У нас есть локальная среда Active Directory, доступ к которой осуществляется только из нашей корпоративной сети. Мы хотим расширить эту среду до подписки Azure через ExpressRoute. Мы намеревались включить в подписку службы IaaS и PaaS, но доступ к этим службам будет осуществляться только из корпоративной сети (через ExpressRoute)... без внешнего/интернет-доступа. Мы рассматриваем возможность синхронизации нашей локальной среды Active Directory с Azure AD с помощью AD Connect и установки контроллеров домена и виртуальных машин ADFS в виртуальной сети в подписке. ADFS будет использоваться для бесшовной аутентификации при доступе к приложениям на базе PaaS, разработанным для облака.
Мой вопрос в том, в этом сценарии...нужно ли нам создавать DMZ (в облаке) и развертывать WAP-серверы в ней? Мы думаем, что нам это не нужно, так как не будет никакого внешнего доступа к нашей корпоративной сети.
решение1
Этот вопрос затрагивает множество различных аспектов Azure, которые требуют более глубокого изучения, прежде чем можно будет дать окончательный совет.
Однако если у вас на сегодняшний день не развернута служба ADFS и вы рассматриваете ее исключительно для служб аутентификации SSO на базе PaaS, то мой общий совет — не развертывать ее вообще.
Вместо этого, как вы предлагаете, я бы настроил Azure AD Connect — то, что вы, скорее всего, сделаете в любом случае, — а затем положился бы на саму Azure AD в качестве поставщика удостоверений. Он имеет широкий спектр функций интеграции и безопасности и гораздо проще в управлении, чем ADFS. И вы по-прежнему можете расширить традиционный AD в Azure для служб IaaS.
Более подробную информацию можно найти здесь :Что такое доступ к приложениям и единый вход в Azure Active Directory?
Если вас беспокоит хранение паролей в Azure, то больше нет необходимости использовать ADFS. Вместо этого рассмотрите сквозную аутентификацию. Более подробную информацию можно найти здесь:Вход пользователя с использованием сквозной аутентификации Azure Active Directory
Конечно, если есть твердое требование развернуть ADFS, то вы можете развернуть его в Azure, используя все те же принципы, которые вы бы использовали при локальном развертывании, включая использование модели 'dmz' с использованием отдельных подсетей и групп безопасности сети - как если бы вы использовали его для PaaS или даже SaaS-сервисов, вам вполне может понадобиться внешний доступ, лучше построить для этой возможности, даже если он изначально заблокирован, чем потом перестраивать архитектуру. Вы можете найти ссылку на руководство Microsoft по развертыванию ADFS в Azure здесь:Развертывание служб федерации Active Directory в Azure
Но я бы еще раз посоветовал вам сначала глубже изучить возможности самой службы Azure AD, она создана для описанного вами варианта использования.