Наиболее типичным решением является сравнение IP-адресов, а затем решение о том, какой метод аутентификации следует использовать.Неважно, кто выполняет или обрабатывает часть аутентификации, будь то вы или какое-либо другое решение SSO или IdP.В конце концов, локальный против внешнего приходит к вам, устанавливая правило и условие, которое делает это различие, и это правило, как правило, основано на шаблонах IP, которые должны быть реализованы вами или решением SSO / IdP.
Это решение не обходится без предостережений, поскольку IP-адреса могут быть подделаны.Итак, YMMV.
Также обратите внимание, что есть такая вещь, как SPNEGO, которая в основном работает со сценариями аутентификации на основе Windows внутри рабочих станций (например, библиотеки или лаборатории) в сочетании с Active Directory.Любой «локальный» пользователь, способный воспользоваться преимуществами SPNEGO, плотно подключившись к этой среде Windows / AD, должен иметь возможность «невидимого» входа в систему, в то время как внешние пользователи вне SPNEGO могут использовать authn и SAML на основе форм.Это может быть одно решение с учетом вышеуказанных допущений, и большинство решений SSO / IdP обеспечивают поддержку SPNEGO.
Обратите внимание, что в любом случае SPNEGO не для слабонервных разрабатывать и / или настраивать.