Azure AD が SAML ID プロバイダーのとき、グループ属性がユーザーの SAML アサーションに存在しません。

説明

AD (Azure Active Directory) ベースの SAML (Security Assertion Markup Language) ユーザーが ArcGIS Online または ArcGIS Enterprise ログインし、そのユーザーが 150 を超えるグループのメンバーであるとき、ユーザーのグループ要求は SAML アサーションに存在しません。そのため、そのユーザーは ArcGIS Online/ArcGIS Enterprise 内の SAML ベースのエンタープライズ グループに追加されません。

原因

Azure AD では、SAML アサーションの応答で送信できるグループの数が 150 に制限されています。詳細については、「Configure group claims for applications with Azure Active Directory」というタイトルの Microsoft の記事をご参照ください。

解決策または対処法

注意: 2020 年後半の AzureAD の更新により、これは有効なワークフローではなくなりました。 150 グループの制限は厳格な最大数になったため、ArcGIS Enterprise は新たに、グループ構造が広大な組織向けに Microsoft Graph API をサポートするよう求められています。 ENH-000142837: 「Azure AD が SAML IDP であり、ユーザーのグループ メンバーシップが 150 を超える場合、SAML グループ取得のサポートを追加します。」 この制限による影響がある場合、Esri Support Services でケースを記録し、この記録に追加するようリクエストしてください。

注意: パフォーマンスと信頼性上の理由から、SAML アサーションで多数のグループを送信することはお勧めしません。SAML ベースのエンタープライズ グループを使用する代わりに、ArcGIS Online または ArcGIS Enterprise が管理するグループを使用することをお勧めします。

Azure AD プレミアム サブスクリプションでは、次の手順に従って、SAML アサーションの応答で送信されるグループの数を 150 から 500 に増やすことができます。

1. 管理者アカウントを使用して、Azure Active Directory にログインします。
2. [エンタープライズ アプリケーション] を開き、リスト内の ArcGIS アプリケーションをクリックして、[シングル サインオン] 構成を選択します。
3. [ユーザー属性と要求] の横にある編集アイコンをクリックして、ユーザーのグループ メンバーシップを返す要求をクリックします。
4. [グループ要求] ページの [高度なオプション] セクション、[150 を超えるグループ ID の SAML トークンでの送信を許可する] オプションを有効にします。