¿Puedo usar ADFS 2.0 para autenticar ciertos usuarios en SQL Server?

Question

He estado usando ADFS para autenticar a los usuarios contra AD fine, usando una plantilla de notificaciones en VS. Algunos de nuestros usuarios no estarán en Active Directory, por lo que me gustaría saber si es posible configurar ADFS para buscar SQL Server para estos usuarios y luego continuar con normalidad.

Does ADFS2.0 provide custom authentication stores?

es una pregunta similar, sólo una persona dice que sí se puede hacer y otra dice que no puede.

Answer 1

AD FS 2.0 puede autentificarse contra Active Directory (AD DS) solo. Esto no se documenta de forma explícita en el anuncio oficial FS 2.0 documentación, pero se deduce de los siguientes dos fragmentos:

• "Appendix A: Reviewing AD FS Requirements" from the AD FS 1.x Design Guide, section "Account store requirements" dice, "AD FS admite dos tipos de cuenta almacena: Active Directory Domain Services (AD DS) y Servicios de directorio ligero de Active Directory (AD LDS) ".
• "Planning a Migration to AD FS 2.0" dice: "Las siguientes son las características y escenarios de AD FS 1.x que ya no se admiten en AD FS 2.0: [...] AD LDS utilizado como un almacén de cuentas".

De modo que no hay almacenes de autenticación personalizados, basados ​​en SQL Server u otros.

(Por otra pregunta sobre atributos tiendas adicionales:. Eso es posible)

La solución que se sugiere en an answer to the other question you refer to es un poco engañoso. Si lee the actual blog post, verá que añaden un STS adicional. AD FS 2.0 tiene un 'Fideicomiso de proveedor de notificaciones' para ese otro STS, y lo redirecciona (si el 'descubrimiento del dominio de origen' está configurado correctamente). Ese otro STS luego realiza la autenticación de la forma que quiera, envía un token a AD FS, que luego ejecuta sus reglas de reclamo.

Así que en esa solución no es AD FS 2.0 autenticación en un almacén de no-AD, pero volver a dirigir a un STS, que autentica contra esa tienda.