Você pode experimentar lentidão ao usar as declarações SAML com o SharePoint 2010
Artigo original publicado em 14 de julho de 2011, quinta-feira
Olá. Nosso bom amigo Adam C. no suporte ao SharePoint nos alertou recentemente sobre uma reclamação que está sendo feita com mais frequência por clientes que estão usando as declarações SAML. Ele começa levando muito tempo para efetuar logon em um site usando a autenticação SAML. Se você monitorar as solicitações por meio de uma ferramenta, como o Fiddler, verá que a maior parte do tempo é gasto no servidor do SharePoint, provavelmente no subdiretório /_trust. Se você experimentar esse comportamento e perceber que sua solicitação está gastando a a maior parte do tempo no servidor do SharePoint, pode ser que seu farm não tenha acesso à Internet. Você provavelmente será capaz de visualizar isso se ativar o log CAPI2 nos servidores do SharePoint. Adam explica como fazê-lo aqui:
CAPI2 é a nova API de criptografia disponível no Vista/2008. O diagnóstico de CAPI2 melhora muito no diagnóstico de PKI disponível no 2000/XP/2003. As informações de diagnóstico CAPI2 são registradas no log CAPI2 Operational, localizado em Logs de Aplicativos e Serviços\Microsoft\Windows\CAPI2\Operational no Visualizador de Eventos. Você pode usar o log CAPI2 para solucionar a maioria das operações de PKI no Vista/2008.
O log CAPI2 não está habilitado por padrão. Para habilitá-lo, clique com o botão direito do mouse no log CAPI2 Operational no Visualizador de Eventos e selecione Habilitar o Recurso de Log. Também é possível habilitá-lo usando Wevtutil:
wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true
Para desabilitá-lo com o Wevtutil, a sintaxe é:
wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false
Para obter mais informações, consulte o documento sobre a solução de problemas de PKI no Windows Vista
Quando tiver habilitado o log CAPI2, você desejará autenticar no SharePoint novamente e olhar o Visualizador de Eventos. Se você ver os códigos de evento 11 (BuildChain) e 53 (Recuperar Objeto da Rede), deverá observar o evento 53 com mais atenção e ver se ele está tentando fazer uma solicitação para https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab. Se você visualizar isso e seu farm não tiver acesso à Internet, você aguentará todos os tipos de tempos limite demorados enquanto ele tenta acessá-lo. Por agora, você pode resolver este problema de duas maneiras:
- Exporte o certificado de "Autoridade Raiz do SharePoint" e importe para o repositório de Autoridades de Certificação Raiz Confiáveis. Vá para o MMC de Certificados, exporte o certificado de Autoridade Raiz do SharePoint e importe-o para as Autoridades Raiz Confiáveis. Você encontrará esses dois no repositório de certificados do computador e encontrará o certificado de autoridade raiz do SharePoint no nó SharePoint do MMC.
- Desabilite a recuperação de certificados raiz de terceiros da rede pela Política de Grupo. Você pode fazer isso indo para o GPO e fazendo uma busca detalhada em Configuração do Computador, Configurações do Windows, Configurações de Segurança, Políticas de Chave Pública. Procure por uma política chamada Configurações de Validação de Caminho do Certificado; abra-a e clique na guia Recuperação de Rede. Marque a caixa que diz "Definir estas configurações de diretivas" e certifique-se de desmarcar a caixa que diz "Atualizar certificados automaticamente no Microsoft Root Certificate Program (recomendável)".
Depois que fizer essas alterações, você deverá perceber que os tempos de logon melhoram consideravelmente. Agradeço novamente ao Adam por compartilhar essas informações.
Esta é uma postagem de blog traduzida. Consulte o artigo original em You May Experience Slowness When Using SAML Claims with SharePoint 2010