Interoperabilità migliorata con SAML 2.0

AD FS 2016 in Windows Server 2016 contiene supporto del protocollo SAML aggiuntivo, incluso il supporto per l'importazione di relazioni di trust in base ai metadati che contengono più entità. Ciò consente di configurare ADFS per partecipare confederations come Federation InCommon e altre implementazioni conformi al eGov 2.0 standard.

La nuova funzionalità si basa su gruppi di relying party o trust del provider di attestazioni. Ogni gruppo è un elemento EntitiesDescriptor (<md:EntitiesDescriptor>) come specificato nel profilo eGov 2.0, contenente uno o più elementi EntityDescriptor. I gruppi hanno regole di autorizzazione comuni e tutte le altre proprietà possono essere modificate come singoli oggetti trust.

Dopo l'importazione dei gruppi di trust in AD FS, AD FS aggiorna automaticamente i trust come gruppo in base al documento di metadati.

L'abilitazione di questi scenari è semplice come usare i nuovi cmdlet di PowerShell che aggiungono e rimuovono oggetti AdfsClaimsProviderTrustsGroup e AdfsRelyingPartyTrustsGroup. Questa operazione può essere eseguita usando un URL di metadati o un file, come illustrato negli esempi seguenti.

AD FS 2016 include inoltre il supporto per il parametro di definizione dell'ambito, come descritto nella specifica SAML Core, sezione 3.4.1.2. Questo elemento consente alle relying party di specificare uno o più provider di identità per una richiesta di autenticazione.

Esempi

Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"

Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"

Riferimenti

Il profilo eGov 2.0 è disponibile qui.

La specifica SAML Core è disponibile qui.