内部アクセス専用に Azure に ADFS をインストールする

内部アクセス専用に Azure に ADFS をインストールする

社内ネットワークからのみアクセスされるオンプレミスの Active Directory 環境があります。この環境を ExpressRoute 経由で Azure サブスクリプションに拡張したいと考えています。サブスクリプションに IaaS および PaaS サービスを含めるつもりでしたが、これらのサービスには社内ネットワークからのみアクセスします (ExpressRoute 経由)。外部/インターネット アクセスはありません。AD Connect を使用してオンプレミスの Active Directory を Azure AD と同期し、サブスクリプションの VNet に DC と ADFS VM をインストールすることを検討しています。ADFS は、クラウド用に開発された PaaS ベースのアプリケーションにアクセスするときに、シームレスな認証に使用されます。

私の質問は、このシナリオでは、DMZ (クラウド内) を作成し、WAP サーバーを展開する必要があるかどうかです。企業ネットワークの外部へのアクセスはないため、これは必要ないと考えています。

答え1

この質問は Azure のさまざまな側面に関係しており、明確なアドバイスを提供する前にさらに深く調査する必要があります。

ただし、現在 ADFS を導入しておらず、純粋に PaaS ベースの SSO 認証サービスとして検討している場合は、ADFS を導入しないことをお勧めします。

代わりに、ご提案のとおり、Azure AD Connect を構成します。これは、いずれにしても行う可能性が高いことです。その後、Azure AD 自体を ID プロバイダーとして使用します。Azure AD には幅広い統合機能とセキュリティ機能があり、ADFS よりも管理がはるかに簡単です。また、従来の AD を IaaS サービス用に Azure に拡張することもできます。

詳細はこちらをご覧ください:Azure Active Directory によるアプリケーション アクセスとシングル サインオンとは何ですか?

Azure にパスワードが保存されることを懸念している場合は、ADFS を使用する必要もなくなり、代わりにパススルー認証を検討してください。詳細については、こちらをご覧ください。Azure Active Directory パススルー認証によるユーザー サインイン

もちろん、ADFS を展開する確固たる要件がある場合は、オンプレミス展開と同じ原則で Azure に展開できます。これには、個別のサブネットとネットワーク セキュリティ グループを使用した 'dmz' モデルの利用も含まれます。PaaS や SaaS サービスに使用する場合、最終的には外部アクセスが必要になる可能性があります。最初はロックダウンされていても、後で再設計するよりも、その事態に備えて構築しておく方がよいでしょう。Azure での ADFS 展開に関する Microsoft ガイドへのリンクは、こちらにあります。Azure での Active Directory フェデレーション サービスの展開

しかし、繰り返しになりますが、まずは Azure AD 自体の機能をさらに詳しく調べることをお勧めします。Azure AD は、説明されているユースケース向けに構築されています。

関連情報