使用 ADFS 为 WAP 和后端系统提供 Kerberos 令牌

Posted 2023-03-27

【中文标题】使用 ADFS 为 WAP 和后端系统提供 Kerberos 令牌

【英文标题】：Using ADFS to provide Kerberos token for WAP and backend system

【发布时间】：2019-02-09 05:24:28

【问题描述】：

我们有使用 Kerberos 的本地 SharePoint，并希望使外部用户能够通过 WAP 连接到我们的系统。

我们希望避免将我们的 SharePoint“直接”暴露给外部网络（直通），并且不将 DMZ 中的 WAP 与我们的内部 AD 域连接（Kerberos 委派）。

我们剩下的选择是什么？

ADFS 是否能够传递 Kerberos 令牌？ （在内网端）

兄弟， 汤姆

【参考方案1】：

Kerberos 协议是 AD 的一部分。 ADFS 将 Kerberos 令牌转换为 SAML 令牌，因此您可以通过这种方式传递它。 ADFS 提供包含声明的 SAML 1.1 或 2.0 令牌。

ADFS 服务器将 Kerberos 票证转换为 SAML 令牌，该令牌将发送给启动联合流的任何人。

有一个使用 ADFS 2.0 配置 Kerberos 的指南可能会有所帮助。 https://www.cisco.com/c/en/us/support/docs/security-***/kerberos/118841-configure-kerberos-00.html

【参考方案2】：

这是不可能的。只有当 ADFS 是域的一部分时，ADFS 才能进行 Kerberos 委派（将 saml 令牌转换为后端的 Kerberos 令牌）。