使用 ADFS 为 WAP 和后端系统提供 Kerberos 令牌

Using ADFS to provide Kerberos token for WAP and backend system

我们有使用 Kerberos 的本地 SharePoint,并希望外部用户能够通过 WAP 连接到我们的系统。

我们希望避免将我们的 SharePoint "directly" 暴露给外部网络(直通)并且不将 DMZ 中的 WAP 连接到我们的内部 AD 域(Kerberos 委托)。

我们还有哪些选择?

ADFS 是否能够传递 Kerberos 令牌? (在内网侧)

Br, 汤姆

Kerberos 协议是 AD 的一部分。 ADFS 将 Kerberos 令牌转换为 SAML 令牌,因此您可以通过这种方式传递它。 ADFS 提供包含声明的 SAML 1.1 或 2.0 令牌。

ADFS 服务器将 Kerberos 票据转换为 SAML 令牌,该令牌将发送给启动联合流程的任何人。

有关使用 ADFS 2.0 配置 Kerberos 的指南可能会有所帮助。 https://www.cisco.com/c/en/us/support/docs/security-vpn/kerberos/118841-configure-kerberos-00.html

这是不可能的。如果 ADFS 是域的一部分,它只能执行 Kerberos 委托(将 saml 令牌转换为后端的 Kerberos 令牌)。