Решение найдено с помощью MS Support и лично Alen George. Проблема была в том, что внутренние адреса системы в настройках деплоймента были указаны с портом по умолчанию:
X++:
internalcrm.contoso.com:443
Несмотря на то, что это поведение системы по-умолчанию, выяснилось, что ADFS подобное не любит. Если удалить порт (:443) и обновить метаданные в консоли ADFS, оба способа авторизации будут работать корректно.