到目前为止,我仅将 ADFS 用于索赔感知应用程序。
我现在正在考虑将它用于一些非索赔感知的应用程序。
我读到过,WAP 服务器必须加入域才能执行 Kerberos 约束委派。
之前有人告诉我,加入域的服务器不应该位于 DMZ 中。假设该建议仍然是最佳实践,那么在 DMZ 中部署加入域的 WAP 服务器的最安全方法是什么?..... 是否有其他配置仍允许对非声明感知应用程序进行身份验证
感谢您的帮助
答案1
在 DMZ 中部署加入域的 WAP 服务器最安全的方法是什么?
如果您绝对必须在 DMZ 中放置域加入服务器,请不要将可写入域控制器放在 DMZ 中 - 只放置只读域控制器。通常,DMZ 中的域加入服务器会增加安全风险,因此从安全角度来看,应尽可能避免这种情况。
是否有其他配置仍允许对非声明感知应用程序进行身份验证
Azure AD 应用程序代理是一个很好的选择。它支持各种 SSO,包括 Kerberos 和高级安全规则(使用Azure AD 条件访问)。除了高级安全控制之外,主要的好处是 - 您不必将任何服务器放在 DMZ 内或在防火墙上打开任何传入端口。它有自己的考虑因素和限制,可能适用于您的情况,也可能不适用。这取决于应用程序本身、用户地理位置和其他一些因素