Windows Server 2012 Active Directory Federation Services (ADFS) -tuotetta on mahdollista käyttää IdP-palvelimena Haka-verkostossa. Tuote ei yksin sellaisenaan sovellu suoraan liitettäväksi Hakaan, vaan tarvitaan muutamia lisätyökaluja mm. Haka-metadatan käsittelyyn. On myös suositeltavaa, että organisaatiolla on tai se hankkii osaamista tuotteesta ennen käyttöönoton suunnittelua.
Laurea-ammattikorkeakoulu otti käyttöön ADFS-IdP -palvelimen Hakassa kesällä 2016. Käyttöönotossa hyödynnettiin Otaverkon Teemu Lehtosen muokkaamia työkaluja (liitteenä). Työkalut perustuvat aiemmin Virtu-kertakirjautumisratkaisun yhteydessä julkaistuihin työkaluihin.
Muutamia Otaverkon havaintoja käyttöönotosta:
- ADFS:n SAML toiminnallisuus näyttää standardin mukaiselta, itse autentikaatioliikenteessä oli hyvin vähän ongelmia
- Metadatan käsittely on konstikkaampaa. ADFS ei suoraan tue EntitiesDescriptor elementtejä eli ne pitää parsia käsin
- Server 2016n mukana tulossa olevassa ADFS:ssä on suora tuki EntitiesDescriptor elementeille ja scopeille.
- Kertakirjautumisen yhteydessä AuthN context on eri kuin HAKAssa yleisimmin esiintyvä urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport , todella vanhoilla Shibboleth SP:llä voi olla tuo vaatimuksena ehdolla "exact", milloin kertakirjautuminen mikä tuottaa kontekstiksi urn:federation:authentication:windows tai urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos ei toimi. Jos lomakeautentikaatio on käytössä, se tuottaa PasswordProtectedTransportin.
- SHA2 XML signatureiden käsittely vaati käsitöitä.
- ADFS defaulttaa pariin asetukseen mitkä eivät toimi sellaisenaan HAKAssa
- claimien kryptaus on oletuksena päällä, ja
- attribute-format on undefined ja HAKAssa urn:oasis:names:tc:SAML:2.0:attrname-format:uri