現在、ドメイン参加ユーザに対して、ActiveDirectoryのKerberos認証を利用して、
社内システム(SAP R/3)にシングルサインオンができるように対応することを検討しております。
そこで質問なのですが、ドメインに参加していないユーザ(ワークグループや、他のドメインに参加しているユーザ)に対しても、
シングルサインオンの対象にしたい場合、当該ドメインのActiveDirectoryよりチケット(トークン)を送信しないといけないかと
思いますが、クライアント側のオペレーションにてそのようなことは可能でしょうか?
他のドメインのADサーバと信頼関係を結ぶ等の対応が必要になるのでしょうか?
※使用想定のADサーバは、Windows 2008 R2です。
ご存知の方、いらっしゃいましたら、ご教示頂きたくお願い申し上げます。