SSO en diaguita (SOLUCIONADO)

marisa · 19 Abril, 2016 12:51

Hola Buenos dias a todos.
Consulta diaguita soporta SSO???

Gracias.

Marisa

svier · 19 Abril, 2016 14:52

Buenos días Marisa,

Te comento que como todo proyecto hecho en Toba, se puede configurar los servicios de autenticación de usuarios disponibles. Luego dentro de Diaguita, hay que tener en cuenta algunas cuestiones:

el identificador de usuario debe existir tanto en el sistema externo (ldap, openid, sso, etc) como en Diaguita.
es probable que tengan que personalizar el mecanismo de validación claves en Diaguita, archivo aplicacion/php/extension_toba/diaguita_usuario.php método controlar_clave().

Desde el equipo de Diaguita, hemos podido probar con LDAP la integración y funciona correctamente. Con SSO sabemos que el equipo de Araí realizó ajustes que le permitió integrarlo a una plataforma de ese tipo, aunque dichos ajustes reconozco desconocerlos. Si pueden detallar que tipo de integración y/o con que tecnologías operar, podríamos delinear un caso de estudio para evaluar su implementación.

Saludos!

marisa · 20 Abril, 2016 13:01

Buen dia, la consulta es porque tanto en Mapuche como en Pilaga pudimos configurar como mètodo de autenticaciòn saml con simplesamlphp para que apunte a nuestro Identity Provider sin problemas y que funcione el single sign on, pero a la hora de configurar Diaguita nos encontramos con que faltan esos archivos (simplesamlphp).

svier · 20 Abril, 2016 13:24

Hola Marisa,

Claro, desde SIU-Diaguita se agregó como dependencia a la librería simplesamlphp para la próxima versión 2.3.0, a pedido de otra institución.

Por el momento, y como solución transitoria hasta que actualicen a dicha versión, pueden copiar manualmente la librería (por ej. desde la instalación de Mapuche) y colocarla en la ruta diaguita/toba/php/3ros.

Saludos!

marisa · 20 Abril, 2016 16:02

Ok. Gracias

Saludos.

Marisa

marisa · 9 Junio, 2016 15:02

Buenas, configuramos el archivo saml.ini para poder realziar el inicio de sesión por SSO utilziando simplesamlphp (ya lo tenemos funcionando en Mapuche y Pilaga) pero al establecer el valor de autenticaciòn = saml en el archivo instalacion.ini Diaguita nunca redirige al formulario de inicio de sesión ni valida que exista una sesión activa. Presenta el formulario de login propio de Diaguita.

svier · 10 Junio, 2016 14:51

Buenos días Marisa,

Ok, dejanos configurar un entorno con la versión 2.3.0 de SIU-Diaguita y conectarlo a un IDP vía saml para realizar las pruebas.

svier · 16 Junio, 2016 20:46

Marisa, que tal?

Te queríamos comentar que, si bien lo tuvimos planeado y se avanzó en su integración, lamentablemente para la versión 2.3.0 no se pudo integrar todos los cambios internos que eran necesarios para soportar el login tipo SSO (vía saml, saml_onelogin, openid). Puntualmente los items de login estaban desactualizados. Este trabajo acabamos de integrarlo a la rama de desarrollo junto con otro trabajo de SSO relacionado con Araí, por lo que para la versión 2.4.0 estaría recién en condiciones Diaguita.

Nos queda indicar que podrían llegar a integrar a medias, momentáneamente, con LDAP y evitar un poco el traqueteo de darles a los usuarios más de una clave.

Saludos!

gmolinauskas · 22 Junio, 2016 19:14

Hola, por si les sirve mientras tanto, nosotros lo tenemos andando con saml, pero para eso tuvimos que copiar desde toba las librerías de saml (ojo con el path de esos archivos que hay que tocarlos para que apunten bien) , y luego actualizar el login:

Se debe cargar el entorno de toba

y ejecutar

./toba proyecto actualizar_login -p diaguita -i produccion

Luego deshabilitar metadatos compilados

En el archivo aplicacion/www/aplicacion.php (

cambiar : define(‘apex_pa_metadatos_compilados’, 0);

Saludos

Gabriel

svier · 23 Junio, 2016 14:00

Hola Gabriel! Gracias por compartir su experiencia!

No dimos esa recomendación ya que en general no damos soporte fuera del entorno empaquetado que nos brinda el instalador. Digamos que hay mucho variación que depende de como “traten” a la aplicación.

De todas formas, te comento, que tengan cuidado con eso de andar sin los metadatos compilados, pues la sobrecarga tanto al webserver como al motor de db es considerable. Al no estar utilizando los metadatos compilados, tiene que generar todo, siempre y en cada petición.

Saludos!

gmolinauskas · 23 Junio, 2016 14:22

Hola Sergio! si, sabemos que no es lo ideal, pero lo estuvimos testeando un tiempo y no nos genera mucha sobrecarga. Evaluando costo-beneficio nos convenía tener al Diaguita de esta forma e integrado al login centralizado.

Gracias por la respuesta, y esperamos entonces que en próximas versiones esté lista la integración con SAML

Saludos

Gabriel

marisa · 27 Junio, 2016 13:29

Hola Sergio.
Gracias por tu respuesta. Si con ldap ya lo tenemos funcionando. Esperaremos a las próximas versiones para saml.

Saludos.

Marisa