toba_usuarios/rest/rest_arai_usuarios/cliente.ini esta configurado como sigue:
[conexion]
;;Recuerde dejar una barra (/) al finalizar la URL
to = “https://uunn.local/api-usuarios/v1/usuarios
auth_tipo = “basic”
auth_usuario = “mapucheusuarios”
auth_password = “claveusuarios”

;Parametros para auth_tipo = ssl
;cert_file=/path_al_certificado
;cert_pwd=PASSWORDDECERT
;key_file=/path_de_clave_privada
;ca_cert=/path_al_certificado_CA

Les agradecemos si nos pueden dar algún norte para empezar a investigar.

Alfredo,

Buenas tardes, aparentemente el problema esta en el archivo saml_oneloguin.ini, deberían revisar ese paso en la documentación mencionada.

Saludos

8

Mirando el archivo instalacion/saml_onelogin.ini, el mismo coincide con el que se muestra en la documentación, adjunto para referencia:

[basicos]
permite_login_toba = “0”
atributo_usuario = “defaultUserAccount”

[sp]
auth_source = “default-sp”
session.phpsession.cookiename = “TOBA_SESSID”
proyecto_login = “mapuche”
idp = “https://uunn.local/idp/saml2/idp/metadata.php

[idp:http://service.example.com/simplesaml/saml2/idp/metadata.php]

[idp:https://uunn.local/idp/saml2/idp/metadata.php]
SingleSignOnService = “https://uunn.local/idp/saml2/idp/SSOService.php
SingleLogoutService = “https://uunn.local/idp/saml2/idp/SingleLogoutService.php
certFile = “/usr/local/siu/mapuche/instalacion/idp.crt”

Hola Alfredo,

la aplicación Toba les pide que se cree un par de certificados para el SP (aca se explica porqué pasa). Si no los generan, pueden desactivar configurado en la sección basicos verifyPeer = “0”.

Saludos!

Realizamos nuevamente la instalacion del sistema de expediente de desarrollo, esta vez utilizando un certificado de letsencrypt y publicando a internet el dominio. Luego aplicamos y verificamos lo antes indicado en este hilo. El dominio utilizado es seei1.uader.edu.ar.
Ahora al ingresar a mapuche nos redirecciona a https://seei1.uader.edu.ar/idp/module.php/arai/loginuserpass.php/arai/loginuserpass.php
y en pantalla dice “Ocurrio un error”

En los logs no hay entradas de error esta vez.

La sección SP ONE LOGIN del archivo instalador.env quedó:

CONFIG SP ONE LOGIN

SSO_SP_IDP_METADATA_URL=https://seei1.uader.edu.ar/idp/saml2/idp/metadata.php
SSO_SP_IDP_URL_SERVICE=https://seei1.uader.edu.ar/idp/saml2/idp/SSOService.php
SSO_SP_IDP_SINGLE_LOGOUT_URL_SERVICE=https://seei1.uader.edu.ar/idp/saml2/idp/SingleLogoutService.php
SSO_SP_IDP_PUBLIC_KEY_FILE=/usr/local/siu/mapuche/temp/certificado_idp.crt
SSO_SP_ATRIBUTO_USUARIO=defaultUserAccount
SSO_SP_PERMITE_LOGIN_TOBA=0
SSO_SP_AUTH_SOURCE=default-sp
SSO_SP_COOKIE_NAME=TOBA_SESSID
SSO_SP_IDP_NAME=https://seei1.uader.edu.ar

el archivo smal_onelogin.ini quedo:
[basicos]
permite_login_toba = “0”
atributo_usuario = “defaultUserAccount”
verifyPeer = “0”

[sp]
auth_source = “default-sp”
session.phpsession.cookiename = “TOBA_SESSID”
proyecto_login = “mapuche”
idp = “https://seei1.uader.edu.ar/idp/saml2/idp/metadata.php

[idp:http://service.example.com/simplesaml/saml2/idp/metadata.php]

[idp:https://seei1.uader.edu.ar/idp/saml2/idp/metadata.php]
SingleSignOnService = “https://seei1.uader.edu.ar/idp/saml2/idp/SSOService.php
SingleLogoutService = “https://seei1.uader.edu.ar/idp/saml2/idp/SingleLogoutService.php
certFile = “/usr/local/siu/mapuche/instalacion/idp.crt”

Tal vez alguna ruta esta mal expresada, les agradecemos desde ya.

