Estamos procurando expor um Portal do SharePoint pela Internet usando o Proxy de Aplicativo Web protegido com pré-autenticação do ADFS. As permissões para o Portal são fornecidas por meio de declarações baseadas em determinados atributos do AD. Além disso, o Portal também apresenta vários relatórios do SSRS que recuperam dados de um cubo do SSAS. O cubo contém permissões de nível de dados para os grupos AD e, portanto, a credencial do usuário também deve ser delegada ao cubo.
Foi proposto proteger o SharePoint Portal usando o Kerberos e publicá-lo por meio do WAP, para que o WAP faça uma pré-autenticação via ADFS 3 e, posteriormente, converta o token SAML em um ticket Kerberos ao acessar o portal. Aprecie se você pode fornecer respostas para as perguntas abaixo:
O WAP pode realmente converter o token SAML em um ticket Kerberos, para que o Portal veja o usuário como um usuário do Kerberos?
O portal depende muito de declarações emitidas por meio de regras de declaração do ADFS. Como o ADFS não está diretamente conectado ao SharePoint Portal, ainda podemos usar as regras de declaração do ADFS para emitir declarações para o site do SharePoint?
Quaisquer outras abordagens alternativas para realizar o cenário acima?