Использование маркера начальной загрузки WCF STS в SharePoint 2010 (идентификационный сервер thinktecture в качестве sts и ActAs)

Question

Кто-нибудь использовал токены начальной загрузки в SharePoint 2010 при использовании пользовательских STS. Я боролся с этим уже несколько часов. Всякий раз, когда я выдаю RST, я получаю следующее сообщение об ошибке:

ID4257: X.509 certificate 'CN=SharePoint Security Token Service, OU=SharePoint, O=Microsoft, C=US' validation failed by the token handler. 

Я использую SharePoint 2010 с Thinktecture Identity Server в качестве STS и пытаюсь вызвать службу WCF с делегированием. У меня все это работает нормально, но я просто не могу заставить делегирование работать с помощью токена начальной загрузки.

Я предполагаю, что SharePoint каким-то образом должен шифровать маркер начальной загрузки ?! Любая помощь или указатели?

Answer 1

Вы все еще можете решить эту проблему, используя собственный сертификат шифрования, а не Sharepoint STS.

Это исключение вызывается SecurityTokenHandler , когда они пытаются проверить токен начальной загрузки и обнаруживают, что сертификат в токене недействителен (по умолчанию X509CertificateValidator).

Сертификатом, который будет присутствовать в токене начальной загрузки, будет Служба токена безопасности SharePoint

Два способа решения проблемы AFAIK

1. Скопируйте открытую часть сертификата «Служба маркеров безопасности SharePoint» в Cert: LocalMachine \ TrustedPeople на компьютере STS. Вы также можете написать свой собственный валидатор сертификата.

2. Не хорошее решение для производственной машины. Задайте CertificateValidationMode = "None" в web.config

http://msdn.microsoft.com/en-us/library/hh598384%28v=vs.110%29.aspx

Answer 2

Это было частично решено добавлением сертификата SharePoint STS в качестве сертификата шифрования в sts. Также использование SPSecurityContext.SecurityTokenForContext, похоже, помогло получить токен ActAs 0, но я не уверен на 100%, что у меня все это работает!