私はクレームベースのアイデンティティを管理するためにAzure ADでFederatedAuthenticationを使用する長期実行アプリケーションを持っています。私のアプリケーションマニフェストは、ユーザーのすべてのSecurityGroupsを一覧表示するように設定されています(メンバーになっているグループの一覧を表示できます)。Azure ADのファントムグループメンバーシップ
そのアプリケーション内には、単一のトップレベルグループのメンバーであるユーザーがいます。そのグループは他のメンバーには属していません。以前は、ユーザーがログインしたときに、自分のClaimsPrincipalに添付されている値が1つしかなく、メンバーである単一のグループを正しく表示していました。
私のユーザーがログインした最近(過去数日間)、http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
の値が2つあります。これらのうちの1つは、まだメンバーのグループに対応していますが、アクティブなディレクトリ(または表示可能なその他のオブジェクト:アプリケーションIDなし、その他のユーザーIDは表示されないグループのIDと一致しません)。
このファントムグループのメンバーシップはどこから来たのですか。どこから削除できますか?
更新 - アプリケーションマニフェストにgroupMembershipClaims
はSecurityGroup
(All
ない)に設定されています。
https://graph.windows.net/myorganization/users/{user_id}/$links/memberOf?api-version
結果:現在のユーザがメンバであることを私のテストで
ユーザーはAADの別のテナントに追加されていますか?または、最近VSTSなどのユーザー名で別の製品を使用し始めましたか? –
@RickvandenBosch最近新しいアプリにログインしています。私が知っている他のテナントには割り当てられていません(確認できます)。他のテナントのメンバーシップはグループで表示されますか? – JcFx
すべての詳細を取得しようとしているかわかりません) –