Hola Maximiliano,

El mensaje es demasiado generico, si no tenes una entrada de log en el IDP que pueda orientarnos te diria que es bastante dificil descubrir cual es el origen del problema.

Una opcion que se me ocurre es que les falte registrar Mapuche como SP en Arai-Usuarios, pueden acceder a este ultimo o tambien les arroja un error?.

###### CONFIG SP ONE LOGIN ###### SSO_SP_IDP_PUBLIC_KEY_FILE=/usr/local/siu/mapuche/temp/certificado_idp.crt

el archivo smal_onelogin.ini quedo:
certFile = “/usr/local/siu/mapuche/instalacion/idp.crt”

Esas 2 rutas no coinciden, por lo que una debe estar incorrecta… estaria bueno que lo corrijan asi pueden hacer uso de los comandos el instalador sin tener que realizar ajustes luego.

Saludos

Gracias Richard por la respuesta.
Corregi la diferencia de rutas para llegar al certificado. Ahora ambas apuntan a /usr/local/siu/mapuche/temp/certificado_idp.crt que es donde se ubicó el archivo que se trajo del sistema de expedientes.
Para registrar Mapuche como SP en Arai-Usuarios no tuve problemas, lo que no se es si estan bien las rutas, estan armadas en base a lo que hay en la guia (adjunto captura).
Te agradezco si me puedes indicar la ubicacion del log para el idp de usuarios. En el contenedor del idp en la ruta /var/log/apache2/ solo tengo un access.log.

Saludos y nuevamente gracias.


Captura6.PNG

Captura6.PNG_thumb.png

Captura7.PNG

Captura7.PNG_thumb.png

Hola Maximiliano,

a primera vista las urls estan bien si es que tienen publicado Mapuche en maputest.blahblah/mapuche

Te agradezco si me puedes indicar la ubicacion del log para el idp de usuarios. En el contenedor del idp en la ruta /var/log/apache2/ solo tengo un access.log.

El log del IDP lo obtenes ejecutando

docker service logs -f ID_SERVICIO

Con eso corriendo intentas el login en Mapuche y ahi te deberia saltar que esta pasando.

Saludos

Richard:
Gracias por tu respuesta.
En cuanto al maputest.uader.edu.ar/mapuche andaba sin problemas hasta que se modifico para conectar con el sistema de expedientes.

Te adjunto lo que se ve en el log del idp al intentar el acceso:

