Freigeben über


Token 的發行者不是受信任發行者 SharePoint 2010 的 SAML 宣告發狂

英文原文已於 2012 年 5 月 18 日星期五發佈

說句老實話,有時候 SharePoint 會對我們說謊。

案例分析 — 我和朋友 Nidhish 今天工作的時候,正努力讓 SAML 可以在 SharePoint 網站上運作。結果在進入網站時得到奇怪的 HTTP 500 錯誤訊息。在我的經驗中這並不尋常。為了瞭解到底是什麼情況,我們打開 ULS 記錄檔並找到這項錯誤:「Token 的發行者不是受信任發行者」。將 SharePoint 中的 SAML 設定了約莫 3,492,234 次之後,我非常確定我們的憑證設定正確。但是,我們之後還是花了相當多的時間查看登錄在 SPTrustedRootAuthority 的憑證、比較憑證指紋、重複確認 ADFS 中的憑證、回收服務及方塊等等。在所有各個憑證的設定似乎都是正確的情況下,這個錯誤訊息的發生真的完全沒有道理。

最後,我決定再次檢閱 ADFS 中的信賴憑證者設定,就是在這裡找到「真正的」問題所在。結果是因為信賴憑證者的 WS-Fed 端點被誤設到 "https://foo" 而不是 "https://foo/_trust"。也就是說,實際上所有的憑證都是正確的,但要求卻重新導向至根目錄,而非 _trust 目錄。只要完成 WS-Fed 端點的更新之後,一切就沒問題了。以上小訣竅希望有機會的時候,可以派上用場。

這是翻譯後的部落格文章。英文原文請參閱 The Issuer of a Token is not a Trusted Issuer Craziness with SAML Claims in SharePoint 2010