El sinsentido de que el emisor del token no sea un emisor de confianza con notificaciones SAML en SharePoint 2010

Artículo original publicado el viernes 18 de mayo de 2012

Seamos honestos. De vez en cuando SharePoint nos miente.

Un ejemplo: Estaba trabajando hoy con mi amigo Nidhish utilizando SAML en un sitio de SharePoint. Empezamos recibiendo un extraño error HTTP 500 al obtener acceso al sitio. Eso en sí mismo no es nada habitual según mi experiencia. Así que, para intentar entender mejor el problema, abrimos los registros de ULS y encontramos este error: "El emisor del token no es un emisor de confianza". El caso es que, tras configurar SAML en SharePoint unas 3.492.234 de veces, estaba bastante seguro de que habíamos configurado los certificados correctamente. No obstante, pasamos un buen rato revisando los certificados que habíamos registrado con SPTrustedRootAuthority, comparando huellas digitales de certificados, contrastando los certificados de ADFS, reciclando servicios y cuadros, etc. No tenía ningún sentido, porque todos los aspectos de la configuración de certificados parecían estar bien.

Por último, decidí revisar toda la configuración del usuario de confianza en ADFS de nuevo y ahí es donde encontré el "verdadero" problema. Resulta que el extremo de WS-Fed para el usuario de confianza estaba incorrectamente establecido en "https://foo", en lugar de en "https://foo/_trust". Todos los certificados estaban de hecho correctos, pero la solicitud se estaba redirigiendo a la raíz en lugar de al directorio _trust. Tras actualizar el extremo de WS-Fed, todo empezó a funcionar bien. Puede que esta perla de sabiduría os venga bien alguna vez.

Esta entrada de blog es una traducción. Puedes consultar el artículo original en The Issuer of a Token is not a Trusted Issuer Craziness with SAML Claims in SharePoint 2010