Ваш вопрос мне не совсем понятен, но в любом случае здесь может быть ответ.
Как описано на странице Обзор обработчика аутентификации , в AD FS 2.0 есть парамеханизмов аутентификации.Какой из них выбран, определяется на основании того, что «запрос аутентификации позволяет».Речь идет не о HTTP-запросе от браузера пользователя, а о запросе входа от проверяющей стороны (CRM 2011 в вашем случае).И здесь нет отступления: для каждого из четырех обработчиков «вызвано [I] f, он не передает запрос следующему обработчику».
Так, например, еслизапрос входа WS-Federation из CRM в AD FS (отправленный через браузер) говорит, что встроенная проверка подлинности Windows подходит, и если у вас встроенный обработчик в верхней части списка <localAuthenticationTypes>, то IWA всегда используется дляаутентификация пользователя (например, NTLM или Kerberos, в зависимости от возможностей браузера / сервера).Неважно, является ли пользователь «внутренним» или «внешним».
Хотите ли вы использовать разные методы аутентификации для разных пользователей?Если это так, то единственный способ повлиять на выбранный метод аутентификации заключается в источнике: теоретически CRM может адаптировать свой запрос аутентификации на основе некоторой информации от пользователя или браузера пользователя.Если CRM основан на WIF, вы можете выполнить запрос в WSFederationAuthenticationModule.RedirectingToIdentityProvider Event .Коллеги успешно выполняли обработку запросов на вход WIF в SharePoint, используя этот механизм.
Вы всегда хотите тихий вход (в отличие от получения диалогового окна учетных данных Windows из браузера)?По нашему опыту, существует множество причин, по которым согласование IWA может не убедить сервер в том, что учетные данные Windows клиента действительно действительны, что заставляет браузер явно запрашивать учетные данные.Наиболее очевидная причина в том, что браузер не может получить доступ к AD сервера, но есть и другие.