限制密钥斗篷中特定用户的可用组
Limit available groups for specific user in keycloak
是否可以限制具有管理成员权限的用户可以分配给其他用户的可用组?
场景:
我有一个 keycloak 实例和一个 sub-realm。有 multiple groups (companies) 允许打开此领域的安全管理控制台。我还有 3 个额外的组:admin、poweruser、user。我希望 powerusers 能够创建新用户并将他们分配给他们 -> only <- 他们自己所属的组(公司)。通过管理成员权限,他们可以将新用户分配给所有组,甚至是管理员组。
是否可能存在这样的限制,或者我是否必须改变我的基本概念?
谢谢
马克
您似乎正在尝试仅使用单个领域来设置多租户解决方案。我不建议尝试使用这种方法。
我已经使用以下方法为多个客户配置了 RedHatSSO(KeyCloak 的付费版本):每个客户(公司)两个领域。
CompanyA_admin 和 CompanyA_user.
组可以配置为对其他领域具有管理员权限。通过使用这种方法,您可以将客户领域的管理员权限授予 CompanyA_admin 领域的用户,并且可以将普通用户添加到具有基本只读访问权限的 CompanyA_user 领域。
通过这样做,您的高级用户将拥有管理员权限,但仅限于您配置的领域。
我认为合并 "Realms" 的原因是考虑到您的特定用例,以及组的逻辑分离,或者在您的情况下,公司。
是否可以限制具有管理成员权限的用户可以分配给其他用户的可用组?
场景:
我有一个 keycloak 实例和一个 sub-realm。有 multiple groups (companies) 允许打开此领域的安全管理控制台。我还有 3 个额外的组:admin、poweruser、user。我希望 powerusers 能够创建新用户并将他们分配给他们 -> only <- 他们自己所属的组(公司)。通过管理成员权限,他们可以将新用户分配给所有组,甚至是管理员组。
是否可能存在这样的限制,或者我是否必须改变我的基本概念?
谢谢 马克
您似乎正在尝试仅使用单个领域来设置多租户解决方案。我不建议尝试使用这种方法。
我已经使用以下方法为多个客户配置了 RedHatSSO(KeyCloak 的付费版本):每个客户(公司)两个领域。
CompanyA_admin 和 CompanyA_user.
组可以配置为对其他领域具有管理员权限。通过使用这种方法,您可以将客户领域的管理员权限授予 CompanyA_admin 领域的用户,并且可以将普通用户添加到具有基本只读访问权限的 CompanyA_user 领域。
通过这样做,您的高级用户将拥有管理员权限,但仅限于您配置的领域。
我认为合并 "Realms" 的原因是考虑到您的特定用例,以及组的逻辑分离,或者在您的情况下,公司。