如果我需要使用Azure AD和我的本地Active Directory建立SSO。我明白我需要:
-
AD FS(但我不明白它可以驻留在何处......它是本地安装的服务吗?
-
Azure AD 使用密码同步进行连接。这个很明显,留在本地。
-
Azure AD 的密码写回 ??(不确定我需要这个,但在这种情况下,我知道我需要 Azure AD 高级版)
有人可以指导我进一步解释/细节吗?
谢谢!
在本地
- 不是必需的,但在那里最有意义。 通常,它需要通过 LDAP 访问域控制器,因此你可以将其放入 Azure 并创建站点到站点 VPN(或快速路由),它可以工作,但意义不大。 更好的本地。
- 同样,你可以把它放在Azure中,但这没什么意义。如果使用 AD FS,则不需要密码同步。仅当 AD FS 死亡并且临时禁用 AD FS 以便用户可以在 AD FS 关闭时工作时,这才有帮助,但同样,对于 AD FS 来说,这没有什么意义,因为所有身份验证都在域控制器上发生(当一切正常运行时)。
- 密码写回,只允许你在 Azure AD 中重置密码,它会同步回本地 AD(由 juunas 提供)
无论如何,都需要在已加入域的计算机(本地或其他方式)上配置 Azure AD Connect。但是你有一些选择。
如果不希望将密码同步到 Azure AD,可以在本地(或使用 VPN 的 Azure)中安装 ADFS,并在 Azure AD 和 ADFS 之间设置联合身份验证。然后,当用户尝试在 Azure AD 上登录时,系统会重定向到使用 ADFS 登录。
另一个选项是密码同步,它将密码哈希从本地同步到 Azure AD。这将允许用户在 Azure AD 登录页上键入其密码。在这种情况下,不需要 ADFS。
此外,还可以启用密码写回,这只允许你在 Azure AD 中重置密码,密码将同步回本地 AD。 否则,同步仅是单向的,并且只能在本地 AD 中重置密码。
如今,另一种选择也是直通身份验证。这也允许用户在 Azure AD 登录页上输入其密码。https://learn.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start