Cuando Azure AD es el proveedor de identificación SAML, el atributo de grupo falta en la aserción SAML del usuario.

Descripción

Cuando un usuario de Azure Active Directory (AD) basado en Security Assertion Markup Language (SAML) inicia sesión en ArcGIS Online o ArcGIS Enterprise y es miembro de más de 150 grupos, la notificación de grupo del usuario no se encuentra en la aserción SAML.En consecuencia, ese usuario no se agrega a ningún grupo corporativo basado en SAML en ArcGIS Online o ArcGIS Enterprise.

Causa

Azure AD limita el número de grupos que se pueden enviar en una respuesta de aserción SAML a 150.Para obtener más información, consulte el artículo de Microsoft «Configurar notificaciones de grupo para aplicaciones con Azure Active Directory».

Solución o solución alternativa

Nota: Debido a una actualización de AzureAD a finales de 2020, este flujo de trabajo ya no es viable. El límite de 150 grupos es ahora un máximo estricto, que ha generado nuevas peticiones para que ArcGIS Enterprise sea compatible con la API de gráficos de Microsoft para organizaciones con estructuras de grupos en expansión.  ENH-000142837: «Agregar compatibilidad para recuperar grupos SAML, cuando Azure AD es el IDP de SAML y la pertenencia a un grupo de usuarios supera los 150 usuarios». Si se ve afectado por esta limitación, registre una incidencia con los Servicios de soporte de Esri y solicite que se agregue a este registro.

Nota:  En lo que respecta al rendimiento y la fiabilidad, no se recomienda enviar un gran número de grupos en la aserción SAML.Una mejor alternativa al uso de grupos corporativos basados en SAML es utilizar grupos administrados por ArcGIS Online o ArcGIS Enterprise.

Con una suscripción premium a Azure AD, es posible aumentar el número de grupos enviados en una respuesta de aserción SAML de 150 a 500 siguiendo estos pasos:

1. Inicie sesión en Azure Active Directory con una cuenta de administrador.
2. Abra Aplicaciones corporativas, haga clic en su aplicación de ArcGIS en la lista y seleccione la configuración de Inicio de sesión único.
3. Haga clic en el icono de edición situado junto a Atributos y reclamación de usuario y, a continuación, haga clic en la reclamación que devuelve la pertenencia a grupos de un usuario.
4. En la página Solicitudes de grupo, en la sección Opciones avanzadas, habilite la opción Permitir que se envíen más de 150 Id. de grupos en el token de SAML.