Используя O365, ADFS, не используя DirSync/FIM, чем должно быть значение immutableId, чтобы ADFS отстаивал право?
Согласно "DNS O'Reilly и BIND, 3-й выпуск":
В стендах для Интернета. Это - один класс данных. Другие классы существуют, но ни один из них в настоящее время не находится в широком употреблении. [...] поле класса является дополнительным. Если класс опущен, класс В принят.
Немного поздно, но, надеюсь, поможет другим.
Один из вариантов, которые я видел в реальном развертывании O365 с несколькими лесами, заключался в использовании леса ресурсов. FIM 2010 R2 использовался для синхронизации всех остальных лесов, а затем с помощью Dirsync (или FIM 2010 R2 с O365 MA) для синхронизации с клиентом O365. На момент написания этого агента управления не было в свободном доступе, и для его получения требовалась консультация Microsoft.
По умолчанию неизменяемым является атрибут objectguid пользователя в AD. Dirsync запишет objectguid из объекта пользователя AD в объект пользователя, представленный в Azure AD, на которой размещен ваш клиент. Но технически при желании вы можете использовать другой уникальный атрибут. Главное, чтобы это значение не использовалось повторно для других объектов. Например, можно использовать идентификатор сотрудника или аналогичный атрибут.
Также обратите внимание, что Dirsync - это «устройство черного ящика», которое не рекомендуется настраивать сверх того, что задокументировано Microsoft. Не запускайте неподдерживаемую конфигурацию.
Если вы установили ImmutableID для объекта в Azure AD, а AD FS настроен на чтение соответствующего атрибута (например, employeeid) и отправку его в утверждении, O365 будет доволен. Атрибут ImmutableID - это строка. Все, что вам нужно сделать, это отправить значение, которое O365 ожидает получить и сопоставить в Azure AD.
Проверьте правила утверждений, созданные командлетами O365 Powershell в AD FS. В частности, первое правило, чтобы увидеть, как UPN и ObjectGUID извлекаются и отправляются как соответствующие утверждения.
t запустить неподдерживаемую конфигурацию.Если вы установили ImmutableID для объекта в Azure AD, а AD FS настроен на чтение соответствующего атрибута (например, employeeid) и отправку его в утверждении, O365 будет счастлив. Атрибут ImmutableID будет строка. Все, что вам нужно сделать, это отправить значение, которое O365 ожидает получить и сопоставить в Azure AD.
Проверьте правила утверждений, созданные командлетами O365 Powershell в AD FS. В частности, первое правило, чтобы увидеть, как UPN и ObjectGUID извлекаются и отправляются как соответствующие утверждения.
t запустить неподдерживаемую конфигурацию.Если вы установили ImmutableID для объекта в Azure AD, а AD FS настроен на чтение соответствующего атрибута (например, employeeid) и отправку его в утверждении, O365 будет счастлив. Атрибут ImmutableID будет строка. Все, что вам нужно сделать, это отправить значение, которое O365 ожидает получить и сопоставить в Azure AD.
Проверьте правила утверждений, созданные командлетами O365 Powershell в AD FS. В частности, первое правило, чтобы увидеть, как UPN и ObjectGUID извлекаются и отправляются как соответствующие утверждения.
Проверьте правила утверждений, созданные командлетами O365 Powershell в AD FS. В частности, первое правило, чтобы увидеть, как UPN и ObjectGUID извлекаются и отправляются как соответствующие утверждения.
Проверьте правила утверждений, созданные командлетами O365 Powershell в AD FS. В частности, первое правило, чтобы увидеть, как UPN и ObjectGUID извлекаются и отправляются как соответствующие утверждения.