Azure Active Directory - назначение группы корпоративных приложений не работает

Question

Я новичок в Azure, извините, если это очевидная проблема.

Я настроил корпоративное приложение в Azure, а затем добавил группу с несколькими пользователями в разделе «Пользователи и группы». Однако, когда я пытаюсь войти с пользователем, который входит в эту группу, я получаю эту ошибку:

AADSTS50105: вошедшему в систему пользователю не назначена роль для приложения 'app guid'.

После того, как я приглашаю их по отдельности (или добавляю их непосредственно как «Тип объекта» пользователя), они могут войти в систему, и все работает. Таким образом, похоже, что назначение группы не работает для меня.

Когда я смотрю на раздел «Пользователи и группы» приложения, я вижу, что у группы есть «Назначенная роль» «Доступ по умолчанию» (такой же, как у пользователя, который может фактически войти в систему).

Что я здесь не так делаю?

Любой совет мог бы оказать огромную помощь.

Дополнительная информация. Тип членства в группе определяется как «Динамический пользователь», и самообслуживание для этого приложения включено.

Answer 1

Если самообслуживание включено для корпоративного приложения, то группы с динамическим членством не работают. Мне нужно было создать группу со статическим членством и добавить к ней всех наших сотрудников. Затем добавьте эту группу в приложение Enterprise. Это работает с этим, но я должен поддержать эту группу, поскольку новые люди присоединяются к компании.

Это нигде не упоминается в документации (только документированное ограничение на добавление групп в приложения состоит в том, что вы не можете вкладывать группы в группы). Поэтому я думаю, что это, вероятно, дефект Azure AD, а не предполагаемое поведение.