azure - 如果用户所在的组又是另一个组的成员,则会出现错误 AADSTS50105

标签 azure azure-active-directory azure-service-fabric

我们已使用 this documentation 成功为现有 Service Fabric 群集设置了 AAD 身份验证。 。但是,在向应用程序分配组时,我们遇到了一些问题:

  • 与直接分配了管理员角色的用户联系 ✔
  • 与直接分配给管理员角色的群组成员的用户联系 ✔
  • 与直接分配给管理员角色的群组成员的用户建立联系 ❌

Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException: AADSTS50105: The signed in user '{EmailHidden}' is not assigned to a role for the application

Connect-ServiceFabricCluster -ConnectionEndpoint xxx.westeurope.cloudapp.azure.com:19000 -

AzureActiveDirectory -ServerCertThumbprint yyy
WARNING: Failed to contact Naming Service. Attempting to contact Failover Manager Service...
WARNING: Failed to contact Failover Manager Service, Attempting to contact FMM...
False
Connect-ServiceFabricCluster : GetAccessToken failed:
authority=https://login.microsoftonline.com/zzz
cluster=xxx client=yyy
error=Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException: AADSTS50105: The signed in user
'{EmailHidden}' is not assigned to a role for the application
'xxx'(myclustername).
Trace ID: <traceid>
Correlation ID: <correlationId>
Timestamp: 2020-09-01 16:03:00Z
   at Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext.RunAsyncTask[T](Task`1 task)
   at System.Fabric.AzureActiveDirectory.Client.ClientUtility.GetAccessToken(String authority, String audience, String
client, String redirectUri, Boolean refreshSession)
   at GetAccessToken(Char* authority, Char* audience, Char* client, Char* redirectUri, Boolean refreshSession, Char*
outBuffer, Int32 outBufferSize)
        ErrorCode: access_denied
        StatusCode: 0
At line:1 char:1
+ Connect-ServiceFabricCluster -ConnectionEndpoint xxx.westeurop ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Connect-ServiceFabricCluster], FabricException
    + FullyQualifiedErrorId : TestClusterConnectionErrorId,Microsoft.ServiceFabric.Powershell.ConnectCluster

我通过 Service Fabric Explorer 和 Powershell (Connect-ServiceFabricCluster) 进行了尝试。 Service Fabric Explorer 在登录后就卡住了,而 Powershell 则给出了上述错误。

我是否达到了可能的极限,或者是否可以允许这种情况发生?

Screenshot of assigned users and groups

最佳答案

基于组的分配不支持嵌套组。

https://learn.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-saasapps

Group-based assignment is supported only for security groups. Nested group memberships are not supported for group-based assignment to applications at this time.

关于azure - 如果用户所在的组又是另一个组的成员,则会出现错误 AADSTS50105,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63691485/

上一篇:azure - 构建 docker 镜像时无法在 Azure DevOps (Artifacts) 中授权

下一篇:Azure Pipeline如何从jenkins服务器触发构建并将文件从自托管Linux代理复制到托管代理并在托管代理上构建

相关文章:

c# - 在 Service Fabric 上托管 Web API

azure-service-fabric - 什么会导致 ITransaction.CommitAsync 调用花费很长时间(24 小时)?

c# - 使用 Azure Key Vault RSA key 和 C# 加密大数据

azure - 如何在azure devops中从我的当前存储库运行属于另一个存储库的模板(.yml)?

azure - AADSTS70007 : 'query' is not a supported value of 'response_mode' when requesting a token

azure - 权限不足,无法激活 "security defaults"中的 "Azure Active Directory"选项

c# - Azure Active Directory 抛出 "Not implemented"用于 api 管理灾难恢复

asp.net - Azure 网站 - 将存储 (blob) 和 ftp 附加到该存储

node.js - Node 上有 2 个不同的端口,带有 azure

c# - 为参与者 '{actorName}' 获取基于回合的并发锁在 {time} 后超时

©2024 IT工具网  联系我们