Usando o O365, ADFS, não usando o DirSync / FIM, qual valor deve ser imutableId para o ADFS afirmar corretamente?

2

O ADFS 2.0 confirma o valor immutableID em sua asserção de SAML durante tentativas de federação com o Office 365.

O ImmutableId é especificado no momento da criação do objeto no Office 365. Se você usar o DirSync, o objectGUID será usado.

Se você tiver muitas florestas do AD que deseja consolidadas em uma instância do O365, o DirSync não é realmente uma opção.

Então, se você conseguir colocar seus usuários no O365 e definir um UPN e um ImmutableId adequados, o ADFS será feliz? E que formato para o valor objectGUID (um valor não-string, octeto / binário, o que você quiser chamá-lo) deve ser passado ao criar seu usuário?
 - representação de GUID baseada em cadeia de caracteres  - Valor binário codificado em Base64

É bastante fácil no meu caso, eu só preciso saber o que o ADFS está usando em sua afirmação em sua configuração básica ou padrão para este suporte?

    
por geoffc 24.01.2013 / 21:41

1 resposta

1

Um pouco atrasado, mas espero que ajude os outros.

Uma opção que vi em uma implantação real de várias florestas O365 foi usar uma floresta de recursos. O FIM 2010 R2 foi usado para sincronizar todas as outras florestas e, em seguida, usar o Dirsync (ou o FIM 2010 R2 com o O365 MA) para sincronizar com o inquilino do O365. Ao escrever isso, o agente de gerenciamento não estava disponível gratuitamente e solicitou a consultoria da Microsoft para obtê-lo.

O imutável é de fato atributo objectguid do usuário no AD por padrão. Dirsync gravará o objectguid do objeto de usuário do AD no objeto de usuário representado no AD do Azure que hospeda seu locatário. Mas, tecnicamente, você pode usar outro atributo exclusivo em vez disso, se desejar. O principal a garantir é que o valor não seja reutilizado em outros objetos. Por exemplo, um funcionário ou atributo similar pode ser usado.

Observe também que o Dirsync é um "dispositivo de blackbox" que não é incentivado a ser ajustado além do que é documentado pela Microsoft. Por favor, não execute uma configuração não suportada.

Se você tiver definido o ImmutableID no objeto no Azure AD e o AD FS estiver configurado para ler o atributo relevante (por exemplo, employeeid) e enviá-lo na asserção, o O365 ficará satisfeito. O atributo ImmutableID é uma string. Tudo o que você precisa fazer é enviar um valor que o O365 espere receber e corresponder no AD do Azure.

Verifique as regras de declaração criadas pelos cmdlets do O365 Powershell no AD FS. Especificamente, a primeira regra para ver como o UPN e o ObjectGUID são extraídos e enviados como declarações relevantes.

    
por 15.06.2013 / 16:59