Las respuestas serian SI y si pero no :p, en el archivo saml_onelogin.ini hay una entrada llamada proyecto_login la cual define cual es el proyecto Toba que esta intentando acceder via ese SP, como para que el framework no se pierda cuando hay varios usando el mismo SP.
Ese parametro se setea por cada SP definido dentro del archivo, con lo cual podes tener 2 SP apuntando al mismo IDP pero con proyectos distintos… esto ultimo es lo que normalmente no se percibe del archivo ejemplo.
La manera de definirlo es teniendo una entrada SP con el formato [sp:id_proyecto] y alli dentro la info necesaria.
Osea, lo que tendrias que hacer en dicho archivo es lo siguiente:
[sp:guarani]
auth_source = "default-sp"
session.phpsession.cookiename = "TOBA_SESSID"
idp = "http://siu:81/devil/idp/saml2/idp/metadata.php"
proyecto_login = "guarani"
[sp:toba_usuarios]
auth_source = "usuarios-sp" <--- Este dato va en la URL a registrar en Arai-Usuarios
session.phpsession.cookiename = "TOBA_SESSID"
idp = "http://siu:81/devil/idp/saml2/idp/metadata.php"
proyecto_login = "toba_usuarios"
Es necesario que elimines la entrada [sp] (o la renombres en este caso) para que el framework entienda que vas a estar usando distintos SP’s por proyecto.
Normalmente esto no es necesario ya que se comparten los usuarios en la instancia… pero bueno Guarani no registra las cuentas en las tablas de Toba, lo que lo hace que sea mas trabajoso.