原文发布于 2012 年 5 月 18 日(星期五)

实话实说 - 有时 SharePoint 会对我们撒谎。

举个例子 - 今天我和我的朋友 Nidhish 一起工作,旨在使 SAML 在 SharePoint 网站上运行。当我们点击该网站时就开始碰到奇怪的 HTTP 500 错误。根据我的经验,这本身是不同寻常的。因此为了尝试更好地理解这一问题,我们打开了 ULS 日志并找到此错误:“令牌的颁发者不是一个受信任的颁发者。”如今,在 SharePoint 中对 SAML 大约进行了 3,492,234 次设置,因此我确信我们的证书已配置正确。但是,我们还需花费相当多的时间来查看在 SPTrustedRootAuthority 中注册的证书,比较证书指纹,仔细检查 ADFS 中的证书和回收服务与计算机等。其实这些做法没有任何意义,因为证书每个方面的配置似乎都正确无误。

最终,我决定再次在 ADFS 中查看信赖方的所有设置,在此我发现了“真正”的问题。原来是信赖方的 WS-Fed 终结点被错误地设置为“https://foo”而不是“https://foo/_trust”。实际上,所有证书都是正确的,但请求被重定向到根而不是 _trust 目录。在更新 WS-Fed 终结点后,一切都开始正常运行。您会发现,有时一丁点的重要信息也会起到很大帮助。

这是一篇本地化的博客文章。请访问 The Issuer of a Token is not a Trusted Issuer Craziness with SAML Claims in SharePoint 2010 以查看原文