仅创建用户 Keycloak 角色?
Posted
技术标签:
【中文标题】仅创建用户 Keycloak 角色?【英文标题】:Create-user-only Keycloak role? 【发布时间】:2019-05-05 02:35:50 【问题描述】:我希望有一个用户仅限于管理一组用户,并且仅限于 Keycloak 中的那些用户。这个想法是他可以将用户添加到该组,将其从组中删除,还可以创建属于该组的新用户。
我一直无法弄清楚如何做最后一部分。我可以为用户分配“管理”角色,但随后他可以列出和管理 Keycloak 中的所有用户。
我曾考虑使用多个领域(而不是组)的路线,但是如果他要管理多个领域而不是一个帐户,我必须在每个领域为同一用户拥有一个帐户。
是否有更好的方法来实现此设置(类似于组织设置,一个人可以属于多个组织并管理部分/全部,而不必拥有多个帐户)?
我正在使用 Keycloak 4.6
【问题讨论】:
【参考方案1】:我认为您正在寻找的是manage-members
'Fine Grain Admin Permissions'。以前版本的 keycloak 管理员指南gave an example of this specific use-case:
您可以指定管理员只能管理特定组的成员。如果您进入 Admin Console 中的群组页面,您将看到“权限”选项卡...manage-members 权限允许您定义允许管理员管理属于该群组的任何用户的策略。
newer guide for 4.6 不再通过显式示例涵盖该特定用例,但仍列出了该权限,因此它仍应像以前一样工作。
【讨论】:
以上是关于仅创建用户 Keycloak 角色?的主要内容,如果未能解决你的问题,请参考以下文章
Keycloak REST API 无法从用户角色映射中删除客户端级角色