L’émetteur d’un jeton n’est pas un émetteur de confiance Casse-tête avec les revendications SAML dans SharePoint 2010

Article d’origine publié le vendredi 18 mai 2012

Soyons honnêtes : SharePoint nous ment, parfois.

Exemple : je travaillais aujourd’hui avec mon ami Nidhish à essayer de faire fonctionner SAML sur un site SharePoint. Pour commencer, nous avons obtenu une erreur étrange HTTP 500 au moment d’accéder au site. Ce qui d’après mon expérience est assez rare. Pour mieux comprendre le problème, nous avons donc ouvert les journaux ULS et découvert cette erreur : « L’émetteur du jeton n’est pas un émetteur de confiance ». Après avoir configuré SAML dans SharePoint environ 3 492 234 fois, j’étais à peu près certain que nous avions correctement configuré les certificats. Qu’à cela ne tienne, nous avons alors passé un bon moment à examiner les certificats que nous avions inscrits sous SPTrustedRootAuthority, comparant les empreintes numériques des certificats, vérifiant par deux fois les certificats dans ADFS, recyclant les services et les boîtes de dialogue, etc. Ce qui n’a servi strictement à rien puisque chaque aspect de la configuration des certificats s’est avéré correct.

J’ai finalement décidé de revoir une nouvelle fois tous les paramètres des parties de confiance dans ADFS, et c’est là que j’ai trouvé le « vrai » problème. Il s’avère que le point de terminaison WS-Fed pour la partie de confiance était malencontreusement défini sur « https://foo », au lieu de « https://foo/_trust ». Tous les certificats étaient donc corrects, mais la demande était redirigée vers la racine à la place du répertoire _trust. Une fois le point de terminaison WS-Fed mis à jour, tout a fonctionné. Voilà, une petite astuce que vous pourriez trouver utile à l’occasion.

Ce billet de blog a été traduit de l’anglais. L’article d’origine est disponible à la page The Issuer of a Token is not a Trusted Issuer Craziness with SAML Claims in SharePoint 2010