Улучшенная совместимость с SAML 2.0
AD FS в Windows Server 2016 содержит дополнительную поддержку протокола SAML, включая поддержку импорта доверия на основе метаданных, содержащих несколько сущностей. Это позволяет настроить AD FS для участия в конфедерациях, таких как Федерация InCommon и другие реализации, соответствующие стандарту eGov 2.0.
Новая возможность основана на доверительных отношениях, сформированных по группам проверяющих сторон или поставщиков утверждений. Каждая группа — это элемент EntityDescriptor (<md:EntityDescriptor>), как указано в профиле eGov 2.0, содержащий один или несколько элементов EntityDescriptor. Группы имеют общие правила авторизации, а все остальные свойства можно изменить, как отдельные объекты доверия.
После импорта групп доверия в AD FS, AD FS автоматически обновляет эти отношения доверия как группу на основе документа метаданных.
Включение этих сценариев так же просто, как использование новых командлетов PowerShell, которые позволяют добавлять и удалять объекты AdfsClaimsProviderTrustsGroup и AdfsRelyingPartyTrustsGroup. Это можно сделать с помощью URL-адреса метаданных или файла, как показано в примерах ниже.
Кроме того, AD FS 2016 поддерживает параметр области, как описано в спецификации SAML Core, раздел 3.4.1.2. Этот элемент позволяет проверяющим сторонам указать один или несколько поставщиков удостоверений для запроса проверки подлинности.
Примеры
Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"
Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"
Ссылки
Профиль eGov 2.0 можно найти здесь.
Спецификацию SAML Core можно найти здесь.