È accettabile semplicemente distribuire ADFS ed esporre 80/443 a Internet, contrario alla distribuzione di server front-end e back-end ridondanti?
Comprendo che mi sto perdendo per la prevenzione degli attacchi Token Replay, ma noto anche che diversi endpoint sono disponibili sul proxy interno o esterno .... vale a dire che kerberos e "trusttcp" sono disabilitati esternamente. Devo disabilitare questi quando esporre il server ADFS interno a Internet?
Non è certamente necessario, ma cambia significativamente la superficie di attacco. Passa dall'avere un server aggiunto al dominio pubblicamente accessibile a un server un salto DMZ lontano da un server aggiunto al dominio.
Il proxy disabilita esplicitamente l'autenticazione integrata di Windows perché l'assunto è che 1) il computer client non avrà accesso ad AD per richiedere un ticket e 2) il proxy si trova in una DMZ che non avrà accesso ad AD per convalidare il biglietto. Se si tentasse di provare WIA, si ricorrerebbe a qualcosa di molto meno sicuro.
È senz'altro opportuno disabilitare quegli endpoint poiché probabilmente non funzioneranno da Internet.
Leggi altre domande sui tag adfs