Y at-il un bogue avec le processus azure pour ajouter des utilisateurs aux groupes dans le répertoire actif azur? J'ai 2 groupes, l'un est admin, l'autre utilisateur standard. Si je mets un utilisateur dans le groupe admin, quand je regarde l'identité de réclamations pour cet utilisateur après qu'ils se sont connectés avec succès dans mon application, je vois 2 groupes, que je m'attendrais s'ils sont un utilisateur admin. Si je supprime cet utilisateur de l'admin et en fais un utilisateur standard, après la connexion, je peux toujours voir 2 groupes dans leur objet claimsIdentity. Je supprime alors de tous les membres du groupe et je peux après la connexion à nouveau, je peux voir 1 groupe dans l'objet claimsidentiy. L'identité des réclamations ne reflète pas simplement les groupes dont l'utilisateur est membre, c'est un désordre. Comment la sécurité est-elle censée fonctionner Si je ne peux même pas déterminer avec précision le groupe auquel appartient l'utilisateur. Donc je suis actuellement en train de me connecter en tant qu'utilisateur IN NO GROUP MEMBERSHIP et l'objet claimsidenty montre 1 groupe (utilisateur standard) que diable se passe-t-il?azure répertoire actif - problème d'appartenance au groupe bizarre avec les utilisateurs
Répondre
Comme je l'ai dit dans votre previous case. Les réclamations de groupe renverront une collection des groupes et DirectoryRoles dont l'utilisateur actuel est membre. Je crois que l'utilisateur a un DirectoryRole (pas un utilisateur) tel que Global administrator dans votre DAA. Pour confirmer cela, dans le portail Azure -> votre AAD -> Utilisateurs et groupes - Tous les utilisateurs -> sélectionnez cet utilisateur -> Rôle d'annuaire -> choisissez User. Après cela, vous obtiendrez uniquement les groupes dont l'utilisateur actuel est membre. Voir plus de détails de here.
Si vous voulez obtenir tous les groupes (sans DirectoryRoles) que l'utilisateur a une appartenance directe ou transitive, nous pourrions appeler la fonction getMemberGroups en utilisant Azure AD Graph API.
Si vous souhaitez que les revendications de groupe renvoient uniquement les groupes dont l'utilisateur actuel est membre. Vous pouvez envoyer un commentaire here.