keycloak - 为每个租户/帐户赋予用户不同的权限

时间:2021-02-27 12:50:13

标签: keycloak keycloak-services

我们将 Keycloak 用于 SaaS 产品。每个用户都是租户/帐户的一部分,并具有访问此帐户数据的特定角色。角色在 Keycloak 中配置,相关帐户保存为用户的用户属性。

现在我们有一项新要求,要求用户可以访问多个帐户。对于这些帐户中的每一个,用户可能具有不同的角色:

User A:
- Account A:
  - ADMIN
- Account B:
  - Reader 
User B
- Account B:
  - Reader
...

我发现了很多关于多租户不同方法的文章,但在这个方向上没有。大多数文章结合了角色和组。但就我而言,我需要为每个帐户创建一个新组。所以我最终会得到数千或数百万个组。

现在我的 API 可以根据发布的 JWT 授权请求。理想情况下,我可以保留这个。

使这种结构(用户可以访问具有不同角色的多个帐户)到位的最佳方法是什么? 这真的可以用 keycloak 实现吗?

还是我想错了方向? 这听起来像是一个相当常见的用例。

非常感谢。

1 个答案:

答案 0 :(得分:2)

<块引用>

角色在 Keycloak 中配置,相关帐户保存为 > 用户的用户属性。

我不确定您为什么需要这个,因为您可以根据用户角色推断出来。

<块引用>

现在我们有了一个新要求,让用户可以访问多个 帐户。对于这些帐户中的每一个,用户可能有不同的 角色:

如果我完全理解您的问题,我认为可以通过客户端级别的角色来解决。例如:

转到:

  • 你的领域;
  • 客户;
  • 帐户 A;
  • 角色;
  • 添加角色;
  • 设置角色并保存

enter image description here

要为用户设置角色,请转到

  • 你的领域;
  • 用户;
  • 点击用户;
  • 角色映射;
  • 从“客户角色”下拉列表中选择客户(例如帐户 A)
  • 添加角色;

enter image description here

<块引用>

现在我的 API 可以根据发布的 JWT 授权请求。 理想情况下,我可以保留这个。

代表 Account Auser a 发出令牌请求的样子:

  "acr": "1",
  "realm_access": {
    "roles": [
      "offline_access",
      "uma_authorization"
    ]
  },
  "resource_access": {
    "AccountA": {
      "roles": [
        "ADMIN"
      ]
    },
    "AccountB": {
      "roles": [
        "Reader"
      ]
    },
    "account": {
      "roles": [
        "manage-account",
        "view-profile"
      ]
    }
  },

有人可能会说,当从客户端 Account A 请求令牌时,人们并不真正关心客户端 Account B 中的角色。这可以通过使用 Keycloak 的 Scope Feature 来解决。使用此功能,您可以从与当前客户端相关的其他客户端中选择角色。默认情况下,包括所有角色。尽管如此,要过滤一个需要去的角色:

  • 你的领域;
  • 客户;
  • 本例中的客户帐户 A;
  • 范围;
  • 切换到OFF选项Full Scope Allowed;
  • 保存。

enter image description here

令牌现在的样子:

  "resource_access": {
    "AccountA": {
      "roles": [
        "ADMIN"
      ]
    }
  },
相关问题
最新问题