Azure active directory 在Azure AD中的企业应用程序上进行资源调配期间获取用户组

我正在为我们的SAAS编写Azure广告资源调配支持。我正在使用SCIM标准从Azure AD获取用户和组数据

但是，我只获取主动添加到应用程序的组（因为它设置为仅同步添加到企业应用程序的用户）

例如，我们有三个用户

• 用户一号，属于IT和Rome
• 用户二，属于IT和Berlin
• 用户三，属于HR和Stockholm

我现在将以下内容添加到我的企业应用程序中

Group IT, User Two, User Three

现在，我将从Azure AD（通过SCIM）发送到我的应用程序的数据是：

• 创建用户1
• Create User Two//无论如何都是通过添加组创建的
• 创建用户三
• 创建一个组
• 添加用户1、2对其进行分组

这是一张非常不完整的图片，因为我希望有缺少的组（HR、罗马、柏林、斯德哥尔摩），这样我可以标记我们SAAS中的用户，以便他们可以使用这些组/标记来创建规则

是否有任何方法可以获取应用程序上用户拥有的组，即使该组本身未添加到应用程序中

---

一个很好的例子是，我想了解用户所在的城市，因为这是一个很好的区分标准，可以创建规则。但我不想将城市组添加到我们的应用程序中，因为我不希望一个城市的所有用户都可以访问。然而，我想知道城市的用户，确实有访问权

不可能。Azure AD中的组用其objectId值标识，而SCIM中的组用其id值标识。这些组需要由AAD配置服务管理，以便在服务中建立链接（基于AAD配置），可以确认Azure AD中AAD objectId为XYZ的组与id为123的SCIM组匹配

这是Azure广告资源调配服务的要求，而不是SCIM规范的具体限制

---

我能提供的最佳建议是将用户与哪些城市相关的数据存储在字符串属性中，而不是通过组成员身份来处理这些数据。

我担心：-(