usuarios_idp.1.x78369gxy6f6@seei1 | [Wed Sep 01 07:24:15.185313 2021] [php7:notice] [pid 54] [client 10.0.9.3:48090] simplesamlphp ERR [0f3ded46da] SimpleSAML\Error\MetadataNotFound: METADATANOTFOUND(‘%’ => ‘\‘http://localhost/mapuche/default-sp\\’’)
usuarios_idp.1.x78369gxy6f6@seei1 | [Wed Sep 01 07:24:15.185774 2021] [php7:notice] [pid 54] [client 10.0.9.3:48090] simplesamlphp ERR [0f3ded46da] Backtrace:
usuarios_idp.1.x78369gxy6f6@seei1 | [Wed Sep 01 07:24:15.185855 2021] [php7:notice] [pid 54] [client 10.0.9.3:48090] simplesamlphp ERR [0f3ded46da] 3 /usr/local/app/idp/vendor/simplesamlphp/simplesamlphp/lib/SimpleSAML/Metadata/MetaDataStorageHandler.php:340 (SimpleSAML\Metadata\MetaDataStorageHandler::getMetaData)
usuarios_idp.1.x78369gxy6f6@seei1 | [Wed Sep 01 07:24:15.185920 2021] [php7:notice] [pid 54] [client 10.0.9.3:48090] simplesamlphp ERR [0f3ded46da] 2 /usr/local/app/idp/vendor/simplesamlphp/simplesamlphp/lib/SimpleSAML/Metadata/MetaDataStorageHandler.php:360 (SimpleSAML\Metadata\MetaDataStorageHandler::getMetaDataConfig)
usuarios_idp.1.x78369gxy6f6@seei1 | [Wed Sep 01 07:24:15.185982 2021] [php7:notice] [pid 54] [client 10.0.9.3:48090] simplesamlphp ERR [0f3ded46da] 1 /usr/local/app/idp/vendor/simplesamlphp/simplesamlphp/modules/saml/lib/IdP/SAML2.php:380 (SimpleSAML\Module\saml\IdP\SAML2::receiveAuthnRequest)
usuarios_idp.1.x78369gxy6f6@seei1 | [Wed Sep 01 07:24:15.186042 2021] [php7:notice] [pid 54] [client 10.0.9.3:48090] simplesamlphp ERR [0f3ded46da] 0 /usr/local/app/idp/vendor/simplesamlphp/simplesamlphp/www/saml2/idp/SSOService.php:21 (N/A)
usuarios_idp.1.x78369gxy6f6@seei1 | [Wed Sep 01 07:24:15.186220 2021] [php7:notice] [pid 54] [client 10.0.9.3:48090] simplesamlphp ERR [0f3ded46da] Error report with id f20c8dc3 generated.
usuarios_idp.1.x78369gxy6f6@seei1 | 10.0.9.3 - - [01/Sep/2021:07:24:15 -0300] “GET /idp/saml2/idp/SSOService.php?SAMLRequest=fVPLjhoxELzzFWjuzCuIWSyYiEAeSAQQsDnkEvXaTWakGdtx21n27%2BN5bJZdJfhiq91VXdVuzwjqSrOFs4U84C%2BHZAdDvy51JYm1l%2FPAGckUUElMQo3ELGfHxdcNS8OYaaOs4qoK3sBuo4AIjS2V7GDr1TzYbT9udp%2FX2x9ZcgfxNOV8imOYiEkGdwKnMDlngmfiDFORPQDP3nXQb2jI88wDTxsMOjYih2tJFqT18ThNRvF0FCenJGbpmCXj7x105c2WEmwLL6zVxKKIEMskdCDQhChcCCYqhY4aS2l7Oh53RzS%2FS46hLnTHtO%2Bb8KGUopQ%2Fb3t%2F6JKIfTmd9qP97njqSBbPPVkqSa5G05e5P2w6eV5dpThUhSIb1aAdLzB6D5yCvCWYNSJZ697k%2FwUIPIOr7Ij0LLoGvFBotvWi16u9qkr%2B1Mab9UmZGnxDe4J7r3bBuXLSBn9zFlWlHpcGweI8sMZhMIxeMfczhqKdOO%2FU4sUOl6rWYEpqHgIvwG3v6MXVdfqy8uNzwHN%2Bc8I4402eD%2B%2F99qiMaF4Jua99MiBJK2P7DvyTvFMd3ZCdD56vr79P%2Fgc%3D&RelayState=https%3A%2F%2F10.1.1.228%3A8080%2Fmapuche%2F HTTP/1.1” 302 772
usuarios_idp.1.x78369gxy6f6@seei1 | 10.0.9.3 - - [01/Sep/2021:07:24:15 -0300] “GET /idp/module.php/arai/loginuserpass.php HTTP/1.1” 200 1459
usuarios_idp.1.x78369gxy6f6@seei1 | 10.0.9.3 - - [01/Sep/2021:07:24:16 -0300] “GET /idp/module.php/arai/assets/css/stylesheet.css?tag=48c9b HTTP/1.1” 200 4142
usuarios_idp.1.x78369gxy6f6@seei1 | 10.0.9.3 - - [01/Sep/2021:07:24:16 -0300] “GET /idp/module.php/arai/assets/img/logo_cin.png?tag=48c9b HTTP/1.1” 200 20522
usuarios_idp.1.x78369gxy6f6@seei1 | 10.0.9.3 - - [01/Sep/2021:07:24:16 -0300] “GET /idp/module.php/arai/assets/img/logo.png?tag=48c9b HTTP/1.1” 200 2890
usuarios_idp.1.x78369gxy6f6@seei1 | 10.0.9.3 - - [01/Sep/2021:07:24:17 -0300] “GET /idp/module.php/arai/assets/icons/favicon.ico?tag=48c9b HTTP/1.1” 200 2152

Hola Maximiliano,

lo que veo en el log es la siguiente linea:


METADATANOTFOUND('%' => '\\'http://localhost/mapuche/default-sp\\'')

Eso significa que Mapuche esta enviando esa URL como entityID del SP… y la misma no existe entre lo que el IDP tiene registrado, lo que me lleva al siguiente punto.

