Buenos días, paso para dejar mas info sobre la documentación que estamos usando
Una vez dentro del container pudimos importar las cuentas sin problema ( Indice de la documentacion : Importar cuentas en Araí-Usuarios ), sin ningún error. Es mas, accedemos al arai-usuarios y vemos los usuarios importados.
Nuestras dudas empiezan a surgir a partir de lo siguiente.
En la documentación nombran el archivo “instalador.env”, el mismo hay que editarlo dentro del container ? Si fuera así, encontramos uno llamado “instalador.env.dist” lo copiamos y le cambiamos el nombre en el siguiente directorio /usr/local/app/idm
Configurar el cliente de usuarios en SIU-Mapuche
Dentro del container no existe el siguiente archivo, o no se genera en los pasos anteriores
instalacion/i__produccion/p__toba_usuarios/rest/rest_arai_usuarios/cliente.ini
Configurar los parámetros para Araí-Documentos en SIU-Mapuche
“Se debe crear el archivo instalacion/arai_documentos.ini con los siguientes valores:” hace referencia a crearlo manualmente ? O a que el paso anterior lo genera automáticamente al finalizar ?
La documentación para integrar Mapuche con el EEI es esta.
De los puntos 1,2,3, pareciera que lo intentan hacer “adentro” del contenedor que corre el módulo “idm” de “arai-usuarios”… lo cual no es correcto. Esas configs son en Mapuche, sigan la documentación y los lleva a configurar las cosas paso a paso.
Recuerden: esta documentación “asume” un Mapuche instalado en forma manual sobre un server, externo al despliegue de EEI. Es decir, asume que Mapuche NO está en Docker.
Más allá de seguir la documentación al pie de la letra, faltaban definir 2 parámetros en saml_onelogin.ini, x509cert y privateKey.
Los descubrimos en los logs de Apache, donde aparece el mensaje:
[Fri Jun 18 11:55:17.272283 2021] [php7:notice] [pid 127351] toba_error_seguridad: Error Interno La configuracion de seguridad requiere la existencia de archivos certificado y clave privada para el SP\n[TRAZA]\n\t\n\ttoba_autenticacion_saml_onelogin->__construct \nArchivo: /srv/prueba/mapuche_prueba_3130/vendor/siu-toba/framework/php/nucleo/lib/autenticacion/toba_autenticacion_saml_onelogin.php, lInea 46 \n\t\n\ttoba_manejador_sesiones->get_autenticacion \nArchivo: /srv/prueba/mapuche_prueba_3130/php/comunes/login/ci_login.php, lInea 42 \n\t\n\tci_login->ini \nArchivo: /srv/prueba/mapuche_prueba_3130/vendor/siu-toba/framework/php/nucleo/componentes/interface/toba_ci.php, lInea 94 \n\t\n\ttoba_ci->inicializar \nArchivo: /srv/prueba/mapuche_prueba_3130/vendor/siu-toba/framework/php/nucleo/toba_solicitud_web.php, lInea 132 \n\t\n\ttoba_solicitud_web->procesar_eventos \nArchivo: /srv/prueba/mapuche_prueba_3130/vendor/siu-toba/framework/php/nucleo/toba_solicitud_web.php, lInea 55 \n\t\n\ttoba_solicitud_web->procesar \nArchivo: /srv/prueba/mapuche_prueba_3130/vendor/siu-toba/framework/php/nucle...SIGUE.../
en el archivo vendor/siu-toba/framework/php/nucleo/lib/autenticacion/toba_autenticacion_saml_onelogin.php, el __construct contiene:
$verificaPeer = (isset($parametros['basicos']['verifyPeer'])) ? $parametros['basicos']['verifyPeer'] == 1: toba::instalacion()->es_produccion();
if ($verificaPeer) {
if (! isset($parametros[$sp_name]['x509cert']) || ! isset($parametros[$sp_name]['privateKey'])) {
throw new toba_error_seguridad('La configuracion de seguridad requiere la existencia de archivos certificado y clave privada para el SP');
Así que agregamos esos dos parámetros al bracket [SP] del archivo saml_onelogin.ini y empezó a aceptar conexiones.
Efectivamente, desde una aplicación tipo Toba, hoy tienen que configurar dicho par de certificados (a modo compatibilidad, pueden setear el flag verifyPeer=0).
Intentando vincular Kolla, nos aparece el mismo error (Error Interno: La configuracion de seguridad requiere la existencia de archivos certificado y clave privada para el SP) y viendo cómo lo solucionaron, a nosotros no nos sirvió.
Tal vez hicimos mal el paso de generar el certificado y la key, ya que en el apartado que nombran no se define cómo hacerlo.
Es por eso que intentamos hacerlo de la misma manera que lo hicimos en algún momento con el IdP, pero en kolla:
Luego, esos archivos los referenciamos en el archivo saml_onelogin.ini con la ruta de acceso a los mismos. A su vez, ya teníamos configurado el certificado del IdP en ese mismo archivo y en instalador.env