Назад | Перейти на главную страницу

При использовании O365, ADFS, без использования DirSync / FIM, какое значение должно иметь immutableId для ADFS, чтобы утверждать право?

ADFS 2.0 утверждает значение immutableID в своем утверждении SAML во время попыток федерации с Office 365.

ImmutableId указывается во время создания объекта в Office 365. Если вы используете DirSync, используется objectGUID.

Если у вас много лесов AD, которые вы хотите объединить в один экземпляр O365, DirSync не подходит.

Итак, если вы сможете подключить своих пользователей к O365 и установить правильные UPN и ImmutableId, будет ли ADFS счастливой? И какой формат для значения objectGUID (нестроковое значение, октет / двоичный код, как бы вы его ни называли) следует передать при создании пользователя?
- на основе строк Представление GUID - Двоичное значение в кодировке Base64

В моем случае это достаточно просто сделать, мне просто нужно знать, что ADFS использует в своем утверждении в своей базовой конфигурации или конфигурации по умолчанию для этой поддержки?

Немного поздно, но, надеюсь, поможет другим.

Один из вариантов, которые я видел на практике при развертывании O365 с несколькими лесами, заключался в использовании леса ресурсов. FIM 2010 R2 использовался для синхронизации всех остальных лесов, а затем с помощью Dirsync (или FIM 2010 R2 с O365 MA) для синхронизации с клиентом O365. На момент написания этого агента управления не было в свободном доступе, и для его получения требовалась консультация Microsoft.

По умолчанию неизменяемым является атрибут objectguid пользователя в AD. Dirsync запишет objectguid из объекта пользователя AD в объект пользователя, представленный в Azure AD, на которой размещен ваш клиент. Но технически при желании вы можете использовать другой уникальный атрибут. Главное, чтобы это значение не использовалось повторно для других объектов. Например, можно использовать идентификатор сотрудника или аналогичный атрибут.

Также обратите внимание, что Dirsync - это «устройство черного ящика», которое не рекомендуется настраивать сверх того, что задокументировано Microsoft. Пожалуйста, не запускайте неподдерживаемую конфигурацию.

Если вы установили ImmutableID для объекта в Azure AD, а AD FS настроен для чтения соответствующего атрибута (например, employeeid) и отправки его в утверждении, O365 будет счастлив. Атрибут ImmutableID представляет собой строку. Все, что вам нужно сделать, это отправить значение, которое O365 ожидает получить и сопоставить в Azure AD.

Проверьте правила утверждений, созданные командлетами O365 Powershell в AD FS. В частности, первое правило, чтобы увидеть, как UPN и ObjectGUID извлекаются и отправляются как соответствующие утверждения.