SAML 2.0 との相互運用性の向上

Windows Server 2016 の AD FS には、複数のエンティティを含むメタデータに基づく信頼のインポートのサポートなど、追加の SAML プロトコルのサポートが含まれています。 これにより、InCommon フェデレーションや、eGov 2.0 標準に準拠する他の実装など、コンフェデレーションに参加するように AD FS を構成できます。

新しい機能は、証明書利用者のグループまたは要求プロバイダー信頼のグループに基づいています。 各グループは、1 つ以上の EntityDescriptor 要素を含む eGov 2.0 プロファイルで指定された EntitiesDescriptor (<md:EntitiesDescriptor>) 要素です。 グループには共通の承認規則があります。その他のすべてのプロパティは、個々の信頼オブジェクトのように変更できます。

信頼グループが AD FS にインポートされると、AD FS はメタデータ ドキュメントに基づいて、信頼をグループとして自動的に更新します。

これらのシナリオを有効にするのは、AdfsClaimsProviderTrustsGroup オブジェクトと AdfsRelyingPartyTrustsGroup オブジェクトを [追加] および [削除] する新しい PowerShell コマンドレットを使用するのと同くらい簡単です。 これは、次の例に示すように、メタデータ URL またはファイルを使用して実行できます。

さらに、AD FS 2016 では、SAML Core 仕様のセクション 3.4.1.2 で説明されているスコープ パラメーターがサポートされています。 この要素を使用すると、証明書利用者は認証要求に 1 つ以上の ID プロバイダーを指定できます。

例

Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"

Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"

リファレンス

eGov 2.0 プロファイルについては、こちらを参照してください。

SAML Core の仕様については、こちらを参照してください。