NTFS認証を使用してユーザーを認証するようにADFSを変更することはできますか？

Question

CRM 2011 w/ADFS 2.0を使用しています。私たちのユーザは、内部ユーザと外部ユーザの両方に1つのURLを使用したいと考えていますが、CRM 2011のIFD Configを使用している場合は、ユーザの現在のNTLMクレデンシャルによる自動ログインも使用したい場合は不可能です。 ADFSサインインページを修正して、NTLM資格情報が存在するかどうかを検出し、正しいドメインからのものかどうかを検出し、正しいADFSトークンを使用してユーザーを自動的にログインし、アプリケーションにリダイレクトすることは可能ですか？

このようにログインページを変更するのに十分なAPI表面積とタイプがありますか、それともプログラム的に行うことができなかったポイントまでチケット発行APIが閉じられていますか？

コメント：UAG SP1を使用すると、ADSLへのログオンをNTLM資格情報で強制的に行うことができますが、クライアントはUAGの展開をすぐに計画していません。

Answer 1

あなたの質問は私には分かりませんが、とにかくどこかに答えがあるかもしれません。

AD FS 2.0には、Authentication Handler Overviewページに記載されているように、2つの認証メカニズムがあります。これらのうちどれが選択されるかは、「認証要求が許可するもの」に基づいて決定されます。これは、ユーザーのブラウザからのHTTP要求ではなく、依拠当事者（お客様の場合はCRM 2011）からのサインイン要求についてです。そして、フォールバックはありません.4つのハンドラのそれぞれに対して、「は、ではなく、次のハンドラに渡します」。例えばので

、（ブラウザを介して送信される）のAD FSへのCRMからWS-Federationのサインイン要求は、統合Windows認証が細かいことを言えば、あなたはあなたの<localAuthenticationTypes>リストの上部に統合されたハンドラを持っている場合IWAは常にユーザーを認証するために使用されます（ブラウザ/サーバーの機能に応じて、NTLMまたはKerberosのいずれか）。ユーザーが「内部」か「外部」のどちらであるかは問題ではありません。

異なるユーザーに対して異なる認証方法を使用しますか？そうであれば、選択された認証方法に影響を及ぼす唯一の方法がソースにあります。理論的には、CRMはユーザーまたはユーザーのブラウザからの情報に基づいて認証要求を適合させることができます。 CRMがWIFに基づいている場合は、WSFederationAuthenticationModule.RedirectingToIdentityProvider Eventでリクエスト操作を行うことができます。同僚は、このメカニズムを使用して、SharePointでWIFサインイン要求の操作を正常に完了しました。

いつでもはサイレントにログインします（ブラウザからWindowsの認証情報ダイアログを表示するのではなく）。私たちの経験では、IWAのネゴシエーションが、クライアントのWindowsクレデンシャルが実際に有効であることをサーバーに確信させることができず、ブラウザがクレデンシャルを明示的に要求する理由はさまざまです。最も明白な理由は、ブラウザがサーバーのADに到達できないということですが、さらに多くのことがあります。