我们正在与o365合作部署ADFS for SSO。
我们有一家咨询公司来处理我们的防火墙configuration。
今天,在试图让他们为我安装我的ADFS代理服务器的DMZ设置,consultent试图说服我只是让他们打开端口443直接到ADFS服务器,并根本不使用代理。 他告诉我现在这样的configuration是标准的做法。
由于我们业务的性质,我们有非常严格的安全要求,包括没有内部服务器向外开放。
我现在的问题是,他是不是因为懒惰而没有想要configuration非军事区,还是他有一个合法的点呢?
哦,该死的!
不要把主要的ADFS服务器放在互联网上!
代理angular色的发明有一个特定的原因,将您的主要ADFS框放在互联网上并不是一个聪明的主意。 主要是因为主服务器默认configuration为只允许基于Windows的身份validation,这意味着任何人都可以提交请求,并试图暴力。更糟的是,如果他们获得密码,他们现在有一个有效的用户名和密码在您的域名,最糟糕的一种痛苦。
然而,该代理使用基于Web表单的方法,通过强制公司防火墙之外的用户通过Web表单login来降低威胁。 如果通过,则返回可信服务(参见O365)使用的cookie或redirect令牌。
无论哪种方式,这直接违反了微软推荐的设置,当然不会通过安全审计validation。 另外,由于您只将端口80和443的stream量暴露给代理,因此仅通过特定IP将这两个端口只转发到您的代理(或负载平衡代理)并不是很难。 无论如何,DMZ是明智之举,特别是如果您有其他面向公众的服务。
取决于这个顾问在做什么。 如果他们使用类似TMG的方式在ADFS服务器之前处理防火墙,则它可以执行代理的angular色,并向外部客户端呈现webforms auth,而不是直接在内部ADFS 2.0上打开一个洞服务器。
我完全没有将内部的ADFS服务器直接暴露给Internet。 不pipe有人试图告诉我这是多么的安全,你还在谈论的是直接将join域的服务器暴露给公共互联网。
代理服务器不需要join域。 使用它们的另一个优点。
-E