身份认证

前言 在企业信息化建设中，一个常见诉求是：员工继续使用本地 AD 域账号，同时能够无缝访问 Office 365、Teams 等云端应用，并在统一策略下完成认证与权限控制。 这个问题的本质并不是“本地目录还是云目录二选一”，而是如何在安全、体验、合规之间取得平衡。混合身份认证正是为此而生：既保留本地目录的管理基础，又借助云端身份服务提升统一登录能力与安全治理能力。 本文会围绕实际落地最常遇到的核心问题展开： AD 与 Entra ID 的职责边界与协作关系 PHS、PTA、ADFS 三种方案的取舍逻辑 面向教育/组织接入场景的扩展实践（如 OneRoster、外部目录接入） 什么是混合身份认证？ Hybrid Identity 是指通过本地目录（如Microsoft Active Directory、OpenLDAP 等）与云目录（如 Microsoft Entra ID、Google Cloud Identity 等）的集成，为用户提供统一的身份验证和授权机制。这种解决方案允许用户使用单一身份访问本地和云中的资源，无论资源的位置如何。具体场景如下： 允许你或你的组织内的用户，使用 Azure AD 登录你开发的应用。 允许其他组织的用户，使用 Azure AD 登录你开发的应用。 为什么会有混合身份认证，是否可以不使用本地目录，而完全依赖云目录？ 取决于企业的具体需求，包括现有架构、协议支持、网络条件、合规性要求等。对于大多数企业，采用混合架构（本地目录+云目录）可能是更现实的选择。 我们能做的？ 了解术语概念 业务相关 沟通需要 理解深层次架构 提供产品方向 解决技术问题 一、基础概念 身份 (Identity)： 用户/设备/服务的唯一代表（用户名、邮箱等）。 认证 (Authentication, AuthN)： 证明“你是谁”（密码、指纹、短信验证码、MFA）。 授权 (Authorization, AuthZ)： 决定“你能做什么”（RBAC角色权限、ABAC属性权限）。 身份生命周期： 创建账号 -> 启用 -> 更新（改密码） -> 禁用 -> 删除。 IAM、IDP、IDM三者共同构成了现代企业身份管理与安全体系 ...