51CTO 博客地址:https://blog.51cto.com/14669127
客户需求:某企业的基础设施如下表所示:
位置 |
资源 |
Azure |
· 名为Subscription1的Azure订阅 · 20个Azure Web Apps |
本地数据中心 |
· Active Directory Domain · 运行Azure AD Connect的服务器 · 名为Server1的Linux 计算机
扫描二维码关注公众号,回复:
13106683 查看本文章
|
本地Active Directory 域与Azure Active Directory (Azure AD)同步,Server1运行一个名为App1的应用程序,该应用程序使用LDAP查询来验证本地Active Directory域中的用户身份。
计划将Server1迁移到订阅Subscription1中的VM,企业安全策略规定,必须组织部署到Subscription1的VM和服务访问本地网络,所以,需要提供一个解决方案,以确保App1在迁移后继续工作,解决方案必须符合安全策略。
解决方案分析:需求中提到公司安全策略规定,必须阻止部署到Subscription1的VM和服务访问本地网络,所以,这意味着Azure VM部署Domain Controller是不可能的,因为它被限制与on premise通信,所以可以考虑使用Azure AD Domain Services,因为它可以提供域加入、组策略、LDAP、Kerberos/NTLM认证等managed domain服务,你可以使用这些domain services,而不需要在云中部署、管理和修补domain controller。
Azure AD DS Managed Domain允许在云中运行不能使用Modern Authentication方式的低版本应用程序,或者不希望目录查找总是返回到本地AD DS环境的,你可以将这些应用程序从本地环境转移到managed domain,而不需要管理云中的AD DS环境。
Azure AD DS与现有的Azure AD 集成,将允许用户使用其现有的credentials登录到连接managed domain的服务和应用程序,你还可以使用现有的组和用户账户来保护对资源的访问,这些特性提供了将本地资源转移到Azure后的平滑切换和访问。
对于在本地运行AD DS的混合环境,你不需要管理Managed Domain的用户资源,通过Azure AD Connect,本地目录中的用户账户、组成员和凭据将同步到Azure AD,这些用户账户和凭据在managed domain中自动可用,但仍旧在on premise AD管理。
使用Azure AD DS,可以将managed domain配置为LDAP,使用LDAP时,流量是加密的,Secure LDAP也称为基于SSL/传输层安全(TLS)的LDAP,并且支持LDAP查询,但不使用本地 AD,如下图所示:
所以,综上所述,我们需要配置Azure AD DS服务来满足客户需求。
相关资料: