После аутентификации пользователя из Azure AD все претензии (сведения о группе) не поступают, у некоторых пользователей

Question

У меня есть Net веб-приложение, размещенное в службе приложений в Azure. Пользователь проходит аутентификацию с помощью Azure AD. Приложение перенаправляет на страницу входа и после аутентификации. Но, после возвращения в приложение (после аутентификации), все детали претензий (идентификаторы группы / детали) пользователя входа в систему не поступают, что вызывает проблему авторизации (с помощью идентификатора группы / детали, мы разрешаем пользователю доступ конкретная страница)

Здесь проблема в том, что для некоторых пользователей поступают все сведения о группе, и они получают доступ к необходимой странице. Что касается некоторых других пользователей, даже если пользователь является авторизованным участником (скажем, членом группы администраторов), он все равно не может видеть страницу из-за того, что претензии / сведения о группе не поступают. Почему это происходит и каково решение.

Answer 1

Существуют ограничения для размера токена, поэтому в некоторых случаях эти утверждения не учитываются. Если вы используете неявное предоставление, ограничения довольно строгие. Но даже при предоставлении кода авторизации существует ограничение в 200 идентификаторов групп.

Если этот предел нарушен, идентификаторы не отправляются. Поскольку это может скрыть проблему:)

Решение состоит в том, чтобы запросить членство в группах пользователей и т. Д. c. из Graph API, когда это происходит. Вы можете обнаружить это, посмотрев на заявку "hasgroups". На данный момент вы не можете решить, какие группы следует отправлять в токенах. Если в будущем мы получим возможность отправлять только идентификаторы групп, которые назначены для этого приложения и т. Д. c., Это очень поможет в этом случае.

См. Документацию для получения дополнительной информации: https://docs.microsoft.com/en-us/azure/active-directory/develop/access-tokens#payload -claims