我希望有一个用户只能管理一组用户,并且只能管理Keycloak中的那些用户。他的想法是,他可以将用户添加到该组中,将其从该组中删除,还可以创建属于该组的新用户。
我一直无法弄清楚如何做最后一部分。我可以为用户分配“管理”角色,但是他可以列出和管理Keycloak中的所有用户。
我曾考虑过使用多个领域(而不是组)的路线,但是如果他要管理多个领域而不是一个帐户,那么我必须在每个领域为同一用户创建一个帐户。
是否有更好的方法来实现此设置(类似于组织设置,一个人可以属于多个组织并管理一些/全部组织,而不必拥有多个帐户)?
我正在使用Keycloak 4.6
答案 0 :(得分:0)
我认为您正在寻找的是manage-members“精细粮食管理权限”。密钥克隆管理指南gave an example of this specific use-case的先前版本:
您可以指定管理员只能管理特定组的成员。如果您在管理控制台中转到论坛的页面,则会看到一个“权限”标签...“ manage-members”权限允许您定义策略,以允许管理员管理属于该论坛成员的任何用户。
newer guide for 4.6不再通过明确的示例涵盖该特定用例,但是该权限仍在列出中,因此它仍将像以前一样工作。