Obrigado, @pfaffman, isso foi muito útil. Acredito que usar um ID externo seria ideal, pois também resolve outro problema — vincular na direção inversa.
Porém, ao examinar a documentação da API e um cliente REST, não vejo como atualizar esse campo. Posso usá-lo sem ativar o SSO? (E, mesmo que eu ativasse o SSO, seria possível atualizá-lo programaticamente?)