Мы стремимся представить портал SharePoint через Интернет с помощью прокси-сервера веб-приложений, защищенного предварительной аутентификацией ADFS. Разрешения для портала предоставляются через утверждения на основе определенных атрибутов AD. Кроме того, портал также отображает несколько отчетов SSRS, которые извлекают данные из куба SSAS. Куб содержит разрешения на уровне данных для групп AD, и, следовательно, учетные данные пользователя также должны быть делегированы кубу.
Было предложено защитить портал SharePoint с помощью Kerberos и опубликовать его через WAP, чтобы WAP выполнял предварительную аутентификацию через ADFS 3 и впоследствии преобразовывал токен SAML в билет Kerberos при доступе к порталу. Благодарим Вас за ответы на следующие вопросы:
Может ли WAP фактически преобразовать токен SAML в билет Kerberos, чтобы портал воспринимал пользователя как пользователя Kerberos?
Портал в значительной степени опирается на Претензии, оформленные в соответствии с Правилами подачи претензий ADFS Поскольку ADFS не подключена напрямую к порталу SharePoint, можем ли мы по-прежнему использовать правила утверждений ADFS для выдачи утверждений на сайт SharePoint?
Есть ли другие альтернативные подходы для достижения вышеупомянутого сценария?