Para os IFDs anteriores do CRM, coloquei o servidor CRM Front End na DMZ junto com um Proxy do ADFS e permiti o acesso do Controlador de Domínio ao front-end do CRM por meio do firewall.
Esta é obviamente uma vulnerabilidade de segurança. Para uma nova instalação no Windows Server 2012 R2 eu queria saber o seguinte:
A minha pergunta é que o uso do novo WAP (Windows Server Web Application Proxy) que atua como um Proxy do ADFS e proxy da Web reverso permite acesso ao front-end do CRM se o WAP estiver na DMZ e o Front end estiver por trás do firewall?
Além disso, o servidor WAP precisa ser associado ao domínio? (Esta é a razão pela qual tivemos que fazer um túnel através do firewall na primeira instância).
Nessa documentação: link , parece que a resposta é que essa abordagem funcionaria no entanto Eu não tive nenhuma experiência de usar o WAP antes.
Sim, você pode implantar WAP na DMZ e seu aplicativo (CRM) dentro da rede, basta garantir que o servidor WAP possa entrar em contato com o aplicativo e o servidor ADFS atrás do firewall.
Não há necessidade de unir o domínio WAP se você não estiver planejando usar a delegação restrita de Kerberos para o SSO de back-end.