【发布时间】:2021-07-20 14:31:45
【问题描述】:
假设我在 Keycloak 中使用一个领域 mycomp 来处理所有用户(+ master 领域用于 Keycloak 超级管理员)。
我担任客户支持 (CS) 的角色,应该能够查看用户并管理他们的基本数据,例如姓名、电子邮件、密码重置等。
我可以通过 3 种方式向任何用户授予 realm-management 权限,例如 manage-users 或 view-users:
- 直接分配
- 通过为 CS 创建复合角色
- 通过创建组并添加 CS
问题在于,赋予manage-users 权限 CS 最终能够管理角色和组,因此它能够授予其他用户管理权限。这对我的配置无效 - 它是一些更高级别管理员的角色。
如何授予部分用户查看和管理基本用户数据的权限,但不允许他们管理角色?
【问题讨论】:
标签: permissions keycloak roles keycloak-services idp