我们有使用 Kerberos 的本地 SharePoint,并希望使外部用户能够通过 WAP 连接到我们的系统。
我们希望避免将我们的 SharePoint“直接”暴露给外部网络(直通),并且不将 DMZ 中的 WAP 与我们的内部 AD 域(Kerberos 委派)连接。
我们剩下的选择是什么?
ADFS 是否能够传递 Kerberos 令牌?(它在内部网络端)
兄弟,汤姆
user8413577
问问题
668 次
2 回答
0
这是不可能的。如果 ADFS 是域的一部分,它只能进行 Kerberos 委派(将 saml 令牌转换为后端的 Kerberos 令牌)。
于 2019-01-05T15:53:02.517 回答
0
Kerberos 协议是 AD 的一部分。ADFS 将 Kerberos 令牌转换为 SAML 令牌,因此您可以通过这种方式传递它。ADFS 提供包含声明的 SAML 1.1 或 2.0 令牌。
ADFS 服务器将 Kerberos 票证转换为 SAML 令牌,该令牌将发送给启动联合流的任何人。
有一个使用 ADFS 2.0 配置 Kerberos 的指南可能会有所帮助。https://www.cisco.com/c/en/us/support/docs/security-vpn/kerberos/118841-configure-kerberos-00.html
于 2018-09-17T22:26:11.453 回答