Ich habe eine lange laufende Anwendung, die FederatedAuthentication mit Azure AD verwendet, um Ansprüche-basierte Identitäten zu verwalten. Mein Anwendungsmanifest ist so eingestellt, dass alle Sicherheitsgruppen für einen Benutzer aufgelistet werden (damit ich die Liste der Gruppen durchgehen kann, zu denen sie gehören).Phantom Group-Mitgliedschaft in Azure AD
Innerhalb dieser Anwendung habe ich einen Benutzer, der Mitglied einer einzelnen Top-Level-Gruppe ist. Diese Gruppe ist kein Mitglied eines anderen. Wenn sich der Benutzer zuvor anmeldete, wurde nur ein einzelner http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
-Wert an seinen ClaimsPrincipal angehängt, sodass die einzelne Gruppe, der er angehört, ordnungsgemäß angezeigt wurde.
Seit kurzem (in den letzten Tagen), wenn sich mein Benutzer anmeldet, gibt es zwei http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
Werte. Eine davon entspricht immer noch der Gruppe, der sie angehören, aber die neue stimmt nicht mit der ID einer sichtbaren Gruppe in meinem aktiven Verzeichnis überein (oder einem anderen Objekt, das ich sehen kann: keine Anwendungs-ID und keine andere Benutzer-ID).
Wo könnte diese Phantomgruppen-Mitgliedschaft herkommen, und kann ich sie irgendwie entfernen?
aktualisieren-groupMembershipClaims
in der Anwendung manifestieren wird auf SecurityGroup
(nicht All
).
Wurde der Benutzer zu einem anderen Mandanten in AAD hinzugefügt? Oder haben sie kürzlich begonnen, ein anderes Produkt mit ihrem Benutzernamen zu verwenden, wie VSTS? –
@RickvandenBosch Kürzlich in eine neue App eingeloggt. Nicht zugewiesen zu einem anderen Mieter, den ich kenne (ich kann überprüfen). Würde sich die Mitgliedschaft eines anderen Mieters in Gruppen zeigen? – JcFx
Nicht sicher, versuche nur, alle Details zu erhalten;) –