我在一些视频中看到,今天的建议是避免使用 ADFS 进行 SSO。我想确认这一说法,并了解在包含 Active Directory 和 Azure Active Directory 的混合环境中不使用 ADFS 启用 SSO 的所有可能方法。我听说过通过 GPO 和使用无缝身份验证启用 SSO,您能给我更多这方面的见解吗?
答案1
你没有明确说明你希望 SSO 做什么到,因此您已经收到了一些评论。从字里行间来看,我猜您的意思是启用 SSO 以便 AD 用户使用 Azure AD/O365 进行身份验证。
如果是这样的话,混合身份验证选项概述如下:密码哈希同步(PHS)、直通身份验证(PTA)和 ADFS。
如今,除非您有特定要求(复杂的联合需要非 AAD/O365 服务),否则我同意 ADFS 在许多环境中通常不是必需的。这也意味着要部署的基础设施要少得多。因此,如果您不太可能需要复杂的外部身份验证设置,那么您可能可以不用它。如果您发现确实需要它,也可以在以后部署它。您可以将 OAUTH2 从 Azure AD 配置到外部服务,这也涵盖了很多场景。
剩下的就是 PHS 和 PTA。如果您想要/需要云中的密码哈希,您可以选择 PHS 选项。我自己还没有处理过这个要求。我过去部署过 PTA(我目前在 ADFS 环境中工作),我发现它易于部署和管理。
但你需要分析什么最适合你的情况。我还建议你参加一些微软培训课程,如果你还没有参加过的话,比如这个混合身份。
答案2
Azure AD 企业应用程序允许您使用 Azure AD 进行 SSO。
请参阅此处查看使用 Slack 进行 SSO 设置的示例: https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/slack-tutorial