Corrobora por favor en la instalacion de Mapuche, que en el archivo instancia.ini en la seccion perteneciente a Mapuche existe una entrada full_url y tiene el valor adecuado.
Es decir, el mismo dominio/alias que incluiste en el IDP…por lo que esta enviando diria que no tiene el valor correspondiente o no esta la entrada directamente y se esta intentando armar a partir del web server.

Algo que olvide preguntarte anteriormente, esta instalacion de Mapuche esta detras de algun proxy?

Saludos

Hola Richard, perfecto! Luego de editar el archivo instancia.ini y corregir la full_url ya veo el inicio de sesión.
Respecto a lo del proxy es correcto lo que decís. El mapuche sale mediante un proxy reverso con Apache.

Ahora creé un usuario y le agregué la aplicación Mapuche. Al iniciar sesión obtengo el error de mapuche:
El usuario no está dado de alta en el sistema

El log del idp muestra un login exitoso entiendo:
usuarios_idp.1.x78369gxy6f6@seei1 | [Mon Sep 06 08:59:28.374607 2021] [php7:notice] [pid 16] [client 10.0.9.3:53130] simplesamlphp NOTICE STAT [48951992f6] User ‘mchiecher’ successfully authenticated from 10.0.9.3, referer: https://seei1.uader.edu.ar/idp/module.php/arai/loginuserpass.php?AuthState=_a0f5491c9b022530397424edebc2238c36ef4b4a20%3Ahttps%3A%2F%2Fseei1.uader.edu.ar%2Fidp%2Fsaml2%2Fidp%2FSSOService.php%3Fspentityid%3Dhttps%253A%252F%252Fmaputest.uader.edu.ar%252Fmapuche%252Fdefault-sp%26RelayState%3Dhttps%253A%252F%252F10.1.1.228%253A8080%252Fmapuche%252F%26cookieTime%3D1630929560
usuarios_idp.1.x78369gxy6f6@seei1 | [Mon Sep 06 08:59:28.418746 2021] [php7:notice] [pid 16] [client 10.0.9.3:53130] simplesamlphp NOTICE STAT [48951992f6] saml20-idp-SSO-first https://maputest.uader.edu.ar/mapuche/default-sp https://seei1.uader.edu.ar/idp/saml2/idp/metadata.php NA, referer: https://seei1.uader.edu.ar/idp/module.php/arai/loginuserpass.php?AuthState=_a0f5491c9b022530397424edebc2238c36ef4b4a20%3Ahttps%3A%2F%2Fseei1.uader.edu.ar%2Fidp%2Fsaml2%2Fidp%2FSSOService.php%3Fspentityid%3Dhttps%253A%252F%252Fmaputest.uader.edu.ar%252Fmapuche%252Fdefault-sp%26RelayState%3Dhttps%253A%252F%252F10.1.1.228%253A8080%252Fmapuche%252F%26cookieTime%3D1630929560
usuarios_idp.1.x78369gxy6f6@seei1 | [Mon Sep 06 08:59:28.418958 2021] [php7:notice] [pid 16] [client 10.0.9.3:53130] simplesamlphp NOTICE STAT [48951992f6] saml20-idp-SSO https://maputest.uader.edu.ar/mapuche/default-sp https://seei1.uader.edu.ar/idp/saml2/idp/metadata.php NA, referer: https://seei1.uader.edu.ar/idp/module.php/arai/loginuserpass.php?AuthState=_a0f5491c9b022530397424edebc2238c36ef4b4a20%3Ahttps%3A%2F%2Fseei1.uader.edu.ar%2Fidp%2Fsaml2%2Fidp%2FSSOService.php%3Fspentityid%3Dhttps%253A%252F%252Fmaputest.uader.edu.ar%252Fmapuche%252Fdefault-sp%26RelayState%3Dhttps%253A%252F%252F10.1.1.228%253A8080%252Fmapuche%252F%26cookieTime%3D1630929560

En el log del Mapuche veo lo siguiente:
El usuario SAML ‘mchiecher’ no existe en la instancia toba, referer: https://seei1.uader.edu.ar/

El usuario nuevo creado en el arai-usuarios no existía en Mapuche, supongo que debe existir alguna manera de sincronizarlos o no sé si debería ser de manera automática.

