摘要:
我正在尝试让Azure AD成为企业用户的身份提供商,以便通过AAD进行身份验证,并从企业拥有的虚拟(和物理)桌面访问本地应用程序,最好使用SSO和可选的MFA。... 正如您所说,您的环境具有混合设置,其中包括本地Active Directory设置和Azure AD设置,该设置也通过Azure Active Directory连接工具从本地同步到Azure。在此场景中,要实现一个令牌转换服务,该服务通过现代身份验证协议(如SAML、OAuth令牌、MFA和其他协议)提供单点登录,在本地设置ADFS Server是最佳选择,因为它将通过创建依赖方信任并在不同场景中帮助单点登录与多个SaaS平台联合。使其能够通过防火墙或web应用程序代理在互联网上公开,以便它可以接收身份验证请求。您需要购买一个公共证书才能与ADFS一起用于服务通信,还需要购买一个公共域才能与之一起使用。ADFS2019支持OpenID、OAuth、SAML等协议,对于在on prem环境下使用Kerberos的应用程序,可以正常工作。任何使用OAuth、OpenID的应用程序都可以与ADFS集成,并作为依赖方应用程序添加到其中。ADFS可以与Office 365/Azure AD联合。你可以使用Connect-MsolService模块在ADFS上设置联盟,也可以使用AAD连接来管理或设置使用Azure AD连接的联盟。如果用户可以在公司网络之外,那么我建议使用条件访问功能,如果您已经拥有Azure AD premium许可证或EMS许可证,则可以使用这些功能来保护对您的应用程序的访问。
但是,如上所述,ADFS联合服务将始终具有一个外部面向公众的web应用程序代理端点,在该端点中,可以通过internet访问的任何应用程序都可以访问,并且远程用户可以在不需要VPN进入公司网络的情况下工作。但是,如果在您的案例中不需要Azure AD应用程序代理,因为您没有任何通过开放互联网发布的应用程序,那么您将不得不使用VPN。
此外,还可以找到以下Windows ADFS最新功能的文档链接,以供参考:-
我希望这能为您的疑问提供足够的澄清。
谢谢,
