Token 的發行者不是受信任發行者 SharePoint 2010 的 SAML 宣告發狂

英文原文已於 2012 年 5 月 18 日星期五發佈

說句老實話，有時候 SharePoint 會對我們說謊。

案例分析 — 我和朋友 Nidhish 今天工作的時候，正努力讓 SAML 可以在 SharePoint 網站上運作。結果在進入網站時得到奇怪的 HTTP 500 錯誤訊息。在我的經驗中這並不尋常。為了瞭解到底是什麼情況，我們打開 ULS 記錄檔並找到這項錯誤：「Token 的發行者不是受信任發行者」。將 SharePoint 中的 SAML 設定了約莫 3,492,234 次之後，我非常確定我們的憑證設定正確。但是，我們之後還是花了相當多的時間查看登錄在 SPTrustedRootAuthority 的憑證、比較憑證指紋、重複確認 ADFS 中的憑證、回收服務及方塊等等。在所有各個憑證的設定似乎都是正確的情況下，這個錯誤訊息的發生真的完全沒有道理。

最後，我決定再次檢閱 ADFS 中的信賴憑證者設定，就是在這裡找到「真正的」問題所在。結果是因為信賴憑證者的 WS-Fed 端點被誤設到 "https://foo" 而不是 "https://foo/_trust"。也就是說，實際上所有的憑證都是正確的，但要求卻重新導向至根目錄，而非 _trust 目錄。只要完成 WS-Fed 端點的更新之後，一切就沒問題了。以上小訣竅希望有機會的時候，可以派上用場。

這是翻譯後的部落格文章。英文原文請參閱 The Issuer of a Token is not a Trusted Issuer Craziness with SAML Claims in SharePoint 2010