Ondrej Sevecek's Blog

Scénář - máte Office365 a synchronizujete účty (nebo jste to dříve udělali alespoň jednou) z vaší on-premisses Active Directory (AD) pomocí nástroje DirSync (což je ve skutečnosti normální FIM) do Azure Active Directory (AAD), nad kterou celý ten Office365 vlastně pracuje.

DirSync si musí pamatovat vazbu mezi objektem v Active Directory a objektem v Azure AAD. Pamatuje si to pomocí tří atributů - sourceAnchor, cloudAnchor a ImmutableID. Atributy sourceAnchor a cloudAnchor jsou uvnitř FIMu a obsahují hodnotu z atributu objectGUID v AD a ObjectID v AAD.

Jak jistě víte, atribut objectGUID se v AD nemění, ani když daný objekt migrujete mezi doménami. Stejně tak ObjectID atribut v Azure AD, se nemění. Hodnotu ObjectID z AAD můžete zjistit pomocí Get-MsolUser. Hodnotu objectGUID zjistíte z on-premisses AD pomocí Get-ADUser.

Pokud synchronizujete účty z AD do AAD pomocí DirSync, ten nástroj zapisuje do Azure AD hodnotu z objectGUID do ImmutableID. Aby se ty dva objekty daly spárovat kdykoliv později. Jenže ImmutableID obsahuje Base64 zakódovanou binární hodnout z atributu objectGUID.

ImmutableId vypadá potom nějak takto: TH+F1opA4kua555eKYcQBQ==

Nastupuje tedy kamarád PowerShell:

$msolUser = Get-MsolUser -User kamil@gopas.cz

$immutableIdLdapSearchString = '\' + [BitConverter]::ToString([Convert]::FromBase64String($msolUser.ImmutableId)).Replace('-', '\')

Get-ADUser -LDAPFilter "(objectGUID=$immutableIdLdapSearchString)"

Musíme ho zkonvertovat z Base64 na byte[] a potom znovu do hexa řetězce a eskejpnout všechny bajty.