问题描述
在使用AzureAD Google Cloud EA测试自动用户/组配置时,在用户配置过程的作用域阶段,我看到许多HTTP 403错误,如下所示:
描述:无法评估源条目用户'[email protected]'的作用域
错误代码:GoogleAppsCannotAccessResourceOrApi
错误消息:当我们的预配置服务尝试评估源条目的作用域时,发生了错误。
{
"error": {
"code": 403,"message": "Not Authorized to access this resource/api","errors": [
{
"message": "Not Authorized to access this resource/api","domain": "global","reason": "forbidden"
}
]
}
}
注意:此问题影响许多用户,但并不影响所有用户。成功配置了更多。
还要注意:没有作用域筛选器(源范围是“所有记录”)。
这看起来与azure ad user provisioning with g suite类似,但是尚未解决该问题,因此我尝试从属性映射中删除用户的经理(如上次响应中所示),但是没有运气。
解决方法
所以我找出了问题所在。首先,事实证明,无论配置日志在说什么,问题都与范围界定无关。
我的问题是,我为用户UPN执行了custom attribute re-mapping,因为为其他域配置了G Suite,但是我忘记了我们的用户UPN中包含大小写域名的杂乱。
我的expression在将区分大小写的旧域替换为新域之前,未能将UPN规范化为小写。添加ToLower表达式后,作用域定义错误就消失了。