使用 SAML 2.0 改進互通性

Windows Server 2016 中的 AD FS 包含額外的 SAML 通訊協定支援，包括可根據包含多個實體的中繼資料匯入信任的支援。 這可讓您設定 AD FS 以參與同盟 (例如 InCommon 同盟) 和符合 eGov 2.0 標準的其他實作。

這項新功能是以信賴憑證者或宣告提供者信任的群組為基礎。 每個群組都是如 eGov 2.0 設定檔中所指定的 EntitiesDescriptor (<md:EntitiesDescriptor>) 元素，包含一個或多個 EntityDescriptor 元素。 這些群組具有共同的授權規則，而且可以像個別的信任物件一樣修改所有其他屬性。

將信任群組匯入 AD FS 後，AD FS 即會根據中繼資料文件來自動將信任更新為一個群組。

啟用這些情境就像使用新的 PowerShell Commandlet (新增和移除 AdfsClaimsProviderTrustsGroup 和 AdfsRelyingPartyTrustsGroup 物件) 一樣簡單。 這可以使用中繼資料 URL 或檔案來完成，如下面的範例所示。

此外，AD FS 2016 也支援如 SAML Core 規格 3.4.1.2 一節中所述的範圍參數。 此元素可讓信賴憑證者為驗證要求指定一或多個識別提供者。

範例

Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"

Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"

參考資料

eGov 2.0 設定檔可在這裡找到。

SAML Core 規格可在這裡找到。