우리 회사 네트워크에서만 액세스할 수 있는 온프레미스 Active Directory 환경이 있습니다. ExpressRoute를 통해 이 환경을 Azure 구독으로 확장하려고 합니다. 우리는 구독에 IaaS 및 PaaS 서비스를 포함하려고 했지만 이러한 서비스는 회사 네트워크(ExpressRoute를 통해)에서만 액세스할 수 있으며 외부/인터넷 액세스는 불가능합니다. AD Connect를 사용하여 온-프레미스 Active Directory를 Azure AD와 동기화하고 구독의 VNet에 DC 및 ADFS VM을 설치하는 것을 고려하고 있습니다. 클라우드용으로 개발된 PaaS 기반 애플리케이션에 액세스할 때 원활한 인증을 위해 ADFS가 사용됩니다.
내 질문은 이 시나리오에서...DMZ(클라우드에)를 만들고 WAP 서버를 배포해야 합니까?입니다. 회사 네트워크 외부에서는 액세스할 수 없기 때문에 이것이 필요하지 않다고 생각합니다.
답변1
이 질문은 확실한 조언을 제공하기 전에 더 심층적인 탐색이 필요한 Azure의 다양한 측면을 다룹니다.
그러나 현재 ADFS를 배포하지 않았고 이를 PaaS 기반 SSO 인증 서비스용으로만 고려하고 있다면 일반적인 조언은 ADFS를 전혀 배포하지 않는 것입니다.
대신, 귀하가 제안한 대로 Azure AD Connect를 구성하겠습니다. 이는 귀하가 어쨌든 수행할 작업이며 Azure AD 자체를 ID 공급자로 사용합니다. 광범위한 통합 및 보안 기능을 갖추고 있으며 ADFS보다 관리가 훨씬 간단합니다. 또한 기존 AD를 IaaS 서비스용 Azure로 계속 확장할 수 있습니다.
자세한 내용은 여기에서 확인할 수 있습니다.Azure Active Directory를 사용한 애플리케이션 액세스 및 Single Sign-On이란 무엇입니까?
Azure에 저장되는 암호가 걱정되는 경우 더 이상 ADFS를 사용할 필요가 없습니다. 대신 통과 인증을 참조하세요. 자세한 내용은 여기에서 확인하세요.Azure Active Directory 통과 인증을 사용한 사용자 로그인
물론, ADFS를 배포해야 한다는 확실한 요구 사항이 있는 경우 별도의 서브넷을 사용하여 'dmz' 모델을 사용하는 것을 포함하여 온프레미스 배포에서와 동일한 모든 원칙을 사용하여 Azure에 배포할 수 있습니다. 네트워크 보안 그룹 - PaaS 또는 심지어 SaaS 서비스에 사용하는 것처럼 결국 외부 액세스가 필요할 수 있으므로 나중에 다시 설계하는 것보다 처음에 잠겨 있더라도 해당 상황에 대비하여 구축하는 것이 더 좋습니다. Azure의 ADFS 배포에 대한 Microsoft 가이드 링크는 여기에서 찾을 수 있습니다.Azure에 Active Directory Federation Services 배포
하지만 다시 한 번 말씀드리지만, 먼저 설명하신 사용 사례에 맞게 구축된 Azure AD 자체의 기능을 더 자세히 살펴보라고 조언합니다.