问题
当基于 Azure Active Directory (AD) 的安全声明标记语言 (SAML) 用户登录到 ArcGIS Online 或 ArcGIS Enterprise 并且为多于 150 个组的成员时,SAML 声明中将缺少该用户的组声明。 因此,该用户不会添加到 ArcGIS Online 和/或 ArcGIS Enterprise 中的任何基于 SAML 的企业组。
Azure AD 将 SAML 声明响应中可以发送的组数限制为 150。 有关详细信息,请参阅 Microsoft 文章“使用 Azure Active Directory 为应用程序配置组声明”。
注: 2020 年末 AzureAD 更新后,不再支持此工作流。 150 的组数限制现在为强制最大值,因此将更新 ArcGIS Enterprise 需求以支持具有大型群组结构的组织的 Microsoft Graph API。 ENH-000142837:“当 Azure AD 为 SAML IDP 并且用户的组成员身份超过 150 时,添加对检索 SAML 组的支持。” 如果您受到此限制的影响,请通过 Esri 支持服务记录案例并请求添加到此记录中。
注: 为确保性能和可靠性,不建议在 SAML 声明中发送大量组。 使用基于 SAML 的企业组的更好替代方法是使用由 ArcGIS Online 或 ArcGIS Enterprise 管理的组。
使用 Azure AD 高级订阅,可以按照以下步骤将 SAML 声明响应中发送的组数从 150 增加到 500:
从 ArcGIS 专家处获得帮助
下载 Esri 支持应用程序