Autenticação de usuários do Microsoft AD com o RSA SecurID

Eu tenho um problema de integração entre o RSA SecurID e o Microsoft AD descrito na imagem abaixo:

1 .O usuário precisa se conectar à rede privada via VPN e se autenticar no Firewall através de seu nome de usuário e token RSA. 2 . As credenciais são enviadas para o firewall
3 .O firewall é integrado ao AD e reenvia as credenciais para o seu AD DC local 4 . O AD DC é integrado ao RSA AM e quando ele vê que um usuário do domínio precisa de autenticação, ele pergunta se o código de token está correto
5-6-7 .Todos os passos são apenas respostas a solicitações anteriores.

No meu estado atual eu posso fazer o mesmo fluxo, mas se eu usar o usuário / senha no AD, caso contrário, disse sem usar qualquer autenticação de token RSA e RSA AM Server. Eu vi a integração oficial do AD FS com o guia RSA, mas não parece que está descrevendo este caso. A idéia por trás é separar o Firewall da comunicação com o RSA AM Server e, se posteriormente eu adicionar outros dispositivos que autenticam com o usuário do AD, eles não precisarão saber se o usuário fornece uma senha de Domínio local ou um código de token RSA.

Se alguém souber como isso pode ser feito ou me indicar alguma coisa, pedirei a ele que, sesenciosamente, leia. Agradecemos antecipadamente.