我的环境/用例:
我正在阅读下面的 MS 文档,有一件事不是很清楚,那就是如何管理邮件属性。我希望本地 AD 和 Azure AD 中都存在邮件 ID。我们在通过 Azure AD 预配代理创建 AD 帐户时是否会生成邮件 ID,并将其同步到 Azure AD?或者还有其他办法吗?
我的基本问题是我们如何管理此架构中的邮件属性/电子邮件 ID 值?
我关注的链接: https://learn.microsoft.com/en-us/azure/active-directory/saas-apps/workday-inbound-tutorial https://learn.microsoft.com/en-us/azure/active-directory/saas-apps/workday-writeback-tutorial
基本上在写回流程中
从本地 Active Directory 到 Workday:一旦帐户 在 Active Directory 中创建完成,已与 Azure 同步 通过 Azure AD Connect 的 AD 以及电子邮件、用户名等信息 并且电话号码可以写回Workday。
许多组织希望让用户使用与其本地目录环境相同的凭据登录 Azure Active Directory (Azure AD)。通过这种称为混合身份验证的方法,用户只需记住一组凭据,并且只有一个 mailId 即可登录。
但由于业务或合规性原因,某些组织不想使用本地 UPN 登录 Azure AD。 为了帮助迁移到混合身份验证,您可以将 Azure AD 配置为让用户使用其 电子邮件作为备用登录 ID 进行登录。
the on-premises attribute userPrincipalName is synchronized with the Azure AD attribute onPremisesUserPrincipalName. The Alternate ID attribute, for example mail, is synchronized with the Azure AD attribute userPrincipalName.
我们在通过 Azure AD 配置代理创建 AD 帐户时是否会生成邮件 ID,并将其同步到 Azure AD?我的基本问题是我们如何管理这个架构中的邮件属性/电子邮件 ID 值?
根据您的要求,您可以按照以下方式开始并扩展解决方案。
如果我们只使用Azure AD怎么办? SelectUniqueValue 函数在 Azure 中不起作用,仅在本地 AD 中起作用。我们如何确保 UPN 是唯一的?目前默认使用 Workday UserID,它是一个数字。我们希望使用名字首字母 + 姓氏或名字 + 姓氏作为 UPN。如果 [电子邮件受保护] 已经存在,则应尝试 [电子邮件受保护]、[电子邮件受保护] 等... 参考:https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/functions-for-customizing-application-data#selectuniquevalue
参考页面上 SelectUniqueValue 函数的注释: 目前仅“Active Directory 用户配置的 Workday 和 SuccessFactors”支持此功能。它不能与其他配置应用程序一起使用。
Azure/Entra 的配置称为“Workday 到 Microsoft Entra ID 用户配置”。使用表达式生成器进行以下操作,但在映射表达式字段中输入实际表达式时则不起作用。
选择唯一值( Join("@", NormalizeDiacritics(StripSpaces(Join(".", [PreferredFirstName], [PreferredLastName]))), "contoso.com"), Join("@", NormalizeDiacritics(StripSpaces(Join(".", Mid([PreferredFirstName], 1, 1), [PreferredLastName]))), "contoso.com"), Join("@", NormalizeDiacritics(StripSpaces(Join(".", Mid([PreferredFirstName], 1, 2), [PreferredLastName]))), "contoso.com") )
输入/输出示例:
输入(首选名字):“约翰” 输入(首选姓氏):“史密斯” 输出:“[电子邮件受保护]”(如果目录中不存在 [电子邮件受保护] 的 UPN 值) 输出:“[电子邮件受保护]”(如果 [电子邮件受保护] 的 UPN 值已存在于目录中) 输出:“[电子邮件受保护]”(如果目录中已存在上述两个 UPN 值)