去年，微软更新了它的Windows Azure Active Directory同步工具DirSync，它包含一项名为密码同步(Password Synchronization)的功能帮助组织同步最终用户的密码。然而在此次更新之前，Active Directory Federation Services(AD FS)是Office 365最终用户使用密码接入服务的唯一选择。

　　为了帮助大家决定到底哪种密码同步功能更加适合，让我们近距离地观察DirSync的密码同步功能与AD FS各自的选项，并进行比较。

　　密码同步与AD FS的区别

　　在深入探讨密码同步的特性之前，你需要知道在技术层面，AD FS与密码同步的主要区别就像苹果和橙子一样。这两款工具在最终用户体验上如出一辙。举例来说，它们都支持最终用户用他们的密码来接入Office 365服务。

　　但AD FS在工作原理上与密码同步完全不同，描述这种差别最好的办法便是执行一遍各自的登陆过程。

　　想象某个情景中一个最终用户登录到Office 365的门户(portal.microsoftonline.com)，如果该账号是联合的且使用AD FS，那么将会发生如下情况：

　　1. 用户在用户名框中输入他的用户名(用户主体名称)。

　　2. 用户名被输入后，Office 365将会检查源自用户主体名称中的域名是属于普通域还是联合域。

　　3. 当验证平台，即Windows Azure发现该域是联合域的同时将重定向用户的浏览器到它们的AD FS端点去“获取”一个AD FS令牌。

　　4. 用户向AD FS服务器进行验证，这是对活动目录进行验证，如果凭据是合法的，用户将从AD FS收到一枚登陆令牌。最终用户将被重定向到Office 365的验证平台。

　　5. Windows Azure验证平台将立即接受AD FS令牌并且使用它来验证最终用户。

　　6. 最终用户通过验证并且被重定向到门户。

　　密码同步功能下的过程却与此不同。与上述景中关键差异之处在于使用AD FS时，预置的主动目录作为身份提供者并验证凭据。与AD FS不同的是，Windows Azure在密码同步作为身份提供者，因为它会比照自身数据库中的已知值来检验证用户的凭据。

　　1. 用户在用户名框中输入他的用户名(用户主体名称)。

　　2. 用户名被输入后，Office 365将会检查源自用户主体名称中的域名是属于普通域还是联合域。

　　3. 当验证平台，即Windows Azure发现该域是非联合域时它将不会采取任何行动。

　　4. 最终用户在密码框中输入他的密码并点击登录按钮。验证平台接收到用户的凭据将验证与自身数据库中的用户名/密码进行比对。由于密码已经被同步，它将与用户的活动目录的密码保持一致。

　　抛开一些配置上的差异不谈，最终用户体验在上述情景中是几乎相同的。密码同步可以凌驾于基于云的密码复杂度要求以及密码寿命要求，就像AD FS那样。因此如果体验是几乎相近的，为什么会选择需要一台或更多服务器的AD FS，而不选择集成DirSync工具的密码同步功能呢?答案就在下一篇文章里：《Office365身份管理：DirSync密码同步vs. AD FS优劣势对比》

　　责任编辑：DJ编辑