我有一个利用Keycloak for IdM的Web应用程序。
我正在使用Resource Owner Password Credentials或直接授予流进行身份验证,该流程使用对/auth/realms/{realm}/protocol/openid-connect/token的REST API调用,而不是浏览器重定向来为用户提供JWT。
我想实施类似的工作流程来注册用户。
查看Keycloak文档,似乎Keycloak Admin API在/auth/admin/realms/{realm}/users处公开了此端点。
要允许客户端与Keycloak Admin API进行交互,您必须创建client service account并将其与具有足够权限来管理领域用户的keycloak角色相关联。
对此的预期方法似乎是将manage-users领域特定角色应用于客户服务帐户。这比我要授予客户端的权限要多。
是否可以授予客户服务帐户 just 创建新用户的能力,而不是授予manage-users附带的全部权限的能力?