应用的 Azure AD 和 Office 365 身份验证

Question

我正在学习 Azure AD 和 Office 365，我想知道以下是否可行，如果可行，由于我对文档的某些方面感到困惑，因此我想知道如何去做：

假设公司 CompanyA 为其组织的用户提供 Office 365。这些用户使用 Exchange/Outlook 和 Office 使用其 Office 365 凭据登录（Office 桌面）。

CompanyA 在内部托管了 Active Directory，但他们计划使用 Azure AD Connect Sync 将 AD 中的所有对象同步到 Azure AD，以便在云和内部网络之间同步密码更改（和用户对象）等内容。

• 有没有办法使用他们的 Office 365 凭据登录到他们的网络系统并同步到 AD，或者将 Azure AD 链接到他们的 Office 365 帐户，以便他们可以使用他们的 Office 365 凭据登录计算机？

问题 2 如下（我的真正问题！）：

现在，将在内部和外部（可能在 Azure 云中）托管一个自定义应用程序。该应用程序可以是桌面应用程序或网络应用程序或某些服务。

应用程序是否有办法针对 Azure AD/Office 365 进行身份验证，以确保用户登录（使用他们的 Office 365 凭据）成功？有没有没有弹出对话框的自动化方式，所以一切都通过 API 使用 C#/.NET Framework 以编程方式完成？

谢谢！

Answer 1

当您引用 Office 365 凭据时，您已经在谈论 Azure AD。每个 Office 365 租户都有一个 Azure AD 实例支持，它是用户帐户和凭据的存储。详细说明请看以下文章： https://support.office.com/en-us/article/Understanding-Office-365-identity-and-Azure-Active-Directory-06a189e7-5ec6-4af2-94bf-a22ea225a7a9

您目前是称为云身份的模型。听起来您想改用同步身份或联合身份。

如果您将 Azure AD Connect 安装配置为与您的 Office 365 租户同步（通过在安装过程中为其提供来自租户的全局管理员），那么您将有效地使用与您的 Office 365 同步的前提 ADDS 凭据进行所需的设置（ Azure AD) 凭据。

但是，由于现有租户的帐户要与本地帐户匹配，因此您需要提前与用户进行沟通，并了解在同步到 Azure 时软匹配的工作原理AD 与现有帐户。 这篇知识库文章应该可以帮助您入门：https://support.microsoft.com/en-us/kb/2641663

如果处理得当，最终结果如下：

• 用户帐户和密码更改由您的本地 AD 管理。
• 密码更改发生在本地并与与本地帐户匹配的 Azure AD 帐户同步
• 除非启用需要 Azure AD Premium 订阅的密码回写，否则您将无法从 Office 365 更改密码并将这些更改反映在本地。
• 用户将使用其 AD 凭据登录域资源，该凭据与 Azure AD 中的 Office 365 凭据相匹配

此时您将转到同步身份。这是迈向联合身份的下一步所必需的，因此无论哪种方式，您都希望进入此阶段。在您完全理解该模型的含义之前，我不会采取下一步的联合。

关于您问题的第 2 部分，有多个库可以将 Azure AD 身份验证添加到您的自定义应用程序。此页面按语言列出了库列表： https://docs.microsoft.com/en-us/azure/active-directory/active-directory-authentication-libraries