Назад | Перейти на главную страницу

Рабочий прокси-сервер веб-приложения ADFS. Нет единого входа из веб-браузера в MSOFA

Мы внедряем прокси-сервер WebApplication (WAP) на сервере Windows 2012R2 для нашей организации, чтобы заменить функции аутентификации / единого входа в TMG. В настоящее время у нас есть работающий WAP с SSO для:
- SharePoint 2013
- Outlook
- Office 365
- несколько других веб-приложений.
Аутентификация работает отлично, и это действительно бесшовная среда аутентификации. Его серверная часть основана на Kerberos, поэтому утверждения для SharePoint или Exchange не используются. Правильные SPN создаются в AD.
Когда я вхожу в систему с помощью веб-браузера (пробовал обычные подозреваемые) и пытаюсь открыть офисный документ, расположенный на сервере SharePoint, документ открывается нормально на сервере Office WebApp (снова с SSO), но когда я пытаюсь отредактировать документ в Word (или Excel и т. д.), я получаю новое приглашение аутентификации (на основе форм) от WAP-сервера.
Если я снова введу свои учетные данные, документ откроется, и все будет работать нормально. Я могу сохранить документ и т. Д. Когда я оставляю приложение MS Office открытым и открываю другой документ с сайта SharePoint, я не получаю другого запроса проверки подлинности. Это не тот безупречный опыт, который у нас был с решением TMG.
Мне кажется, что в игре задействованы два разных файла cookie сеанса. Один для браузера и один для приложений MS Office. Конечно, я много гуглил, но решения не было. Кажется, что эта проблема есть только у меня!
До сих пор я узнал, что MS Office использует «движок» MSOFBA для своих приложений. Может быть, есть способ добавить этот пользовательский агент к WAP-серверу, чтобы получать правильный файл cookie при аутентификации в веб-браузере? Я действительно застрял здесь. К тому же ощущение, что я единственный, заставляет меня думать, что я делаю что-то очень глупое.
Спасибо за любые идеи!

P.S. Весь доступ к WAP внешний. В нашем домене не выполняется внутренняя (интранет) аутентификация. У нас есть полноценная сеть BYOD, в которой все представлено как «если вы работаете из дома».