azure - Azure AD 对本地应用程序进行身份验证（令牌转换服务和类似服务）

正如您所说，您的环境具有混合设置，其中包括本地 Active Directory 设置和 Azure AD 设置，还通过 Azure Active Directory Connect 工具从本地同步到 Azure。在这种情况下，要实现通过现代身份验证协议（如 SAML、OAuth 令牌、MFA 等）提供 SSO 的令牌转换服务，在本地设置 ADFS 服务器是最佳选择，因为它将通过创建依赖方与多个 SaaS 平台联合在不同的场景中信任和帮助 SSO。使其能够通过防火墙或 Web 应用程序代理在 Internet 上公开，以便它可以接收身份验证请求。您需要购买一个公共证书以与 ADFS 一起使用以进行服务通信，并购买一个公共域以与它一起使用。ADFS 2019 支持 OpenID、OAuth、SAML 协议等。对于在本地环境中使用 Kerberos 的应用程序，它将正常工作。任何使用 OAuth、OpenID 的东西都可以与 ADFS 集成并作为依赖方应用程序添加到其中。ADFS 可以与 Office 365/Azure AD 联合。您可以使用 Connect-MsolService 模块在 ADFS 上设置联合，也可以使用 AAD 连接以使用 Azure AD 连接管理或设置联合。如果用户可以在公司网络外部，那么我建议使用条件访问功能，如果您已经拥有 Azure AD 高级许可证或 EMS 许可证，则可以使用这些功能来保护对应用程序的访问。ADFS 可以与 Office 365/Azure AD 联合。您可以使用 Connect-MsolService 模块在 ADFS 上设置联合，也可以使用 AAD 连接以使用 Azure AD 连接管理或设置联合。如果用户可以在公司网络外部，那么我建议使用条件访问功能，如果您已经拥有 Azure AD 高级许可证或 EMS 许可证，则可以使用这些功能来保护对应用程序的访问。ADFS 可以与 Office 365/Azure AD 联合。您可以使用 Connect-MsolService 模块在 ADFS 上设置联合，也可以使用 AAD 连接以使用 Azure AD 连接管理或设置联合。如果用户可以在公司网络外部，那么我建议使用条件访问功能，如果您已经拥有 Azure AD 高级许可证或 EMS 许可证，则可以使用这些功能来保护对应用程序的访问。

但是，如上所述，ADFS 联合服务始终有一个面向公众的外部 Web 应用程序代理端点，任何可通过 Internet 访问的应用程序都可以访问该端点，远程用户可以在无需 VPN 进入公司网络的情况下工作。但是，如果您的情况不需要 Azure AD 应用程序代理，因为您没有通过开放 Internet 发布任何应用程序，那么您将不得不使用 VPN。

此外，还可以找到以下 Windows ADFS 最新功能的文档链接供您参考：-

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/overview/whats-new-active-directory-federation-services-windows-server

我希望这可以为您的查询提供足够的说明。

谢谢，