已改善SAML 2.0的互操作性
Windows Server 2016 中的 AD FS 包含額外的 SAML 通訊協定支援,包括支援根據包含多個實體的元數據匯入信任。 這可讓您設定 AD FS 參與同盟,例如 InCommon 同盟和其他符合 eGov 2.0 標準的實作。
這項新功能以信賴方或宣告提供者的信任群組為基礎。 每個群組都是 entityDescriptor (<md:EntitiesDescriptor>) 元素,如 eGov 2.0 配置檔中所指定,包含一或多個 EntityDescriptor 元素。 群組具有常見的授權規則,而且所有其他屬性都可以修改,例如個別信任物件。
將信任群組匯入到 AD FS 後,AD FS 會根據中繼資料檔案,自動整體更新這些信任。
啟用這些案例很簡單,只需使用新增和移除 AdfsClaimsProviderTrustsGroup 物件和 AdfsRelyingPartyTrustsGroup 物件的新 PowerShell 指令即可。 這可以使用元數據 URL 或檔案來完成,如下列範例所示。
此外,AD FS 2016 也支援範圍參數,如 SAML Core 規格 3.4.1.2 一節所述。 這個元素可讓信賴方為驗證要求指定一或多個身份提供者。
範例
Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"
Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"
參考資料
您可以在這裡找到 eGov 2.0 設定檔 。
您可以在這裡找到 SAML Core 規格 。