Блог

Из их документов — https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta-how-it-works

В качестве предварительного условия для работы сквозной аутентификации пользователи должны быть подключены к Azure AD из локального Active Directory с помощью Azure AD Connect. Сквозная аутентификация не применяется к пользователям, работающим только в облаке.

Разве это не сводит на нет весь смысл сквозного прохождения. Если пользователи должны быть подготовлены в AAD (с помощью AD connect), какой смысл проходить через это? Или дело просто в том, что предоставлены ИМЕНА ПОЛЬЗОВАТЕЛЕЙ и нет паролей ..?

Очень запутанный. Пожалуйста, отвечайте только в том случае, если вы действительно реализовали это.

Мы используем это в моей работе. Это лучше описано здесь: Что такое сквозная аутентификация Azure Active Directory?

Сквозная аутентификация Azure Active Directory (Azure AD) позволяет вашим пользователям входить как в локальные, так и в облачные приложения, используя одни и те же пароли. Эта функция обеспечивает вашим пользователям лучший интерфейс — на один пароль меньше, который нужно запоминать, и снижает затраты службы поддержки ИТ, поскольку ваши пользователи с меньшей вероятностью забудут, как выполнить вход. Когда пользователи входят в систему с помощью Azure AD, эта функция проверяет пароли пользователей непосредственно на локальном сервере Active Directory.

Для использования облачных сервисов учетная запись должна существовать в Azure AD. Для использования локальных служб учетная запись должна существовать локально. Таким образом, учетная запись каждого пользователя фактически дублируется между локальной и Azure AD.

Единственная цель использования сквозной аутентификации — это возможность использовать как облачные, так и локальные приложения с одним и тем же паролем. Следовательно, пароль не хранится в Azure AD, и Azure AD переносит выполнение проверки подлинности в локальную среду.