KeyCloak 在启用 'manage-users' 时将用户管理限制到某些组

Question

使用 KeyCloak 管理控制台，我正在尝试制定以下用例。

我们有 X 组和 Y 组。

角色“Group X Admin”可以执行以下操作:

可以创建没有组的用户。

可以将没有组的用户分配到组 X。

可以编辑和管理 X 组中的用户。

无法查看/编辑/管理 Y 组中的用户。

似乎为了满足案例 1，我必须使“Group X Admin”成为与领域管理客户端的“管理用户”角色相关联的复合角色。
但是，执行此操作后，“X 组管理员”现在有权查看/管理/编辑 Y 组用户。

似乎我无法限制对 Y 组的访问，因为细粒度的权限似乎完全被管理用户角色覆盖。

有没有办法在限制对某些组的访问的同时授予添加用户的权限？

Answer 1

你应该看看Fine Grain Admin Permissions .它仍处于预览阶段(因此 RedHat 不支持)，但它是您正在寻找的那种功能。

我当然已经测试过可以满足第 3 和第 4 项的设置。11.3.2 Restrict User Role Mapping 章节中的描述应该让您足够接近第 2 项。第 1 项可能需要更多调查。我不能告诉你它是否可行。

尽管 Fine Grain Admin Permission 非常强大，但我们得出的结论是，它还不足以满足我们的要求。所以我们放弃了它并采用了不同的解决方案(Keycloak 前面的特权服务，用于委派用户管理)。

更新

一些说明如何设置它:

启用预览配置文件(在 Keycloak 启动脚本中)

启用客户端领域管理的权限(客户端/领域管理/权限/已启用权限)

创建组 x-users

创建一个组 x-admins

启用组 x 用户的权限(组/X/权限/已启用权限)

单击查看成员(在同一页面上)并添加组策略:

范围:查看成员

应用策略:创建策略.../组

输入名称，例如x-admin-policy

输入描述

组:选择组 x-admins

保存

对管理成员重复