是否可以限制具有管理成员权限的用户可以分配给其他用户的可用组?
场景:
我有一个keycloak实例和一个sub-realm。 multiple groups (companies)允许打开此领域的security-admin-console。我还有3个群组:管理员,高级用户,用户。我希望超级用户能够创建新用户并将他们-> 仅 <-分配给他们自己所属的组(公司)。有了管理成员权限,他们便可以将新用户分配给所有组,甚至是管理组。
这样的限制可能吗?还是我必须改变我的基本概念?
谢谢 马克
答案 0 :(得分:0)
似乎您正在尝试仅使用单个领域来设置多租户解决方案。我不建议尝试使用这种方法。
我已经使用以下方法为多个客户配置了RedHatSSO(KeyCloak的付费版本):每个客户(公司)两个领域。
CompanyA_admin和CompanyA_user。
可以将组配置为具有对其他领域的管理特权。通过使用这种方法,您可以将对客户领域的管理特权授予CompanyA_admin领域的用户,并且可以将普通用户添加到具有基本只读访问权限的CompanyA_user领域。
这样做,您的超级用户将拥有管理员权限,但仅具有您已配置的领域的权限。
我相信合并“领域”的原因是为了允许您使用特定的用例,并在逻辑上将组分开,或者在您的情况下,将公司分开。