Сообщение "Поставщик маркера не является надежным поставщиком" при настройке утверждений SAML в SharePoint 2010

Исходная статья опубликована 18 мая 2012 г.

Давайте будем честными — SharePoint то и дело обманывает нас.

Вот конкретный пример. Сегодня я работал со своим коллегой Нидхишем над настройкой SAML на сайте SharePoint. Мы начали получать странную ошибку HTTP 500 при переходе на сайт. Я никогда не сталкивался с такой ситуацией в своей практике. Чтобы лучше понять проблему, мы открыли журналы ULS и нашли эту ошибку: "Поставщик этого маркера не является надежным поставщиком". Я настраивал SAML в SharePoint миллион раз и был абсолютно уверен, что мы настроили сертификаты правильно. Тем не менее, мы потратили немало времени, просматривая сертификаты, зарегистрированные в SPTrustedRootAuthority, сравнивая отпечатки сертификатов, открывая сертификаты в службах федерации Active Directory, перезапуская службы и окна и т. д. Это не имело никакого смысла, поскольку все аспекты настройки сертификатов оказались правильными.

В конце концов я решил проверить все настройки проверяющей стороны в ADFS, где и обнаружил "настоящую" проблему. Оказалось, что в качестве конечной точки WS-Fed для проверяющей стороны было ошибочно задано значение "https://foo" вместо "https://foo/_trust". Все сертификаты были правильными, но запрос перенаправлялся в корневой каталог, а не в каталог _trust. После исправления конечной точки WS-Fed все заработало. Это лишь небольшой пример, но он может вам пригодиться.

Это локализованная запись блога. Исходная статья доступна по адресу: The Issuer of a Token is not a Trusted Issuer Craziness with SAML Claims in SharePoint 2010