我们有一个本地 Active Directory 环境,只能从我们的公司网络访问。我们希望通过 ExpressRoute 将此环境扩展到 Azure 订阅。我们打算在订阅中包含 IaaS 和 PaaS 服务,但这些服务只能从公司网络(通过 ExpressRoute)访问……没有外部/Internet 访问。我们正在考虑使用 AD Connect 将我们的本地 Active Directory 与 Azure AD 同步,并在订阅的 VNet 中安装 DC 和 ADFS VM。当我们访问为云开发的基于 PaaS 的应用程序时,ADFS 将用于无缝身份验证。
我的问题是,在这种情况下......我们是否需要创建一个 DMZ(在云中)并将 WAP 服务器部署到其中?我们认为我们不需要这个,因为我们的公司网络外部不会有任何访问权限。
这个问题涉及 Azure 的许多不同方面,需要更深入地探索才能给出明确的建议。
但是,如果您今天没有部署 ADFS,并且仅考虑将其用于基于 PaaS 的 SSO 身份验证服务,那么我的一般建议是根本不部署它。
相反,正如您所建议的,我会配置 Azure AD Connect——无论如何您都可能会这样做,然后依靠 Azure AD 本身作为身份提供者。它具有广泛的集成和安全功能,并且比 ADFS 更易于管理。您仍然可以将传统 AD 扩展到 Azure 以提供 IaaS 服务。
可以在此处找到更多详细信息:什么是 Azure Active Directory 的应用程序访问和单点登录?
如果您担心密码存储在 Azure 中,也不再需要使用 ADFS,而是查看通过身份验证,更多详细信息在此处:使用 Azure Active Directory 直通身份验证的用户登录
当然,如果对部署 ADFS 有严格的要求,那么您可以在 Azure 中进行部署,使用与本地部署相同的所有原则,包括通过使用单独的子网来使用“dmz”模型和网络安全组 - 就像您将它用于 PaaS 甚至 SaaS 服务一样,您最终可能需要一些外部访问权限,更好地为这种可能性构建,即使它最初被锁定,而不是稍后必须重新架构。您可以在此处找到有关 Azure 中 ADFS 部署的 Microsoft 指南的链接:在 Azure 中部署 Active Directory 联合服务
但同样,我的建议是首先进一步探索 Azure AD 本身的功能,它是为您描述的用例而构建的。