Problemas com autenticação de reivindicações
-
09-12-2019 - |
Pergunta
Meu conhecimento sobre reivindicações é fraco, então, por favor, me perdoe se algo não fizer sentido.
Quando tento fazer login no site do SharePoint usando declarações, recebo o erro:
Ocorreu um erro SPRequest desconhecido.Mais Informações.0x80070005
O que é um erro de acesso negado, no meu entender.
O Fiddler perde minha conexão de vista durante o túnel SSL para o TIP, então não recebo nenhuma pista do Fiddler.
Os comandos que usei para configurar o TIP são os seguintes:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
("C:\myCert.pem")
New-SPTrustedRootAuthority -Name "Vordel Gateway Token Signing Root Authority"
-Certificate $cert
$map1 = New-SPClaimTypeMapping
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
-IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
$realm = "urn:myRealm.com"
$signinurl = "https://mySigninURL/sharepointSSO"
$ap = New-SPTrustedIdentityTokenIssuer -Name "Vordel" -Description
"Vordel Gateway Issuing SAML Token" -Realm $realm -ImportTrustCertificate
$cert -ClaimsMappings $map1 -SignInUrl $signinurl
-IdentifierClaim $map1.InputClaimType
Depois de configurar o CERT, verifiquei no Central Admin | Segurança | Gerenciar relações de confiança e o certificado está lá.
Garanti que as contas de superleitor e superusuário do Portal tivessem as políticas de usuário de aplicativos da web adequadas aplicadas.Então executei o seguinte Powershell:
$wa = Get-SPWebApplication -Identity "http://serverName"
$wa.Properties["portalsuperuseraccount"] = "i:0#.w|MyDomain\mySU"
$wa.Properties["portalsuperreaderaccount"] = "i:0#.w|MyDomain\mySR"
$wa.Update()
Quando atribuo permissões ao site, posso pesquisar os usuários disponíveis por meio do TIP para saber que posso acessar o provedor.
Eu sei que posso ver o XML retornado pelo TIP com todas as informações da reclamação.O erro ocorre quando a declaração é redirecionada de volta para o SharePoint.
Solução
Acontece que eu não tinha todos os certificados da cadeia e o Vordel Gateway não estava apontando para o local correto.O pessoal da Vordel foi muito útil para resolver esse problema!