Улучшение взаимодействия с SAML 2.0

AD FS в Windows Server 2016 содержит дополнительную поддержку протокола SAML, включая поддержку импорта доверия на основе метаданных, содержащих несколько сущностей. Это позволяет настроить в AD FS участие в таких конфедерациях, как InCommon Federation и другие реализации, соответствующие стандарту eGov 2.0.

Новая возможность основана на группах доверия проверяющей стороны или поставщика утверждений. Каждая группа — это элемент EntityDescriptor (<md:EntityDescriptor>), как указано в профиле eGov 2.0, содержащий один или несколько элементов EntityDescriptor. Группы имеют общие правила авторизации, а все остальные свойства можно изменить, как отдельные объекты доверия.

После импорта групп доверия в AD FS AD FS ad FS автоматически обновляет доверия как группу на основе документа метаданных.

Включение этих сценариев так же просто, как использование новых командлетов PowerShell, которые добавляют и удаляют AdfsClaimsProviderTrustsGroup и AdfsRelyingPartyTrustsGroup. Это можно сделать с помощью URL-адреса метаданных или файла, как показано в примерах ниже.

Кроме того, AD FS 2016 поддерживает параметр области, как описано в спецификации SAML Core, раздел 3.4.1.2. Этот элемент позволяет проверяющим сторонам указать один или несколько поставщиков удостоверений для запроса проверки подлинности.

Примеры

Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"

Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"

Ссылки

Профиль eGov 2.0 можно найти здесь.

Спецификация SAML Core см . здесь.