Домен присоединился к WAP в DMZ
На сегодняшний день я использовал ADFS только для приложений, поддерживающих утверждения.
Сейчас я подумываю использовать его для некоторых приложений, не поддерживающих-требования.
Я читал, что для этого сервер WAP должен быть присоединен к домену, чтобы он мог выполнять ограниченное делегирование Kerberos.
Ранее мне говорили, что присоединенные к домену серверы не должны находиться в демилитаризованной зоне. Предполагая, что этот совет по-прежнему является передовой практикой, каков наиболее безопасный способ развертывания WAP-серверов, присоединенных к домену, в демилитаризованной зоне?..... И существуют ли какие-либо альтернативные конфигурации, которые по-прежнему разрешают аутентификацию для приложений, не поддерживающих-заявления
Спасибо за вашу помощь
Каков наиболее безопасный способ развертывания WAP-серверов, присоединенных к домену, в демилитаризованной зоне?
Если вам абсолютно необходимо иметь серверы, присоединенные к домену, в DMZ, не размещайте контроллеры домена с возможностью записи в DMZ — только контроллеры домена только для чтения. Как правило, присоединенные к домену серверы в DMZ увеличивают риски безопасности, поэтому с точки зрения безопасности этого следует избегать, если это возможно.
И существуют ли какие-либо альтернативные конфигурации, которые по-прежнему разрешают аутентификацию для приложений, не поддерживающих утверждения?
Azure AD Application Proxyбудет хорошей альтернативой. Он поддерживает различные SSO, включая Kerberos, и расширенные правила безопасности (с условным доступом Azure AD). Помимо расширенных средств контроля безопасности, основное преимущество заключается в том, что вам не нужно размещать какие-либо серверы внутри DMZ или открывать входящие порты на вашем брандмауэре. У него есть свои соображения и ограничения, которые могут относиться или не относиться к вашему делу. Это зависит от самого приложения, географии пользователей и некоторых других факторов