TL DR:有什么问题吗? 在表达式生成器中测试“AppRoleAssignmentsComplex([appRoleAssignments])”时,我没有看到用户的任何输出。如何在特定应用程序的上下文中查看此输出,并测试其周围的条件逻辑将如何影响用户配置范围或配置字段?
背景 GitHub Enterprise Managed Users 依赖 Azure AD SCIM 配置作为其用户信息/管理配置的唯一来源。开箱即用的用户配置程序如下所示:
r/AZURE - 用户的默认配置程序映射 用户的默认 Provisioner 映射 我还有两种类型的组想要传递给配置者:
许可证级别组:使用用户、企业所有者、管理员等角色的安全组,这些角色消耗用户的许可证 权限集组:具有“isSecurityEnabled=True”的 M365 组,仅当用户已获得许可时才用于设置与 M365 团队匹配的 GitHub 团队成员身份(有关 GitHub IdP 团队的详细信息 https://docs.github.com/en/enterprise-cloud@latest/admin/identity-and-access-management/using-enterprise-managed-users-for-iam/managing-team-memberships-with-identity-provider-groups )。 我基本上是通过将许可证级别组设置为适当的角色,并将 M365 组设置为“受限用户”角色来实现这一目标的。然而,对于每次出现未经许可的用户,这会导致通过 SCIM 进行过多的 API 调用,并产生大量错误。
如何解决这个问题? 我认为解决此问题的最佳方法是使用范围规则,该规则会忽略未分配“用户”、“企业所有者”、“计费联系人”等实际角色之一的用户。解决此问题的另一种方法是,如果用户没有分配这些角色,则使用类似的逻辑将“active”属性设置为 false。
有什么问题吗? 我找不到在表达式生成器中查询用户的 appRoles 的方法。每次我尝试在表达式生成器中使用“AppRoleAssignmentsComplex([appRoleAssignments]) 时,我都会得到 null 输出。这是否可以获取 SCIM 配置中的应用程序角色分配列表?预期的输出是什么?我很谨慎地编辑此内容在我们的生产连接中,关于如何最好地测试该字段的结果输出和逻辑过滤有什么建议吗?
AppRoleAssignment 的输出
我找不到在表达式生成器中查询用户的 appRoles 的方法。每次我尝试在表达式生成器中使用“AppRoleAssignmentsComplex([appRoleAssignments]) 时,我都会得到 null 输出。这是否可以获取 SCIM 配置中的应用程序角色分配列表?预期的输出是什么?我很谨慎地编辑此内容在我们的生产连接中,关于如何最好地测试该字段的结果输出和逻辑过滤有什么建议吗?
最佳答案
我们使用 extension attributes 范围过滤器解决了这个问题在 Azure AD 中。您基本上可以根据用户的成员身份设置属性值,然后让范围过滤器完成其余的工作。我们在 Bitwarden 工作,如果我们从 AzDO 迁移到 GHE,这可能就是这样。我很遗憾它不支持开箱即用。
最近在博客中通过 Azure Functions 实现了完全自动化 - https://hajekj.net/2023/09/18/entra-id-user-and-group-provisioning-with-bitwarden/
关于azure - 如何根据应用程序角色确定 AAD 企业应用程序配置范围,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/75729174/