У нас есть локальная среда Active Directory, доступ к которой осуществляется только из нашей корпоративной сети. Мы хотим расширить эту среду до подписки Azure через ExpressRoute. Мы планировали включить в подписку услуги IaaS и PaaS, но доступ к этим услугам будет осуществляться только из корпоративной сети (через ExpressRoute) ... без внешнего доступа / доступа в Интернет. Мы рассматриваем возможность синхронизации нашей локальной Active Directory с Azure AD с помощью AD Connect и установки контроллеров домена и виртуальных машин ADFS в виртуальной сети в рамках подписки. ADFS будет использоваться для бесшовной аутентификации, когда мы получаем доступ к приложениям на основе PaaS, разработанным для облака.
Мой вопрос: в этом сценарии ... нужно ли нам создавать DMZ (в облаке) и развертывать серверы WAP? Мы думаем, что нам это не нужно, поскольку не будет внешнего доступа к нашей корпоративной сети.
Этот вопрос затрагивает множество различных аспектов Azure, которые потребуют более глубокого изучения, прежде чем можно будет дать окончательный совет.
Однако, если сегодня у вас нет развернутого ADFS и вы рассматриваете его исключительно для служб проверки подлинности SSO на основе PaaS, то мой общий совет - не развертывать его вообще.
Вместо этого, как вы предлагаете, я бы настроил Azure AD Connect - что вы, скорее всего, сделаете в любом случае, а затем положимся на сам Azure AD в качестве поставщика удостоверений. Он имеет широкий спектр функций интеграции и безопасности, и им намного проще управлять, чем ADFS. И вы по-прежнему можете распространить традиционный AD на службы Azure для IaaS.
Более подробную информацию можно найти здесь : Что такое доступ к приложениям и единый вход в Azure Active Directory?
Если вас беспокоит, что пароли хранятся в Azure, также больше не требуется использовать ADFS, вместо этого обратитесь к сквозной проверке подлинности, подробнее здесь: Вход пользователя с помощью сквозной аутентификации Azure Active Directory
Конечно, если есть твердое требование к развертыванию ADFS, вы можете развернуть его в Azure, используя все те же принципы, что и при локальном развертывании, включая использование модели dmz за счет использования отдельных подсетей и группы безопасности сети - как если бы вы использовали его для служб PaaS или даже SaaS, вам вполне может в конечном итоге потребоваться некоторый внешний доступ, лучше создать для этого случая, даже если он изначально заблокирован, чем придется перестраивать архитектуру позже. Вы можете найти ссылку на руководство Microsoft по развертыванию ADFS в Azure здесь: Развертывание служб федерации Active Directory в Azure
Но, опять же, я бы посоветовал сначала изучить возможности самого Azure AD, он создан для описываемого вами варианта использования.