.png)
Ayer me preguntaron si es posible establecer una autenticación entre dominios con ADFS.
Guión:
- Dos dominios de Windows diferentes (A y B) sin ninguna configuración de confianza
- El acceso a la red entre dominios se establece con IPSec Site2Site (todos los puertos deben abrirse por separado)
- Un servicio de Windows específico en un servidor en el dominio A tiene que usar una cuenta AD del dominio B para iniciar sesión (Servicio de Windows -> Inicio de sesión -> Esta cuenta -> Cuenta del dominio B)
Nuestro socio no quiere establecer un dominio de confianza por razones de seguridad y, por lo tanto, pregunta si podríamos realizar este proceso de autenticación a través de ADFS.
ADFS es bastante nuevo para mí y no estoy seguro de si este escenario es posible con ADFS.
Respuesta1
Esto no es posible sin un dominio de confianza.
ADFS permite que las aplicaciones se autentiquen en AD (u otro proveedor de identidad) sin acceso directo a él; pero las aplicaciones deben admitir explícitamente este método de autenticación.
El inicio de sesión de Windows no lo hace.
Para iniciar sesión en un sistema Windows, necesita:
- Inicie sesión con una cuenta de usuario local
- Inicie sesión utilizando una cuenta de usuario en el dominio al que está unido el sistema
- Inicie sesión con una cuenta de usuario en un dominio confiable
Respuesta2
Para agregar a la respuesta de @Massimo, si pudiera cambiar el servicio de Windows para usar OpenID Connect con el flujo de credenciales del cliente (es decir, un servicio, no un usuario, por lo que no hay un inicio de sesión explícito), entonces esto funcionaría.
La otra opción es que el servicio utilice WS-Trust de la vieja escuela, es decir, WCF.
Ambos son compatibles con ADFS.