Gracias por toda la asistencia y paciencia.

Hola Maximiliano,

bien barbaro, entonces era que tenia mal la URL finalmente.

Ahora creé un usuario y le agregué la aplicación Mapuche. Al iniciar sesión obtengo el error de mapuche: El usuario no está dado de alta en el sistema

Si bien vos creas un usuario en el IDP, la cuenta asociada al mismo debe estar presente en el modulo/sistema cliente… en este caso Mapuche, ya que en ese punto se asocian tanto perfiles funcionales como de datos (al menos por ahora). Luego de dar de alta tu usuario en el IDP, deberias darlo de alta en Mapuche y asociarlo desde alli al usuario que incorporaste en Arai-Usuarios.

El usuario nuevo creado en el arai-usuarios no existía en Mapuche, supongo que debe existir alguna manera de sincronizarlos o no sé si debería ser de manera automática.

Esta la parte de sincronizacion de usuarios… aunque normalmente lo haces para inicializar de forma masiva y luego es mas sencillo (y rapido) realizar la asociacion desde la misma aplicacion.

Saludos

Venimos avanzando Richard. De nuevo gracias.

Generé los usuarios en el Mapuche y luego los probé que funcionen ok. Luego hice nuevamente todo el proceso de conexión entre mapuche y sistema de expedientes nuevamente y luego apliqué los ajustes vistos hasta acá.
Ahora no me da más el error anterior que el usuario no existe. Solo dice “error interno”. Entiendo que el idp está bien porque me muestra el historial de conexiones de cada usuario, adjunto captura.
El log del idp indica lo siguiente:
suarios_idp.1.x78369gxy6f6@seei1 | 10.0.9.3 - - [06/Sep/2021:17:43:24 -0300] “GET /idp/saml2/idp/SSOService.php?SAMLRequest=jVPLjtowFN3zFSh7kpBH1bEgVQp9IFGISKaLbipjX0qkxHZ97Q7z93UeU5iqQvXG0fU9x%2Bcc3yyQto0iuTVncYCfFtBMpm5d2kYg6Q%2BXntWCSIo1EkFbQGIYKfMvWxL5IVFaGslk4%2F0Fu4%2BiiKBNLcUA26yX3n73Ybv%2FtNl9T94ylkQhxGkapknK58dTeIzTU0oTTo80nfMkZg9xMkC%2FgkbHs%2FQcrTcZ2BAtbAQaKoyrh9F8Fj7MwjdVFJIkJlHybYCundlaUNPDz8YoJEGAAPXct5SD9oFbn%2Bqg5iroLEX9V1nuS9C%2Faga%2BOquBqRhDeF8LXosf970fhyYkn6uqmBX7shpI8pdMVlKgbUGP1zwetld5LVXWON2vFXZVdobgHWXoZT3bolNM%2Bih09n9oDidqGzNDtQhu0Vc%2BRXbOzmZdyKZmz329Wx%2BlbqmLeiR4dD5yxqQVxvvTkzeNfFppoAaWntEWvGnwinmcPuD9LLoMDFzMdCVbRXWN3RPBhTIz2rtavG1fNW6wDnDK7s4eI6zrc%2BXCbU9S8%2B79gLm7K00FKqnNmMA%2FyQfVwR3Z2eTl%2BPbHyn4D&RelayState=https%3A%2F%2F10.1.1.228%3A8080%2Fmapuche%2F HTTP/1.1” 302 1696
