Работающий прокси-сервер веб-приложения ADFS. Нет единого входа из веб-браузера в MSOFBA
Мы внедряем прокси-сервер веб-приложений (WAP) на сервере Windows 2012R2 для нашей организации, чтобы заменить функции аутентификации / единого входа в TMG. В настоящее время у нас есть рабочий WAP с SSO для:
- SharePoint 2013
- Outlook
- Офис 365
- несколько других веб-приложений.
Аутентификация отлично работает, и это действительно бесшовная среда аутентификации. Его бэкэнд основан на Kerberos, поэтому утверждения не используются для SharePoint или Exchange. Правильные SPN создаются в AD.
Когда я вошел в систему с помощью веб-браузера (попробовал обычные подозреваемые) и попытался открыть офисный документ, расположенный на сервере SharePoint, документ прекрасно открывается на сервере Office WebApp (снова с SSO), но когда я пытаюсь редактировать документ в Word (или Excel и т. д.), я получаю новый запрос аутентификации (на основе форм) с сервера WAP.
Если я снова введу свои учетные данные, документ откроется, и все будет нормально. Я могу сохранить документ и т. Д. Когда я оставляю приложение MS Office открытым и открываю другой документ с сайта SharePoint, я не получаю другого запроса аутентификации. Это не беспроблемный опыт, который мы имели на решении TMG.
Мне кажется, что в игре есть два разных сессионных куки. Один для браузера и один для приложений MS Office. Конечно, я много гуглил, но решения найти не удалось. Кажется, что я единственный, у кого есть эта проблема!
До сих пор я узнал, что MS Office использует "движок" MSOFBA для своих приложений. Может быть, есть способ добавить этот пользовательский агент на WAP-сервер, чтобы получить правильный файл cookie при аутентификации в веб-браузере? Я действительно застрял здесь. Плюс чувство, что я единственный, заставляет меня думать, что я делаю что-то очень глупое.
Спасибо за любые идеи!
PS Весь доступ к WAP является внешним. В нашем домене не выполняется внутренняя (интрасеть) аутентификация. У нас есть полная сеть BYOD, где все представлено как "если вы работаете из дома".