用于用户管理的 Keycloak 策略不起作用
Keycloak policies for user management not working
我试图配置一个可以访问特定客户组但不是所有客户的支持组,所以我创建了一个 new_user_group 和一个 support_group(这个组有 real-management 个角色查看和管理用户,以便我可以看到那些 admin-console 菜单)和添加的策略,这样 support_group 只能查看和管理那个 new_user_group 的组和用户,但不能看到 new_user_group 的组和用户=16=]。不幸的是,在使用 support_group 的用户登录后,我可以看到所有用户和组,而不仅仅是 new_user_group 的用户和组。
我已经使用了 realm-management 客户端的授权评估器。有趣的是,如果我选择 support_group 的新用户和具有视图范围的 user_group 资源,它会正确地确定应该拒绝访问。
我错过了什么吗?也许问题在于 new_support_group 确实具有像查看用户这样的领域管理角色?但是,如果我删除这些角色,我将看不到任何菜单。
您必须向组说明策略应应用于 realm_management 客户端的角色 query_users。不要向组添加 manage_useres 角色,因为这会忽略任何策略。
我试图配置一个可以访问特定客户组但不是所有客户的支持组,所以我创建了一个 new_user_group 和一个 support_group(这个组有 real-management 个角色查看和管理用户,以便我可以看到那些 admin-console 菜单)和添加的策略,这样 support_group 只能查看和管理那个 new_user_group 的组和用户,但不能看到 new_user_group 的组和用户=16=]。不幸的是,在使用 support_group 的用户登录后,我可以看到所有用户和组,而不仅仅是 new_user_group 的用户和组。
我已经使用了 realm-management 客户端的授权评估器。有趣的是,如果我选择 support_group 的新用户和具有视图范围的 user_group 资源,它会正确地确定应该拒绝访问。
我错过了什么吗?也许问题在于 new_support_group 确实具有像查看用户这样的领域管理角色?但是,如果我删除这些角色,我将看不到任何菜单。
您必须向组说明策略应应用于 realm_management 客户端的角色 query_users。不要向组添加 manage_useres 角色,因为这会忽略任何策略。