usuarios_idp.1.x78369gxy6f6@seei1 | 10.0.9.3 - - [06/Sep/2021:17:43:24 -0300] “GET /idp/module.php/arai/loginuserpass.php?AuthState=_008ea9c46992a8c62e35b4ef0115eda2577fb4fae2%3Ahttps%3A%2F%2Fseei1.uader.edu.ar%2Fidp%2Fsaml2%2Fidp%2FSSOService.php%3Fspentityid%3Dhttps%253A%252F%252Fmaputest.uader.edu.ar%252Fmapuche%252Fdefault-sp%26RelayState%3Dhttps%253A%252F%252F10.1.1.228%253A8080%252Fmapuche%252F%26cookieTime%3D1630961004 HTTP/1.1” 200 3445
usuarios_idp.1.x78369gxy6f6@seei1 | [Mon Sep 06 17:43:33.519647 2021] [php7:notice] [pid 14] [client 10.0.9.3:38012] simplesamlphp NOTICE STAT [c13c2ff9a2] User ‘mchiecher’ successfully authenticated from 10.0.9.3, referer: https://seei1.uader.edu.ar/idp/module.php/arai/loginuserpass.php?AuthState=_008ea9c46992a8c62e35b4ef0115eda2577fb4fae2%3Ahttps%3A%2F%2Fseei1.uader.edu.ar%2Fidp%2Fsaml2%2Fidp%2FSSOService.php%3Fspentityid%3Dhttps%253A%252F%252Fmaputest.uader.edu.ar%252Fmapuche%252Fdefault-sp%26RelayState%3Dhttps%253A%252F%252F10.1.1.228%253A8080%252Fmapuche%252F%26cookieTime%3D1630961004
usuarios_idp.1.x78369gxy6f6@seei1 | [Mon Sep 06 17:43:33.561034 2021] [php7:notice] [pid 14] [client 10.0.9.3:38012] simplesamlphp NOTICE STAT [c13c2ff9a2] saml20-idp-SSO-first https://maputest.uader.edu.ar/mapuche/default-sp https://seei1.uader.edu.ar/idp/saml2/idp/metadata.php NA, referer: https://seei1.uader.edu.ar/idp/module.php/arai/loginuserpass.php?AuthState=_008ea9c46992a8c62e35b4ef0115eda2577fb4fae2%3Ahttps%3A%2F%2Fseei1.uader.edu.ar%2Fidp%2Fsaml2%2Fidp%2FSSOService.php%3Fspentityid%3Dhttps%253A%252F%252Fmaputest.uader.edu.ar%252Fmapuche%252Fdefault-sp%26RelayState%3Dhttps%253A%252F%252F10.1.1.228%253A8080%252Fmapuche%252F%26cookieTime%3D1630961004
usuarios_idp.1.x78369gxy6f6@seei1 | [Mon Sep 06 17:43:33.561369 2021] [php7:notice] [pid 14] [client 10.0.9.3:38012] simplesamlphp NOTICE STAT [c13c2ff9a2] saml20-idp-SSO https://maputest.uader.edu.ar/mapuche/default-sp https://seei1.uader.edu.ar/idp/saml2/idp/metadata.php NA, referer: https://seei1.uader.edu.ar/idp/module.php/arai/loginuserpass.php?AuthState=_008ea9c46992a8c62e35b4ef0115eda2577fb4fae2%3Ahttps%3A%2F%2Fseei1.uader.edu.ar%2Fidp%2Fsaml2%2Fidp%2FSSOService.php%3Fspentityid%3Dhttps%253A%252F%252Fmaputest.uader.edu.ar%252Fmapuche%252Fdefault-sp%26RelayState%3Dhttps%253A%252F%252F10.1.1.228%253A8080%252Fmapuche%252F%26cookieTime%3D1630961004
usuarios_idp.1.x78369gxy6f6@seei1 | 10.0.9.3 - - [06/Sep/2021:17:43:33 -0300] “POST /idp/module.php/arai/loginuserpass.php HTTP/1.1” 200 14843

El log del Mapuche en cambio muestra:

