Zum Inhalt springen
Anmelden

Limitieren der Gruppen-Claims auf selektierte Gruppen

logo

In Azure AD (Microsoft Entra ID) können Gruppenmitgliedschaften im Token einer Enterprise-Anwendung mitgegeben werden, um Berechtigungen innerhalb der Anwendung zu steuern.
Da Azure AD jedoch nur bis zu 150 Gruppen direkt im Token überträgt, ist es sinnvoll, den Umfang der Gruppen-Claims zu begrenzen.

Wenn ein Benutzer Mitglied von mehr als 150 Gruppen ist, kann dies dazu führen, dass Gruppeninformationen nicht mehr im Token enthalten sind – was in der Folge fehlende Berechtigungen in DeepCloud verursachen kann.

In diesem Artikel erfahren Sie, wie Sie:

  • Gruppen zu einer Enterprise-Anwendung hinzufügen, und
  • die Gruppen-Claims so konfigurieren,
    dass nur die relevanten (DeepCloud-bezogenen) Gruppen im Token enthalten sind

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass folgende Punkte erfüllt sind:

Gruppen-Claims auf DeepCloud-relevante Gruppen einschränken

Um sicherzustellen, dass nur die für DeepCloud relevanten Gruppen im Token enthalten sind, gehen Sie wie folgt vor:

1. Relevante Gruppen zuweisen

  1. Öffnen Sie das Azure-Portalhttps://portal.azure.com
  2. Navigieren Sie zu
    Azure Active Directory → Unternehmensanwendungen
  3. Wählen Sie die entsprechende Enterprise-Anwendung aus (z. B. DeepCloud).
  4. Öffnen Sie im linken Menü Benutzer und Gruppen.
  5. Klicken Sie auf + Benutzende Person/Gruppe hinzufügen.
  6. Wählen Sie die DeepCloud-relevanten Gruppen aus.
  7. Klicken Sie auf Zuweisen, um die Gruppen hinzuzufügen

2. Gruppen-Claims konfigurieren

  1. Navigieren Sie im Azure-Portal zu
    Azure Active Directory → AppRegistrierungen.
  2. Wählen Sie die betreffende App-Registrierung (Client-Anwendung) aus.
  3. Gehen Sie zu Verwalten → Tokenkonfiguration
  4. Klicken Sie auf + Gruppenanspruch hinzufügen.
  5. Im Dialog wählen Sie:
    • Der Anwendung zugewiesene Gruppen
      (Empfohlen für grosse Unternehmen, um das Gruppenlimit im Token nicht zu überschreiten.)
  6. Klicken Sie auf Speichern.

Ergebnis

Nach dieser Konfiguration werden im ID- oder Access-Token nur noch die Gruppen-IDs der zugewiesenen DeepCloud-Gruppen enthalten sein.
Damit bleiben die Token schlank, die Azure-Grenzen werden eingehalten, und die DeepCloud-Berechtigungen bleiben korrekt erhalten.

Hat dies Ihre Frage beantwortet?

Verwandte Beiträge