Настройки брандмауэра Azure для надстройки VSTO и SQL

Question

Я написал довольно простую надстройку SQL-поддержки VSTO Outlook, которая в конечном итоге будет использоваться примерно 20 людьми в нескольких офисах компании, в которой я работаю.Все также будут периодически работать из дома.

Учебники, которые я до сих пор выполнял, показывают добавление «своего» IP-адреса к правилам брандмауэра сервера: https://docs.microsoft.com/en-gb/azure/sql-database/sql-database-get-started-portal-firewall

Как и аналогичный вопрос, с которым я столкнулся во время исследования по этому вопросу: Правила брандмауэра SQL Azure на новом портале

Это не было проблемой, когда только я использовал приложение, яследуйте инструкциям один раз, чтобы добавить мой офисный IP-адрес, и один раз, чтобы добавить мой домашний IP-адрес.Хотя было бы очень неловко, если бы мне пришлось заставить всех собирать свои IP-адреса и устанавливать каждый из них на брандмауэре.

Это было бы мое первое приложение, которое использовало бы удаленные ресурсы, поэтому я не уверен вследующие шаги с брандмауэром, и так изо всех сил, чтобы найти руководство.Должен ли я быть:

1. Открытие брандмауэра для всех, но создание надежного пароля, хранящегося в приложении
2. Создание шага инициализации в приложении, чтобы предоставить новым пользователям доступ через брандмауэр
3. Создайте некоторый прокси-сервер, чтобы все запросы SQL приходили с одного и того же IP-адреса.

В случае (2) создание шага инициализации - azureПараметры брандмауэра sql server могут изменить правило брандмауэра - не значит ли это, что только один человек может подключиться одновременно?

Answer 1

Вы можете создать небольшое приложение, которое может удаленно обновлять правило брандмауэра SQL Azure, используя локальный IP-адрес ПК.Для этого вам понадобятся Microsoft Management Fluent библиотека и Группа ресурсов и Управление ресурсами (Fluent) для Microsoft Azure. Здесь вы найдете образец приложения.

Вам также может потребоваться зарегистрировать приложение как приложение Azure Active Directory, как описано здесь , и назначить ему соответствующую роль.,Затем вы сможете создать файл авторизации для приложения, как объяснено здесь .

subscription=########-####-####-####-############
client=########-####-####-####-############
tenant=########-####-####-####-############
key=XXXXXXXXXXXXXXXX
managementURI=https\://management.core.windows.net/
baseURL=https\://management.azure.com/
authURL=https\://login.microsoftonline.com/
graphURL=https\://graph.windows.net/

Вы также можете также предоставить всем пользователям сценарий PowerShell, который может проходить аутентификацию самостоятельно.в SQL Azure, используя токен аутентификации Azure Active Directory, как описано здесь , а затем обновите правило брандмауэра или создайте новое, используя следующий скрипт.

New-AzureRmSqlServerFirewallRule -ResourceGroupName "myResourceGroup" 
      -ServerName $servername -FirewallRuleName "AllowSome" -StartIpAddress "0.0.0.0" -EndIpAddress "0.0.0.0"

Answer 2

Наилучшим вариантом будет:

1a.Открытие брандмауэра для всех, но для пользователей требуется Аутентификация Azure Active Directory .