Azure AD不是Active Directory的替代品。是的，仍然需要它，你应该通过Azure ADFS将本地凭据同步到Azure AD：
https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/how-to-connect-fed-azure-adfs

虽然Azure AD和Active Directory都是身份管理系统，但它们彼此完全不兼容。是的，这是非常令人困惑的，可能是为什么MS通常将Active Directory称为“AD DS”，当然也是为什么MS最近将Azure AD重命名为“Microsoft Entra ID”。
要知道，在MS这些天，有两个阵营：云和内部部署。如果它不是云，它被称为“遗产”（这是愚蠢的，因为现场销售仍在上升，人们并没有高兴地跳到云）。
此外，不可能使用LDAP来实现真正的无密码SSO。与流行的看法相反，LDAP不是一种身份验证协议。它是一个数据库服务。有些人使用LDAP服务进行身份验证，作为身份验证的一种代理（如果绑定成功，则凭证必须正确）。但那总是一个黑客。并意识到这使用纯文本凭据。即使IdP使用TLS到LDAP，明文凭据仍然存在于IdP上（尽管很短暂）。
如果客户希望使用AD DS进行本地SSO，则可以使用Azure AD Connect或当前流行的任何方法桥接AD DS和Azure。或者你可以使用Windows内置的SSO（即SPNEGO，NTFS，...）。最后一个选项被低估的选项IMO。如果您使用的是IIS，那么只需调整IIS配置即可。客户端根本不需要提供密码。不需要IdP，明文密码永远不会存在于客户端内核空间之外。