Cuando Azure AD es el proveedor de identificación SAML, el atributo de grupo falta en la aserción SAML del usuario.

Descripción

Cuando un usuario de Azure Active Directory (AD) basado en Security Assertion Markup Language (SAML) inicia sesión en ArcGIS Online o ArcGIS Enterprise y es miembro de más de 150 grupos, la notificación de grupo del usuario no se encuentra en la aserción SAML.En consecuencia, ese usuario no se agrega a ningún grupo corporativo basado en SAML en ArcGIS Online o ArcGIS Enterprise.

Causa

Azure AD limita el número de grupos que se pueden enviar en una respuesta de aserción SAML a 150.Para obtener más información, consulte el artículo de Microsoft «Configurar notificaciones de grupo para aplicaciones con Azure Active Directory».

Solución o solución alternativa

Note:
Due to an update to AzureAD in late 2020, this is no longer a viable workflow. The limit of 150 groups is now a hard maximum leading to renewed demands for ArcGIS Enterprise to support the Microsoft Graph API for organizations with expansive group structures. 

ENH-000142837: "Add support for retrieving SAML groups, when Azure AD is the SAML IDP and a user’s group membership exceeds 150." If you are affected by this limitation, please log a case with Esri Support Services and request to be added to this record.

Note: 
For performance and reliability, it is not recommended to send a large number of groups in the SAML assertion. A better alternative to using SAML-based enterprise groups is to use groups managed by ArcGIS Online or ArcGIS Enterprise.

Con una suscripción premium a Azure AD, es posible aumentar el número de grupos enviados en una respuesta de aserción SAML de 150 a 500 siguiendo estos pasos:

1. Inicie sesión en Azure Active Directory con una cuenta de administrador.
2. Abra Aplicaciones corporativas, haga clic en su aplicación de ArcGIS en la lista y seleccione la configuración de Inicio de sesión único.
3. Haga clic en el icono de edición situado junto a Atributos y reclamación de usuario y, a continuación, haga clic en la reclamación que devuelve la pertenencia a grupos de un usuario.
4. En la página Solicitudes de grupo, en la sección Opciones avanzadas, habilite la opción Permitir que se envíen más de 150 Id. de grupos en el token de SAML.