如何通过组织帐户或活动目录

时间:2018-05-02 14:32:30

标签: azure authentication active-directory ip firewall

目标

我希望用户使用他们的组织帐户访问我们的Azure服务器。理想情况下,防火墙会根据用户名验证它们,而不是因旅行而不断变化的IP地址。

背景

我们的Azure服务器托管了多个云数据库。这些数据库由我们的内部程序使用,这有助于我们的销售,工程师等。

问题

目前,我们有一个必须具有指定IP的防火墙才能让用户具有访问权限。问题是我们可能会有几个销售人员在旅行时进行IP更改并收到以下错误:

enter image description here

用户分别以CONTOSO \ userName身份登录Windows。有没有办法让Azure验证我们的Active Directory并看到当前的用户名是否应该有权访问我们的服务器的合法人员?

1 个答案:

答案 0 :(得分:2)

以下假定您使用的是安装了SQL Server的虚拟机。如果您使用的是SQL Azure(PaaS),请参阅最后一段。

如果在内部部署和Azure(站点到站点VPN)之间或客户端计算机与Azure(点对点VPN)之间建立VPN,则客户端的源IP地址将是已知的,然后很容易限制NSG或防火墙中的那些。

无论如何,要使用户能够使用集成Windows身份验证(contoso \ user)对SQL进行身份验证,SQL Server VM必须属于Contoso Active Directory域,或者属于Contoso信任的域。

因此,如果您将Azure VM加入Contoso域,理想情况下,Azure中必须提供Contoso的域控制器。该域控制器可以通过S2S VPN与内部域控制器通信。或者,您可以在Azure中配置新域并将SQL Server加入该新域,并在此新域和Contoso之间建立信任关系 - 您也需要在此方案中使用S2S VPN。

但即使您已将VM加入域,(远程)用户也必须建立到Azure的VPN连接才能使用Windows身份验证(尝试直接在Internet上使用Windows身份验证不是一个好主意)。

您还可以评估Azure Active Directory Domain Services,这可以在此方案中提供帮助,但还有其他要求(例如将用户与ADConnect同步到Azure AD)。

您还可以评估SQL {(PaaS),supports Azure AD authentication(但同样,您需要将用户与ADConnect同步)。