Trabalhando o proxy do webapplication do ADFS. Não SSO de webbroser para MSOFBA

1

Estamos implementando um WebApplication Proxy (WAP) no servidor Windows 2012R2 para que nossa organização substitua os recursos de autenticação / SSO do TMG. Atualmente, temos um WAP funcional com SSO para:
- SharePoint 2013
- Outlook
- Office 365
- vários outros aplicativos da web.
Autenticação funciona muito bem e é um ambiente de autenticação realmente transparente. O back-end é baseado no Kerberos, portanto, nenhuma declaração está sendo usada para o SharePoint ou o Exchange. Os SPNs certos são criados no AD.
Quando estou logado com o navegador (tentei os suspeitos usuais) e tento abrir um documento do Office localizado no servidor do SharePoint, o documento abre bem no servidor WebApp do Office (novamente com SSO), mas quando tento editar documento no Word (ou Excel etc), recebo um novo prompt de autenticação (formulários) do servidor WAP.
Se eu inserir minhas credenciais novamente, o documento é aberto e tudo funciona bem. Posso salvar o documento, etc. Quando deixo o aplicativo do MS Office aberto e abro outro documento do site do SharePoint, não obtenho outro prompt de autenticação. Esta não é a experiência perfeita que tivemos na solução TMG.
Parece-me que existem dois cookies de sessão diferentes em jogo. Um para o navegador e outro para os aplicativos do MS Office. Claro que eu pesquisei isso extensivamente, mas nenhuma solução pode ser encontrada. Parece que sou o único com este problema!
As coisas que aprendi até agora é que o MS Office usa o 'mecanismo' MSOFBA para seus aplicativos. Talvez haja uma maneira de adicionar este useragent ao servidor WAP, para receber o cookie correto quando autenticado no navegador da Web? Eu estou realmente preso aqui. Além do sentimento de que sou o único, me faz pensar que estou fazendo algo muito estúpido. Obrigado por qualquer ideia!

P.S. Todo o acesso ao WAP é externo. Nenhuma autenticação interna (intranet) está sendo feita em nosso domínio. Temos uma rede BYOD completa, onde tudo é apresentado como "se você estiver trabalhando em sua casa".

    
por R van Moorsel 30.11.2015 / 15:31

0 respostas