Mejora de la interoperabilidad con SAML 2.0

AD FS en Windows Server 2016 incluye compatibilidad adicional con el protocolo SAML, incluida la funcionalidad para importar confianzas basadas en metadatos que contienen varias entidades. Esto permite configurar AD FS para participar en confederaciones como la Federación de InCommon y otras implementaciones que se ajustan al estándar eGov 2.0.

La nueva funcionalidad se basa en confianzas de proveedores de notificaciones o grupos de usuarios de confianza. Cada grupo es un elemento EntitiesDescriptor (<md:EntitiesDescriptor>), como se especifica en el perfil de eGov 2.0, que contiene uno o varios elementos EntityDescriptor. Los grupos tienen reglas de autorización comunes y todas las demás propiedades se pueden modificar como objetos de confianza individuales.

Una vez que los grupos de confianza se importan en AD FS, este actualiza automáticamente las confianzas como un grupo basándose en el documento de metadatos.

Habilitar estos escenarios es tan sencillo como usar los nuevos commandlets de PowerShell que agregan y quitan los objetos AdfsClaimsProviderTrustsGroup y AdfsRelyingPartyTrustsGroup. Esto se puede hacer usando un archivo o una dirección URL de metadatos, como se muestra en los ejemplos siguientes.

Además, AD FS 2016 admite el parámetro de ámbito como se describe en la especificación SAML Core, sección 3.4.1.2. Este elemento permite a los usuarios de confianza especificar uno o varios proveedores de identidades para una solicitud de autenticación.

Ejemplos

Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"

Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"

Referencias

El perfil de eGov 2.0 se puede encontrar aquí.

La especificación SAML Core se encuentra aquí.