Как опубликовать «обычный» сайт через WAP с предварительной аутентификацией?

Question

[Максим Гришин]

Имеется настроенный WAP+ADFS (WAP не в домене), и есть несколько сайтов в LAN, к которым требуется удаленный доступ. Сайты дикое легаси, поэтому просто публиковать через проброс портов небезопасно, ибо могут взломать, поэтому хочу настроить пре-аутентификацию при доступе к сайтам извне. WAP это умеет, но у меня не получилось настроить именно с преаутентификацией. Если я создаю non-claims aware relying party на ADFS, и привязываю сайт к ней, WAP кидает ошибку 500 "не могу создать токен" после авторизации на ADFS - выяснил почему, non-claims-aware это то же, что WIA, а для WIA нужен Керберос и делегация прав, а для Кербероса нужно, чтобы WAP был в домене. Но это нелогично, кроме того, сайт не поддерживает WIA, значит, надо создать claims-aware relying party. А тут затык, ибо ей нужны какие-то метаданные, которые не знаю, где брать. Прошу помощи.