Windows Server 2016 の AD FS には、複数のエンティティを含むメタデータに基づく信頼のインポートのサポートなど、追加の SAML プロトコルサポートが含まれています。 これにより、InCommon フェデレーションや eGov 2.0 標準に準拠するその他の実装などのフェデレーションに参加するように AD FS を構成できます。
新しい機能は、依存関係パーティーまたはクレーム プロバイダーの信頼のグループに基づいています。 各グループは、eGov 2.0 プロファイルで指定された EntitiesDescriptor (<md:EntitiesDescriptor>) 要素であり、1 つまたは複数の EntityDescriptor 要素を含みます。 グループには共通の承認規則があり、他のすべてのプロパティは個々の信頼オブジェクトのように変更できます。
信頼グループが AD FS にインポートされると、AD FS はメタデータ ドキュメントに基づいて信頼をグループとして自動的に更新します。
これらのシナリオの有効化は、AdfsClaimsProviderTrustsGroup オブジェクトと AdfsRelyingPartyTrustsGroup オブジェクトを追加および削除する新しい PowerShell コマンドレットを使用するのと同じくらい簡単です。 これは、次の例に示すように、メタデータ URL またはファイルを使用して行うことができます。
さらに、AD FS 2016 では、SAML Core 仕様のセクション 3.4.1.2 で説明されているように、スコープ パラメーターがサポートされています。 この要素を使用すると、証明書利用者は認証要求に対して 1 つ以上の ID プロバイダーを指定できます。
例示
Add-AdfsClaimsProviderTrustsGroup -MetadataUrl "https://www.contosoconsortium.com/metadata/metadata.xml"
Add-AdfsClaimsProviderTrustsGroup -MetadataFile "C:\metadata.xml"
参考資料
eGov 2.0 プロファイル については、こちらをご覧ください。
SAML Core の仕様 については、こちらを参照してください。