Nella configurazione di SSO per Office 365, per fare in modo che Chrome e Firefox accedano ai servizi su Intranet, la protezione estesa per l'autenticazione deve essere disabilitata sul server ADFS.
Poiché il server ADFS è accessibile solo su Intranet e tutti gli accessi esterni sono gestiti dal server proxy ADFS, c'è un grosso problema di sicurezza in merito alla disattivazione della protezione estesa?
Penso che non devi disabilitare (ExtendedProtectionTokenCheck = None) la protezione estesa, devi solo renderla opzionale (Permetti invece di Richiedere).
Ciò consente di connettere client incompatibili senza questa protezione (e vulnerabili a MITM) ma consente anche a InternetExplorer di utilizzare la protezione aggiuntiva. Tuttavia non c'è modo di far rispettare questo sul client, quindi diventa vulnerabile a un downgrade che penso.
Un'idea sarebbe, che tu abbia un endpoint speciale che consente di ignorare la protezione estesa ma che non verrà utilizzato dai normali client. Quindi solo i tuoi clienti alieni saranno vulnerabili al problema MITM. A seconda di altri fattori, questo potrebbe non essere un grosso rischio. Se i tuoi dipendenti sono abituati a pranzare senza bloccare i loro schermi, non devi preoccuparti di questo:)
La documentazione MS è qui: link