¿Es aceptable simplemente implementar ADFS y exponer 80/443 a Internet, en lugar de implementar servidores redundantes Front End y Back End?
Entiendo que me estoy perdiendo la prevención de Token Replay Attack, pero también me doy cuenta de que hay diferentes puntos finales disponibles en el proxy interno frente al externo ... es decir, kerberos y "trusttcp" están deshabilitados externamente. ¿Debo deshabilitarlos al exponer el servidor interno de ADFS a Internet?
Ciertamente no es obligatorio, pero cambia la superficie de ataque significativamente. Cambia de tener un servidor unido a un dominio públicamente accesible a tener un servidor a un salto DMZ de un servidor unido a un dominio.
El proxy deshabilita explícitamente la autenticación integrada de Windows porque se supone que 1) la máquina cliente no tendrá acceso a AD para solicitar un ticket, y 2) el proxy está en una DMZ que no tendrá acceso a AD para validar el ticket. Si se intentara la WIA, se recurriría a algo mucho menos seguro.
Definitivamente es aconsejable deshabilitar esos puntos finales, ya que probablemente no funcionen desde Internet.
Lea otras preguntas en las etiquetas adfs