Как настроить ADFS между облаком и внутренними сетями?

Я новичок в мире ADFS 2.0 и хочу понять основные предположения этой технологии.

Моя цель - гарантировать доступ наших клиентов к веб-приложению в нашей облачной среде.

Вот мой сценарий:

Сеть «A» - облачная среда
Контроллер AD (Win 2008)
Веб-сервер IIS 7 (веб-приложение с технологией проверки подлинности поставщика NTLM, опубликованное в Интернете)
Брандмауэр
Сеть «B» - клиент «X» - локальная сеть
Контроллер AD (Win 2003 или Win 2008)
Клиенты ПК
Брандмауэр
Сеть «C» - клиент «X» - сеть WAN
ПК-клиенты (домашний ПК)

Клиенты клиента «X» в сети B и C должны иметь возможность доступа к веб-приложению, опубликованному в сети «A», с учетными данными домена Windows.

Я читал различную документацию по этому поводу, но мне это еще не ясно. Это сбивает с толку.

Мои вопросы:

Где разместить сервер ADFS?
Нужно ли мне что-либо настраивать на контроллере AD в сети «A»?
Должен ли ИТ-отдел заказчика «X» что-либо настраивать?

Я надеюсь, что кто-нибудь сможет объяснить схему инфраструктуры и сам процесс.

Вы описываете сценарий федеративного веб-единого входа в соответствии с http://technet.microsoft.com/en-us/library/cc757344(v=WS.10).aspx. У вас может быть ADFS как в клиентской среде, так и в вашей собственной облачной среде, а затем установить доверительные отношения между ними. Вам не нужно делать ничего особенного в самой AD, кроме настройки SPN. Но ИТ-администратор из каждой среды развернет ADFS в своей среде и настроит доверительные отношения в зависимости от ситуации.

Пожалуйста, смотрите руководство по развертыванию для получения более подробной информации. http://technet.microsoft.com/en-us/library/dd807092(v=ws.10).aspx. В частности, как хостер приложения вы будете партнером по ресурсам. http://technet.microsoft.com/en-us/library/dd807047(v=ws.10).aspx

Клиент как партнер по счету будет следовать http://technet.microsoft.com/en-us/library/dd807112(v=ws.10).aspx

Надеюсь, следующая книга окажется для вас полезной http://msdn.microsoft.com/en-us/library/ff423674.aspx

Карта содержимого на http://social.technet.microsoft.com/wiki/contents/articles/2735.ad-fs-2-0-content-map.aspx должен помочь вам найти нужную информацию. Перед развертыванием технологий федерации удостоверений необходимо многое прочитать и понять. Вы можете подумать о том, чтобы пригласить консультанта и сделать эту работу за вас, если у вас не хватает времени и вы хотите, чтобы все было сделано правильно.