如果用户是另一个组的成员的组的成员,则错误 AADSTS50105

【问题标题】:Error AADSTS50105 if the user is member of a group that is a member of another group如果用户是另一个组的成员的组的成员,则错误 AADSTS50105
【发布时间】:2020-12-20 19:03:01
【问题描述】:

我们已使用 this documentation 成功为现有 Service Fabric 群集设置 AAD 身份验证。但是,在将组分配给应用程序时,我们遇到了一些问题:

  • 与直接分配了管理员角色的用户联系✔
  • 与作为直接分配给管理员角色的组成员的用户联系✔
  • 与属于组成员的用户联系,该组是直接分配给管理员角色的组成员

Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException:AADSTS50105:登录用户 “{EmailHidden}”未分配给应用程序的角色

Connect-ServiceFabricCluster -ConnectionEndpoint xxx.westeurope.cloudapp.azure.com:19000 -

AzureActiveDirectory -ServerCertThumbprint yyy
WARNING: Failed to contact Naming Service. Attempting to contact Failover Manager Service...
WARNING: Failed to contact Failover Manager Service, Attempting to contact FMM...
False
Connect-ServiceFabricCluster : GetAccessToken failed:
authority=https://login.microsoftonline.com/zzz
cluster=xxx client=yyy
error=Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException: AADSTS50105: The signed in user
'{EmailHidden}' is not assigned to a role for the application
'xxx'(myclustername).
Trace ID: <traceid>
Correlation ID: <correlationId>
Timestamp: 2020-09-01 16:03:00Z
   at Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext.RunAsyncTask[T](Task`1 task)
   at System.Fabric.AzureActiveDirectory.Client.ClientUtility.GetAccessToken(String authority, String audience, String
client, String redirectUri, Boolean refreshSession)
   at GetAccessToken(Char* authority, Char* audience, Char* client, Char* redirectUri, Boolean refreshSession, Char*
outBuffer, Int32 outBufferSize)
        ErrorCode: access_denied
        StatusCode: 0
At line:1 char:1
+ Connect-ServiceFabricCluster -ConnectionEndpoint sf2coreint.westeurop ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Connect-ServiceFabricCluster], FabricException
    + FullyQualifiedErrorId : TestClusterConnectionErrorId,Microsoft.ServiceFabric.Powershell.ConnectCluster

我通过 Service Fabric Explorer 和 Powershell (Connect-ServiceFabricCluster) 都进行了尝试。 Service Fabric Explorer 只是在登录后冻结,而 Powershell 给出了上述错误。

我是否达到了可能的限制,或者是否有可能允许这样做?

【问题讨论】:

  • 导航到你组的Overview,检查它的类型是Microsoft 365还是Security?
  • 类型为“安全”。 “只能分配用户和安全组...”

标签: azure azure-active-directory azure-service-fabric


【解决方案1】:

基于组的分配不支持嵌套组。

https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-saasapps

仅安全组支持基于组的分配。目前,基于组的应用程序分配不支持嵌套组成员资格。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2020-01-28
    • 1970-01-01
    • 1970-01-01
    • 2019-11-02
    • 1970-01-01
    • 2021-09-29
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode