Настраиваемый адаптер аутентификации в ADFS в качестве основного шага

У нас есть настройка, которая включает стороннее веб-приложение, использующее ADFS в качестве сервера управления доступом. Некоторое время это работало хорошо.

Теперь нам нужно установить собственную Политику аутентификации в ADFS, чтобы делегировать процесс аутентификации еще одному собственному встроенному серверу и использовать настраиваемые динамические правила.

Насколько мы понимаем, это общий вид конвейера аутентификации ADFS:

По сути, процесс аутентификации можно легко дополнить дополнительным пользовательским шагом, но невозможно пропустить Primary подпроцесс аутентификации.

Нам удалось реализовать Multi Factor Authentication Adapter (в основном.NET-сборка, которая подписывается на ADFS соглашения) и успешно установить его в нашем ADFS:

К сожалению, наша ситуация требует, чтобы мы настроили самый первый шаг и по-разному реагировали на различные сценарии. Например:

• может быть, разместить пользовательскую форму входа, которая проверяет учетные данные с AD
• может реагировать на заказ, не ADFSOAuth токен доступа
• так далее

Если конечный пользователь будет вынужден предоставить учетные данные с самого начала, это нарушит условия сделки.

У кого-нибудь есть идеи о том, как этого можно достичь?

Мы используем ADFS на Windows Server 2012 R2, Эта версия ADFS не требует IIS быть предустановленным.

Мы нашли интересную статью о ADFS 2.0 который намного старше, чем то, что мы используем и требует IIS, В статье приведен пример того, как изменить страницу входа на том этапе, который кажется основным этапом аутентификации:

https://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx

Нам не удалось воспроизвести этот пример на нашем ADFS,