我试图配置一个支持小组,该小组可以访问某些客户群,但不能全部访问,因此我创建了new_user_group和support_group(该小组具有real-management角色,可以查看和管理用户,这样我就可以看到那些admin-console菜单)和添加的策略,这样support_group只能看到和管理new_user_group的那个组和用户,而不能看到{{1 }}。不幸的是,使用user_group的用户登录后,我不仅可以看到support_group的所有用户和组,还可以看到所有用户和组。
我已经使用了new_user_group客户端的授权评估器。有趣的是,如果我选择具有视图范围的support_group的新用户和user_group资源,它将正确地确定应拒绝访问。
我想念什么吗?也许问题在于new_support_group确实具有诸如视图用户之类的领域管理角色?但是,如果我删除这些角色,我将看不到任何菜单。
答案 0 :(得分:1)
您必须给组指定策略应适用于query_users客户端的角色realm_management。不要将manage_useres角色添加到组中,因为这将忽略任何策略。