Quando o Azure AD é o provedor de identificação SAML, o atributo de grupo está ausente na asserção SAML do usuário.

Descrição

Quando um usuário do Azure Active Directory (AD) baseado em Security Assertion Markup Language (SAML) efetua login no ArcGIS Online ou ArcGIS Enterprise e é membro de mais de 150 grupos, a declaração de grupo do usuário está ausente da asserção de SAML.Como resultado, esse usuário não é adicionado a nenhum grupo enterprise baseado em SAML no ArcGIS Online e/ou ArcGIS Enterprise.

Causa

O Azure AD limita o número de grupos que podem ser enviados em uma resposta de asserção SAML a 150.Para obter mais informações, consulte o artigo da Microsoft intitulado "Configurar declarações de grupo para aplicativos com o Azure Active Directory".

Solução ou Solução Provisória

Nota: Devido a uma atualização do AzureAD no final de 2020, este não é mais um fluxo de trabalho viável. O limite de 150 grupos agora é um máximo rígido, levando a demandas renovadas para ArcGIS Enterprise para suportar a API do Microsoft Graph para organizações com estruturas de grupo expansivas.  ENH-000142837: "Adicione suporte para recuperar grupos SAML, quando o Azure AD é o IDP SAML e a associação de um grupo de usuário excede 150." Se você for afetado por esta limitação, registre um caso com os Serviços de Suporte da Esri e solicite ser adicionado a este registro.

Nota:  Para desempenho e confiabilidade, não é recomendável enviar um grande número de grupos na asserção SAML.Uma alternativa melhor para usar grupos empresariais baseados em SAML é usar grupos gerenciados pelo ArcGIS Online ou ArcGIS Enterprise.

Com uma assinatura premium do Azure AD, é possível aumentar o número de grupos enviados em uma resposta de asserção SAML de 150 para 500 seguindo estas etapas:

1. Efetue o login no Azure Active Directory usando uma conta de administrador.
2. Abra Aplicativos Enterprise, clique em seu aplicativo ArcGIS na lista e selecione a configuração Registro Único.
3. Clique no ícone de edição ao lado de Atributos e Reivindicações do Usuário e, a seguir, clique na declaração que retorna a associação de um usuário ao grupo.
4. Na página Declarações de Grupo, na seção Opções Avançadas, ative a opção Permitir que mais de 150 IDs de grupos sejam enviados em Token SAML.