Wir haben eine lokale Active Directory-Umgebung, auf die nur von unserem Unternehmensnetzwerk aus zugegriffen wird. Wir möchten diese Umgebung über ExpressRoute auf ein Azure-Abonnement erweitern. Wir wollten IaaS- und PaaS-Dienste im Abonnement haben, aber auf diese Dienste wird nur vom Unternehmensnetzwerk aus zugegriffen (über ExpressRoute) … kein externer/Internetzugriff. Wir erwägen, unser lokales Active Directory mithilfe von AD Connect mit Azure AD zu synchronisieren und DCs und ADFS-VMs in einem VNet im Abonnement zu installieren. ADFS würde für eine nahtlose Authentifizierung verwendet, wenn wir auf PaaS-basierte Anwendungen zugreifen, die für die Cloud entwickelt wurden.
Meine Frage ist, ob wir in diesem Szenario eine DMZ (in der Cloud) erstellen und WAP-Server darin bereitstellen müssen. Wir gehen davon aus, dass wir das nicht brauchen, da es keinen externen Zugriff auf unser Unternehmensnetzwerk geben wird.
Antwort1
Diese Frage berührt viele verschiedene Aspekte von Azure, die einer eingehenderen Untersuchung bedürfen, bevor eine definitive Beratung gegeben werden kann.
Wenn Sie ADFS jedoch derzeit nicht bereitgestellt haben und es ausschließlich für PaaS-basierte SSO-Authentifizierungsdienste in Betracht ziehen, dann lautet mein allgemeiner Rat, es überhaupt nicht bereitzustellen.
Stattdessen würde ich, wie Sie vorschlagen, Azure AD Connect konfigurieren – was Sie wahrscheinlich sowieso tun werden – und mich dann auf Azure AD selbst als Identitätsanbieter verlassen. Es verfügt über eine breite Palette an Integrations- und Sicherheitsfunktionen und ist viel einfacher zu verwalten als ADFS. Und Sie können traditionelles AD immer noch in Azure für IaaS-Dienste erweitern.
Weitere Details finden Sie hier:Was sind Anwendungszugriff und einmaliges Anmelden mit Azure Active Directory?
Wenn Sie Bedenken hinsichtlich der Speicherung von Passwörtern in Azure haben, müssen Sie ADFS nicht mehr verwenden. Stattdessen können Sie die Pass-Through-Authentifizierung verwenden. Weitere Einzelheiten finden Sie hier:Benutzeranmeldung mit Azure Active Directory Pass-Through-Authentifizierung
Wenn die Bereitstellung von ADFS unbedingt erforderlich ist, können Sie dies natürlich in Azure mit denselben Prinzipien wie bei einer Bereitstellung vor Ort tun, einschließlich der Verwendung eines „DMZ“-Modells durch die Verwendung separater Subnetze und Netzwerksicherheitsgruppen. Wenn Sie es für PaaS- oder sogar SaaS-Dienste verwenden, benötigen Sie möglicherweise irgendwann externen Zugriff. Es ist besser, für diesen Fall vorzusorgen, auch wenn es zunächst gesperrt ist, als es später neu strukturieren zu müssen. Einen Link zum Microsoft-Handbuch zur Bereitstellung von ADFS in Azure finden Sie hier:Bereitstellen von Active Directory-Verbunddiensten in Azure
Aber noch einmal, ich würde Ihnen raten, zunächst die Funktionen von Azure AD selbst genauer zu erkunden, da es für den von Ihnen beschriebenen Anwendungsfall konzipiert ist.