Azure单点登录

如果我需要使用Azure AD和本地Active Directory建立SSO。我明白我需要：

AD FS（但我不知道它到底可以驻留在哪里……它是安装在本地的服务吗？）

Azure AD连接与密码同步。这是一个很明显的留在房屋内

Azure AD的密码写回？？（不确定我是否需要此功能，但在这种情况下，我知道我需要Azure AD Premium）

有人能告诉我更多的解释/细节吗

谢谢大家!

不需要在内部部署，但在那里最有意义。一般来说，它需要通过LDAP访问您的域控制器，所以您可以将其放入Azure并创建一个站点到站点VPN（或快速路由），它可以工作，但意义不大。更好的内部部署

同样，你可以把它放在Azure中，但这没有什么意义。如果使用AD FS，则不需要密码同步。这只有在您的AD FS死机并且您临时禁用AD FS以便用户可以在AD FS关闭时工作的情况下才有帮助，但同样，对于AD FS没有什么意义，因为所有身份验证都发生在您的域控制器上（当一切正常运行时）

密码写回，只允许您在Azure AD中重置密码，并将其同步回on prem AD（由juunas提供）

---

不管怎样，您都需要在已加入域的计算机上配置Azure AD Connect（在prem或其他情况下）。但是你还有一些选择

如果您不想将密码同步到Azure AD，则可以在内部部署（或Azure with VPN）中安装ADF，并在Azure AD和ADF之间建立联盟。然后，您的用户在尝试登录Azure AD时将被重定向到使用ADFS登录

另一个选项是密码同步，它将把密码哈希从on prem同步到Azure AD。这将允许您的用户在Azure AD登录页上键入密码。在这种情况下，您不需要ADF

此外，您可以启用密码写回，这只允许您在Azure AD中重置密码，它将同步回on prem AD。否则，同步仅为单向，您只能在on prem AD中重置密码

---

如今，另一种选择也是直通式身份验证。这还允许您的用户在Azure AD登录页面上输入密码

啊，你是说Azure广告连接吗？这是真的！它只需要是一台加入域的计算机。对不起，我把回写和密码同步、更新答案混淆了