SharePoint 2010 の SAML クレームに関する "トークンの発行元は信頼できる発行元ではありません" エラーの問題

原文の記事の投稿日: 2012 年 5 月 18 日 (金曜日)

正直なところ、SharePoint はときどき私たちに誤った情報を伝えることがあります。

実例: 今日、友人の Nidhish と一緒に SharePoint サイトで SAML を機能させる作業をしていました。最初、このサイトにアクセスすると HTTP 500 という見慣れないエラーが発生しました。私の経験では、それ自体が非常に珍しいことです。そこで、この問題についてさらに深く理解しようと、私たちが ULS ログを開いたところ、"このトークンの発行元は、信頼できる発行元ではありません。" というエラーが見つかりました。これまで SharePoint での SAML の設定を 3,492,234 回も行ってきたので、証明書の構成が正しいことにはかなり自信がありました。にもかかわらず、私たちは相当な時間をかけて、SPTrustedRootAuthority に登録した証明書の調査、証明書の拇印の比較、AD FS での証明書の再確認、サービスやボックスのリサイクルなどを行ったのです。しかし、これらはまったく無意味でした。証明書の構成には、どこにも誤りが見当たらなかったからです。

ここに来てようやく、私はさらに AD FS の証明書利用者の設定を見直すことにしました。そしてそこで "本当" の問題を見つけました。証明書利用者の WS-Fed エンドポイントが "https://foo/_trust" ではなく、誤って "https://foo" に設定されていることがわかったのです。実際、証明書はすべて正しかったのですが、要求が trust ディレクトリではなく、ルートにリダイレクトされていたわけです。結局、WS-Fed エンドポイントの更新後は、すべてが正常に機能し始めました。以上、皆さんの参考になりそうなちょっとした情報でした。

これはローカライズされたブログ投稿です。原文の記事は、「The Issuer of a Token is not a Trusted Issuer Craziness with SAML Claims in SharePoint 2010」をご覧ください。