Как лучше всего использовать единый вход для внутренних и внешних пользователей AD?

У нас есть веб-приложение (asp.net mvc 3), которое должно поддерживать единый вход для внутреннего использования через AD. У нас также есть большое сообщество внешних пользователей, которым мы хотим иметь единый вход для всех наших веб-приложений. например: external_user1 обращается к webappA, webappB и webappC с одним и тем же логином. Кроме того, домен \ user1 имеет доступ ко всем трем веб-приложениям. мы планируем использовать WIF и ADFS 2.0.

Мы не хотим иметь учетные записи AD для всех внешних пользователей, поэтому в прошлом мы могли попробовать решение с ADFS 1.x и ADAM. однако мы используем Windows Server 2008 R2, и ADFS 2.0 не может использовать AD LDS (преемник ADAM) для аутентификации пользователей.

Что такое метод единого входа (с использованием продуктов Microsoft)?