A loucura do erro "O emissor de um token não é um emissor confiável" com as declarações de SAML no SharePoint 2010

Artigo original publicado em 18 de maio de 2012, sexta-feira

Vamos ser sinceros - de vez em quando o SharePoint mente para nós.

Situação: eu estava trabalhando com meu amigo Nidhish hoje, fazendo o SAML funcionar em um site do SharePoint. Começou a aparecer um erro esquisito HTTP 500 quando acessamos o site. Esse fato por si só é incomum na minha experiência. Então para testar e entender melhor o problema, abrimos os logs de ULS e constatamos este erro: "O emissor do token não é um emissor confiável." Só que, depois de configurar o SAML no SharePoint cerca de 3.492.234 de vezes, eu tinha absoluta certeza de que tinha configurado os certificados corretamente. Mesmo assim, passamos bastante tempo analisando os certificados que tínhamos registrado com o SPTrustedRootAuthority, comparando miniaturas de certificado, reconferindo os certificados no ADFS, reciclando serviços e caixas etc. Tudo isso parecia pura inutilidade porque cada aspecto da configuração dos certificados parecia estar correto.

Por fim, decidi revisar todas as configurações da parte confiável mais uma vez, e foi aí que constatei o "verdadeiro" problema. Ocorre que o ponto de extremidade do WS-Fed da parte confiável estava equivocadamente configurado como "https://foo", em vez de "https://foo/_trust". Todos os certificados realmente estavam corretos, mas a solicitação estava sendo redirecionada para a raiz, e não para _trust directory. Depois que o ponto de extremidade do WS-Fed foi atualizado, tudo começou a funcionar. Isso foi só uma pequena dica que pode ser útil algum dia.

Esta é uma postagem de blog traduzida. Consulte o artigo original em The Issuer of a Token is not a Trusted Issuer Craziness with SAML Claims in SharePoint 2010