.png)
Ontem me perguntaram se é possível estabelecer uma autenticação entre domínios com ADFS.
Cenário:
- Dois domínios diferentes do Windows (A e B) sem nenhuma configuração de confiança
- O acesso à rede entre Domínios é estabelecido com IPSec Site2Site (todas as portas precisam ser abertas separadamente)
- Um serviço específico do Windows em um servidor no Domínio A precisa usar uma conta AD do Domínio B para logon (Serviço do Windows -> Logon -> Esta conta -> Conta do Domínio B)
Nosso parceiro não deseja estabelecer um domínio confiável por motivos de segurança e, portanto, pergunta se poderíamos realizar esse processo de autenticação através do ADFS.
O ADFS é bastante novo para mim e não tenho certeza se esse cenário é possível com o ADFS.
Responder1
Isso não é possível sem uma confiança de domínio.
O ADFS permite que aplicativos sejam autenticados no AD (ou outro provedor de identidade) sem acesso direto a ele; mas os aplicativos devem suportar explicitamente esse método de autenticação.
O logon do Windows não.
Para fazer logon em um sistema Windows, você precisa:
- Faça login usando uma conta de usuário local
- Faça login usando uma conta de usuário no domínio ao qual o sistema está associado
- Faça login usando uma conta de usuário em um domínio confiável
Responder2
Para adicionar à resposta do @Massimo, se você pudesse alterar o serviço do Windows para usar o OpenID Connect com o fluxo de credenciais do cliente (ou seja, um serviço que não é um usuário, portanto, sem logon explícito), isso funcionaria.
A outra opção é o serviço usar o WS-Trust tradicional, ou seja, WCF.
Ambos são suportados pelo ADFS.