是否可以限制具有管理成员资格权限的用户可以分配给其他用户的可用组
场景:
我有一个带有一个sub-realm
的keycloak
实例。允许multiple groups (companies)
打开此领域的安全管理控制台。我有3个额外的组:admin、poweruser和useronly<-分配给他们自己所属的组(公司(。有了管理成员权限,他们可以将新用户分配给所有组,甚至是管理组。
这样的限制可能吗?还是我必须改变我的基本概念?
谢谢Marc
您似乎正试图仅使用单个领域来设置多租户解决方案。我不建议尝试使用这种方法。
我已经使用以下方法为多个客户配置了RedHatSSO(这是KeyCloak的付费版本(:每个客户(公司(两个领域。
CompanyA_admin和CompanyA_user。
可以将组配置为对其他领域具有管理权限。通过使用这种方法,您可以将客户领域的管理权限授予CompanyA_admin领域的用户,普通用户可以通过基本的只读访问权限添加到CompanyA_user领域。
通过这样做,您的超级用户将拥有管理权限,但只能访问您配置的领域。
我认为合并"领域"的原因是考虑到您的特定用例,以及组或公司的逻辑分离。