我们有一个本地 Active Directory 环境,只能从我们的公司网络访问。我们希望通过 ExpressRoute 将此环境扩展到 Azure 订阅。我们打算在订阅中包含 IaaS 和 PaaS 服务,但这些服务只能从公司网络(通过 ExpressRoute)访问...没有外部/Internet 访问。我们正在考虑使用 AD Connect 将我们的本地 Active Directory 与 Azure AD 同步,并在订阅中的 VNet 中安装 DC 和 ADFS VM。当我们访问为云开发的基于 PaaS 的应用程序时,ADFS 将用于无缝身份验证。
我的问题是,在这种情况下...我们是否需要创建一个 DMZ(在云中)并部署 WAP 服务器?我们认为我们不需要这样做,因为我们的公司网络外部不会有任何访问。
答案1
这个问题涉及到 Azure 的许多不同方面,需要进行更深入的探索才能给出明确的建议。
但是,如果您现在还没有部署 ADFS,而只是考虑将其用于基于 PaaS 的 SSO 身份验证服务,那么我的一般建议是根本不要部署它。
相反,正如您所建议的,我会配置 Azure AD Connect - 无论如何您都可能会这样做,然后依靠 Azure AD 本身作为身份提供者。它具有广泛的集成和安全功能,并且比 ADFS 更易于管理。而且您仍然可以将传统 AD 扩展到 Azure 以提供 IaaS 服务。
更多详情可在这找到 :什么是使用 Azure Active Directory 的应用程序访问和单一登录?
如果您担心密码存储在 Azure 中,那么也不再需要使用 ADFS,而是查看通过身份验证,更多详细信息请参见此处:使用 Azure Active Directory 传递身份验证进行用户登录
当然,如果确实需要部署 ADFS,那么您可以在 Azure 中部署它,使用与内部部署相同的所有原则,包括通过使用单独的子网和网络安全组来利用“dmz”模型 - 就像您将其用于 PaaS 甚至 SaaS 服务一样,您最终可能需要一些外部访问,最好为这种可能性进行构建,即使它最初被锁定,也比以后必须重新架构更好。您可以在此处找到有关在 Azure 中部署 ADFS 的 Microsoft 指南的链接:在 Azure 中部署 Active Directory 联合身份验证服务
但是,我的建议是首先进一步探索 Azure AD 本身的功能,它是为您描述的用例而构建的。