Можно посмотреть Гибридная идентификация и Azure AD Connect
Многие организации сталкиваются с аналогичным сценарием, когда они уже используют локальную систему идентификации (например, Active Directory) и теперь хотят использовать облачные возможности.
Гибридная идентификация может особенно помочь, если у вас есть смесь локальных и облачных приложений, к которым обращается один и тот же набор пользователей (или идентификаторов)
В Azure AD Connect есть несколько настроек, и доступно несколько вариантов, которые вам нужно будет выбрать в зависимости от более конкретных требований.
Среди различных опций я видел, что опция Федерация работала довольно хорошо в нескольких случаях (это не значит, что вам нужно использовать именно эту опцию, выберите то, что работает лучше всего в вашем случае).
В этом случае организация, в которой уже были приложения, работающие с локальной службой Active Directory, теперь получает подписку (-и) Azure и клиент Azure Active Directory, который добавляет проверенный домен, который объединяется с локальной службой Active Directory (с помощью Azure). AD Connect и ADFS).
Таким образом, локальные приложения могут продолжать использовать Active Directory. В то же время новые облачные приложения доверяют клиенту Azure Active Directory, который может объединить процесс проверки подлинности с локальной инфраструктурой (после правильной настройки).
После правильной настройки веб-приложение Azure может доверять Azure Active Directory, которое, в свою очередь, работает с локальной AD.
Вы не упомянули, какую службу Azure вы используете для размещения веб-приложения, службу PaaS, например, службу приложений Azure, или просто использование Azure IaaS, например, виртуальной машины (или scaleset). Вы должны иметь возможность работать с Azure Active Directory во всех параметрах AFAIK, но не стесняйтесь добавлять дополнительные сведения в случае возникновения проблем.
