Использование ADFS для предоставления токена Kerberos для WAP и серверной системы

Question

Мы предварительно установили SharePoint с использованием Kerberos и хотим, чтобы внешние пользователи могли подключаться к нашей системе через WAP.

Мы предпочитаем не подвергать нашу SharePoint "напрямую" внешней сети (сквозной) и не подключать WAP в DMZ к нашему внутреннему домену AD (делегирование Kerberos).

Какие у нас есть варианты?

Может ли ADFS передавать маркер Kerberos? (это на стороне внутренней сети)

Br, Том

Answer 1

Это невозможно. ADFS может выполнять делегирование Kerberos (превращая токен saml в токен Kerberos для бэкэнда), только если это часть домена.

Answer 2

Протокол Kerberos является частью AD. ADFS преобразует маркер Kerberos в токен SAML, чтобы вы могли передать его таким образом. ADFS предоставляет токен SAML 1.1 или 2.0, содержащий утверждения.

Сервер ADFS превращает билет Kerberos в токен SAML, который отправляется тому, кто запускает поток федерации.

Существует руководство по настройке Kerberos с ADFS 2.0, которое может быть полезным. https://www.cisco.com/c/en/us/support/docs/security-vpn/kerberos/118841-configure-kerberos-00.html