[Mon Sep 06 17:43:34.498994 2021] [php7:notice] [pid 20] [client 172.19.0.1:41828] Errores en el proceso de onelogin: , referer: https://seei1.uader.edu.ar/
[Mon Sep 06 17:43:34.499037 2021] [php7:notice] [pid 20] [client 172.19.0.1:41828] array (\n 0 => ‘invalid_response’,\n), referer: https://seei1.uader.edu.ar/
[Mon Sep 06 17:43:34.499049 2021] [php7:notice] [pid 20] [client 172.19.0.1:41828] Signature validation failed. SAML Response rejected, referer: https://seei1.uader.edu.ar/
[Mon Sep 06 17:43:34.499182 2021] [php7:notice] [pid 20] [client 172.19.0.1:41828] toba_error_seguridad: Error Interno Se produjo un error durante el procedimiento de login, contacte un administrador\n[TRAZA]\n\t\n\ttoba_autenticacion_saml_onelogin->verificar_errores_onelogin \nArchivo: /usr/local/siu/mapuche/vendor/siu-toba/framework/php/nucleo/lib/autenticacion/toba_autenticacion_saml_onelogin.php, lInea 256 \nParametros: \nInstancia de OneLogin\Saml2\Auth \t\n\t\n\ttoba_autenticacion_saml_onelogin->verificar_acceso \nArchivo: /usr/local/siu/mapuche/php/comunes/login/ci_login.php, lInea 249 \n\t\n\tci_login->evt__cas__ingresar \nArchivo: /usr/local/siu/mapuche/php/comunes/login/ci_login.php, lInea 43 \n\t\n\tci_login->ini \nArchivo: /usr/local/siu/mapuche/vendor/siu-toba/framework/php/nucleo/componentes/interface/toba_ci.php, lInea 94 \n\t\n\ttoba_ci->inicializar \nArchivo: /usr/local/siu/mapuche/vendor/siu-toba/framework/php/nucleo/toba_solicitud_web.php, lInea 132 \n\t\n\ttoba_solicitud_web->procesar_eventos \nArchivo: /usr/local/siu/mapuche/vendor/siu-toba/framework/php/nucleo/toba_solicitud_web.php, lInea 5…SIGUE…, referer: https://seei1.uader.edu.ar/


Captura de pantalla de 2021-09-06 17-52-54.png

Captura de pantalla de 2021-09-06 17-52-54.png

Hola Maximiliano,

Signature validation failed. SAML Response rejected,

por el error de Mapuche y siendo que iniciaste todo el proceso de nuevo, te consulto… .actualizaste el certificado del IDP en Mapuche?, los errores de validacion asi de la nada suelen estar relacionados a un certificado que no coincide… puedo estar equivocado pero es un indicio.

Saludos

Hola Richard.

Sí. Volví a copiar el certificado desde el sistema de expedientes por las dudas pero persiste el mismo error. Voy a intentar nuevamente repasar todos los pasos a ver si salta algo.

Hola Maximiliano,

preguntas (por si las moscas):

  • Luego de renovar el certificado del IDP… renovaste los secrets asociados y re-deployaste el stack de usuarios?
  • Si solo estas usando usuarios via docker-compose… los re-creaste luego de actualizar el archivo?
  • Revisaste los permisos del archivo de certificado en Mapuche, es accesible por el web server?

Es raro lo siguiente, el Mapuche instalado manualmente toma el archivo directamente cuando se lo pisas… si los contenedores de EEI hubieran levantado el certificado nuevo, deberian coincidir y por ende no te saltaria ese error… hay algo que esta cruzado ahi, lo unico que se me ocurre es revisar lo de mas arriba.

Saludos

Hola Richard

El certificado no lo renové sino que volví el mapuche a la instancia anterior (tengo backup antes de las modificaciones). Luego lo volví a conectar al EEI segun el procedimiento copiando el certificado nuevamente desde el servidor de EEI.
Según tu sugerencia me puse a modificar los permisos del archivo certificado. Ahora al completar usuario y clave el sistema no me redirige automáticamente pero si coloco la url de mapuche en el navegador aparezco logueado.

En el log se ve:
[Thu Sep 23 07:14:36.777366 2021] [php7:notice] [pid 15] [client 172.22.0.1:44290] toba_error_seguridad: Error Interno Request Invalido\n[TRAZA]\n\t\n\ttoba_nucleo->verificar_pedido_post \nArchivo: /usr/local/siu/mapuche/vendor/siu-toba/framework/php/nucleo/toba_nucleo.php, lInea 576 \n\t\n\ttoba_nucleo->acceso_web \nArchivo: /usr/local/siu/mapuche/www/aplicacion.php, lInea 24 \n\t\n\t\n, referer: https://seei1.uader.edu.ar/

Vamos a partir desde aquí para hacer más pruebas.
Me mantengo en contacto, muchas gracias por tu impecable asistencia.