【发布时间】:2017-07-20 13:04:58
【问题描述】:
我有一个长期运行的应用程序,它使用 FederatedAuthentication 和 Azure AD 来管理基于声明的身份。我的应用程序清单设置为列出用户的所有 SecurityGroups(这样我就可以浏览他们所属的组列表)。
在该应用程序中,我有一个用户是单个顶级组的成员。该组不是任何其他组的成员。以前,当用户登录时,只有一个 http://schemas.microsoft.com/ws/2008/06/identity/claims/groups 值附加到他们的 ClaimsPrincipal,正确显示他们所属的单个组。
最近(过去几天)当我的用户登录时,有两个 http://schemas.microsoft.com/ws/2008/06/identity/claims/groups 值。其中一个仍然对应于他们所属的组,但新的与我的活动目录中任何可见组的 id 不匹配(或我可以看到的任何其他对象:没有应用程序 ID,也没有其他用户 ID )。
这个幻影组成员资格是从哪里来的,我有什么办法可以删除它?
更新 - 应用程序清单中的groupMembershipClaims 设置为SecurityGroup(不是All)。
【问题讨论】:
-
用户是否已添加到 AAD 中的另一个租户?或者他们最近是否开始使用带有自己用户名的其他产品,例如 VSTS?
-
@RickvandenBosch 最近登录了一个新应用。未分配给我知道的另一个租户(我可以检查)。其他租户的成员资格会以组的形式出现吗?
-
不确定,只是想了解所有细节;)
-
如果您的应用清单中有
groupMemberShipClaims: "All",它也可能是 Office 365 组/邮件列表。 -
谢谢@juunas,这很有用。他并没有故意被添加到这样的列表中(当然也没有在这个目录中,它根本没有连接到 Office365 - 它是纯 Azure),但他可能已经将 SSO 用于另一个应用程序。
标签: azure azure-active-directory claims-based-identity