azure进程是否存在将用户添加到azure活动目录中的组的错误?我有2组,一组是管理员,另一组是标准用户。如果我将用户放入管理员组,当我在成功登录我的应用程序后查看该用户的声明权限时,我会看到2个组,我希望如果他们是管理员用户。如果我从admin中删除该用户并使其成为标准用户,登录后我仍然可以在他们的claimIdentity对象中看到2个组。然后我从所有组成员身份中删除然后我再次登录后,我可以在claimsidentiy对象中看到1组。声称版权根本不反映用户所属的群体,它是一团糟。安全如何工作如果我甚至无法确定用户所属的组。所以我目前以一个用户身份登录IN NO GROUP MEMBERSHIP而且claimsidenty对象显示1组(标准用户)到底发生了什么?
答案 0 :(得分:0)
正如我在previous case中所说的那样。小组声明将返回当前用户所属的群组和DirectoryRoles 的集合。我相信用户在您的AAD中有一个DirectoryRole(不是用户),例如Global administrator。
要确认,在Azure门户中 - >您的AAD - >用户和群组 - 所有用户 - >选择该用户 - >目录角色 - >选择User。之后,您将只获得当前用户所属的组。从here了解更多详情。
如果您想获得用户具有直接或可传递成员资格的所有组(无DirectoryRoles),我们可以使用Azure AD Graph API调用getMemberGroups函数。
如果您希望群组声明仅返回当前用户所属的群组。您可以发送反馈here。