我们拥有使用Kerberos的SharePoint内部部署,并希望使外部用户能够通过WAP连接到我们的系统。
我们希望避免将SharePoint直接“暴露”于外部网络(直通),而不要将DMZ中的WAP与内部AD域(Kerberos委派)连接起来。
我们还有哪些选择?
ADFS是否可以传递Kerberos令牌? (在内部网络方面)
Br, 汤姆
答案 0 :(得分:0)
Kerberos协议是AD的一部分。 ADFS将Kerberos令牌转换为SAML令牌,因此您可以通过这种方式传递它。 ADFS提供包含声明的SAML 1.1或2.0令牌。
ADFS服务器将Kerberos票证转换为SAML令牌,该令牌将被发送给启动联合身份验证流程的任何人。
有一个使用ADFS 2.0配置Kerberos的指南可能会有所帮助。 https://www.cisco.com/c/en/us/support/docs/security-vpn/kerberos/118841-configure-kerberos-00.html
答案 1 :(得分:0)
这是不可能的。如果ADFS是域的一部分,则只能执行Kerberos委派(将saml令牌转换为后端的Kerberos令牌)。