Веб-приложение — проблемы встроенной аутентификации Windows с балансировщиком нагрузки уровня 4

Вечерние ребята

В настоящее время у нас есть веб-приложение собственной разработки, которое размещается в IIS с использованием проверки подлинности Windows.

Наши пользователи используют Edge в IEMode для подключения к нашему веб-приложению — в настоящее время им не нужно вводить какие-либо учетные данные, поскольку IE использует встроенную аутентификацию Windows, поэтому браузер автоматически передает учетные данные пользователей в веб-приложение и обеспечивает единый вход.

Мы тестируем переход от IEMode к простому использованию Edge, добавив веб-сайты в политику Edge «AuthServerAllowList», чтобы включить интеграционную аутентификацию, чтобы пользователи получали тот же опыт единого входа.

Однако мы заметили, что поведение IEMode отличается от поведения MS Edge. Наши веб-приложения находятся за балансировщиком нагрузки TCP уровня 4, и мы заметили, что без использования IEMode, когда сеанс TCP пользователя завершается из-за достижения порога простоя сеанса, пользователю Edge предлагается ввести свои учетные данные, и он не передает учетные данные пользователя в браузере для завершения единого входа — сервер отправляет ответ на вызов HTTP 401.

Однако в IEMode браузер получает HTTP 401 и автоматически отвечает, передавая учетные данные.

Браузер и веб-приложение договариваются об использовании метода аутентификации NTLM. NTLM основан на соединении, поэтому аутентификация сбрасывается, если сеанс TCP завершается, что имеет смысл, почему пользователей просят пройти аутентификацию, но IEMode, похоже, может повторно отправлять пользователей. creds и SSO, однако Edge (и Firefox/Chrome, если уж на то пошло) предлагает пользователям ввести учетные данные.

Кто-нибудь когда-нибудь видел такое поведение? Ожидается ли это? Может ли быть так, что современные браузеры более безопасны и не будут повторно согласовывать данные после истечения времени сеанса?