Melhor interoperabilidade com SAML 2.0

O AD FS 2016 no Windows Server 2016 contém suporte ao protocolo SAML adicional, incluindo suporte para importar relações de confiança com base em metadados que contêm várias entidades. Isso permite que você configure o AD FS para participar de confederações, como Federação InCommon, bem como de outras implementações em conformidade com o padrão eGov 2.0.

A nova funcionalidade é baseada em grupos de terceira parte confiável ou relações de confiança do provedor de declarações. Cada grupo é um elemento EntitiesDescriptor (<md:EntitiesDescriptor>), conforme especificado no perfil eGov 2.0, contendo um ou muitos elementos EntityDescriptor. Os grupos têm regras de autorização comuns, e todas as outras propriedades podem ser modificadas, como objetos de confiança individuais.

Depois que os grupos de confiança são importados para o AD FS, o AD FS atualiza automaticamente as relações de confiança como um grupo com base no documento de metadados.

Habilitar esses cenários é tão simples quanto usar os novos comandos do PowerShell que adicionam e removem objetos AdfsClaimsProviderTrustsGroup e AdfsRelyingPartyTrustsGroup. Isso pode ser feito usando uma URL de metadados ou um arquivo, conforme mostrado nos exemplos abaixo.

Além disso, o AD FS 2016 tem suporte para o parâmetro de escopo, conforme descrito na especificação do SAML Core, seção 3.4.1.2. Esse elemento permite que as partes confiáveis especifiquem um ou mais provedores de identidade para uma solicitação de autenticação.

Exemplos

Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"

Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"

Referências

O perfil do eGov 2.0 pode ser encontrado aqui.

A especificação SAML Core pode ser encontrada aqui.