UAG do Forefront com autenticação SSL / X509 para a API REST

Eu não sou um engenheiro de rede, mas um engenheiro de software, então esse tema é bastante estranho para mim. Desenvolvemos uma solução, que consiste em um aplicativo da web do lado do servidor (com uma API de descanso), trabalhando no servidor java e um aplicativo ios do lado do cliente (não navegador), que consome serviços de descanso do servidor.

O cliente é autenticado em um servidor com certificado X509 em um carrinho inteligente. Tudo funciona muito bem quando o cliente tem um acesso direto ao servidor em nosso ambiente de desenvolvimento.

Mas agora nós tivemos um ambiente de produção, nosso cliente deveria estar em algum lugar na Internet e nosso servidor está localizado na intranet. Há um Microsoft Forefront UAG (SP3) como um gateway corporativo da Internet para a intranet. Eu nunca usei o UAG na prática e nem ouvi falar sobre isso há dois dias, e não consigo entender de que recursos precisamos para nos ajudar a resolver nossa tarefa. Para ser claro, nossa tarefa é:

1. O cliente deve estabelecer uma conexão https com "endpoint" (era o nosso servidor no ambiente dev, agora é o servidor UAG no ambiente de produção)
2. O UAG deve verificar o certificado do cliente (para válido, não revogado, etc.)
3. O UAG deve transferir a solicitação do cliente para nosso aplicativo de servidor localizado na intranet
4. Requisito crítico O UAG deve "ajudar" a aplicação do servidor para uma nova autorização do cliente. No ambiente de desenvolvimento, usamos os atributos do certificado cliente X509 para identificar o usuário, mas sugiro (estou certo?) Que o UAG precisa encerrar a sessão SSL e o certificado de solicitação do cliente com toda a solicitação https não pode ser transferido para o servidor de backside. Ok, eu concordo se o UAG irá transformar a solicitação do cliente (após a descriptografia, antes de traduzir para o servidor) e colocar alguns detalhes do certificado do cliente em HTTP Headers, por exemplo. Ou mesmo se ele criptografar novamente com o certificado de par apropriado (mesmo que seja mais difícil processar).

Você pode me ajudar e dizer algumas palavras-chave que eu preciso examinar para entender como isso funcionará? Há muitas novas palavras na lista de UAG featere (SSL VPN, SSL Tunneling, DirectAccess e assim por diante) e todo mundo parece um pouco relacionado à tarefa, mas não consigo entender o que eu preciso e o que funcionará como esperávamos.

Muito obrigado.