使用 SAML 2.0 改進互通性
Windows Server 2016 中的 AD FS 包含額外的 SAML 通訊協定支援,包括可根據包含多個實體的中繼資料匯入信任的支援。 這可讓您設定 AD FS 以參與同盟 (例如 InCommon 同盟) 和符合 eGov 2.0 標準的其他實作。
這項新功能是以信賴憑證者或宣告提供者信任的群組為基礎。 每個群組都是如 eGov 2.0 設定檔中所指定的 EntitiesDescriptor (<md:EntitiesDescriptor>) 元素,包含一個或多個 EntityDescriptor 元素。 這些群組具有共同的授權規則,而且可以像個別的信任物件一樣修改所有其他屬性。
將信任群組匯入 AD FS 後,AD FS 即會根據中繼資料文件來自動將信任更新為一個群組。
啟用這些情境就像使用新的 PowerShell Commandlet (新增和移除 AdfsClaimsProviderTrustsGroup 和 AdfsRelyingPartyTrustsGroup 物件) 一樣簡單。 這可以使用中繼資料 URL 或檔案來完成,如下面的範例所示。
此外,AD FS 2016 也支援如 SAML Core 規格 3.4.1.2 一節中所述的範圍參數。 此元素可讓信賴憑證者為驗證要求指定一或多個識別提供者。
範例
Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"
Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"
參考資料
eGov 2.0 設定檔可在這裡找到。
SAML Core 規格可在這裡找到。