Förbättrad samverkan med SAML 2.0
AD FS i Windows Server 2016 innehåller ytterligare STÖD för SAML-protokoll, inklusive stöd för import av förtroenden baserat på metadata som innehåller flera entiteter. På så sätt kan du konfigurera AD FS för att delta i konfederationer som InCommon Federation och andra implementeringar som överensstämmer med eGov 2.0-standarden.
Den nya funktionen baseras på grupper av förtroenden för förlitande parter eller anspråksleverantörer. Varje grupp är ett EntitiesDescriptor-element (<md:EntitiesDescriptor>) som anges i eGov 2.0-profilen, som innehåller ett eller flera EntityDescriptor-element. Grupperna har gemensamma auktoriseringsregler och alla andra egenskaper kan ändras som enskilda förtroendeobjekt.
När förtroendegrupperna har importerats till AD FS uppdaterar AD FS automatiskt förtroendena som en grupp baserat på metadatadokumentet.
Att aktivera dessa scenarier är lika enkelt som att använda de nya PowerShell-kommandona som lägger till och tar bort AdfsClaimsProviderTrustsGroup- och AdfsRelyingPartyTrustsGroup-objekt. Detta kan göras med hjälp av en metadata-URL eller en fil, som du ser i exemplen nedan.
Dessutom har AD FS 2016 stöd för omfångsparametern enligt beskrivningen i SAML Core-specifikationen, avsnitt 3.4.1.2. Med det här elementet kan förlitande parter ange en eller flera identitetsprovidrar för en autentiseringsbegäran.
Exempel
Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"
Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"
Referenser
Profilen eGov 2.0 finns här.
SAML Core-specifikationen finns här.