天青活動目錄 - 與用戶的怪異組成員問題

Question

將用戶添加到天青活動目錄中的組的Azure過程是否存在缺陷？我有2個組，一個是admin，另一個是標準用戶。如果我將用戶放入管理員組，當我在成功登錄到應用程序後查看該用戶的索賠權限時，我會看到2個組，我期望他們是管理員用戶。如果我從管理員中刪除該用戶並使其成爲標準用戶，登錄後我仍然可以在其claimsIdentity對象中看到2個組。然後，我從所有組成員身份中刪除，然後再次登錄後，我可以在索賠對象中看到1個組。主張不反映用戶是其成員的團體，其混亂。安全性應該如何工作如果我甚至不能準確地確定用戶所屬的組。所以我目前登錄作爲一個用戶在沒有集團成員和主張對象顯示1組（標準用戶）什麼事情發生？

Answer 1

正如我在您的previous case中所說的。該組聲明將返回當前用戶所屬的組和DirectoryRoles的集合。我相信用戶在您的AAD中有一個DirectoryRole（非用戶），例如Global administrator。

要確認在Azure門戶 - >您的AAD - >用戶和組 - >所有用戶 - >選擇該用戶 - >目錄角色 - >選擇User。之後，您只會獲得當前用戶所屬的組。從here查看更多詳情。

如果您想要獲取用戶具有直接或傳遞成員身份的所有組（無DirectoryRoles），我們可以使用Azure AD Graph API調用getMemberGroups函數。

如果您希望組聲明僅返回當前用戶所屬的組。您可以發送反饋here。