仅创建用户 Keycloak 角色?

Posted

技术标签:

【中文标题】仅创建用户 Keycloak 角色?【英文标题】:Create-user-only Keycloak role? 【发布时间】:2019-05-05 02:35:50 【问题描述】:

我希望有一个用户仅限于管理一组用户,并且仅限于 Keycloak 中的那些用户。这个想法是他可以将用户添加到该组,将其从组中删除,还可以创建属于该组的新用户。

我一直无法弄清楚如何做最后一部分。我可以为用户分配“管理”角色,但随后他可以列出和管理 Keycloak 中的所有用户。

我曾考虑使用多个领域(而不是组)的路线,但是如果他要管理多个领域而不是一个帐户,我必须在每个领域为同一用户拥有一个帐户。

是否有更好的方法来实现此设置(类似于组织设置,一个人可以属于多个组织并管理部分/全部,而不必拥有多个帐户)?

我正在使用 Keycloak 4.6

【问题讨论】:

【参考方案1】:

我认为您正在寻找的是manage-members 'Fine Grain Admin Permissions'。以前版本的 keycloak 管理员指南gave an example of this specific use-case:

您可以指定管理员只能管理特定组的成员。如果您进入 Admin Console 中的群组页面,您将看到“权限”选项卡...manage-members 权限允许您定义允许管理员管理属于该群组的任何用户的策略。

newer guide for 4.6 不再通过显式示例涵盖该特定用例,但仍列出了该权限,因此它仍应像以前一样工作。

【讨论】:

以上是关于仅创建用户 Keycloak 角色?的主要内容,如果未能解决你的问题,请参考以下文章

在 Keycloak 中创建新用户期间未分配客户端角色

Keycloak REST API 无法从用户角色映射中删除客户端级角色

Keycloak 创建和修改自定义用户信息

Keycloak中“完成注册”信的“欢迎”

我们可以将用户组/不同用户的 Keycloak 多个密码策略配置到单个领域吗?

keycloak 删除自动添加的默认角色