Active Directoryはすべてのユーザーのグループを返しません

Question

私はAAD経由でユーザーを認証するためにexpressとpassport-azure-adライブラリを使用してnode.jsアプリケーションを構築しました。ログインしているユーザーの認証コールバックにグループを戻したいので、アプリの一部にアクセス権を与える前に、正しいセキュリティグループに属していることを確認できます。

私は

「groupMembershipClaims」含めるために私のActive Directoryアプリケーション（クラリティ）のための私のマニフェストを編集した：これは私は除いてログイン持っていたすべてのユーザーのために非常にうまく機能している「すべて」に

を1つ。通常、私は、このフォームのプロファイルオブジェクトで応答を得る：

accessToken: "scrubbedAccessToken" 
aio: "scrubbedAio" 
amr: "["pwd"]" 
family_name: "My Last Name" 
given_name: "My First Name" 
groups: Array[1] 
    0: "[...hugeListofGuids...]" 
    length: 1 
in_corp: "true" 
ipaddr: "my ip" 
name: "My Name" 
oid: "scrubbedOid" 
onprem_sid: "scrubbedSid" 
sub: "scrubbedSub" 
tid: "scrubbedTid" 
unique_name: "myemail@microsoft.com" 
upn: "myemail@microsoft.com" 
ver: "1.0" 

しかし、私のユーザーの一人私のアプリではなく、これを取得するためのいくつかの理由のために：へと

_claim_names: "{"groups":"src1"}" 
_claim_sources: "{"src1":{"endpoint":"https://graph.windows.net/scrubbedTid/users/scrubbedOid/getMemberObjects"}}" 
accessToken: "scrubbedAccessToken" 
aio: "scrubbedAio" 
amr: "["pwd"]" 
family_name: "scrubbedLastName" 
given_name: "scrubbedFirstName" 
in_corp: "true" 
ipaddr: "scrubbedIp" 
name: "scrubbedFulleName" 
oid: "scrubbedOid" 
onprem_sid: "scrubbedSid" 
sub: "scrubbedSub" 
tid: "scrubbedTid" 
unique_name: "scrubbedEmail" 
upn: "scrubbedEmail" 
ver: "1.0" 

は、誰もが私にいくつかの洞察力を与えることができますなぜ私はさまざまなユーザーのための異なる形式を得るだろうか？これらのユーザーは同じテナントに属しており、そのメールは同じドメインにあります。

Answer 1

アクセストークンで返されるグループメンバーシップクレームの数は、トークンの種類に基づいて制限されます。

このブログの記事を見てみましょう：Azure Active Directory, now with Group Claims and Application Roles!

トークンのサイズは、HTTPヘッダーのサイズ制限を超えていない、 AzureのADは、グループ 請求にそれが含まれていることをobjectIdsとの数を制限していることを確認するには。ユーザーが超過制限よりも多くのグループのメンバー（SAMLトークンの場合は150 、JWTトークンの場合は200）のメンバーである場合、Azure ADはトークン内の グループクレームを発行しません。代わりに、 にグラフAPIを照会してユーザーのグループメンバーシップを取得するようにアプリケーションに指示するトークンがオーバーレイクレームを含みます。

このユーザーがあまりにも多くのグループのメンバーであることを意味する動作に気付きました。その詳細を取得するには、AAD Graph APIを呼び出す必要があります。