Authentication &引用；“云本地”；是否替换LDAP Active Directory同步？

如果您今天要构建一个企业SaaS应用程序，那么从Azure AD部署中获取用户、电子邮件和组列表的首选协议/端点是什么

历史上，这是通过LDAP连接到Active Directory域控制器完成的，我看到Azure提供了LDAPS服务（Azure AD DS）

广泛使用的ADFS只是一个与SAML兼容的IdP，但它似乎没有提供用于列出用户目录的API

---

MicrosoftGraphAPI似乎至少能够提供其中的一些信息，但它似乎是相当新的并且非常广泛。还有一种叫做SCIM的东西似乎有更广泛的支持，但它在企业云应用程序上似乎也不是非常流行。

我的研究表明，解决这个问题的明显正确答案是在产品上实现SCIM 2.0 API

该方法的主要麻烦在于SCIM 2.0是由目录提供程序触发的协议（即，当需要创建或更新用户时，SaaS应用程序将从Azure AD接收API调用，而不是SaaS应用程序在需要时联系目录端点以获取信息）

<>这会产生一些恼人的现象，比如在应用程序过程中更新用户信息时的潜在竞争条件，或者在方便的时候不能触发目录更新（例如夜间）。调试/测试的问题也更多