Je me débats avec ce problème depuis un moment et je commence à désespérer de trouver une solution.
Voici mon problème : j'ai configuré un portail d'entreprise SAP qui est publié via Microsoft ISA. ISA est utilisé pour publier la page via HTTPS (seulement HTTP sur SAP EP) et le listener est configuré avec anonymous et le client peut s'authentifier directement. SAP EP s'occupe ensuite de l'authentification.
Nous avons décidé d'introduire Kerberos pour simplifier la connexion. Du côté SAP, pas de problème, l'assistant SPNego, un redémarrage de l'instance et voilà. Du côté AD, nous avons créé le SPN et l'avons assigné au compte de service spécifié dans SAP.
Eh bien, cela fonctionne comme un charme (HTTP et HTTPS depuis IE, Firefox et Chrome) lorsque vous vous adressez directement à l'EP SAP. Mais, lorsque nous essayons de le faire à travers Microsoft TMG (la nouvelle ISA) avec la même configuration qu'avant (pas d'authentification sur le listener et le client peut s'authentifier) cela fonctionne sans problème avec Firefox, et Chrome sur HTTPS et HTTP, mais sur IE cela ne fonctionne que si HTTP.
Il semble qu'IE ou TMG s'embrouille avec le tunnelage HTTPS -> HTTP effectué par TMG. J'ai vérifié avec Fiddler, et IE reçoit le 401 pour Negotiate et affiche le ticket KRB mais il échoue d'une manière ou d'une autre et retombe sur la page d'authentification de SAP.
Pour info : le SPN est correct, IE le reçoit correctement mais quelque chose ne tourne pas correctement.
