Windows Server 2016 中的 AD FS 包含其他 SAML 协议支持,包括支持基于包含多个实体的元数据导入信任。 这使你可以将 AD FS 配置为参与联合身份验证,例如 InCommon 联合身份验证和其他符合 eGov 2.0 标准的实现。
新功能基于信赖方信任组或声明提供程序信任组。 每个组都是 eGov 2.0 配置文件中指定的 EntitiesDescriptor (<md:EntitiesDescriptor>) 元素,其中包含一个或多个 EntityDescriptor 元素。 这些组具有常见的授权规则,并且可以像单个信任对象一样修改所有其他属性。
将信任组导入 AD FS 后,AD FS 会根据元数据文档自动将信任更新为组。
使用新的 PowerShell 命令实现这些场景非常简单,只需添加和删除 AdfsClaimsProviderTrustsGroup 和 AdfsRelyingPartyTrustsGroup 对象即可。 可以使用元数据 URL 或文件完成此作,如以下示例所示。
此外,AD FS 2016 还支持 SAML Core 规范第 3.4.1.2 节中所述的范围参数。 此元素允许信赖方为身份验证请求指定一个或多个标识提供者。
例子
Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"
Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"
参考文献
可在此处找到 eGov 2.0 配置文件 。
可在此处找到 SAML Core 规范 。