O Web Application Proxy não coleta credenciais de usuário externo - a autenticação do usuário é feita exclusivamente pelo ADFS, que é o único provedor de autenticação para o WAP. E como @MichelZ observou, você está inserindo aqui uma dependência em seu diretório local: -).
Acho que a única maneira de ter o SSO a qualquer momento, independentemente de sua conexão internada estar ativa, está alterando todos os seus aplicativos locais para confiar na nuvem como o provedor de identidade. Caso contrário, você ainda terá mais de um provedor de identidade, o que basicamente elimina a possibilidade de SSO.