联合尝试使用Office 365时,ADFS 2.0会在其SAML断言中声明不可变的ID值。
ImmutableId在Office 365中的对象创build时指定。如果使用DirSync,则使用objectGUID。
如果您希望将多个AD森林合并到一个O365实例中,则DirSync不是真正的选项。
所以,如果你可以让你的用户进入O365,并设置一个适当的UPN和ImmutableId,ADFS会很快乐吗? 在创build用户时,应该传递什么格式的objectGUID值(非string值,八位字节/二进制文件,无论你想调用它)?
– 基于string的GUID表示 – Base64编码的二进制值
在我的情况下,很简单,我只需要知道ADFS在其基本或默认configuration中对此支持的使用情况。
有点晚,但希望能帮助别人。
我在真正的多森林O365部署中看到的一个select是使用资源林。 FIM 2010 R2用于同步所有其他森林,然后使用目录同步(或FIM 2010 R2与O365 MA)同步到O365租户。 在撰写本文时,pipe理代理不是免费的,需要Microsoft咨询公司才能获得。
不可变的确实是AD中默认的用户的objectguid属性。 目录同步将从AD用户对象中将objectguid写入承载租户的Azure AD中表示的用户对象。 但从技术上讲,如果需要,您可以使用另一个独特的属性。 要确保的关键是该值不会在其他对象上重用。 例如,可以使用employeeid或类似的属性。
另外请注意,目录同步是一个“黑匣子设备”,不鼓励微软超越微软的logging。 请不要运行不受支持的configuration。
如果您已经在Azure AD中的对象上设置了ImmutableID,并且AD FS被configuration为读取相关属性(例如employeeid),并在声明中发送它,则O365将会很快乐。ImmutableID属性是一个string。 所有你需要做的就是发送一个O365希望在Azure AD中接收和匹配的值。
检查AD FS上的O365 Powershell cmdlet创build的声明规则。 具体来说,看看如何提取和发送UPN和ObjectGUID作为相关索赔的第一条规则。