IIS, ARR и SAP Gateway - проверка пароля в AD
Есть IIS на Windows 2012 R2, в данный момент он прокидывает соединения из внешнего мира к некоторым внутренним web-серверам через ARR (внутренних сервисов несколько, на разных серверах, а выставить наружу надо всё на одном IP, но можно на разных URL).
Есть внутренний SAP Gateway, некоторую часть которого надо выставить в интернет. С сетевой частью проблем нет, но есть такой момент - сам Gateway в данный момент не связан с AD, т.е. не может проверять там пользователя/пароль. А пользователь не знает свой пароль в SAP (а у большинства этот пароль вообще выключен), только в AD (SSO настроено, но в другой части SAP).
Поэтому появилась идея - настроить аутентификацию пользователя в AD на IIS, где-то в ARR, а аутентификацию в SAP Gateway на самом IIS (типа он клиент).
Т.е. пользователь вводит имя/пароль от AD для доступа к IIS (или в домене даже может даже SSO отработает), а дальше сам IIS уже пусть идёт в SAP Gateway со своей собственной аутентификацией (SAML или что-то там ещё).
Кто делал подобное? Или лучше не колупать мозг и настраивать сразу взаимодействие Gateway и AD (там вроде SAML есть)?
Есть внутренний SAP Gateway, некоторую часть которого надо выставить в интернет. С сетевой частью проблем нет, но есть такой момент - сам Gateway в данный момент не связан с AD, т.е. не может проверять там пользователя/пароль. А пользователь не знает свой пароль в SAP (а у большинства этот пароль вообще выключен), только в AD (SSO настроено, но в другой части SAP).
Поэтому появилась идея - настроить аутентификацию пользователя в AD на IIS, где-то в ARR, а аутентификацию в SAP Gateway на самом IIS (типа он клиент).
Т.е. пользователь вводит имя/пароль от AD для доступа к IIS (или в домене даже может даже SSO отработает), а дальше сам IIS уже пусть идёт в SAP Gateway со своей собственной аутентификацией (SAML или что-то там ещё).
Кто делал подобное? Или лучше не колупать мозг и настраивать сразу взаимодействие Gateway и AD (там вроде SAML есть)?