我们必须在keycloak中为每个用户和每个客户端配置一个限时访问。例如。用户a应该可以在2017-11-06至2018-11-06之间进行汇合。
我们在keycloak管理控制台中配置了基于时间的策略,并使用内置的evaltation页面成功检查了条件。
客户>>汇合>>授权>>政策
但是keycloak在用户登录期间没有评估政策。
我们的第一个假设是,keycloak可以在用户身份验证时评估这些策略,但我们配置的策略都不会对用户身份验证产生任何影响(用户可以独立于keycloak的策略配置进行登录)。我们假设客户端(例如Confluence)必须改进客户端策略。我们的假设是否正确?
请您如此善意地告诉我们如何在keycloak中配置将在用户身份验证期间评估的用户访问策略?
答案 0 :(得分:2)
这些政策仅适用于授权!
它们对身份验证没有影响 身份验证只是登录凭据的验证。
Keycloak本身并未做出任何授权决定。它仅提供可由客户端(即应用程序)用于做出授权决策的数据,例如声明,角色和权限。
根据定义的策略,经过身份验证的用户在相应的访问令牌中具有特定的角色和权限。 然后,应用程序负责根据用户在令牌中提供的角色和权限来允许或拒绝对特定功能或数据的访问。
也就是说,您描述的策略将影响用户的权限。在2017-11-06之前和2018-11-06之后,一些必需的权限将不在用户的访问令牌中,因此应用程序将拒绝访问某些功能。
很抱歉,但我不知道在 Confluence 中这是如何工作的。