我们希望使用由 ADFS 预身份验证保护的 Web 应用程序代理在互联网上公开 SharePoint 门户。门户的权限通过基于某些 AD 属性的声明提供。此外,门户还会显示几个从 SSAS 多维数据集检索数据的 SSRS 报告。多维数据集包含 AD 组的数据级权限,因此用户凭据也必须委托给多维数据集。
建议使用 Kerberos 保护 SharePoint 门户并通过 WAP 发布它,以便 WAP 通过 ADFS 3 进行预身份验证,然后在访问门户时将 SAML 令牌转换为 Kerberos 票证。如果您能回答以下问题,我们将不胜感激:
WAP 是否真的可以将 SAML 令牌转换为 Kerberos 票证,以便门户网站将用户视为 Kerberos 用户?
门户严重依赖通过 ADFS 声明规则发出的声明。由于 ADFS 不直接连接到 SharePoint 门户,我们是否仍可以使用 ADFS 声明规则向 SharePoint 网站发出声明?
还有其他替代方法可以实现上述场景吗?