Sim, você pode implantar WAP na DMZ e seu aplicativo (CRM) dentro da rede, basta garantir que o servidor WAP possa entrar em contato com o aplicativo e o servidor ADFS atrás do firewall.
Não há necessidade de unir o domínio WAP se você não estiver planejando usar a delegação restrita de Kerberos para o SSO de back-end.