Можно ли разрешить клиенту / пользователю входить в сеанс удаленного рабочего стола, используя учетные данные, отличные от имени пользователя и пароля AD? (для SSO)

По сути, мы пытаемся предоставить сценарий единого входа для некоторых наших продуктов.

Мы бы предпочли разрешить клиентам на их собственных машинах (которые не находятся под нашим контролем и не могут иметь машину в нашем собственном активном каталоге) иметь возможность входить в веб-приложение, используя набор учетных данных имени пользователя / пароля (аутентифицированных в нашем домене. ), и изнутри запустите ссылку на сеанс RDP (либо локально, используя обработчик URI, который мы установим, либо с помощью RD Web Access).

У нас, конечно, затем возникает проблема, заключающаяся в том, что пользователя снова запрашивают учетные данные домена (в нашем домене), и, похоже, у нас нет возможности передать какой-либо токен из нашего веб-приложения (которое уже аутентифицирован по нашей AD), чтобы разрешить SSO.

http://blogs.msdn.com/b/rds/archive/2007/04/19/how-to-enable-single-sign-on-for-my-terminal-server-connections.aspx похоже, указывает на то, что в настоящий момент это просто невозможно. Это правильно?

Я рассмотрел несколько вариантов: - SSO веб-доступа к удаленным рабочим столам (работает только на полпути и работает только в том случае, если клиент также находится в домене) - http://blogs.msdn.com/b/rds/archive/2009/08/11/introduction-web-single-sign-on-for-remoteapp-and-desktop-connections.aspx - Сохранение и пересылка первоначально захваченного имени пользователя / пароля - что просто шокирует с точки зрения безопасности.

Любые идеи?