Gracias @pfaffman, eso es muy útil. Creo que usar un ID externo sería ideal, ya que también resuelve otro problema: enlazar en la dirección inversa.
Sin embargo, al explorar la documentación de la API y un cliente REST, no veo cómo actualizar ese campo. ¿Puedo usarlo sin habilitar SSO? (Y, incluso si habilitara SSO, ¿podría actualizarlo programáticamente?)