问题：当 Azure AD 是 SAML 身份提供者时，用户的 SAML 声明中缺少组属性。

描述

当基于 Azure Active Directory (AD) 的安全声明标记语言 (SAML) 用户登录到 ArcGIS Online 或 ArcGIS Enterprise 并且为多于 150 个组的成员时，SAML 声明中将缺少该用户的组声明。 因此，该用户不会添加到 ArcGIS Online 和/或 ArcGIS Enterprise 中的任何基于 SAML 的企业组。

原因

Azure AD 将 SAML 声明响应中可以发送的组数限制为 150。 有关详细信息，请参阅 Microsoft 文章“使用 Azure Active Directory 为应用程序配置组声明”。

解决方案或解决方法

Note:
Due to an update to AzureAD in late 2020, this is no longer a viable workflow. The limit of 150 groups is now a hard maximum leading to renewed demands for ArcGIS Enterprise to support the Microsoft Graph API for organizations with expansive group structures. 

ENH-000142837: "Add support for retrieving SAML groups, when Azure AD is the SAML IDP and a user’s group membership exceeds 150." If you are affected by this limitation, please log a case with Esri Support Services and request to be added to this record.

Note: 
For performance and reliability, it is not recommended to send a large number of groups in the SAML assertion. A better alternative to using SAML-based enterprise groups is to use groups managed by ArcGIS Online or ArcGIS Enterprise.

使用 Azure AD 高级订阅，可以按照以下步骤将 SAML 声明响应中发送的组数从 150 增加到 500：

1. 使用管理员账户登录到 Azure Active Directory。
2. 打开企业级应用程序，单击列表中的 ArcGIS 应用程序，然后选择单点登录配置。
3. 单击用户属性和声明旁边的编辑图标，然后单击返回用户组成员身份的声明。
4. 在组声明页面上的高级选项部分中，启用允许在 SAML 中发送超过 150 个组 ID 选项。