Quando o Azure AD é o provedor de identificação SAML, o atributo de grupo está ausente na asserção SAML do usuário.

Descrição

Quando um usuário do Azure Active Directory (AD) baseado em Security Assertion Markup Language (SAML) efetua login no ArcGIS Online ou ArcGIS Enterprise e é membro de mais de 150 grupos, a declaração de grupo do usuário está ausente da asserção de SAML.Como resultado, esse usuário não é adicionado a nenhum grupo enterprise baseado em SAML no ArcGIS Online e/ou ArcGIS Enterprise.

Causa

O Azure AD limita o número de grupos que podem ser enviados em uma resposta de asserção SAML a 150.Para obter mais informações, consulte o artigo da Microsoft intitulado "Configurar declarações de grupo para aplicativos com o Azure Active Directory".

Solução ou Solução Provisória

Note:
Due to an update to AzureAD in late 2020, this is no longer a viable workflow. The limit of 150 groups is now a hard maximum leading to renewed demands for ArcGIS Enterprise to support the Microsoft Graph API for organizations with expansive group structures. 

ENH-000142837: "Add support for retrieving SAML groups, when Azure AD is the SAML IDP and a user’s group membership exceeds 150." If you are affected by this limitation, please log a case with Esri Support Services and request to be added to this record.

Note: 
For performance and reliability, it is not recommended to send a large number of groups in the SAML assertion. A better alternative to using SAML-based enterprise groups is to use groups managed by ArcGIS Online or ArcGIS Enterprise.

Com uma assinatura premium do Azure AD, é possível aumentar o número de grupos enviados em uma resposta de asserção SAML de 150 para 500 seguindo estas etapas:

1. Efetue o login no Azure Active Directory usando uma conta de administrador.
2. Abra Aplicativos Enterprise, clique em seu aplicativo ArcGIS na lista e selecione a configuração Registro Único.
3. Clique no ícone de edição ao lado de Atributos e Reivindicações do Usuário e, a seguir, clique na declaração que retorna a associação de um usuário ao grupo.
4. Na página Declarações de Grupo, na seção Opções Avançadas, ative a opção Permitir que mais de 150 IDs de grupos sejam enviados em Token SAML.