Я пытаюсь настроить систему единого входа SAML, где G Suite является поставщиком удостоверений для Office 365 (поставщик услуг).
Инструкции Google ограничены: https://support.google.com/a/answer/6363817?hl=en
Но я нашел здесь отличную помощь: http://www.viewds.com/blog/making-office-365-work-with-an-external-saml-identity-provider.html
Теперь я считаю, что запросы SAML отправляются правильно, но я столкнулся с проблемой. Из инструкции Google:
Идентификатор имени по умолчанию должен соответствовать требованиям, установленным ImmutableID. Для настройки используйте синхронизацию Active Directory. Ввод нескольких значений не поддерживается.
Это кажется достаточно простым, но Google отправляет адрес электронной почты в качестве идентификатора имени по умолчанию, а AzureAD использует очевидный UUID в качестве ImmutableID.
У кого-нибудь есть здесь опыт, который может дать рекомендации о том, как заставить две системы правильно разговаривать друг с другом? Нужно ли мне изменять ImmutableID в AzureAD? Установить какое-то настраиваемое поле на стороне Google?
Спасибо!
Я написал сценарий, который изменил все ImmutableID в AzureAD, чтобы они соответствовали их основному адресу электронной почты в GSuite.
Я не думаю, что это элегантно, но конфигурация SAML GSuite позволяет отправлять только основной адрес электронной почты, имя или фамилию в качестве поля NameID.
Пока NameID == ImmutableID все работает.