Interopérabilité améliorée avec SAML 2.0

AD FS dans Windows Server 2016 offre une prise en charge du protocole SAML supplémentaire, notamment la prise en charge de l’importation des approbations basées sur des métadonnées contenant plusieurs entités. Cela vous permet de configurer AD FS pour participer à des confédérations telles que la fédération InCommon et d’autres implémentations conformes à la norme eGov 2.0.

La nouvelle fonctionnalité est basée sur des groupes d’approbations de partie de confiance ou de fournisseur de revendications. Chaque groupe est un élément EntitiesDescriptor (<md:EntitiesDescriptor>) tel que spécifié dans le profil eGov 2.0, contenant un ou plusieurs éléments EntityDescriptor. Les groupes ont des règles d’autorisation communes et toutes les autres propriétés peuvent être modifiées comme des objets d’approbation individuels.

Une fois que les groupes de confiance sont importés dans AD FS, AD FS met automatiquement à jour les approbations en tant que groupe en fonction du document de métadonnées.

L’activation de ces scénarios est aussi simple que l’utilisation des nouvelles applets de commande PowerShell qui ajoutent et suppriment des objets AdfsClaimsProviderTrustsGroup et AdfsRelyingPartyTrustsGroup. Elle peut être effectuée à l’aide d’une URL de métadonnées ou d’un fichier, comme illustré dans les exemples ci-dessous.

En outre, AD FS 2016 prend en charge le paramètre d’étendue, comme décrit dans la spécification SAML principale, section 3.4.1.2. Cet élément permet aux parties de confiance de spécifier un ou plusieurs fournisseurs d’identité pour une demande d’authentification.

Exemples

Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"

Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"

References

Le profil eGov 2.0 se trouve ici.

La spécification SAML principale se trouve ici.