Wenn Azure AD der SAML-Identity-Provider ist, fehlt das Gruppenattribut aus der SAML-Assertion des Benutzers

Beschreibung

Wenn ein auf Azure Active Directory (AD) basierender SAML (Security Assertion Markup Language)-Benutzer sich bei ArcGIS Online oder ArcGIS Enterprise anmeldet und Mitglied von mehr als 150 Gruppen ist, fehlt der Gruppenanspruch des Benutzers aus der SAML-Assertion.Daher wird dieser Benutzer nicht zu SAML-basierten Unternehmensgruppen in ArcGIS Online und/oder ArcGIS Enterprise hinzugefügt.

Ursache

Azure AD beschränkt die Anzahl der Gruppen, die in einer SAML-Assertionsantwort gesendet werden können, auf 150.Weitere Informationen finden Sie in dem Microsoft-Artikel "Konfigurieren von Gruppenansprüchen für Anwendungen mit Azure Active Directory".

Lösung oder Problemumgehung

Note:
Due to an update to AzureAD in late 2020, this is no longer a viable workflow. The limit of 150 groups is now a hard maximum leading to renewed demands for ArcGIS Enterprise to support the Microsoft Graph API for organizations with expansive group structures. 

ENH-000142837: "Add support for retrieving SAML groups, when Azure AD is the SAML IDP and a user’s group membership exceeds 150." If you are affected by this limitation, please log a case with Esri Support Services and request to be added to this record.

Note: 
For performance and reliability, it is not recommended to send a large number of groups in the SAML assertion. A better alternative to using SAML-based enterprise groups is to use groups managed by ArcGIS Online or ArcGIS Enterprise.

Mit einem Premium-Abonnement von Azure AD ist es möglich, die Anzahl der Gruppen, die in einer SAML-Assertionsantwort gesendet werden, von 150 auf 500 zu vergrößern. Befolgen Sie dazu die nachstehenden Schritte:

1. Melden Sie sich mit einem Administratorkonto bei Azure Active Directory an.
2. Öffnen Sie Unternehmensanwendungen, klicken Sie auf Ihre ArcGIS-Anwendung in der Liste, und wählen Sie die Konfiguration Single Sign-On aus.
3. Klicken Sie auf das Symbol zum Bearbeiten neben Benutzerattribute und Ansprüche, und klicken Sie dann auf den Anspruch, der eine Gruppenmitgliedschaft für einen Benutzer zurückgibt.
4. Aktivieren Sie auf der Seite Gruppenansprüche im Abschnitt Erweiterte Optionen die Option Allow more than 150 groups IDs to be sent in SAML Token (Mehr als 150 Gruppen-IDs in SAML-Token zulassen).