L'autorità emittente del token non è attendibile: problemi con le attestazioni SAML in SharePoint 2010

Articolo originale pubblicato venerdì 18 maggio 2012

A volte SharePoint può trarre in inganno.

Ad esempio, oggi stavo lavorando con il mio amico Nidhish per implementare SAML in un sito di SharePoint. Appena iniziato abbiamo ricevuto uno strano errore HTTP 500 nel tentativo di aprire il sito. Questo è abbastanza insolito per quanto ne so, quindi per provare a capire meglio quale fosse il problema, abbiamo aperto i registri ULS e trovato questo errore: "L'autorità emittente del token non è attendibile". Poiché ho già impostato SAML in SharePoint innumerevoli volte, ero alquanto sicuro di aver configurato correttamente i certificati. Ciononostante, abbiamo dedicato molto tempo a esaminare i certificati che avevamo registrato con SPTrustedRootAuthority, confrontando le identificazioni digitali dei certificati, controllando nuovamente i certificati in ADFS, riciclando servizi e caselle e così via. Non è servito a nulla in quanto ogni aspetto della configurazione del certificato risultava corretto.

Infine ho deciso di esaminare di nuovo tutte le impostazioni dei relying party in ADFS e ho scoperto il vero problema. L'endpoint WS-Fed per il relying era erroneamente impostato su "https://foo", anziché "https://foo/_trust". Tutti i certificati erano quindi corretti, ma la richiesta veniva reindirizzata alla radice anziché alla directory _trust. Dopo aver aggiornato l'endpoint WS-Fed tutto ha funzionato. Questo è solo un piccolo aneddoto che potrebbe tornarvi utile in futuro.

Questo è un post di blog localizzato. L'articolo originale è disponibile in The Issuer of a Token is not a Trusted Issuer Craziness with SAML Claims in SharePoint 2010