LDAP Active Directory同步的“云原生”替代？

Question

如果你现在要构建一个企业SaaS应用程序，从Azure AD部署中获取用户、电子邮件和组的列表的首选协议/端点是什么？

过去，这是通过LDAP连接到Active Directory域控制器来完成的，我看到Azure提供了LDAPS服务(Azure AD DS)。

广泛使用的ADFS只是一个与SAML兼容的IdP，但是它似乎没有提供用于列出用户目录的API。

Microsoft Graph API似乎至少能够提供这些信息中的一部分，但它似乎是相当新的和非常广泛的。还有一种叫做SCIM的东西似乎有更广泛的支持，但它在企业云应用程序上似乎也不是很受欢迎。

Answer 1

我的研究表明，这个问题的明显正确答案是在产品上实现SCIM2.0API。

该方法的主要恼人之处在于，SCIM2.0是一个由目录提供商触发的协议(即，当用户需要创建或更新时，SaaS应用程序将从Azure AD接收API调用，而不是SaaS应用程序在需要时联系目录端点来获取信息)。

这会产生一些麻烦，比如在应用程序过程中更新用户信息时可能会出现竞争情况，或者无法在方便的时间(例如晚上)触发对目录的更新。调试/测试也更有问题。