Comment configurer ADFS pour qu'il indique que les demandes d'authentification doivent être signées?

Question

J'essaye de configurer ADFS afin qu'il inclue WantAuthnRequestsSigned="true" dans son document de métadonnées de fédération de fournisseur d'identité (FederationMetadata/2007-06/FederationMetadata.xml)?

Je souhaite utiliser cet attribut pour suggérer aux fournisseurs de services (parties de confiance) que les demandes d'authentification doivent être signées.

Il semble également que même si un certificat de signature est spécifié dans les métadonnées du fournisseur de services, ADFS n'applique pas qu'il doit être utilisé. Un moyen de changer ce comportement? J'utilise ADFS sur Windows Server 2012 R2.

Answer 1

Utilisez cette commande PowerShell pour le configurer.

Set-AdfsProperties -SignedSamlRequestsRequired $true 

Aide pour le commutateur explique son cas d'utilisation. https://technet.microsoft.com/en-us/itpro/powershell/windows/adfs/set-adfsproperties a une aide en ligne.

-SignedSamlRequestsRequired [] Indique si le service de fédération exige signé les demandes de protocole SAML de la partie utilisatrice. Si vous spécifiez une valeur de $ True, le service de fédération rejette les demandes de protocole SAML non signées.

Vous pouvez également appliquer à l'approbation RP représentant l'application si vous souhaitez que les demandes signées ou non. Cela ne changera pas les métadonnées de fédération de votre AD FS.

Set-AdfsRelyingPartyTrust -TargetIdentifier urn:test:app -SignedSamlRequestsRequired $true