Después de la autenticación del usuario desde Azure AD, todas las reclamaciones (detalles del grupo) no vienen, sucediendo para algunos usuarios -- azure campo con azure-active-directory campo con authorization camp Relacionados El problema

After user authentication from Azure AD, all claims(group details) are not coming, happening for some users


0
vote

problema

Español

Tengo una aplicación web .NET alojada en el servicio de aplicaciones en Azure. El usuario se está autenticando con la ayuda de Azure Ad. La aplicación está redirigiendo a la página de inicio de sesión y después de la autenticación. Pero, después de regresar a la aplicación (después de la autenticación), todos los detalles de la reclamación (ID / detalles del grupo) del usuario de inicio de sesión no están llegando, lo que provoca el problema de la autorización (con la ayuda de la ID / Detalles del grupo, estamos autorizando al usuario a acceder la página particular)

Aquí, el problema es, para algunos usuarios, todos los detalles del grupo están llegando y están accediendo a la página requerida. Donde, en cuanto a otros usuarios, incluso si el usuario es miembro autorizado (Diga el miembro del grupo de administración), aún no puede ver la página debido a que las reclamaciones / detalles del grupo no vienen. Por qué está sucediendo y cuál es la solución.

Original en ingles

I have .Net web application hosted in App Service in Azure. User is getting authenticated with the help of Azure AD. Application is redirecting to login page and after authentication. But, after coming back to the application(after authentication), all claim details(group id's/details) of login user are not coming, causing the authorization issue(with the help of group id/details, we are authorizing the user to access the particular page)

Here the problem is, for some users all group details are coming and they are accessing the required page. Where as for some other users, even if user is authorized member(say admin group member), still he is not able to see the page because of claims/group details are not coming. Why it is happening and what is the solution.

        

Lista de respuestas

1
 
vote

Hay limitaciones para el tamaño del token, lo que hace que esas afirmaciones se dejen fuera en algunos casos. Si está utilizando una subvención implícita, los límites son bastante estrictos. Pero incluso en la subvención del código de autorización, hay un límite de 200 ID de grupo.

Si se rompe este límite, no se envían IDS. Dado que eso podría ocultar el problema :)

Una solución es consultar las membresías del grupo de usuarios, etc. de la API del gráfico cuando esto ocurre. Puede detectar esto buscando la reclamación "Hasgroups". En este momento no puede decidir qué grupos deben enviarse a los tokens. Si en el futuro obtenemos una opción para enviar solo las IDS de grupos que se asignan a esta aplicación, etc., eso ayudaría a este caso de uso mucho.

Consulte los documentos para más información: https://docs.microsoft.com/en-us/azure/active-directory/develop/Access-tokens#payload-Clanda

 

There are limitations for the token size, which causes those claims to be left out in some cases. If you are using implicit grant, the limits are quite strict. But even in authorization code grant, there is a limit of 200 group ids.

If this limit is breached, no ids are sent. Since that might hide the issue :)

A solution is to query the user group memberships etc. from Graph API when this occurs. You can detect this by looking for the "hasgroups" claim. At the moment you cannot decide which groups should be sent in tokens. If in the future we get an option to only send ids of groups which are assigned to this app etc., that would help this use case a lot.

See the docs for more info: https://docs.microsoft.com/en-us/azure/active-directory/develop/access-tokens#payload-claims

 
 
       
       

Relacionados problema

14  Ruby On Rails User Management Motor / Framework? (con páginas web)  ( Ruby on rails user management engine framework with web pages ) 
Hay bastantes POST / RECOMENDACIONES RE RAILS DE AUTORIZACIÓN DE RAILS. Sin embargo, lo que estoy preguntando aquí es si hay un rubí popular / buen rubí en el...

15  Algunas preguntas sobre OAuth y Android  ( Some questions about oauth and android ) 
Comencé a leer en OAuth esta mañana; Necesita sugerencias (enlaces et al.) que ayudarán a responder las siguientes preguntas: 1. ¿Cómo implementar la autenti...

2  Emisión de Autorización IIS extraña para el administrador  ( Strange iis authorization issue for administrator ) 
Estoy usando VSTS 2008 + C # + .NET 3.5 + IIS 6.0 + Windows Server 2003 Enterprise X64 SP2 + ASP.NET. Estoy usando cualquier modo de autenticación de autentic...

2  ¿Cómo puedo pre-autorizar a AuthOpen?  ( How can i pre authorize authopen ) 
Estoy usando authopen dentro de uno de mis programas para modificar los archivos propiedad de root. Como se puede ver en la captura de pantalla a continuaci...

0  Autenticando en juego sin usar rutas  ( Authenticating in play without using routes ) 
He seguido este tutorial para la autenticación y funciona: http://www.playframework.com/documentation/2.2.x/javaguide4 < / a> Pero me preguntaba si había...

0  ¿Qué excepción debo heredar o lanzar y cómo afecta esto al código de error HTTP?  ( What exception should i inherit from or throw and how does this affect the http ) 
¿Qué se debe lanzar una excepción .NET cuando un usuario no tiene acceso (no autorizado) a un registro en particular en una base de datos? Hay dos casos lóg...

6  ¿Cuáles son algunas buenas soluciones de autorización de rol utilizadas con Authlogic?  ( What are some good role authorization solutions used with authlogic ) 
Estoy buscando una buena solución de autorización basada en roles para usar junto con Authlogic. ¿Alguien tiene una buena sugerencia? Enumere algunas ventajas...

0  Anular URI_PROTOCOLO en un controlador específico en CodeIgniter  ( Override uri protocol on specific controller in codeigniter ) 
Necesito anular el uri_protocol que está en el archivo de configuración para algunos controladores en CodeIgniter. Necesito cambiarlo a "path_info", ya que es...

7  Patrones de Autorización de Servicios WCF  ( Wcf service authorization patterns ) 
Estoy implementando un servicio seguro de WCF. La autenticación se realiza mediante el nombre de usuario / contraseña o las credenciales de Windows. El servic...

84  ¿Cómo configuro el control de acceso en SVN?  ( How do i set up access control in svn ) 
He establecido un repositorio con SVN y proyectos cargados. Hay múltiples usuarios que trabajan en estos proyectos. Pero, no todos exigen acceso a todos los p...




© 2022 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos