天青活动目录 - 与用户的怪异组成员问题

Question

将用户添加到天青活动目录中的组的Azure过程是否存在缺陷？我有2个组，一个是admin，另一个是标准用户。如果我将用户放入管理员组，当我在成功登录到应用程序后查看该用户的索赔权限时，我会看到2个组，我期望他们是管理员用户。如果我从管理员中删除该用户并使其成为标准用户，登录后我仍然可以在其claimsIdentity对象中看到2个组。然后，我从所有组成员身份中删除，然后再次登录后，我可以在索赔对象中看到1个组。主张不反映用户是其成员的团体，其混乱。安全性应该如何工作如果我甚至不能准确地确定用户所属的组。所以我目前登录作为一个用户在没有集团成员和主张对象显示1组（标准用户）什么事情发生？

Answer 1

正如我在您的previous case中所说的。该组声明将返回当前用户所属的组和DirectoryRoles的集合。我相信用户在您的AAD中有一个DirectoryRole（非用户），例如Global administrator。

要确认在Azure门户 - >您的AAD - >用户和组 - >所有用户 - >选择该用户 - >目录角色 - >选择User。之后，您只会获得当前用户所属的组。从here查看更多详情。

如果您想要获取用户具有直接或传递成员身份的所有组（无DirectoryRoles），我们可以使用Azure AD Graph API调用getMemberGroups函数。

如果您希望组声明仅返回当前用户所属的组。您可以发送反馈here。