0

我正在为我们的 SAAS 编写 Azure AD 预配支持。我正在使用 SCIM 标准从 Azure AD 获取用户和组数据。

但是,我只获取积极添加到应用程序的组(因为它设置为仅同步添加到企业应用程序的用户)。

例如,我们有三个用户

  • 用户一,IT组和罗马组的一部分
  • 用户二,IT组和柏林组的一部分
  • 用户三,部分组HRStockholm

我现在将以下内容添加到我的企业应用程序中

Group IT, User Two, User Three

现在,我将从 Azure AD(通过 SCIM)发送到我的应用程序的数据是:

  • 创建用户一
  • 创建用户二 //无论如何都会通过添加组 IT 创建
  • 创建用户三
  • 创建组 IT
  • 将用户一、二添加到 IT 组

这是一张非常不完整的图片,因为我想要缺少的组(HR、罗马、柏林、斯德哥尔摩),以便我可以在我们的 SAAS 中标记用户,以便他们可以使用这些组/标签来创建规则。

有没有办法获取应用程序上的用户拥有的组,即使组本身没有添加到应用程序中?

一个很好的例子是,我想知道用户的城市,因为它是创建规则的一个很好的区别。但我不想将城市组添加到我们的应用程序中,因为我不希望城市的所有用户都可以访问。但是,我确实想知道有权访问的用户所在的城市!

4

1 回答 1

1

不可能。Azure AD 中的组使用其 objectId 值标识,SCIM 中的组使用其 id 值标识。这些组需要由 AAD 预配服务管理,以便在服务中建立链接(基于 AAD 预配配置)可以确认 Azure AD 中 AAD objectId 为 XYZ 的组与 ID 为的 SCIM 组匹配123.

这是 Azure AD 预配服务的要求,而不是 SCIM 规范的具体限制。

我能提供的最佳建议是将用户与哪些城市相关联的数据存储在字符串属性中,而不是通过组成员身份处理。

于 2021-03-01T20:54:39.770 回答