问题：当 Azure AD 是 SAML 身份提供者时，用户的 SAML 声明中缺少组属性。

描述

当基于 Azure Active Directory (AD) 的安全声明标记语言 (SAML) 用户登录到 ArcGIS Online 或 ArcGIS Enterprise 并且为多于 150 个组的成员时，SAML 声明中将缺少该用户的组声明。 因此，该用户不会添加到 ArcGIS Online 和/或 ArcGIS Enterprise 中的任何基于 SAML 的企业组。

原因

Azure AD 将 SAML 声明响应中可以发送的组数限制为 150。 有关详细信息，请参阅 Microsoft 文章“使用 Azure Active Directory 为应用程序配置组声明”。

解决方案或解决方法

注： 2020 年末 AzureAD 更新后，不再支持此工作流。 150 的组数限制现在为强制最大值，因此将更新 ArcGIS Enterprise 需求以支持具有大型群组结构的组织的 Microsoft Graph API。 ENH-000142837：“当 Azure AD 为 SAML IDP 并且用户的组成员身份超过 150 时，添加对检索 SAML 组的支持。” 如果您受到此限制的影响，请通过 Esri 支持服务记录案例并请求添加到此记录中。

注： 为确保性能和可靠性，不建议在 SAML 声明中发送大量组。 使用基于 SAML 的企业组的更好替代方法是使用由 ArcGIS Online 或 ArcGIS Enterprise 管理的组。

使用 Azure AD 高级订阅，可以按照以下步骤将 SAML 声明响应中发送的组数从 150 增加到 500：

1. 使用管理员帐户登录到 Azure Active Directory。
2. 打开企业级应用程序，单击列表中的 ArcGIS 应用程序，然后选择单点登录配置。
3. 单击用户属性和声明旁边的编辑图标，然后单击返回用户组成员身份的声明。
4. 在群组声明页面上的高级选项部分中，启用允许在 SAML 中发送超过 150 个组 ID 选项。