Travailler le proxy d'application Web ADFS. Aucun SSO de webbroser à MSOFBA

Nous mettons en œuvre un proxy WebApplication (WAP) sur le server Windows 2012R2 pour que notre organisation puisse replace les fonctionnalités authentique / SSO de TMG. Actuellement, nous avons un WAP fonctionnel avec SSO pour:
– SharePoint 2013
– Perspectives
– Bureau 365
– plusieurs autres applications Web.
L'authentification fonctionne bien et c'est un véritable environnement d'authentification sans faille. Son backend est basé sur Kerberos, donc aucune réclamation n'est utilisée pour SharePoint ou Exchange. Les SPN à droite sont créés en AD.
Lorsque je suis connecté avec le browser web (j'ai essayé les suspects habituels) et j'essaie d'ouvrir un document Office situé sur le server SharePoint, le document s'ouvre bien dans le server Office WebApp (à nouveau avec SSO), mais lorsque j'essaie de modifier le document document dans Word (ou Excel, etc.), je reçois une nouvelle invite d'authentification (basée sur les formulaires) du server WAP.
Si je saisis de nouveau mes references, le document s'ouvre et tout fonctionne bien. Je peux save le document, etc. Lorsque je laisse l'application MS Office ouverte et ouvre un autre document à partir du site SharePoint, je n'obtiens pas une autre invite d'authentification. Ce n'est pas l'expérience sans faille que nous avons eu sur la solution TMG.
Il me semble qu'il existe deux cookies de session différents en jeu. Un pour le browser et un pour les applications MS Office. Bien sûr, j'ai beaucoup googlé, mais aucune solution n'a été trouvée. Il me semble que je suis le seul avec ce problème!
Les choses que j'ai appris jusqu'à présent sont que MS Office utilise le «moteur» de MSOFBA pour leurs applications. Peut-être existe-t-il un moyen d'append ce useragent au server WAP, pour recevoir le bon cookie lorsqu'il est authentifié sur le browser Web? Je suis vraiment coincé ici. Plus le sentiment que je suis le seul, me fait penser que je fais quelque chose de très stupide.
Merci pour toutes les idées!

PS Tout l'access au WAP est externe. Aucune authentification interne (intranet) n'est effectuée dans notre domaine. Nous disposons d'un réseau BYOD complet où tout est présenté comme «si vous travaillez à partir de votre domicile».

  • Erreur d'échelle de window TCP entre CentOS 7 et Windows 2012 R2
  • Est-il possible / raisonnable de build une solution branchcache à deux niveaux / deux niveaux?
  • Enter-PSSession dans un script ne fait pas ce que j'attends - il s'exécute sur une machine locale au lieu de la distance
  • RRAS Server 2012 R2 Non atsortingbuer des informations réseau ou si elle ne passe pas NAT
  • Est-il possible qu'un server Windows ait 2 (ou peut-être plus) des noms de réseau (ou des alias)?
  • Équilibrage de la charge réseau 2003 à 2012 R2 Mise à niveau
  • Le gestionnaire de ressources du server de files ne permet que des lettres et des nombres standard dans le nom de file
  • Installation d'un Win Srv 2012 R2 Essentials dans une VM Hyper-V sur un hôte Win Srv 2012 R2 Essentials
  • Les clients 8.1 de Windows requestnt un mauvais logging SRD de ldap?
  • iSNS Best Practices
  • Le domaine de gauche, rejoint, les permissions d'administration de domaine sont maintenant interrompues
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.