Синхронизация между office365 и локальным Active Directory через настраиваемое поле
Я пытаюсь соединить местный Active Directory в office365 для пользователя sync.
В этой документации я обнаружил, что мне нужно сделать разрешаемый суффикс в userPrincipalName и перенести наследство Kerberos основной для комбинации sAMAccoutName+@Realm
Проблема в том, что многие из Kerberized Software использовали более старую документацию от Microsoft для использования userPrincipalName,
Поэтому некоторые Сервисы и Сервисные пользователи имеют символы в userPrincipalName которые не поддерживаются в sAMAccoutName
Например, сервисами hadoop:
userPrincipalName=hive/host@COMPANY.REALM
А также sAMAccountName похоже:
sAMAccountName=$XXXXXX-XXXXXXXXXXXX
Если я включу наследие Kerberos Принципал мои билеты не работают на услуги с неподдерживаемыми символами.
Пример:
[hive@host ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_1234
Default principal: $XXXXXX-XXXXXXXXXXXX@COMPANY.REALM
Можно ли создать в Active Directory поле как userPrincipalNameForOffice365 для синхронизации пользователей?
1 ответ
Да, вы можете использовать другие поля, но вы должны добавить их вручную в задании синхронизации. Помощник ADSync разрешит только определенные поля (например, SMTPProxyAdress).
Подробнее о альтернативных идентификаторах: https://docs.microsoft.com/de-de/azure/active-directory/hybrid/plan-connect-userprincipalname
Вы даже можете использовать AFDS, чтобы позволить AzureAD проходить аутентификацию непосредственно на вашем локальном домене (с использованием альтернативных идентификаторов): https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configuring-alternate-login-id
Надеюсь это поможет. Весь ответ будет сложно охватить одним постом SF.