Temos um ambiente local do Active Directory que só é acessado de nossa rede corporativa. Queremos estender este ambiente para uma assinatura do Azure via ExpressRoute. Pretendíamos ter serviços IaaS e PaaS na assinatura, mas esses serviços só serão acessados a partir da rede corporativa (via ExpressRoute)...sem acesso externo/Internet. Estamos considerando sincronizar nosso Active Directory local com o Azure AD usando o AD Connect e instalar DCs e VMs ADFS em uma VNet na assinatura. O ADFS seria usado para autenticação contínua quando acessamos aplicativos baseados em PaaS desenvolvidos para a nuvem.
Minha pergunta é: neste cenário...precisamos criar uma DMZ (na nuvem) e implantar servidores WAP? Estamos pensando que não precisamos disso, pois não haverá acesso externo à nossa rede corporativa.
Responder1
Esta questão aborda muitos aspectos diferentes do Azure que precisariam de uma exploração mais profunda antes de poder dar conselhos definitivos.
No entanto, se você não tiver o ADFS implantado hoje e estiver considerando-o exclusivamente para serviços de autenticação SSO baseados em PaaS, meu conselho geral é não implantá-lo.
Em vez disso, como você sugere, eu configuraria o Azure AD Connect - algo que você provavelmente fará de qualquer maneira, e então confiaria no próprio Azure AD para ser um provedor de identidade. Possui uma ampla gama de recursos de integração e segurança e é muito mais simples de gerenciar que o ADFS. E você ainda pode estender o AD tradicional ao Azure para serviços IaaS.
Mais detalhes podem ser encontrados aqui :O que é acesso a aplicativos e logon único com o Azure Active Directory?
Se você está preocupado com o armazenamento de senhas no Azure, também não há mais a necessidade de usar ADFS; em vez disso, consulte Pass Through Authentication, mais detalhes aqui:Entrada do usuário com autenticação de passagem do Azure Active Directory
Obviamente, se houver um requisito firme para implantar o ADFS, você poderá implantá-lo no Azure, com todos os mesmos princípios que teria em uma implantação local, incluindo o uso de um modelo 'dmz' por meio do uso de sub-redes separadas e grupos de segurança de rede - como se você estivesse usando-o para serviços PaaS ou mesmo SaaS, você pode eventualmente precisar de algum acesso externo, melhor construir para essa eventualidade, mesmo que esteja bloqueado inicialmente, do que ter que reestruturar mais tarde. Você pode encontrar um link para o guia da Microsoft sobre implantação de ADFS no Azure aqui:Implantando Serviços de Federação do Active Directory no Azure
Mas, novamente, meu conselho seria explorar primeiro os recursos do próprio Azure AD, ele foi criado para o caso de uso que você descreve.