Troquei do Winroute Firewall para o Cyberoam UTM, pois o KWF não tem absolutamente nenhum suporte para logon único.
A partir de hoje, a versão que eles têm tem um recurso chamado NTLM (autenticação do navegador), que não pode ser gerenciado centralmente através do Active Directory. Você não pode definir políticas para o firefox do servidor.
Então, em minha opinião, pelo menos, não há nenhum sinal único em recurso no KWF. Eles afirmam NTLM para ser SSO tho.
Caso alguém pretenda comprar o kwf, verifique este recurso.
Obrigado pelo tempo ...
Felicidades!