Свяжите профиль пользователя, хранящийся в БД, с учетной записью Azure Active Directory

Question

Мы используем Azure Active Directory (OpenId и OAuth2) для авторизации и аутентификации.Мы также хотели бы сохранить профили пользователей в одном из наших микросервисов, назовем этот сервис «Пользовательские настройки».Служба будет хранить множество конкретных полей, необходимых только для одного из наших продуктов, и поэтому мы не хотим хранить их в Active Directory (настраиваемые поля).

Имея все это, мы ищем лучшее поле Azure AD, которое можно использовать для подключения профиля пользователя к учетной записи Active Directory.

Естьнесколько кандидатов:

• UPN - в некоторых случаях JWT не содержит его
• ObjectId - всегда доступен, но не удобен для чтения и уникален в многопользовательской структуре
• Уникальное имя - должно использоваться только для отображения его в пользовательском интерфейсе (рекомендуется Azure)

Не могли бы вы порекомендовать лучшее поле для нашего случая?

Answer 1

Компиляция моих комментариев в качестве ответа:

Идентификатор объекта или идентификатор имени (подпретензия) являются единственными неизменяемыми полями, которые вы можете выбрать.Использование имени участника-пользователя опасно, так как его можно изменить.

Идентификатор объекта уникален для всех каталогов, однако, если вы поддерживаете несколько арендаторов, вам также следует сохранить идентификатор арендатора (tid).

UPN можетизменить, когда администратор изменит его.

А также, если пользователь приглашен в качестве гостя для других арендаторов AAD, у него будет идентификатор объекта на каталог, он не будет таким же.