如何通过组织帐户或活动目录

Question

目标

我希望用户使用他们的组织帐户访问我们的Azure服务器。理想情况下，防火墙会根据用户名验证它们，而不是因旅行而不断变化的IP地址。

背景

我们的Azure服务器托管了多个云数据库。这些数据库由我们的内部程序使用，这有助于我们的销售，工程师等。

问题

目前，我们有一个必须具有指定IP的防火墙才能让用户具有访问权限。问题是我们可能会有几个销售人员在旅行时进行IP更改并收到以下错误：

用户分别以CONTOSO \ userName身份登录Windows。有没有办法让Azure验证我们的Active Directory并看到当前的用户名是否应该有权访问我们的服务器的合法人员？

Answer 1

以下假定您使用的是安装了SQL Server的虚拟机。如果您使用的是SQL Azure（PaaS），请参阅最后一段。

如果在内部部署和Azure（站点到站点VPN）之间或客户端计算机与Azure（点对点VPN）之间建立VPN，则客户端的源IP地址将是已知的，然后很容易限制NSG或防火墙中的那些。

无论如何，要使用户能够使用集成Windows身份验证（contoso \ user）对SQL进行身份验证，SQL Server VM必须属于Contoso Active Directory域，或者属于Contoso信任的域。

因此，如果您将Azure VM加入Contoso域，理想情况下，Azure中必须提供Contoso的域控制器。该域控制器可以通过S2S VPN与内部域控制器通信。或者，您可以在Azure中配置新域并将SQL Server加入该新域，并在此新域和Contoso之间建立信任关系 - 您也需要在此方案中使用S2S VPN。

但即使您已将VM加入域，（远程）用户也必须建立到Azure的VPN连接才能使用Windows身份验证（尝试直接在Internet上使用Windows身份验证不是一个好主意）。

您还可以评估Azure Active Directory Domain Services，这可以在此方案中提供帮助，但还有其他要求（例如将用户与ADConnect同步到Azure AD）。

您还可以评估SQL {（PaaS），supports Azure AD authentication（但同样，您需要将用户与ADConnect同步）。