Verbesserte Interoperabilität mit SAML 2.0

AD FS unter Windows Server 2016 umfasst zusätzliche Unterstützung für das SAML-Protokoll, einschließlich der Unterstützung für das Importieren von Vertrauensstellungen basierend auf Metadaten, die mehrere Entitäten enthalten. Dadurch kann AD FS für die Teilnahme an Verbünden wie der InCommon Federation und anderen Implementierungen konfiguriert werden, die dem eGov 2.0-Standard entsprechen.

Die neue Funktion basiert auf Gruppen von Vertrauensstellungen der vertrauenden Seite oder Anspruchsanbieter-Vertrauensstellungen. Jede Gruppe ist ein EntitiesDescriptor-Element (<md:EntitiesDescriptor>), wie im eGov 2.0-Profil angegeben, das ein oder mehrere EntityDescriptor-Elemente enthält. Die Gruppen verfügen über gemeinsame Autorisierungsregeln, und alle anderen Eigenschaften können wie einzelne Vertrauensobjekte geändert werden.

Nachdem die Vertrauensgruppen in AD FS importiert wurden, aktualisiert AD FS die Vertrauensstellungen basierend auf dem Metadatendokument automatisch als Gruppe.

Das Aktivieren dieser Szenarien ist so einfach wie die Verwendung der neuen PowerShell-Cmdlets, mit denen die Objekte AdfsClaimsProviderTrustsGroup und AdfsRelyingPartyTrustsGroup hinzugefügt und entfernt werden. Dies kann mithilfe einer Metadaten-URL oder einer Datei erfolgen, wie in den folgenden Beispielen gezeigt.

Darüber hinaus unterstützt AD FS 2016 den Bereichsparameter, wie in der SAML Core-Spezifikation, Abschnitt 3.4.1.2 beschrieben. Dieses Element ermöglicht es vertrauenden Seiten, einen oder mehrere Identitätsanbieter für eine Authentifizierungsanforderung anzugeben.

Beispiele

Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"

Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"

References

Das eGov 2.0-Profil finden Sie hier.

Die SAML Core-Spezifikation finden Sie hier.