在SharePoint 2010中使用WCF STS引導令牌（思想身份服務器為sts和ActAs）

Question

使用自定義STS時，是否有人在SharePoint 2010中使用了引導令牌。 我已經為此奮斗了幾個小時。 每當我發出RST時，都會收到以下錯誤消息：

ID4257: X.509 certificate 'CN=SharePoint Security Token Service, OU=SharePoint, O=Microsoft, C=US' validation failed by the token handler. 

我正在將SharePoint 2010和Thinktecture Identity Server用作我的STS，並嘗試通過委派調用WCF服務。 我的所有工作都很好，但是我無法使用引導令牌來使委派工作。

我猜測SharePoint必須以某種方式加密引導令牌？ 任何幫助或指示嗎？

Answer 1

您仍然可以通過使用自己的加密證書而不是Sharepoint STS來解決此問題。

當他們嘗試驗證引導令牌並發現令牌中的證書無效時， SecurityTokenHandler會引發此異常（默認X509CertificateValidator）。

引導令牌中將顯示的證書將是SharePoint安全令牌服務。

解決問題的兩種方法AFAIK

1. 將“ SharePoint安全令牌服務”證書的公共部分復制到STS計算機中的Cert：LocalMachine \\ TrustedPeople。 您也可以編寫自己的證書驗證器。

2. 對於生產機器不是一個好的解決方案。 在web.config中設置certificateValidationMode =“ None”

http://msdn.microsoft.com/zh-cn/library/hh598384%28v=vs.110%29.aspx

Answer 2

通過將SharePoint STS證書作為加密證書添加到sts，可以部分解決此問題。 同樣使用SPSecurityContext.SecurityTokenForContext似乎對使ActAs令牌0有所幫助，但我不是100％確信我已經使其全部工作了！