Shinyproxy: SAML-Fehler: Der beabsichtigte Zielendpunkt der SAML-Nachricht stimmte nicht mit dem Empfängerendpunkt überein

Ich bin ziemlich naiv in Bezug auf SAML und das Spring-Framework im Allgemeinen, aber ich versuche, unseren ShinyProxy-Server so zu konfigurieren, dass er den SAML-Server meiner Organisation verwendet, und erhalte die folgende Fehlermeldung nach einer scheinbar erfolgreichen Authentifizierung:

2021-01-21 19:22:52.748 ERROR 1 --- [ XNIO-1 task-1] o.o.c.b.decoding.BaseSAMLMessageDecoder : SAML message intended destination endpoint 'https://myapphost/saml/SSO' did not match the recipient endpoint 'http://myapphost/scheduler/saml/SSO'

Das Problem scheint damit zusammenzuhängen, dass das Protokoll https / http nicht übereinstimmt. Diese App befindet sich hinter einem Apache-Reverse-Proxy, der nach dem, was ich gelesen habe, das Problem verursachen könnte. Der RP leitet von https://myhostname/myapp zum exponierten Docker-Host-Port 8888 (wie in meiner application.yml Datei definiert) um.

Die Apache-Konfiguration für diesen Remote-Proxy lautet:

# Websocket stuff
# Needs the rewrite and proxy_wstunnel modules.
        RewriteEngine On
        RewriteCond %{HTTP:Upgrade} =websocket [NC]
        RewriteRule /scheduler/(.*)    ws://127.0.0.1:8888/myapp/$1 [P,L]

#
# Docker stuff for the scheduler.  Requires the proxy_http
# module to be enabled.
        ProxyPass /myapp http://127.0.0.1:8888/myapp
        ProxyPassReverse /myapp http://127.0.0.1:8888/myapp

Einige verwandte Seiten, die ich bei meiner Suche gefunden habe:

• https://github.com/openanalytics/containerproxy/pull/32
• https://docs.spring.io/spring-security-saml/docs/2.0.x/reference/html/configuration-advanced.html#configuration -load-balancing
• https://github.com/johannestang/shinyproxy-lb
• https://github.com/openanalytics/shinyproxy/issues/247

Hier ist meine application.yml (mit einigen privaten Informationen geändert/entfernt):

proxy:
  authentication: saml
  title: My app
  favicon: file:///opt/shinyproxy/templates/favicon.ico
  admin-groups: admins
  logo-url: file:///opt/shinyproxy/templates/my_logo.png
  template-path: /opt/shinyproxy/templates/mytemplate
  bind-address: 0.0.0.0
  port: 8888
  # change the landing-page to restrict shinyproxy to one application:
  landing-page: /myapp/app/myapp
  saml:
    idp-metadata-url: <URL TO metadata XML>
    app-entity-id: <MY APP's DEPLOYMENT PATH>
    app-base-url: <MY APP's DEPLOYMENT PATH>
    name-attribute: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
    roles-attribute: http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  support:
    mail-to-address: [email protected]
  docker:
    internal-networking: true
    container-network: shinyproxy-net
  container-log-path: ./container-logs
  specs:
    - id: myapp
      display-name: My tool
      description: Description for my app
      container-cmd: ["R", "-e", "shiny::runApp('/root')"]
      container-image: my-image
      container-network: "${proxy.docker.container-network}"

# for email
spring:
  mail:
    host: my.smtp.server
    # TLS: 587 SSL: 465 Plain: 25
    port: 25

server:
  useForwardHeaders: true
  forward-headers-strategy: native
  servlet.session.timeout: 3600
  servlet:
    context-path: /myapp

logging:
  file:
    shinyproxy.log

Ich habe dies mit ShinyProxy 2.4.3 versucht, das in Docker mit dem folgenden Dockerfile bereitgestellt wird:

FROM openjdk:8-jre

RUN mkdir -p /opt/shinyproxy/
RUN wget https://www.shinyproxy.io/downloads/shinyproxy-2.4.3.jar -O /opt/shinyproxy/shinyproxy.jar
COPY application.yml /opt/shinyproxy/application.yml
COPY templates/ /opt/shinyproxy/templates/


WORKDIR /opt/shinyproxy/
CMD ["java", "-jar", "/opt/shinyproxy/shinyproxy.jar"]

Irgendwelche Ideen, ob ich dieses Problem beheben kann, indem ich irgendwo eine Konfigurationseinstellung ändere?