Usando o SSO do Proxy de Aplicativo Web do Windows 2012 R2 para outro farm do ADFS

1

Estou configurando um proxy de aplicativo Web como um proxy reverso para publicar alguns de nossos sites internos na Internet. Vou publicar o link como o site "hub", que se ligará a vários outros sites hospedados internamente. Esses sites estão hospedados em vários servidores diferentes, portanto, quero usar o WAP para aproveitar as vantagens da instalação do SSO. Isso funciona muito bem.

Um dos links será para o Office 365. Estamos usando o serviço Federate 365 do IAMCloud (que é essencialmente um serviço ADFS hospedado) para autenticar nosso usuário. Usar isso significa que os usuários externos não dependem de nossa conexão com a Internet estar ativa para acessar o O365 e que eles ainda serão capazes de autenticar caso nossa conexão morra. No entanto, isso também significa que, quando o usuário clica no link para o Office 365, ele é forçado a se autenticar novamente. O que eu gostaria é passar as credenciais que o Web Application Proxy coleta automaticamente para o serviço de federação externo. Eu não consigo ver como você faria isso.

Eu adicionei o farm ADFS externo como confiança da terceira parte confiável, mas não tenho idéia do que preciso usar como uma regra de declaração, por isso usei uma regra de passagem com o UPN como a declaração que está sendo passada. Também configurei uma regra de publicação com o WAP com o URL da federação externa e alterei o arquivo de hosts em um computador de teste para fazer com que o endereço da federação externa fosse resolvido para o endereço IP do WAP, mas isso resulta em uma página em branco. Eu aceito totalmente que não estou fazendo isso direito, mas não tenho certeza de para onde ir a partir daqui. Alguém pode me dar algum conselho?

Muito obrigado,

Ian

    
por Norphus 21.08.2014 / 14:23

1 resposta

0

O Web Application Proxy não coleta credenciais de usuário externo - a autenticação do usuário é feita exclusivamente pelo ADFS, que é o único provedor de autenticação para o WAP. E como @MichelZ observou, você está inserindo aqui uma dependência em seu diretório local: -).

Acho que a única maneira de ter o SSO a qualquer momento, independentemente de sua conexão internada estar ativa, está alterando todos os seus aplicativos locais para confiar na nuvem como o provedor de identidade. Caso contrário, você ainda terá mais de um provedor de identidade, o que basicamente elimina a possibilidade de SSO.

    
por 27.09.2014 / 19:31