我尝试配置一个支持组,该组可以访问特定的客户组,但不是全部,因此我创建了一个 new_user_group 和一个 support_group (该组有 >real-management 角色来查看和管理用户,以便我可以看到那些admin-console 菜单)和添加的策略,以便 support_group 只能查看和管理该组以及该 new_user_group 的用户,但不管理 user_group 的用户。不幸的是,在使用 support_group 用户登录后,我可以看到所有用户和组,而不仅仅是 new_user_group 的用户和组。
我已经使用了 realm-management 客户端的授权评估器。有趣的是,如果我选择 support_group 的新用户和具有 View 范围的 user_group 资源,它会正确确定应拒绝访问。
我错过了什么吗?也许问题是 new_support_group 确实具有像查看用户这样的领域管理角色?但如果我删除这些角色,我将看不到任何菜单。
最佳答案
您必须向组提供策略应应用于 realm_management 客户端的 query_users 角色。请勿将 manage_useres 角色添加到组,因为这会忽略任何策略。
关于用于用户管理的 Keycloak 策略不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51217976/