在 Azure 中安裝 ADFS 以供內部訪問
我們有一個本地 Active Directory 環境,只能從我們的公司網路訪問。我們希望通過 ExpressRoute 將此環境擴展到 Azure 訂閱。我們打算在訂閱中包含 IaaS 和 PaaS 服務,但這些服務只能從公司網路(通過 ExpressRoute)訪問……沒有外部/Internet 訪問。我們正在考慮使用 AD Connect 將我們的本地 Active Directory 與 Azure AD 同步,並在訂閱的 VNet 中安裝 DC 和 ADFS VM。當我們訪問為雲開發的基於 PaaS 的應用程序時,ADFS 將用於無縫身份驗證。
我的問題是,在這種情況下……我們是否需要創建一個 DMZ(在雲中)並將 WAP 伺服器部署到其中?我們認為我們不需要這個,因為我們的公司網路外部不會有任何訪問權限。
這個問題涉及 Azure 的許多不同方面,需要更深入地探索才能給出明確的建議。
但是,如果您今天沒有部署 ADFS,並且僅考慮將其用於基於 PaaS 的 SSO 身份驗證服務,那麼我的一般建議是根本不部署它。
相反,正如您所建議的,我會配置 Azure AD Connect——無論如何您都可能會這樣做,然後依靠 Azure AD 本身作為身份提供者。它具有廣泛的集成和安全功能,並且比 ADFS 更易於管理。您仍然可以將傳統 AD 擴展到 Azure 以提供 IaaS 服務。
可以在此處找到更多詳細資訊:什麼是 Azure Active Directory 的應用程序訪問和單點登錄?
如果您擔心密碼儲存在 Azure 中,也不再需要使用 ADFS,而是查看通過身份驗證,更多詳細資訊在此處:使用 Azure Active Directory 直通身份驗證的使用者登錄
當然,如果對部署 ADFS 有嚴格的要求,那麼您可以在 Azure 中進行部署,使用與本地部署相同的所有原則,包括通過使用單獨的子網來使用“dmz”模型和網路安全組 - 就像您將它用於 PaaS 甚至 SaaS 服務一樣,您最終可能需要一些外部訪問權限,更好地為這種可能性建構,即使它最初被鎖定,而不是稍後必須重新架構。您可以在此處找到有關 Azure 中 ADFS 部署的 Microsoft 指南的連結:在 Azure 中部署 Active Directory 聯合服務
但同樣,我的建議是首先進一步探索 Azure AD 本身的功能,它是為您描述的案例而建構的。