Le système GFI (FIM) acceptera les métadonnées SAML2 d’ADFS, mais ne pourra soutenir le service ADFS de la même manière que le service de référence Shibboleth. Si vous utilisez ADFS, nous vous recommandons de prendre les dispositions qui suivent.
- Examinez les limites connues du service ADFS décrites à l’adresse suivante ainsi que par d’autres fédérations : https://www.ukfederation.org.uk/content/Documents/ADFS
- Comprendre les risques possibles sur le plan de la sécurité, le travail supplémentaire et les problèmes opérationnels qui pourraient découler de l’absence de certaines fonctions et planifier des mesures pour atténuer ces difficultés.
- Ne pas utiliser de version d’ADFS plus ancienne que la quatrième (Microsoft Windows Server 2016).
- Utiliser la fonction ADFSClaimsProviderTrustGroups pour charger les agrégats de production canadiens et les agrégats de production inter-fédération du FIM.
Si vous n’avez pas la quatrième version d’ADFS, vous trouverez de nombreux outils proposés par des tiers sur http://adfstoolkit.org
Limites connues du service ADFS et des composants connexes
Le service ADFS présente plusieurs limites ou différences avec les fonctions du logiciel Shibboleth que les utilisateurs de ce dernier tiennent pour acquises, par exemple :
- ADFS n’acceptera pas les métadonnées SAML ayant pour élément racine
<md:EntitiesDescriptor>
- ADFS n’acceptera pas un élément
<md:EntityDescriptor>
dont le certificat est expiré. - ADFS vérifiera les points terminaux CRLs ou OCSP que pourrait renfermer le certificat.
- ADFS n’acceptera pas deux éléments
<md:EntityDescriptor>
contenant le même certificat. - ADFS n’acceptera pas un élément
<md:EntityDescriptor>
contenant plus d’une clé de chiffrement.
(pys)FEMMA (Ce script automatise la configuration de l’adhésion à un Security Token Service d’ADMS dans une fédération d’identités utilisant SAML2.)