我只有一个简单的请求,是否可以将用户管理(添加,删除,更新,更改密码等)限制为租户内的单个用户或角色?我们使用移动和服务器端应用程序通过应用程序API创建用户并管理帐户密码。我们的应用程序使用相同的帐户通过API管理租户中的用户,可以通过Web控制台管理租户中的所有内容。这意味着,如果您知道用户名和密码,则您在租户中拥有完全的管理员访问权限。
我已经为测试用户分配了一个角色,该角色具有从启用的所有权限到最小设置的任意位置,以通过可访问各种组件的Web控制台管理用户,但是这完全破坏了通过API来管理用户的访问权限。仅当测试帐户是内置管理员角色的一部分时,用户管理才能通过API进行工作。
老实说,这听起来并不十分安全……实际上,它似乎非常落后。租户级管理员访问只能通过Web控制台进行,而通过API的访问应最少,但应具有管理用户的能力,而无需成为租户级管理员。
如果有人能指出我正确的方向,我将不胜感激。
谢谢。
答案 0 :(得分:0)
为此,您需要为通过API访问的用户分配一组特定的权限。这些权限将确保通过API访问的用户没有管理员权限。
您可以做的是
有关更多信息,请参考Documentation。