Temos um ambiente de Active Directory local que só é acessado de nossa rede corporativa. Queremos estender esse ambiente para uma assinatura do Azure via ExpressRoute. Pretendíamos ter serviços IaaS e PaaS na assinatura, mas esses serviços só serão acessados a partir da rede corporativa (via ExpressRoute)... sem acesso externo/internet. Estamos considerando sincronizar nosso Active Directory local com o Azure AD usando o AD Connect e instalar DCs e VMs ADFS em uma VNet na assinatura. O ADFS seria usado para autenticação contínua quando acessamos aplicativos baseados em PaaS desenvolvidos para a nuvem.
Minha pergunta é, neste cenário... precisamos criar uma DMZ (na nuvem) e implantar servidores WAP? Estamos pensando que não precisamos disso, pois não haverá nenhum acesso externo à nossa rede corporativa.
Esta pergunta aborda muitos aspectos diferentes do Azure que precisariam de uma exploração mais profunda antes de poder dar conselhos definitivos.
No entanto, se você não tiver o ADFS implantado hoje e estiver considerando-o apenas para serviços de autenticação SSO baseados em PaaS, meu conselho geral é não implantá-lo.
Em vez disso, como você sugere, eu configuraria o Azure AD Connect - algo que você provavelmente faria de qualquer maneira e, em seguida, confiaria no próprio Azure AD para ser um provedor de identidade. Ele possui uma ampla variedade de recursos de integração e segurança e é muito mais simples de gerenciar do que o ADFS. E você ainda pode estender o AD tradicional ao Azure para serviços IaaS.
Mais detalhes podem ser encontrados aqui: O que é acesso ao aplicativo e logon único com o Azure Active Directory?
Se você estiver preocupado com o armazenamento de senhas no Azure, também não há mais a necessidade de usar o ADFS; em vez disso, procure Autenticação de passagem, mais detalhes aqui: Entrada do usuário com autenticação de passagem do Azure Active Directory
Obviamente, se houver um requisito firme para implantar o ADFS, você poderá implantá-lo no Azure, com todos os mesmos princípios que teria em uma implantação local, incluindo o uso de um modelo 'dmz' por meio do uso de sub-redes separadas e grupos de segurança de rede - como se você estivesse usando para serviços PaaS ou mesmo SaaS, você pode eventualmente precisar de algum acesso externo, melhor construir para essa eventualidade, mesmo que esteja bloqueado inicialmente, do que ter que rearquitetar mais tarde. Você pode encontrar um link para o guia da Microsoft sobre a implantação do ADFS no Azure aqui: Implantando os Serviços de Federação do Active Directory no Azure
Mas, novamente, meu conselho seria explorar mais os recursos do próprio Azure AD primeiro, ele foi criado para o caso de uso que você descreve.