是否可以修改 ADFS 以使用 NTLM 凭据（如果存在）来对用户进行身份验证？

Question

我们正在使用带有 ADFS 2.0 的 CRM 2011。我们的用户希望内部和外部用户都使用一个 url，但是如果我们还想通过用户当前的 NTLM 凭据使用自动登录，那么使用 CRM 2011 中的 IFD 配置，这是不可能的。是否可以修改 ADFS 登录页面以检测 NTLM 凭据是否存在且来自正确的域，如果是，则自动登录用户并使用正确的 ADFS 令牌将其重定向回应用程序？

是否有足够的 API 表面积和正确的类型供我们以这种方式修改登录页面，或者票务 API 是否已关闭以至于我们无法以编程方式执行此操作？

评论：我们知道，使用 UAG SP1，我们可以强制使用 NTLM 凭据登录 ADFS，但我们的客户不打算很快部署 UAG。

Answer 1

你的问题对我来说不太清楚，但无论如何，这里的某个地方可能有答案。

如身份验证处理程序概述页面中所述，AD FS 2.0 有几个的认证机制。选择其中的哪一个是根据“认证请求允许的”来确定的。这与来自用户浏览器的 HTTP 请求无关，而是与来自依赖方（在您的情况下为 CRM 2011）的登录请求有关。并且没有后备方案：对于四个处理程序中的每一个，“如果被调用，它不会将请求传递给下一个处理程序。”

例如，如果从 CRM 到 AD FS 的 WS-Federation 登录请求（通过浏览器发送）表示集成 Windows 身份验证没问题，并且您的 顶部有集成处理程序; 列表，那么 IWA 始终用于验证用户身份（因此可以是 NTLM 或 Kerberos，具体取决于浏览器/服务器功能）。用户是“内部”还是“外部”并不重要。

您想对不同的用户使用不同的身份验证方法吗？如果是这样，那么影响所选择的身份验证方法的唯一方法是从源头开始：理论上，CRM 可以根据来自用户或用户浏览器的某些信息来调整其身份验证请求。如果 CRM 基于 WIF，您也许能够在 WSFederationAuthenticationModule.RedirectingToIdentityProvider 事件。同事使用此机制在 SharePoint 中成功完成了 WIF 登录请求操作。

您是否总是希望无提示登录（而不是从浏览器获取 Windows 凭据对话框）？根据我们的经验，由于各种原因，IWA 协商可能无法使服务器相信客户端的 Windows 凭据实际上是有效的，从而导致浏览器明确要求提供凭据。最明显的原因是浏览器无法到达服务器的AD，但还有更多。