我们在两年多前创建了一个支持 SCIM 的应用程序,它一直运行良好。然而,最近我们收到客户的报告称,用户不再从目标企业应用程序中删除/禁用。
几年前我已经看到另一个类似的问题,但似乎已经解决,这似乎是另一个问题。
我们自己做了一些研究,发现当我们从分配的用户列表中删除用户时,azure 根本不发送任何请求。我们检查了来自应用程序和 IIS 日志记录的传入日志,两者均未显示向我们发送了任何请求。 (我们确实从其他配置相关任务的 POST/GET/PUT 中获取日志,例如创建用户)。
在 azure 审核日志中,我们确实看到以下内容:
- 删除用户的应用角色分配
- 作为链接删除的一部分,向用户添加删除标记的应用角色分配授权 在我看来,azure 正在做一些事情,它只是没有将其发送到目标应用程序
目前情况: 我们有在 azure ad 中创建的用户 A 并分配给我们的应用程序。供应配置是通过azure中的SCIM完成的。而且用户也是在我们的应用程序中创建的,因此连接看起来很好。
当我从企业应用程序的分配用户列表中删除用户时,我预计这会被视为软删除,导致 Azure 发送 PATCH 或 PUT 将用户的 active 属性设置为 false。如果我想从 AD 中完全删除它们,我希望它们可以通过 DELETE 删除。我读到最多需要 30 天,这没有问题,但问题是不再分配的用户在目标应用程序中仍然处于事件状态,这不好。
我有一些映射到用户的基本属性,可能与此问题相关的一件事是映射到我们的事件属性的 Not([IsSoftDeleted]) 映射。我不明白这有什么错,但这就是我目前能想到的。
有人知道这里发生了什么吗? 谢谢!
最佳答案
我已就此问题与 Microsoft 联系,这似乎是他们的一个错误,他们目前正在纠正。这是针对类似问题的一系列错误修复的一部分,因此他们无法给我解决此特定问题的具体时间,但他们认为是在 7 月 10 日(2020 年)左右。
无论如何,由于这是 MS 推送的更改造成的错误,因此不再是需要解决的问题。
更新:
我收到了一些回复,表示修复了与此问题相关的一些错误,但并非全部。我目前正在度假,所以我不确定主要问题是否也得到解决。不过他们确实 promise 快速修复。
目前我能给你的只是一个解决方法。当发生的唯一更改是取消分配用户时,就会出现此问题,除非分配的用户的至少 1 个属性也发生更改,否则不会执行此操作。当任何内容发生更改时,它将修复所有取消分配并禁用所有取消分配,即使取消分配处于不同的同步周期中也是如此。因此,在插入实际修复之前,了解这一点可能会有所帮助。
如果我获得更多信息,我会更新此线程。
Ps:Azure 团队要求,如果其他人也遇到此问题,请通过 Azure 报告。他们的开发团队将查看您的问题是否与我的问题相符或者是否是新问题。所以请也这样做。
关于从分配的用户中删除后,Azure AD 用户不再被停用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62534637/