实际情况是,我们有多个站点 (AWS VPC),每个站点都有自己的自管理 ADDS 域,并且它们之间没有网络连接(设计如此)。我们需要从 AzureAD 身份自动为每个站点配置 ADDS 用户,包括密码写回(只能从 Azure 更改密码)。
一个可能的解决方案(我相信)是使用 cron(计划任务)查询 Azure graphapi 中的用户列表并使用 powershells new-aduser cmdlet 配置用户,设置用户属性以允许 Azure AD Connect 密码写回以确保密码同步。
然而,上述内容需要进行大量的调查,而且看起来像是一个需要监控的定制解决方案。
是否有更现成的解决方案(包括第三方?)允许 AzureAD --> 本地 AD 用户同步?
答案1
没有现成的解决方案可以满足您的需求。您的选择是:重新考虑您的设计、进行自定义开发(脚本)或购买第三方解决方案。
可能满足您需求的第三方解决方案包括身份管理 (IDM)或者身份治理和管理 (IGA)类别。您可以使用您喜欢的搜索引擎轻松找到产品
顺便提一句
设置用户属性以允许 Azure AD Connect 密码写回,以确保密码同步
这行不通,因为 Azure AD Connect 会将用户和密码从 AD 同步到 Azure AD,但不会反过来。因此,密码写回仅在帐户来源是 AD 时才有效