ADFS在Azure AD中对用户进行身份验证

Question

我一直试图让这项工作暂时停止，我的头开始游泳......

我正在尝试使本地ADFS 3.0实例能够在本地AD和Azure AD中对用户进行身份验证。理想情况下，ADFS允许Windows Integrated Auth用于域加入设备。如果没有，它将呈现表单登录页面。当用户输入其ID / PW时​​，如果凭据有效，则会检查Azure AD。我将本地AD与Azure AD同步，因此我的内部用户就在那里，并且我有一些仅在Azure AD中的帐户。我这样做是为了使内部和外部用户帐户可以访问本地SharePoint站点（而不是O365 / SharePoint Online！）。

我按照本文中的步骤在ADFS和Azure之间设置SSO。我确实在ADFS中的Claims Provider Trusts下看到了windows.net条目。我还在Azure ACS中配置了一个依赖方，其中包含与我的ADFS服务器匹配的领域和DNS信息。

如果我将ADFS服务器添加到Intranet站点列表中，以便Windows Integrated Auth正常工作，我看不到登录提示，并按预期重定向到我的SP站点。当我被重定向到ADFS时，如果ADFS服务器不在Intranet站点列表中，我会看到一个标题为Home Realm Discovery的页面，其中包含两个选项：ADFS和windows.net声明提供程序的显示名称。如果我选择ADFS，我可以使用内部AD帐户登录没问题但是它是Windows ID / PW提示符。如果我选择Windows.net，我可以使用Azure AD-only帐户进行身份验证，但是当ID / PW验证后浏览器重定向时，我收到此错误消息：

“抱歉，我们在登录时遇到了麻烦。

我们收到了一个错误的请求。

其他技术信息：

相关ID：07ec79b8-7484-4667-be45-cffe864854a9

时间戳：2014-12-17 16：13：10Z

AADSTS70001：在目录daab1e92-e868-4495-8e6d-156727c0d612“

中找不到带有标识符的应用程序（我的ADFS服务器的FQDN）

从上面的错误我可以看出，Azure ACS认为我正在尝试访问Azure应用程序，我不是。我只想进行验证并重定向到我的SP服务器。我知道这可能听起来有些令人费解，但还有其他一些因素可以解释为什么我这样做并不适用于这篇文章。

我知道我错过了一些简单的东西，但我无法弄清楚我为什么要搜索它。我宁愿不让用户选择要进行身份验证的源。我宁愿它只是一个简单的登录表单，让ADFS弄明白。由于Azure AD应该/可能是ID / PW验证的唯一来源，一旦集成的auth失败，这应该是可能的，对吗？

如果它仍然不清楚我想要实现的目标，那么这是我想要完成的一个略微简单化的图：