目标
我希望用户使用其组织帐户访问我们的 Azure 服务器。理想情况下,防火墙可以根据用户名进行验证,而不是因旅行而不断变化的 IP 地址。
<小时/>背景
我们有多个云数据库托管在我们的 Azure 服务器上。这些数据库由我们的内部程序使用,为我们的销售、工程师等提供帮助。
<小时/>问题
目前我们的防火墙必须具有指定的 IP 才能让用户访问。问题是我们可能有几个销售人员出差,这使得他们的 IP 发生变化,并且他们收到以下错误:
用户分别以 CONTOSO\userName 身份登录到 Windows。 Azure 有没有办法验证我们的 Active Directory 并查看当前用户名是应该有权访问我们服务器的合法用户?
最佳答案
以下假设您使用的是安装了 SQL Server 的虚拟机。如果您使用的是 SQL Azure (PaaS),请参阅最后一段。
如果您建立 VPN在本地和 Azure(站点到站点 VPN)之间或客户端计算机和 Azure(点到站点 VPN)之间,客户端的源 IP 地址将是已知的,然后很容易限制 NSG 或防火墙中的 IP 地址。
无论如何,为了使用户能够使用集成 Windows 身份验证 (contoso\user) 对 SQL 进行身份验证,SQL Server VM 必须属于 Contoso Active Directory 域或 Contoso 信任的域。
因此,如果将该 Azure VM 加入 Contoso 域,则理想情况下,Contoso 的域 Controller 必须在 Azure 中可用。该域 Controller 可以通过 S2S VPN 与本地域 Controller 进行通信。或者,您可以在 Azure 中配置一个新域,并将 SQL Server 加入该新域,并在该新域和 Contoso 之间建立信任关系 - 在这种情况下您还需要 S2S VPN。
但即使将虚拟机加入域后,(远程)用户也必须建立与 Azure 的 VPN 连接才能使用 Windows 身份验证(尝试直接在 Internet 中使用 Windows 身份验证不是一个好主意)。
您还可以评估Azure Active Directory Domain Services ,这在这种情况下会有所帮助,但有其他要求(例如使用 ADConnect 将用户同步到 Azure AD)。
您还可以评估 SQL Azure (PaaS),supports Azure AD authentication (但同样,您需要将用户与 ADConnect 同步)。
关于azure - 如何通过组织帐户或 Active Directory 访问 Azure Server,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50137212/