Да, ADFS может использоваться для этого.Обязательно используйте ADFS в Windows Server 2016 [ADFS 2016], которая поддерживает OIDC (ADFS в Windows 2012 R2 не поддерживает OIDC).
Таким образом, если ваши пользователи хранятся в Active Directory локально, вы можетеустановите ADFS и настройте в ней несколько приложений с разными протоколами (SAML, WS-Federation, OIDC, OAuth).
В случае веб-приложений, когда пользователь открывает браузер и получает доступ к URL-адресу веб-приложения, они будут перенаправлены в ADFS для аутентификации.Как правило, если пользователь находится во внутренней сети, аутентификация будет IWA [встроенная проверка подлинности Windows - Kerberos], а если пользователь находится во внешней сети, прокси-сервер веб-приложения ADFS [WAP] будет представлять FBA [проверка подлинности на основе форм] форма - в любом случае пользователь будет проверен по Active Directory.После аутентификации пользователь снова будет перенаправлен в веб-приложение.Если пользователь откроет другое веб-приложение, они будут уже аутентифицированы в ADFS - нет необходимости повторной аутентификации.
Пара дополнительных комментариев:
- ADFS 2016 также может аутентифицировать пользователей черезLDAP
- Если вы используете Azure Active Directory [AAD] и синхронизировали локальных пользователей с облаком, этот сценарий единого входа также может быть реализован с помощью AAD.