Wenn Azure AD der SAML-Identity-Provider ist, fehlt das Gruppenattribut aus der SAML-Assertion des Benutzers

Beschreibung

Wenn ein auf Azure Active Directory (AD) basierender SAML (Security Assertion Markup Language)-Benutzer sich bei ArcGIS Online oder ArcGIS Enterprise anmeldet und Mitglied von mehr als 150 Gruppen ist, fehlt der Gruppenanspruch des Benutzers aus der SAML-Assertion.Daher wird dieser Benutzer nicht zu SAML-basierten Unternehmensgruppen in ArcGIS Online und/oder ArcGIS Enterprise hinzugefügt.

Ursache

Azure AD beschränkt die Anzahl der Gruppen, die in einer SAML-Assertionsantwort gesendet werden können, auf 150.Weitere Informationen finden Sie in dem Microsoft-Artikel "Konfigurieren von Gruppenansprüchen für Anwendungen mit Azure Active Directory".

Lösung oder Problemumgehung

Hinweis: Aufgrund einer Aktualisierung von AzureAD zum Ende des Jahres 2020 ist diese kein geeigneter Workflow mehr. Die Beschränkung auf 150 Gruppen ist nun eine harte Obergrenze. Dies führt zu verstärkten Forderungen an ArcGIS Enterprise, die Microsoft Graph API für Organisationen mit ausgedehnten Gruppenstrukturen zu unterstützen.  ENH-000142837: "Add support for retrieving SAML groups, when Azure AD is the SAML IDP and a user’s group membership exceeds 150." Wenn Sie von dieser Einschränkung betroffen sind, stellen Sie bitte einen Case bei Esri Support Services ein, und beantragen Sie, zu diesem Datensatz hinzugefügt zu werden.

Hinweis:  Aufgrund von Performance- und Zuverlässigkeitsaspekten wird nicht empfohlen, eine große Anzahl von Gruppen in der SAML-Assertion zu senden.Eine bessere Alternative zur Verwendung von SAML-basierten Unternehmensgruppen ist die Verwendung von Gruppen, die von ArcGIS Online oder ArcGIS Enterprise verwaltet werden.

Mit einem Premium-Abonnement von Azure AD ist es möglich, die Anzahl der Gruppen, die in einer SAML-Assertionsantwort gesendet werden, von 150 auf 500 zu vergrößern. Befolgen Sie dazu die nachstehenden Schritte:

1. Melden Sie sich mit einem Administratorkonto bei Azure Active Directory an.
2. Öffnen Sie Unternehmensanwendungen, klicken Sie auf Ihre ArcGIS-Anwendung in der Liste, und wählen Sie die Konfiguration Single Sign-On aus.
3. Klicken Sie auf das Symbol zum Bearbeiten neben Benutzerattribute und Ansprüche, und klicken Sie dann auf den Anspruch, der eine Gruppenmitgliedschaft für einen Benutzer zurückgibt.
4. Aktivieren Sie auf der Seite Gruppenansprüche im Abschnitt Erweiterte Optionen die Option Allow more than 150 groups IDs to be sent in SAML Token (Mehr als 150 Gruppen-IDs in SAML-Token zulassen).