Interopérabilité améliorée avec SAML 2.0

AD FS dans Windows Server 2016 contient une prise en charge du protocole SAML supplémentaire, notamment la prise en charge de l’importation d’approbations basées sur des métadonnées contenant plusieurs entités. Cela vous permet de configurer AD FS pour participer à des confédérations telles que la fédération InCommon et d’autres implémentations conformes à la norme eGov 2.0.

La nouvelle fonctionnalité est basée sur des groupes d’approbations de partie de confiance ou de fournisseur de revendications. Chaque groupe est un élément EntitiesDescriptor ( < MD : EntitiesDescriptor > ) tel que spécifié dans le profil eGov 2,0, contenant un ou plusieurs éléments EntityDescriptor. Les groupes ont des règles d’autorisation communes et toutes les autres propriétés peuvent être modifiées comme des objets d’approbation individuels.

Une fois les groupes d’approbation importés dans AD FS, AD FS met automatiquement à jour les approbations en tant que groupe en fonction du document de métadonnées.

L’activation de ces scénarios est aussi simple que l’utilisation des nouveaux applets PowerShell qui ajoutent et suppriment des objets AdfsClaimsProviderTrustsGroup et AdfsRelyingPartyTrustsGroup. Cela peut être fait à l’aide d’une URL de métadonnées ou d’un fichier, comme indiqué dans les exemples ci-dessous.

En outre, AD FS 2016 prend en charge le paramètre d’étendue, comme décrit dans la spécification SAML Core, section 3.4.1.2. Cet élément permet aux parties de confiance de spécifier un ou plusieurs fournisseurs d’identité pour une demande d’authentification.

Exemples

Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"
Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"

Références

Le profil eGov 2,0 est disponible ici.

La spécification SAML Core est disponible ici.