Vous n'avez pas besoin de un serveur ADFS sur votre côté. Bien que vous puissiez l'utiliser, il présente quelques inconvénients: déploiement relativement complexe, automatisation complexe, prise en charge limitée des protocoles, etc. Vous passerez probablement beaucoup de temps à peaufiner ce que vous avez besoin. Bien sûr, c'est ma propre expérience avec cela.
Conceptuellement, vous avez raison. Vous avez besoin d'un intermédiaire (généralement appelé «fournisseur de fédération» qui assure la liaison entre les transactions d'authentification entre votre application et tout système connaissant les utilisateurs comme les services ADFS de votre client).
Vous pourriez vouloir vérifier une alternative plus légère, prête pour le cloud et plus facile à étendre. Heureusement, vous avez beaucoup d'options:
1- Vous pouvez utiliser IdentityServer, un produit open source que vous pouvez déployer à côté de votre service. C'est un produit open source que vous pouvez étendre et personnaliser comme bon vous semble. et vous donne des tonnes de flexibilité. Comme c'est OSS, vous pouvez "posséder" la pile et faire ce que vous voulez.
2- Vous pouvez utiliser Azure AD, un fournisseur de fédération hébergé par Microsoft. Cela fonctionnera avec ADFS et d'autres fournisseurs communs; mais a quelques limitations. (Par exemple: il ne vous permettra pas de garder facilement votre propre base de données d'utilisateurs, il ne normalisera pas les profils d'utilisateur, parmi certaines choses communes dont vous aurez probablement besoin).
3- Vous pouvez utiliser Auth0 qui est optimisé pour des scénarios comme le vôtre. (Divulgation complète: c'est le produit sur lequel je travaille).
Dans tous les cas, vous pouvez en savoir plus sur l'architecture de scénarios comme celui-ci here.
Quand vous dites SCIM, vous voulez dire "Simple Cloud Identity Management"? C'est un protocole pas un STS. – nzpcmad