Este es el escenario que necesito cubrir:
Un servicio web que confía en un IdP usando Ws-Trust o algo así, recibe un token SAML para autenticar al usuario, y necesitamos llamar a algún servidor SQL o cualquier tipo de servicio que use autenticación integrada de Windows y necesitamos para reenviar la misma identidad del usuario llamante.
¿Hay alguna solución para esto? Sé que hace un par de años la plataforma .NET tenía algunos SAML2Kerberos o algo así, pero creo que estaba en desuso ...
El problema es que necesita traducir una identidad SAML a una identidad proporcionada por Active Directory, y Active Directory no entiende SAML. Ahí es donde el servicio C2WTS entró en juego. No está en desuso, pero no está bien usarlo porque permite la suplantación de identidad de cualquier usuario que asuma que usted le ha otorgado a la cuenta de servicio los derechos suficientes para hacerlo, y esos derechos básicamente le otorgan el equivalente de root.
Puede usar ese servicio, que es probablemente la opción preferida, o puede crear su propio mecanismo que llame al subsistema de Windows para hacerse pasar por usuarios. Algo similar a esto: enlace .