KeyCloak将用户管理限制在特定组,同时启用“管理-用户”
KeyCloak将用户管理限制在特定组,同时启用“管理-用户”
提问于 2018-07-31 07:16:55
使用KeyCloak管理控制台,我试图制定以下用例。
我们有X组和Y组。
“第十组行政管理”的作用如下:
- 可以创建没有组的用户。
- 可以将没有组的用户分配给组X。
- 可以编辑和管理X组中的用户。
- 无法在组Y中看到/编辑/管理用户。
似乎为了完成案例1,我必须使'Group X Admin‘从领域管理客户端链接到’管理-用户‘角色的复合角色。但是,这样做后,“组X管理员”现在拥有查看/管理/编辑组Y用户的权限。
似乎我不能限制对组Y的访问,因为细粒度的权限似乎完全被管理用户角色覆盖。
是否有一种方法在授予权限以添加用户的同时限制对某些组的访问?
回答 2
Stack Overflow用户
发布于 2019-05-27 03:26:07
你应该看看细粮管理权限。它仍然处于预览阶段(所以RedHat不支持它),但它是您正在寻找的功能类型。
当然,我已经测试了一个完成第3和第4项的设置。11.3.2限制用户角色映射章中的描述应该会让你足够接近第2项。我不能告诉你这是否可行。
尽管细粮管理许可是相当强大的,我们得出的结论是,它不足以满足我们的要求。因此,我们放弃了它,并使用了一个不同的解决方案(密钥披风前面的特权服务,用于委托用户管理)。
更新
关于如何设置它的一些说明:
- 启用预览配置文件(在Keycloak启动脚本中)
- 启用客户端域上的权限-管理(客户/领域-管理/权限/权限已启用)
- 创建一个x用户组
- 创建x-admins组
- 启用组x-用户的权限(组/X/权限/权限已启用)
- 单击“查看-成员”(在同一页面上)并添加组策略:
- 作用域:视图成员
- 应用策略:创建策略..。/组
- 输入名称,例如x-admin-策略
- 输入描述
- 组:选择x-admins组
- 保存
- 对管理人员重复-成员
Stack Overflow用户
发布于 2018-08-23 23:15:16
在当前的管理控制台中,似乎没有任何方法:我还查看了文档(甚至是源代码),但没有找到任何方法。也许最好在keycloak jira项目中创建一个请求。顺便说一句,我还想解决同样的问题。实际上,有一张jira票据用于记录管理控制台的细粒度权限。https://issues.jboss.org/browse/KEYCLOAK-3444也许你可以在那里发表你的评论或者打开新的故事
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/51616770
复制相关文章
相似问题
腾讯云开发者
