Pular para o conteúdo principal

Como ajustar ImmutableID de usuários renomeados que se autenticam por SAML

Ivan Carlos de Almeida
Atualizado

Usuários de domínios federados que se autenticam por SAML, como por exemplo autenticações iniciadas na Microsoft que são realizadas no Google, utilizam o ImmutableID como identificador de comunicação entre as plataformas, porém, quando um usuário é renomeado na plataforma que realiza as autenticações, seu ImmutableID não é alterado na Microsoft, ocasionando falha de autenticação realizados pela Microsoft para esses usuários.

Para corrigir isso, basta corrigir o ImmutableID do usuário para seu novo nome de usuário, porém, a Microsoft não permite que o ImmutableID seja alterado em usuários de domínios federados. Para contornar essa limitação, devemos mudar o domínio do login do usuário para um domínio não federado, fazer a alteração do seu ImmutableID, e em seguida reverter o domínio do seu login. Segue abaixo o passo-a-passo para realizar essa mudança:

Se conecte no Azure Active Directory através do PowerShell, ele pedirá as credenciais de administração do tenant (requer a instalação do módulo MSOnline):

Connect-MsolService

Faça o download de todos os usuários e seus ImmutableID para ver quem está com o registro errado ou visualize as informações no PowerShell, para isso:

Comando para baixar as informações em CSV:

$exportUsers = Get-MsolUser -All | Select-Object UserprincipalName,ImmutableID,WhenCreated,LastDirSyncTime | Export-Csv users.csv

Comando para visualizar o ImmutableID no PowerShell:

Get-MsolUser -All | Select-Object UserprincipalName,ImmutableID,WhenCreated,LastDirSyncTime

Altere o ID do usuário para um domínio não federado, pode ser utilizado o tenant onmicrosoft.com:

Set-MsolUserPrincipalName -UserPrincipalName [user]@[federateddomain.com] -NewUserPrincipalName [user]@[tenant].onmicrosoft.com

Defina o ImmutableId correto do usuário:

Get-MsolUser -UserPrincipalName [user]@[tenant].onmicrosoft.com | Set-MsolUser -ImmutableId [user]@[federateddomain.com]

Reverta o ID do usuário para o domínio federado:

Set-MsolUserPrincipalName -UserPrincipalName [user]@[tenant].onmicrosoft.com -NewUserPrincipalName [user]@[federateddomain.com]

E faça o download novamente de todos os ImmutableID para verificar se o ImmutableID do usuário foi corrigido:

$exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv users.csv

Comentários

0 comentário

Por favor, entre para comentar.