Аутентификация пользователей Microsoft AD с помощью RSA SecurID

У меня проблема интеграции между RSA SecurID и Microsoft AD, описанная на рисунке ниже:

1.Пользователю необходимо подключиться к частной сети через VPN и пройти аутентификацию в брандмауэре через свое имя пользователя и токен RSA.
2.Учетные данные отправляются в брандмауэр.
3Брандмауэр интегрирован с AD и повторно отправляет учетные данные на свой локальный AD DC.
4. AD DC интегрирован с RSA AM, и когда он видит, что пользователю из домена требуется аутентификация, он спрашивает, верен ли код токена.
5-6-7. Все шаги - это просто ответы на предыдущие запросы.

В моем текущем состоянии я могу сделать тот же поток, но если я использую пользователя / пароль в AD, иначе говоря, без использования аутентификации токена RSA и RSA AM Server. Я видел официальное руководство по интеграции AD FS с RSA, но не похоже, что оно описывает этот случай. Идея состоит в том, чтобы отделить брандмауэр от связи с RSA AM Server, и если позже я добавлю другие устройства, которые аутентифицируются с помощью пользователя AD, им не нужно будет знать, предоставляет ли пользователь пароль локального домена или код токена RSA.

Если есть кто-то, кто знает, как это можно сделать, или укажет мне что-нибудь прочитать, я очень прошу его прочитать. Заранее спасибо.