我們有一個只能從我們的公司網路存取的本機 Active Directory 環境。我們希望透過 ExpressRoute 將此環境擴展到 Azure 訂閱。我們打算在訂閱中提供 IaaS 和 PaaS 服務,但這些服務只能從公司網路(透過 ExpressRoute)存取...無法存取外部/Internet。我們正在考慮使用 AD Connect 將本機 Active Directory 與 Azure AD 同步,並在訂閱的 VNet 中安裝 DC 和 ADFS VM。當我們存取為雲端開發的基於 PaaS 的應用程式時,ADFS 將用於無縫身份驗證。
我的問題是,在這種情況下...我們是否需要建立 DMZ(在雲端)並將 WAP 伺服器部署到其中?我們認為我們不需要這個,因為我們的公司網路外部不會有任何存取。
答案1
這個問題涉及 Azure 的許多不同方面,需要更深入的探索才能提供明確的建議。
但是,如果您目前尚未部署 ADFS,並且考慮將其純粹用於基於 PaaS 的 SSO 身份驗證服務,那麼我的一般建議是根本不部署它。
相反,如您所建議的,我會設定 Azure AD Connect(無論如何您都可能會這樣做),然後依賴 Azure AD 本身作為身分提供者。它具有廣泛的整合和安全功能,並且比 ADFS 更易於管理。您仍然可以將傳統 AD 擴展到 Azure 中以提供 IaaS 服務。
更多詳情可在此找到 :什麼是 Azure Active Directory 的應用程式存取和單一登入?
如果您擔心 Azure 中儲存的密碼,也不再需要使用 ADFS,而是查看“通過身份驗證”,更多詳細資訊請參閱此處:使用者使用 Azure Active Directory 直通驗證登入
當然,如果有部署 ADFS 的嚴格要求,那麼您可以在 Azure 中部署它,其原則與本地部署相同,包括透過使用單獨的子網路和網路來使用「dmz」模型網路安全性群組- 就好像您將其用於PaaS 甚至SaaS 服務一樣,您最終可能需要一些外部訪問,更好地針對這種可能性進行構建,即使它最初被鎖定,也比稍後必須重新構建架構更好。您可以在此處找到有關 Azure 中 ADFS 部署的 Microsoft 指南的連結:在 Azure 中部署 Active Directory 聯合式驗證服務
但同樣,我的建議是先進一步探索 Azure AD 本身的功能,它是為您所描述的用例所建構的。